INTECO_01 Privacidad y secreto en las telecomunicaciones

1. Guías Legales
PRIVACIDAD Y SECRETO EN LAS
TELECOMUNICACIONES
OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN
Área Jurídica de la Seguridad y las TIC

2. Instituto Nacional
de Tecnologías
de la Comunicación
El secreto de las telecomunicaciones y
la protección de datos
El derecho a la intimidad y al secreto de las comunicaciones queda protegido
expresamente por el art.18 de la Constitución Española de 1978.
Es innegable la relación existente entre la protección de datos de carácter personal
de los ciudadanos, el derecho al secreto de las telecomunicaciones y a la intimidad
dispuesto en el art. 18.3 de la Constitución Española de 1978, en el que se establece
expresamente que “…Se garantiza el secreto de las comunicaciones y, en especial,
de las postales, telegráficas y telefónicas, salvo resolución judicial…”
A pesar de no indicarse expresamente, las comunicaciones que se realizan a través
de medios electrónicos se encuentran protegidas por este precepto, ya que la
enumeración es meramente enunciativa.
El derecho al secreto de las telecomunicaciones,
como cualquier otro, podrá verse limitado en La intimidad y el
momentos determinados, tal y como indica el art. 8 secreto de las
del Convenio Europeo de Derechos Humanos 1 .
De igual forma la existencia de un verdadero comunicaciones
derecho fundamental es igualmente apreciada por la es un derecho
práctica totalidad de la doctrina, así como por la
propia jurisprudencia del Tribunal Constitucional
fundamental.
Español (TC).
A continuación se indican cuáles son los requisitos que la normativa ha establecido
en relación a la posibilidad de imponer, conforme a la legislación vigente, límites a
estos derechos de los ciudadanos:
• La necesidad de una Ley para restringir o limitar un derecho fundamental como
el del secreto de las comunicaciones es un requisito aceptado unánimemente,
tanto por la doctrina, como por el propio Tribunal Constitucional Español2. Esta
exigencia supone el cumplimiento del principio democrático por el que cualquier
límite a un derecho fundamental debe ser aprobado por los representantes de la
soberanía popular (el Parlamento), lo que garantiza la seguridad jurídica de los
ciudadanos.
1
Firmado en Roma el 4 de noviembre de 1950 y ratificado por España el 26 de septiembre de 1979.
2
La STC 49/1999, de 5 abril indica “...Por mandato expreso de la Constitución Española toda injerencia estatal en el
ámbito de los derechos fundamentales y libertades públicas, que incida directamente sobre el desarrollo (artículo
81.1 de la Constitución Española), o limite o condicione su ejercicio, precisa de una habilitación legal.
2

3. Instituto Nacional
de Tecnologías
de la Comunicación
En el caso del secreto de las telecomunicaciones, será la Ley de Enjuiciamiento
Criminal (en adelante, LECrim), y más concretamente su art. 579 la encargada
de regular la forma en que podrán ser intervenidas las comunicaciones de un
ciudadano. Igualmente, es de aplicación la Ley Orgánica 2/2002 de 6 de mayo
reguladora del control judicial previo del Centro Nacional de Inteligencia (C.N.I)
que restringe la intervención de las comunicaciones por parte de este
organismo.
• El segundo de los requisitos es la necesidad y proporcionalidad de las medidas
adoptadas respecto a los hechos que motivaron su puesta en práctica.
Las medidas restrictivas deben estar justificadas de forma que quede patente
que son necesarias y adecuadas al fin para el que han sido concebidas,
teniéndose en cuenta que tan solo estarán justificadas en el caso de existir un
interés público, que se realicen para la defensa, seguridad o bienestar
económico del Estado así como para la
persecución de delitos. Es preciso que la
necesidad,
En materia de telecomunicaciones, hay
que atender a lo previsto por la Ley oportunidad y
32/2003 General de proporcionalidad
Telecomunicaciones (LGT).
Concretamente, el art. 3 de la LGT
condicionen la
establece como una de sus finalidades intervención de las
básicas garantizar “…la protección de comunicaciones.
los datos personales y al secreto en las
comunicaciones…” regulando en su capitulo III título III, y más particularmente
en su art. 35, los requisitos que deberán tenerse en cuenta a la hora de realizar
la intervención de las comunicaciones.
Particularmente la ley establece los siguientes requisitos:
1. La Administración de las telecomunicaciones deberá diseñar y establecer sus
sistemas técnicos de interceptación de señales en forma tal que se reduzca al
mínimo el riesgo de afectar a los contenidos de las comunicaciones (art. 35.1.a).
2. Cuando, como consecuencia de las interceptaciones técnicas efectuadas,
quede constancia de los contenidos, los soportes en los que éstos aparezcan no
podrán ser ni almacenados ni divulgados y serán inmediatamente destruidos.
(art 35.1.b).
3. Las mismas reglas se aplicarán para la vigilancia del adecuado empleo de las
redes y la correcta prestación de los servicios de comunicaciones electrónica (art
35.2).
3

4. Instituto Nacional
de Tecnologías
de la Comunicación
Lo establecido en este artículo se entiende sin perjuicio de las facultades que a
la Administración atribuye el artículo 43.2 3 de este mismo cuerpo legal. (art.
35.3).
Asimismo, se ha de analizar lo relativo a la protección de datos en las
telecomunicaciones y lo dispuesto en el art. 18.1 de la Constitución Española de
1978 (CE), donde se afirma que “…Se garantiza el derecho al honor, a la
intimidad personal y familiar y a la propia imagen...”
Por su parte, el art. 18.4 de la Constitución Española de 1978 dispone que “…la
ley limitará el uso de la informática para garantizar el honor y la intimidad
personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos…”
Este ultimo precepto posibilita el encumbramiento de un autentico derecho
fundamental a la protección de datos, claramente diferenciado del haz general
de protección otorgado por el art. 18.1 de la CE.
En este sentido se ha decantado la jurisprudencia del Tribunal Constitucional
español, quien ha defendido 4 la existencia independiente de un auténtico
derecho a la protección de datos de carácter personal, que no solo afecta a
los datos de carácter intimo de los individuos, sino a cualquiera “… cuyo
conocimiento o empleo por terceros pueda afectar a sus derechos, sean o
no fundamentales…”
Legislación aplicable en el ámbito del
secreto de las comunicaciones.
A continuación se realiza una breve referencia sobre la legislación aplicable al
secreto de las comunicaciones, la retención de datos y la protección de datos de
carácter personal. Este análisis se realiza desde el punto de vista europeo y
nacional.
• A nivel europeo, toda la materia relativa a la protección de datos se encuentra
regulada por la Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de
24 de octubre de 1995, relativa a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos
3
La administración, gestión, planificación y control del Espectro Radioeléctrico incluyen, entre otras funciones, la
elaboración y aprobación de los planes generales de utilización, el establecimiento de las condiciones para el
otorgamiento del derecho a su uso, la atribución de ese derecho y la comprobación técnica de las emisiones
radioeléctricas. Asimismo, se integra dentro de la administración, gestión, planificación y control del referido espectro
la inspección, detección, localización, identificación y eliminación de las interferencias perjudiciales, irregularidades y
perturbaciones en los sistemas de telecomunicaciones, iniciándose, en su caso, el oportuno procedimiento
sancionador.
4
STC 292/1000, de 30 de Noviembre, STC 254/1993.
4

