jueves, 24 de abril de 2014

El Tribunal de Justicia anula la Directiva de retención de datos

Vía Wikimedia

El  8 de abril de 2014, el Tribunal de Justicia Europeo ha fallado en los casos de Digital Rigths Ireland contra las autoridades irlandesas y de la Corte Constitucional Austriaca vs el Gobierno de Carinthia y Mr Seitling, Mr Tschohl y otros denunciantes, Casos C-293/12 y C-594/12 (en inglés), declarando inválida y nula la Directiva sobre retención de datos telefónicos y de comunicaciones electrónicas del 2006, de ahora en adelante la “Directiva”, con efecto a partir de la fecha en que la Directiva entró en vigor.

¿A qué obligaba la Directiva? ¿Qué tipo de datos debían retenerse?

Con el objetivo de luchar contra el terrorismo y otros delitos graves, la Directiva obligaba a las compañías telefónicas y operadores de internet a registrar, retener y conservar en todo tipo de llamadas telefónicas (fijos y móviles, o sin respuesta) y correos electrónicos durante un periodo, según la legislación aplicable en cada estado, entre 6 y 24 meses, los siguientes datos:
  • En el caso de teléfonos fijos, los datos de números de teléfono de origen y destino, los nombres y direcciones de las personas que llaman y de aquéllas para las que están registradas los números de teléfono en el momento de la conexión, así como el servicio telefónico utilizado, así como desde dónde llaman, aunque no el contenido de la conversación para lo que se requerirá autorización judicial.
  • En el caso de los teléfonos móviles, se añade el identificador del equipo.
  • Para Internet, las direcciones IP dinámica y estática asignadas por el proveedor de acceso a la conexión, el nombre y dirección del usuario y los datos sobre la hora, fecha y duración de una comunicación.
  • También serán objeto de retención los datos referidos a la fecha y momento de activación de una tarjeta prepago.

Razones de la nulidad de la Directiva

El Tribunal de Justicia señala que las obligaciones impuestas a las empresas de telecomunicaciones suponen una intervención amplia y particularmente grave de los derechos fundamentales a la vida privada y a la protección de los datos personales de los individuos, puesto que no existen límites sustantivos y procesales en la Directiva que regulen y restrinjan dichas interferencias a lo estrictamente necesario, excediendo por ello el principio de proporcionalidad.

De hecho, señala la Sentencia que “en aras de perseguir el terrorismo y la delincuencia, la Directiva exige la retención de forma generalizada de todas las personas, todos los medios de comunicación electrónica y los datos de tráfico sin ningún tipo de diferenciación, limitación o excepción.

Así, mantiene la Sentencia que los citados datos tomados en su conjunto, lo que llamamos Big Data, pueden proporcionar información muy precisa sobre la vida privada de las personas cuyos datos están retenidos, tales como los hábitos de la vida cotidiana, los lugares permanentes o temporales de residencia, las actividades llevadas a cabo en nuestra vida ordinaria, en momentos de ocio o vacaciones, nuestras relaciones, amigos, entornos sociales, en definitiva toda nuestra vida, nuestros pensamientos, creencias, sentimientos, nuestra ubicación, y la de nuestros hijos, cuentas corrientes, sin que exista información previa  a los individuos sobre el uso de los datos ni el consentimiento para el tratamiento de los mismos, principios básicos del derecho fundamental a la protección de los datos.


El Tribunal de Justicia examina en la Sentencia si tal injerencia en los derechos fundamentales está justificada y pese a que reconoce que la Directiva: 

(i) no permite el conocimiento del contenido de las comunicaciones electrónicas, 

(ii) obliga a los proveedores de servicios o de internet a respetar ciertos principios de la protección de datos y seguridad y 

(iii) que la conservación de los datos con el fin de su posible transmisión a las autoridades nacionales competentes de verdad satisface un objetivo de interés general, para luchar contra los delitos graves y proteger la seguridad pública, 

el Tribunal declara que la Directiva no establece suficientes salvaguardias para garantizar la protección efectiva de los datos contra el riesgo de abuso y en contra de cualquier acceso y uso ilegal de los mismos.

Por tanto, no existe una obligación formal de imponer  medidas de seguridad reforzadas, para proteger dicha información ni obligaciones de revisión y auditoría sobre la aplicación de dichas medidas para verificar su cumplimiento y evitar que la misma caiga en manos de personas o entidades que puedan hacer un uso no consentido, desde la creación de perfiles de personalidad o comportamientos, a un uso delictivo, chantaje, robos de tu casa y de tu dinero, secuestro de ti o de tu familia, etc, sobre las mismas.

Como sabemos, la aplicación de medidas de seguridad requieren inversión y gasto en la misma, y señala el Tribunal, que la Directiva permite a los proveedores de servicios tener en cuenta las consideraciones económicas a la hora de determinar el nivel de seguridad que se aplican (en particular en lo que respecta a los costos de implementación de las medidas de seguridad) y que no asegura la destrucción irreversible de los datos al final de su período de retención.

De hecho, la seguridad de los individuos se ve también afectada porque, según precisa el Tribunal de Justicia, la Directiva no exige que los datos se conserven en la UE. Por  tanto, la Directiva no garantiza que los datos se tratarán con las mismas medidas de seguridad y los mismos criterios de protección que los que rigen en la UE, principio imprescindible, implantado y consolidado en la normativa europea que rige el tratamiento de los datos de personas físicas en la UE, sin que se exijan autorizaciones de la autoridad competente y verificaciones de los niveles de seguridad aplicables a los datos en países terceros.

Conclusión
La evolución de la tecnología ha dado lugar a que se pueda saber todo de nosotros, a que todo y todos somos atacables desde el punto de vista de la ciberseguridad, los únicos límites a un ataque están en cuánto tiempo tarda un hacker en hacerse con los datos y cuáles son las medidas que han previsto las empresas y los gobiernos para ralentizar el ataque, poder detectarlo y pararlo. Actualmente, la guerra y el poder de la información están en el espacio y no me refiero al aéreo sino al ciberespacio aunque esto suene a la guerra de las galaxias.

Los abusos que algunos gobiernos están haciendo de nuestros datos, desde el espionaje del NSA a otros como Ucrania, llevan a plantearnos una vez más la necesidad de defender nuestra seguridad, sin la que no existe libertad ni democracia, y, por ende, proteger nuestros datos, felicitando al Tribunal de Justicia Europeo por su decisión.


Autora: Cristina Sirera

Visite nuestra página web: http://www.elzaburu.es/

No hay comentarios:

Publicar un comentario