5. Instituto Nacional
de Tecnologías
de la Comunicación
datos. Esta directiva fue la primera norma de carácter genérico promulgada en
materia de protección de datos de los ciudadanos europeos.
Esta primera fuente normativa no contaba, sin embargo, con medidas
especificas orientadas a regular y controlar todos los riesgos y peligros que el
nacimiento de una sociedad basada en los medios digitales suponía para la
protección de datos.
Con este motivo se dispuso la elaboración de una norma que contara con las
medidas adecuadas a esta nueva realidad, dirigida a proteger los datos y la
intimidad de los ciudadanos en el sector de las telecomunicaciones. Esta
regulación se cristalizaría en la aparición de la Directiva 97/66/CE, del
Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa al
tratamiento de los datos personales y a la protección de la intimidad en el
sector de las telecomunicaciones. Esta Directiva complementa a la 95/46/CE
en lo que se refiere a las disposiciones técnicas y jurídicas específicas para el
ámbito de las telecomunicaciones.
Por su parte, la Directiva 2002/58/CE,
del Parlamento Europeo y del Consejo,
de 12 de julio de 2002, relativa al
tratamiento de los datos personales y a
la protección de la intimidad en el sector
de las comunicaciones electrónicas, más
conocida como “Directiva sobre la
privacidad y las comunicaciones
electrónicas”, tiene por objetivo armonizar las disposiciones de los estados
miembros para garantizar un nivel equivalente de protección de las libertades y
los derechos fundamentales y, en particular, de:
a. El derecho a la intimidad en lo que respecta a las telecomunicaciones.
b. La protección de datos personales en el sector de las telecomunicaciones.
c. La libre circulación de los datos personales en la Unión Europea.
Por último, se debe hacer referencia a la Directiva 2006/24/CE del Parlamento
Europeo y del Consejote 15 de marzo de 2006 sobre conservación de datos de
tráfico en las comunicaciones electrónicas. Esta norma nace con el objetivo
claro de poner a disposición de los estados miembros de la Unión Europea una
herramienta más con la que poder luchar eficazmente contra el terrorismo y el
crimen organizado, en los que la retención y conservación de datos adoptan un
papel relevante.
• En el ámbito nacional, la legislación a tener en cuenta es la siguiente:
5

6. Instituto Nacional
de Tecnologías
de la Comunicación
En el ámbito constitucional se ha de tener presente lo dispuesto en el art. 18 de
la CE, que establece la naturaleza y alcance de la protección que el derecho a la
intimidad otorga a los ciudadanos, así como la Ley Orgánica 1/1982, de
Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar, y
a la Propia Imagen.
Igualmente, hay que tener en cuenta lo dispuesto en la Ley 34/2002 de
Servicios de la Sociedad de la Información y del Comercio Electrónico, y lo
referido en la Ley 34/2003 General de Telecomunicaciones, que establecen el
régimen aplicable a las consideradas comunicaciones por vía electrónica, así
como las disposiciones pertinentes en materia de Protección de Datos de
Carácter Personal que establecen la Ley Orgánica 15/1999 de Protección de
Datos de Carácter Personal (LOPD) y el Reglamento de Medidas de Seguridad
(RMS).
Por último, las posibles responsabilidades derivadas de la vulneración de la
intimidad de los ciudadanos, así como las estipuladas en la normativa antes
mencionada, se regulan de acuerdo a lo establecido por la Ley Orgánica 1/1995
del Código Penal.
Todo ello proporciona una visión de la legislación aplicable a nivel nacional para
abordar el análisis de la privacidad y el secreto en las telecomunicaciones.
La retención de datos de carácter
personal
Los últimos años del siglo XX y el comienzo del siglo XXI han sido testigos de un
aumento muy importante de las medidas de control y fiscalización de los medios de
comunicación, particularmente desde los trágicos acontecimientos del 11 de
septiembre de 2001 en la ciudad de Nueva York, del 11 de Marzo de 2004 en Madrid
y del 7 de Julio de 2005 en Londres.
Este crecimiento exponencial experimentado por las medidas de seguridad y
vigilancia en casi todos los aspectos de la vida, han supuesto en muchas ocasiones
interferencias en la intimidad y en la vida privada de los ciudadanos. Resulta evidente
que en una sociedad fundamentada en los avances técnicos y las
telecomunicaciones, este hecho tiene un peso muy específico en estas materias.
Una de las consecuencias directas de una mayor restricción de las libertades incide
en lo que se conoce genéricamente como “la retención de datos en el ámbito de las
6

7. Instituto Nacional
de Tecnologías
de la Comunicación
telecomunicaciones”, que obliga a los prestadores de servicios a almacenar ciertos
datos relativos a cómo y cuándo se han producido las comunicaciones 5 .
Directiva 2006/24/CE
El impulso comunitario a este tipo de políticas
viene dado por la Directiva 24/2006/CE
sobre conservación de tráfico de las
comunicaciones electrónicas, que impone a
los proveedores de estos servicios ciertas
obligaciones. Concretamente, retener y
conservar durante un tiempo determinado los
datos relativos al origen; destino; fecha; hora
de inicio y de fin; tipo de comunicación
realizada; equipo utilizado y los datos de
geolocalización de la comunicación.
Esta normativa pone de relieve tres tipos de sujetos con intereses contrapuestos en
mayor o menor medida:
1. Por una parte las autoridades, interesadas en proteger y velar por la seguridad
de los ciudadanos, para lo cual necesitan albergar la mayor cantidad de datos
durante el mayor plazo de tiempo posible, para llevar a cabo las tareas de
control y prevención de delitos graves, especialmente de terrorismo.
2. Por otra parte los proveedores de servicios, que abogan porque los datos sean
almacenados durante el menor tiempo posible y les sean reembolsados los
costes en que incurran por el cumplimiento de estas obligaciones legales.
3. Por ultimo los ciudadanos, quienes pretenden que la retención de datos afecte
al menor número posible de los mismos y que en ningún caso se intervenga el
contenido de las comunicaciones que llevan a cabo a través del teléfono,
Internet y el correo electrónico, etc.
5
Los conocidos como datos de tráfico y localización.
7

8. Instituto Nacional
de Tecnologías
de la Comunicación
Antes de su aprobación, organismos como el Grupo del art.29.6 , el Comité
Económico y Social Europeo (CESE), el Supervisor Europeo de Protección de
Datos 7 (SEPD) y el propio Parlamento Europeo manifestaron su intranquilidad y
reservas frente a la naturaleza y medios previstos por la Directiva para lograr los
fines establecidos en la exposición de motivos. Estas dudas se relacionan
básicamente con la utilidad y proporcionalidad de los medios utilizados, así como la
falta de detalle sobre ciertos aspectos, tales como la forma de destrucción de los
datos (una vez superado el plazo de tiempo de conservación), la seguridad durante
la conservación, las finalidades para las que se podrán emplear, etc.
El impacto de este tipo de normativa en los derechos fundamentales (intimidad y
protección de datos) es elevado, de ahí que se planteen dudas respecto a su
constitucionalidad y conformidad con las normas básicas de la Unión Europea.
Proyecto de Ley de Conservación de Datos 8
La Directiva 24/2006 ha sido objeto de
transposición a la normativa española mediante
el actual Proyecto para la futura ley de
conservación de datos relativos a las
comunicaciones electrónicas y a las redes
públicas de comunicaciones.
La exposición de motivos de la ley justifica su
existencia en la obligación de trasponer la
Directiva y en el hecho de que los avances
6
El denominado "Grupo del Art.29" nace con el objetivo de hacer desaparecer los obstáculos que impiden la libre
circulación de los datos personales dentro de la Unión Europea, ya que esto es necesario para el establecimiento y
funcionamiento del mercado interior. La Directiva de Protección de Datos 95/46/CE se aprueba con este último fin, y
tiene como objetivos, por un lado, asegurar la protección en la Comunidad de los derechos de los particulares en
relación con el tratamiento de sus datos personales y, por otro, armonizar los niveles de protección en los Estados
miembros.
Dentro de las medidas adoptadas para lograr estos objetivos, en su artículo 29, dispone la creación de un Grupo de
trabajo, como órgano consultivo independiente, integrado por representantes de las autoridades de protección de
datos de la UE y la Comisión Europea. La Agencia Española de Protección de Datos (AEPD) forma parte del mismo
desde su inicio, en febrero de 1997. Se reúne con periodicidad bimensual, habiendo aprobado hasta ahora casi un
centenar de documentos, en forma de Decisiones, Dictámenes, Documentos de Trabajo, Informes o
Recomendaciones sobre todas aquellas cuestiones relevantes que afectan a la protección de datos personales.
7
Este organismo fue creado en 2001 de conformidad con el artículo 286 del Tratado de la Comunidad Europea. y
tiene por objeto garantizar que instituciones y organismos de la Unión Europea respeten los derechos de las
personas a la intimidad y a la protección de sus datos personales.
El SEPD gestiona la recogida, el registro, la organización y el almacenamiento de la información, recuperándola para
la consulta, enviándola o colocándola a disposición de otros, así como bloqueando, borrando o destruyendo datos.
8
Información obtenida del Proyecto de Ley de Conservación de datos relativos a las comunicaciones electrónicas,
redes electrónicas y redes públicas de comunicaciones.
8

9. Instituto Nacional
de Tecnologías
de la Comunicación
tecnológicos pueden ser utilizados por redes de delincuencia organizada,
bandas terroristas o delincuentes individuales como medio de comisión de sus
delitos, por lo que debe establecerse una serie de medidas en aras de proteger la
seguridad pública, siempre con pleno respeto a los derechos individuales de las
personas físicas.
El proyecto de ley propone en sus diez artículos la posibilidad de retener los datos de
tráfico y localización de determinadas comunicaciones electrónicas.
El Capítulo I, que recoge los tres primeros artículos, regula el objeto de la norma,
estableciendo la obligación de conservar determinados datos de las comunicaciones
que realicen sus clientes, por parte de los operadores que presten servicios de
comunicaciones electrónicas disponibles al público, o que exploten una red de las
especificadas en el artículo tres de la ley.
El Capítulo II, incorpora los artículos 4 a 7 de la ley. En ellos se establecen los límites
para que los datos recogidos sean cedidos a los agentes de la autoridad facultados,
los medios para evitar cualquier uso
ilegitimo de los datos conservados, Operadores de
así como los plazos legales de
conservación de éstos.
telecomunicaciones y
prestadores de
El Capítulo III, establece por su parte
el régimen sancionador al que
servicios de la
quedan sujetos los obligados, así Sociedad de la
como las responsabilidades Información, están
derivadas de los eventuales
incumplimientos por parte de los obligados a retener los
agentes facultados. datos.
Por último, la norma prevé una modificación de la Ley General de
Telecomunicaciones para adaptarla al nuevo orden normativo.
Sujetos intervinientes
El art. 2 del Proyecto de Ley de Conservación de Datos (PLCD) establece que los
sujetos obligados a cumplir con las obligaciones impuestas en la ley son los
operadores que presten servicios de comunicaciones electrónicas disponibles
al público o que exploten redes públicas de comunicaciones, en los términos
que estipule la Ley 32/2003, General de Telecomunicaciones.
Dentro de este concepto se incluyen:
a. Operadores de Telecomunicaciones.
9

10. Instituto Nacional
de Tecnologías
de la Comunicación
b. Prestadores de Servicios de Internet (ISP´s)
Los otros sujetos intervinientes son, por un lado los usuarios de los servicios, las
autoridades nacionales y, por otro lado, los denominados por el proyecto de ley
como “agentes facultados” 9 .
Datos objeto de retención
Respecto a los datos objeto de retención, el artículo 3 10 del Proyecto de Ley de
Conservación de Datos (PLCD), obliga a los sujetos indicados en el artículo dos a
9
Es decir, las Fuerzas y Cuerpos de Seguridad del Estado cuando desempeñen funciones de policía judicial
entendida en los términos del art. 547 de la Ley Orgánica 6/1985 del Poder Judicial, el personal del Centro Nacional
de Inteligencia (CNI) en el curso de las investigaciones de seguridad sobre personas o entidades, de acuerdo con lo
previsto en la Ley 11/2002 de 6 de mayo reguladora del Centro Nacional de Inteligencia y con la Ley orgánica 2/2002
de 6 de Mayo reguladora del control judicial previo del Centro Nacional de Inteligencia, así como los funcionarios de
la Dirección Adjunta de Vigilancia Aduanera, en el desarrollo de sus competencias como policía judicial, de acuerdo
con el apartado 1 del articulo 283 de la Ley de Enjuiciamiento Criminal.
10
1. Los datos que deben conservarse por los operadores especificados en el artículo 2 de esta ley, son los
siguientes:
a) Datos necesarios para rastrear e identificar el origen de una comunicación:
1.º Con respecto a la telefonía de red fija y a la telefonía móvil:
i) Número de teléfono de llamada.
ii) Nombre y dirección del abonado o usuario registrado.
2.º Con respecto al acceso a Internet, correo electrónico por Internet y telefonía por Internet:
i) La identificación de usuario asignada.
ii) La identificación de usuario y el número de teléfono asignados a toda comunicación que acceda a la red pública de
telefonía.
iii) El nombre y dirección del abonado o del usuario registrado al que se le ha asignado en el momento de la
comunicación una dirección de Protocolo de Internet (IP), una identificación de usuario o un número de teléfono.
b) Datos necesarios para identificar el destino de una comunicación:
1.º Con respecto a la telefonía de red fija y a la telefonía móvil:
i) El número o números marcados (el número o números de teléfono de destino), y en aquellos casos en que
intervengan otros servicios, como el desvío o la transferencia de llamadas, el número o números hacia los que se
transfieren las llamadas.
ii) Los nombres y las direcciones de los abonados o usuarios registrados.
2.º Con respecto al correo electrónico por Internet y la telefonía por Internet
i) La identificación de usuario o el número de teléfono del destinatario o de los destinatarios de una llamada telefónica
por Internet.
ii) Los nombres y direcciones de los abonados o usuarios registrados y la identificación de usuario del destinatario de
la comunicación.
c) Datos necesarios para determinar la fecha, hora y duración de una comunicación:
1.º Con respecto a la telefonía de red fija y a la telefonía móvil: la fecha y hora del comienzo y fin de la comunicación.
2.º Con respecto al acceso a Internet, al correo electrónico por Internet y a la telefonía por Internet:
i) La fecha y hora de la conexión y desconexión del servicio de acceso a Internet registradas, basadas en un
determinado huso horario, así como la dirección del Protocolo Internet, ya sea dinámica o estática, asignada por el
proveedor de acceso a Internet a una comunicación, así como la identificación de usuario o del abonado o del
usuario registrado.
ii) La fecha y hora de la conexión y desconexión del servicio de correo electrónico por Internet o del servicio de
telefonía por Internet, basadas en un determinado huso horario.
d) Datos necesarios para identificar el tipo de comunicación.
1.º Con respecto a la telefonía de red fija y a la telefonía móvil: el servicio telefónico utilizado.
2.º Con respecto al correo electrónico por Internet y a la telefonía por Internet: el servicio de Internet utilizado.
e) Datos necesarios para identificar el equipo de comunicación de los usuarios o lo que se considera ser el equipo de
comunicación:
1.º Con respecto a la telefonía de red fija: los números de teléfono de origen y de destino.
2.° Con respecto a la telefonía móvil:
i) Los números de teléfono de origen y destino.
ii) La identidad internacional del abonado móvil (IMSI) de la parte que efectúa la llamada.
iii) La identidad internacional del equipo móvil (IMEI) de la parte que efectúa la llamada.
iv) La IMSI de la parte que recibe la llamada.
10

11. Instituto Nacional
de Tecnologías
de la Comunicación
almacenar una serie de datos, sobre las comunicaciones, bien sean a través de la
red de telefonía fija, móvil, servicios de acceso a Internet o servicios de correo
electrónico o de telefonía IP. Concretamente, los datos a retener serían:
a. Datos necesarios para rastrear e identificar el origen de una comunicación.
b. Datos necesarios para identificar el destino de una comunicación.
c. Datos necesarios para determinar la fecha, hora y duración de una
comunicación.
d. Datos necesarios para identificar el tipo de comunicación.
e. Datos necesarios para identificar el equipo de comunicación de los usuarios.
f. Datos necesarios para identificar la localización del equipo de comunicación
móvil.
g. Datos relativos a llamadas infructuosas.
Para cada una de las categorías antes mencionadas, el propio proyecto de ley
establece cuales serán los datos que hay que retener. En ningún caso podrá
almacenarse o recogerse cualquier dato que permita conocer el contenido de
una comunicación, ya que en ese caso se vulneraría plenamente el derecho a la
intimidad de las personas 11 .
Tratamiento de datos y persecución de delitos
El Proyecto de Ley de Retención de Datos nace
como respuesta a “…la preocupación generalizada
de los poderes públicos de velar por la seguridad de
los ciudadanos, pues resulta evidente que el
crecimiento de las posibilidades de las
v) La IMEI de la parte que recibe la llamada.
vi) En el caso de los servicios anónimos de pago por adelantado, tales como los servicios con tarjetas prepago, fecha
y hora de la primera activación del servicio y la etiqueta de localización (el identificador de celda) desde la que se
haya activado el servicio.
3.º Con respecto al acceso a Internet, correo electrónico por Internet y telefonía por Internet:
i) El número de teléfono de origen en caso de acceso mediante marcado de números.
ii) La línea digital de abonado (DSL) u otro punto terminal identificador del autor de la comunicación.
f) Datos necesarios para identificar la localización del equipo de comunicación móvil:
1.º La etiqueta de localización (identificador de celda) al inicio de la comunicación.
2.º Los datos que permiten fijar la localización geográfica de la celda, mediante referencia a la etiqueta de
localización, durante el período en el que se conservan los datos de las comunicaciones.
2. Ningún dato que revele el contenido de la comunicación podrá conservarse en virtud de esta ley.
11
Salvo en caso de contar con previa habilitación judicial.
11

12. Instituto Nacional
de Tecnologías
de la Comunicación
comunicaciones electrónicas constituye una herramienta valiosa en la prevención,
investigación, detección y enjuiciamiento de delitos, en especial, contra la
delincuencia organizada 12 .”
El Proyecto de Ley, utiliza sin embargo un rango de aplicación más amplio que el
previsto por la propia Directiva 24/2006, que se refiere de forma expresa a que los
datos solo podrán ser cedidos para la investigación y persecución de delitos graves.
El legislador español ha optado por habilitar la posibilidad de ceder los datos
retenidos para investigar y perseguir cualquier clase de delito, justificando este
hecho en que la decisión se adopta cumpliendo en todo caso con la configuración
constitucional del derecho al secreto de las comunicaciones y en que es imposible
conocer a priori si un delito es grave o no.
Los datos objeto de retención podrán ser cedidos a los “agentes facultados”
regulados en el artículo 6 del proyecto de ley, siempre que se cumplan los
requisitos estipulados en el artículo 7 de la norma.
En caso de que sea necesario ceder los datos a las autoridades será indispensable
contar con la pertinente resolución judicial, que valorará y definirá, de forma
fundamentada de acuerdo a los principios de necesidad y proporcionalidad, qué
datos tienen que ser cedidos para cumplir la sentencia judicial.
Medidas futuras
El artículo 12 de la Directiva 24/2006/CE es quizás el artículo que ha supuesto más
controversias y debates a nivel comunitario.
En este sentido, prevé la posibilidad de que cualquiera de los estados miembros, y
siempre que las circunstancias especiales lo justifiquen, tendrá la potestad de
ampliar el plazo de conservación genérico, que nunca podrá ser menor a seis
meses ni mayor a dos años, según lo dispuesto en el art. 6 de la Directiva.
El Estado que tome la decisión de ampliar el plazo, deberá comunicarlo debidamente
a la Comisión y a los demás estados miembros, de manera que la Comisión
aprobará o no la medida propuesta por el Estado en el plazo máximo de 6 meses,
entendiéndose aprobada en caso de que no haga ninguna comunicación (se aplica la
figura del silencio administrativo positivo).
12
Extracto de la memoria Justificativa del Ministerio de Justicia sobre la Necesidad y Oportunidad del Anteproyecto
de Ley de Conservación de Datos relativos a las comunicaciones electrónicas y a las redes electrónicas y redes
públicas de comunicaciones.
12

13. Instituto Nacional
de Tecnologías
de la Comunicación
Dado que se entienden como aceptadas las medidas en el caso de silencio de la
Comisión, existen dudas de naturaleza interpretativa sobre el momento en que las
decisiones tomadas por un estado resultan de aplicación. La duda se plantea en
torno a dos momentos: el momento en el cual el Estado decide tomar estas medidas
y se lo ha comunicado a la Comisión, o en el momento en el que la Comisión
comunica su posición al respecto, aprobando o no la decisión del Estado
Los problemas derivados del contenido de este artículo se extienden a distintos
aspectos:
Cuando se refiere a “circunstancias especiales”, no especifica la naturaleza,
características o ejemplos, con lo que resulta un término demasiado ambiguo que
deja una capacidad de actuación demasiado amplia a los estados miembros.
No determina claramente en qué momento el Estado dispone de la potestad para
aplicar las medidas que ha estimado oportunas. Aunque parece ser necesaria la
aprobación por la Comisión de las medidas previstas por el estado miembro, esto es
discutible, ya que, dada la redacción del art. 12.1 se puede llegar a entender que el
estado miembro está habilitado para su aplicación desde el primer momento. Así,
“…Todo Estado miembro que deba hacer frente a circunstancias especiales que
justifiquen una ampliación limitada del período máximo de conservación recogido en
el artículo 6, podrá adoptar las medidas que se impongan…”
Las comunicaciones comerciales no
deseadas
• La normativa española en materia de telecomunicaciones y, para ser más
exactos, la Ley 32/2003, General de Telecomunicaciones modifica en su
Disposición Final la Ley 34/2002 de Servicios de la Sociedad de la Información y
del Comercio Electrónico (LSSI) en sus arts. 21, 22, 38.3.b, 38.4.d y 43.1.
Del mismo modo, el artículo 38 de la Ley 32/2003, General de
Telecomunicaciones que establece los derechos de los consumidores y los
usuarios finales, modifica los derechos y los principios de calidad,
consentimiento e información previstos en la Ley Orgánica 15/1999 de
Protección de Datos de Carácter Personal (LOPD), de manera que otorga un
sentido mucho más uniforme y lógico a la normativa en materia de protección de
datos y conservación de los mismos.
• Básicamente la norma que regula en España las comunicaciones comerciales
no deseadas (spam) es la Ley 34/2002 de Servicios de la Sociedad de la
Información y del Comercio Electrónico (LSSI) y la Ley Orgánica 15/1999 de 13
de diciembre de Protección de Datos en lo que se refiere a comunicaciones
13

14. Instituto Nacional
de Tecnologías
de la Comunicación
comerciales en formato analógico. Las disposiciones contenidas en dicha
normativa, fueron modificadas por lo dispuesto en la Ley 32/2003, General de
Telecomunicaciones en los términos dispuestos en el apartado anterior.
El envío de cualquier comunicación de carácter promocional o publicitario a
través de medios electrónicos, sea o no correo electrónico, está taxativamente
prohibido por el art. 21 de la LSSI, siempre que:
d. No hayan sido autorizadas expresamente por sus receptores.
e. No exista entre las partes una relación contractual previa y la
comunicación comercial no verse sobre los productos o servicios
previamente contratados.
En este sentido se dirigen las modificaciones dispuestas por la Ley 32/2003
General de Telecomunicaciones que modifican varios artículos de la Ley
34/2002, estableciéndose que todo envío con fines comerciales o
publicitarios requiere del consentimiento de su receptor, salvo que exista
una relación contractual previa y el sujeto no manifieste su voluntad en
contra de recibir las comunicaciones.
En este sentido cabe matizar la reciente decisión de la Audiencia Nacional de
revocar la primera sanción que impuso la Agencia Española de Protección de
Datos (AEPD) por este motivo. En este caso, la AEPD dictó resolución
condenatoria a un empresario que envió trece correos electrónicos a personas
de las que había obtenido su dirección de correo electrónico mediante las
tarjetas de visita que ellos mismos le entregaron en el transcurso de la feria
tecnológica SIMO 13 .
Análisis del caso concreto
Como se ha citado anteriormente, la primera sanción impuesta por la Agencia
Española de Protección de Datos por comunicaciones comerciales no deseadas fue
en el año 2005 14 , y ha sido revocada por la Audiencia Nacional a través de una
sentencia de 17 de junio de 2007.
La sanción fue impuesta por vulneración de lo dispuesto en el art. 21 de la LSSI, es
decir, por entender que los mensajes de correo electrónico remitidos por el
empresario constituían comunicaciones comerciales masivas no deseadas y no
13
La sentencia completa puede descargarse en http://xribas.typepad.com/xavier_ribas/2007/05/sentencia-tarje.html
14
La resolución puede descargarse desde la siguiente URL:
https://www.agpd.es/upload%2FCanal_Documentacion%2FResoluciones%2FPS%2F2005%2FPS-00137-
2004%20Resoluci%F3n%20de%20fecha%2022-03-2005%20%28Art%EDculo%2021%20LSSI%29%20Recurrida.pdf
14

15. Instituto Nacional
de Tecnologías
de la Comunicación
amparadas en una relación contractual previa. En ningún momento el denunciado
negó que los correos enviados, en efecto, tuvieran una finalidad comercial o
publicitaria, aunque negó que no existiera consentimiento previo por parte del
receptor.
En este caso, teniendo en cuenta en qué contexto fueron entregadas las tarjetas
(una feria tecnológica, en la que la entrega de tarjetas es constante y muy usual
entre los asistentes), y el hecho de que los correos electrónicos fueron remitidos por
parte de una empresa a la que los receptores había proporcionado sus tarjetas
personales, la Audiencia Nacional ha entendido que:
a. La entrega de una tarjeta de visita en ferias, congresos, conferencias, o
contextos que tengan un objetivo eminentemente comercial, equivale al
consentimiento expreso.
b. El consentimiento que se exige por la ley es consentimiento expreso, no
escrito.
c. Basta como prueba de la prestación del consentimiento con disponer de
una tarjeta de visita del destinatario.
d. El consentimiento habilita para el envío de la información comercial relativa a
los productos y servicios de la empresa o para la información comercial por la
que expresamente se hubiera interesado el receptor.
Sobre la supuesta falta de consentimiento exigido por el art. 21.1 de la Ley 34/2002
de Servicios de la Sociedad de la Información y del Comercio Electrónico, la
sentencia establece que, pese a que el consentimiento exigido por el art.3.h de la
Ley 15/1999 de Protección de Datos de Carácter Personal lo define como una
manifestación de voluntad libre, inequívoca, específica e informada a través de la
que la persona consiente el tratamiento de sus datos (en este caso para el envío de
comunicaciones comerciales), la entrega de
las tarjetas de visita en un ámbito
comercial, como la Feria Internacional de
La entrega de una
Informática, Multimedia y tarjeta de contacto en
Comunicaciones, (SIMO), implica el
consentimiento de estos sujetos para la
un contexto
recepción de comunicaciones comercial implica el
comerciales. consentimiento
En palabras de la Audiencia Nacional, y tal y expreso para remitir
como se hace referencia en el Fundamento comunicaciones
de Derecho Quinto: “…es de reseñar, frente
a lo señalado en la resolución recurrida, que
comerciales.
la entrega por una persona de una tarjeta de visita en la que consta su dirección de
15

16. Instituto Nacional
de Tecnologías
de la Comunicación
correo electrónico, en un contexto como es la feria del SIMO, a la que para
promocionar su producto acudió el denunciado, con el que contactó la persona
en cuestión por estar interesada en el mismo, impide que se pueda tener por
acreditado a efectos sancionadores la falta del consentimiento. Además, con
posterioridad se ha constatado la remisión de un correo electrónico aludiendo a la
conversación mantenida en dicha feria, lo que abona la conclusión de que, en el caso
concreto y atendiendo a las circunstancias existentes, existe un consentimiento
previo o autorización expresa, que no es necesario que figure por escrito, para la
remisión de una comunicación comercial relacionada con el producto promocionado
en la citada feria…”.
Igualmente, el demandado entendía que el envío de 13 correos electrónicos no
podía ser considerado un envío masivo en los terminos dispuesto en el art. 21
LSSI, ya que este concepto estaba reservado para comunicaciones comerciales
mucho más numerosas e indiscriminadas que las realizadas.
El juez, ante la falta de definición que el anexo de la Ley 34/2002 de Servicios de la
Sociedad de la Información y del Comercio Electrónico hace del concepto masivo,
se remite al diccionario de la Real Academia de la Lengua en los siguientes términos
”…Según el Diccionario de la Real Academia Española, se define el adjetivo masivo
de la siguiente forma: "dícese de lo que se aplica en gran cantidad", por lo que el
juez no entiende que éste se produzca en este caso.
Privacidad de las comunicaciones.
Casos prácticos
A continuación se mencionan algunos casos prácticos que ponen de relieve los
procedimientos y condicionantes que hacen vulnerable el secreto en las
comunicaciones de los ciudadanos conforme a la legislación vigente.
Escuchas Telefónicas
La realización de escuchas telefónicas supone quebrantar el derecho al secreto de
las comunicaciones establecido por el art. 18.3 de la Constitución Española,
pudiéndose considerar como una de las injerencias más graves que pueden
realizarse en la vida privada de los ciudadanos. Se debe recordar que nos
encontramos ante un verdadero derecho fundamental, que tal y como reconoce la
16

17. Instituto Nacional
de Tecnologías
de la Comunicación
abundante jurisprudencia constitucional existente, solamente cede ante una
resolución judicial debidamente motivada que la autorice 15 .
Las características y principios inspiradores que otorgan validez jurídica a la
intervención en las comunicaciones telefónicas quedan regulados a través de la
jurisprudencia 16 . Según el art. 579.2 de la LECrim, exclusivamente un juez será el
que pueda, mediante resolución motivada, acordar la intervención de las
comunicaciones con la única finalidad de investigar y probar la comisión de actos
criminales, fundándose siempre en los indicios que existan sobre la comisión de
dichos actos y no exclusivamente en meras sospechas.
“…Asimismo, el Juez podrá acordar, en resolución motivada, la intervención de las
comunicaciones telefónicas del procesado, si hubiere indicios de obtener por estos
medios el descubrimiento o la comprobación de algún hecho o circunstancia
importante de la causa 17 …”
La intervención de las comunicaciones de cualquier ciudadano debe ser entendida
como una medida marginal y excepcional, que se utilizará exclusivamente cuando
no exista un medio de investigación menos intrusivo para alcanzar el mismo fin. La
intervención de las comunicaciones deberá estar motivada de tal forma que se
garantice la proporcionalidad de las medidas tomadas entre el quebranto de la
intimidad que supone la intervención y la finalidad de la medida 18 .
La resolución motivada exigida por el art.579.2 de la LECrim deberá adoptar la forma
de auto motivado 19 20 y debe tener un contenido determinado para que la
intervención pueda entenderse como ajustada a derecho, tal y como exige el
art.248.2 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial.
El auto debe especificar claramente cuáles son los presuntos delitos que intentan
probarse, no pudiéndose en ningún caso utilizar la intervención telefónica como
medio de búsqueda indiscriminada de hechos delictivos, que además tendrán que
15
Ver STS de 9 de diciembre 1996, STS de 4 de marzo 1997 o STS de 11 de mayo 1998, entre otras fuentes.
16
Ver STS de 18 de junio de 1992, STS de 25 de junio de 1993, STS de 20 de mayo de 1994, STS de 12 de
septiembre 1994, STS de 20 diciembre de 1996, STS de 2 diciembre de 1997, STS de 4 de julio de 2003, STS de 19
de abril de 2004 y STS de 29 de abril de 2004.
17
Ver Art.579.2 de la Ley de Enjuiciamiento Criminal.
18
Ver STC 7/1994 de 17 de enero, STS de 26 de febrero de 2000. entre otras.
19
Por auto motivado se debe entender la resolución cuya argumentación jurídica y fáctica es suficiente para
justificar, en este caso, la intervención de las comunicaciones.
20
Ver STC 181/1995.
17

18. Instituto Nacional
de Tecnologías
de la Comunicación
ser de una determinada entidad, es decir, ha de verificarse la necesidad de probar
la presunta comisión de delitos graves 21 .
De igual forma, se han de fijar los medios técnicos a utilizar para realizar la
intercepción, así como las medidas oportunas para garantizar que éstas se
producen de forma continua y sobre todas las conversaciones durante el período
fijado y sobre los terminales y personas especificados, sin poder eludir, modificar o
alterar de forma alguna las conversaciones intervenidas, a fin de garantizarse la
imposibilidad de alterar el material probatorio resultante e impedir que éste pueda
ser declarado nulo como material probatorio ante un juicio 22 .
Es importante resaltar que el control judicial no solo afecta al nacimiento y
motivación de la intervención telefónica, sino que acompaña a todo el proceso de
intervención desde su nacimiento hasta su finalización 23 , lo cual tiene una
repercusión fundamental en lo que se refiere a la protección de los derechos de los
ciudadanos afectados por la intervención telefónica 24 .
También resulta esencial fijar los agentes encargados de intervenir las
comunicaciones, así como los números y las personas que son objeto de
investigación.
A este respecto, debe aclararse que cuando se habla de intervención de las
comunicaciones telefónicas se debe incluir en estas todos los tipos de telefonía,
sea cual sea la tecnología que utilice 25 .
Los terminales intervenidos no solo serán los correspondientes a los sujetos antes
designados, sino cualquier otro que sea utilizado para la comisión de los presuntos
delitos, considerando la jurisprudencia de un modo amplio los terminales
susceptibles de intervención, incluyéndose los terminales situados en espacios
públicos o en locales abiertos al público 26 .
Por tanto deberán incluirse tanto los terminales fijos, como los móviles de las
personas intervinientes, independientemente de su tecnología, quedando incluidos
en este espectro tanto el propio procesado como los inculpados, y por mediación
21
Sentencia de la Audiencia Nacional de 31 de marzo de 2006.
22
Ver Auto de 18 de Junio de 1992.
23
Ver STC 49/1996, STC 121/1998, STC 171/1999.
24
Ver STS 26 de febrero de 2000.
25
Según el Art.197.1 del Código Penal de 1995, “…o de cualquier otra señal de comunicación, será castigado con
las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses…”
26
Ver la STS de 606/1994, de 18 de marzo, STS 787/1994, de 18 de abril, STS 467/1998, de 3 de abril, entre otras.
18

19. Instituto Nacional
de Tecnologías
de la Comunicación
del art. 579.3 de la LECrim, serán igualmente afectadas las personas “sobre las
que existan indicios de responsabilidad criminal”.
Por ultimo deberán fijarse los plazos durante los cuales los agentes encargados de
la intervención deberán informar de sus pesquisas y de la duración de la medida al
juez.
El auto debe establecer un periodo cerrado durante el que se producirá la
intervención de las comunicaciones, si bien la LECrim en su art. 579.3 estipula la
posibilidad de establecer plazos trimestrales cerrados, pudiéndose prorrogar por
plazos iguales, tal y como ha reiterado la jurisprudencia 27 exclusivamente por el
tiempo necesario para llevar a buen fin el proceso de investigación, siendo definitiva
la nueva motivación mediante resolución, sin ser posible remitirse a las causas que
motivaron la intervención inicial 28 .
Privacidad en los sistemas de correo web
(Webmail).
Los últimos años han visto proliferar los servicios de correo web que permiten a los
usuarios almacenar su correo electrónico en servidores remotos, con capacidades
que crecen continuamente. Pero, recientemente este servicio ofrecido por una amplia
cantidad de empresas, ha sido objeto de diversas polémicas en lo que concierne a la
calidad de su sistema de privacidad y protección de la intimidad de sus clientes.
En este sentido, han aparecido algunas noticias en diferentes medios de
comunicación que han puesto en tela de juicio estos sistemas.
• De un lado, las dudas vienen referidas al tratamiento de la privacidad. Parece
ser que algunos de estos servicios utilizan sistemas automatizados que rastrean
el contenido de todos los correos electrónicos enviados a través del servicio, con
la finalidad de insertar comunicaciones comerciales relacionadas con el mismo.
• De otro lado, estos sistemas pueden verse afectados, en el caso en que la
empresa almacene en sus servidores los correos electrónicos de los usuarios
aunque estos los eliminen, es decir podría vulnerarse la intimidad de los clientes
si la empresa no elimina los correos electrónicos de los usuarios a pesar de que
éste cancele su cuenta, sino que la mantiene durante un tiempo determinado,
presuntamente sin cumplir con los requisitos exigidos por la normativa de
protección de datos de carácter personal.
27
Ver STS 956/1994, de 9 de mayo, STS 467/1998, de 3 de abril, STS 622/1998, de 11 de mayo.
28
STC 181/1995 STC 49/99, STC 171/99, STS 121/1998, de 7 de febrero.
19

20. Instituto Nacional
de Tecnologías
de la Comunicación
En junio de 2007 un Informe de la
Organización Privacy International 29 , que
estudiaba estos aspectos sobre veintitrés de
las más importantes empresas del
30
sector alertó a la comunidad de usuarios
sobre las deficiencias por parte de la practica
totalidad de las mismas en el tratamiento de la
intimidad y de los datos de carácter personal
de los usuarios de los sistemas.
El correo electrónico, por su naturaleza jurídicamente idéntica a la del correo
ordinario, se ve afecto a la protección otorgada por el art. 18.1, 18.3 y 18.4 de la
Constitución, que garantiza el derecho a la intimidad personal y familiar, el secreto de
las comunicaciones, así como la posible limitación al uso de los medios informáticos
para garantizar la intimidad de los ciudadanos.
Se debe tener en cuenta que actualmente la mayoría de los servidores de estos
sistemas de correo web, se encuentran alojados en los Estados Unidos, país que
cuenta con una normativa en materia del tratamiento de la intimidad muy diferente a
la establecida por los Estados de la Unión Europea, que concede a la intimidad de
los ciudadanos una protección muy superior a la otorgada en los Estados Unidos.
La política de privacidad de estos sistemas usualmente informa del tratamiento que
se va a realizar de los datos de los usuarios solo en ciertos aspectos, ejemplo de ello
puede ser:
“…almacena, procesa y mantiene sus mensajes, listas de contactos y otros datos
relativos a su cuenta para poder ofrecerle el servicio…”
“…Cuando utiliza nuestro servicio, nuestros servidores graban de manera automática
cierta información sobre su uso del servicio. De manera similar a otros servicios de la
web, el sistema graba información como la actividad de la cuenta (incluyendo uso de
almacenamiento, número de accesos), datos visualizados o sobre los que se ha
hecho clic (incluyendo elementos de la interfaz de usuario, anuncios, enlaces); y otro
tipo de información de acceso (incluyendo tipo de navegador, dirección IP, fecha y
hora de acceso, ID de la cookie y URL de origen)…”
“…El sistema mantiene y procesa su cuenta y sus contenidos para poder facilitarle el
servicio y mejorar nuestros servicios. El servicio incluye publicidad relevante y
enlaces relacionados basados en la dirección IP, contenido de los mensajes y otro
tipo de información relacionada con el uso que usted haga del servicio…”
29
www.privacyinternational.org
30
http://www.privacyinternational.org/article.shtml?cmd[347]=x-347-553961
20

21. Instituto Nacional
de Tecnologías
de la Comunicación
“…Nuestros equipos procesan la información de sus mensajes con varios propósitos,
incluyendo para que usted pueda formatear y visualizar la información, distribuir
anuncios y enlaces relacionados, prevenir correos electrónicos no deseados (spam),
guardar una copia de seguridad de los mensajes, y otros propósitos relacionados con
el servicio …”
Desde el punto de vista de la normativa española
en materia de protección de datos cabe señalar
que si bien el servicio, en su política de privacidad
comunica al usuario ciertos aspectos referidos al
tratamiento de sus correos, en ningún momento
se explica la finalidad concreta con la que
éstos son recopilados o tratados ni tampoco
ante quién puede el afectado ejercitar sus
derechos.
En virtud de lo dispuesto en el art. 5.1 de la Ley 15/1999 de Protección de Datos,
todo usuario puede oponerse al tratamiento de sus datos de carácter personal,
siendo absolutamente indiferente que este tratamiento lo realice una máquina
automática o una persona.
Desde el punto de vista del respeto a la intimidad y al secreto de las comunicaciones
la propia naturaleza del correo electrónico le otorga la protección constitucional
del secreto de las comunicaciones, por lo que su contenido es inviolable y no
puede ser abierto sin que medie intervención judicial o autorización expresa
por parte del afectado.
Desde el ámbito comunitario, se ha establecido de forma clara que la intimidad se
considera vulnerada ante la falta de seguridad de las comunicaciones, por lo que
resulta de vital importancia garantizar la privacidad del correo electrónico.
En el caso de los correos electrónicos, la intimidad es un bien a proteger en cualquier
caso, pudiéndose entender en peligro esta seguridad ante la existencia de un
sistema que aunque automatizado, analiza sistemáticamente el contenido de todos
los correos electrónicos 31 .
La protección otorgada por el art. 18.3 de la Constitución Española, ampara tanto el
contenido del mensaje como cualquier otro aspecto relacionado que permita conocer
cualquier información que afecte a la intimidad del sujeto.
31
Mas información en la Recomendación 3/97 sobre Anonimato en Internet adoptada por el Grupo de trabajo sobre
protección de datos del artículo 29 el 3 de diciembre de 1997. Este grupo de trabajo es el organismo comunitario
independiente de asesoramiento en materia de protección de datos y de la intimidad, quedando sus tareas fijadas por
el art.30 de la Directiva 95/46/CE así como en la Directiva 97/66/CE.
21

22. Instituto Nacional
de Tecnologías
de la Comunicación
Por su parte, el Código Penal español de 1995 tipifica como delito mediante el art.
197.3 la revelación de datos captados a través del correo electrónico. El simple
acceso es considerado como suficiente para entrar dentro del supuesto tipificado, tal
y como ocurre en el caso de los accesos no autorizados a equipos o redes, por parte
de piratas informáticos, donde resulta indiferente los motivos del acceso así como lo
que se haga o no se haga con la información o datos obtenidos con la intromisión.
De esta forma resulta indiferente, desde el punto de vista de la calificación
penal, que sea una persona o una máquina la que se dedique a entrar y analizar
el contenido de todos los mensajes de correo electrónico enviados a través del
sistema de correo, ya que en todo caso siempre hay, detrás de la máquina, una
persona que está encargada de manejar dicho dispositivo o programa.
Control del correo electrónico en el ámbito laboral
En la actualidad es común en muchos puestos de trabajo tener la posibilidad de
acceder a determinados medios electrónicos entre los que cabe destacar el correo
electrónico.
El empleador tiene la posibilidad de controlar el uso que se hace del correo
electrónico por parte de los trabajadores conforme a lo dispuesto en el art. 20 del
Estatuto de los Trabajadores, que faculta al empresario para adoptar las medidas de
vigilancia para verificar el cumplimiento de las obligaciones y deberes laborales de
los trabajadores.
El uso inadecuado y excesivo por parte del empleado del correo electrónico de la
empresa o del uso de correo electrónico personal en horario laboral, puede ser
considerado un incumplimiento contractual grave y culposo, pudiéndose
considerar causa de despido. Así, una trasgresión de la buena fe contractual
por no respetar la confidencialidad de la información de la empresa; el uso del correo
electrónico de la empresa con fines personales o incluso situaciones más graves,
como la utilización del correo electrónico para enviar ofensas o acosar sexualmente a
compañeros de trabajo, habilita al empleador para alejar al trabajador de la empresa.
El trabajador se encuentra protegido, como no podía ser de otra forma por el derecho
al secreto de sus comunicaciones de acuerdo con lo estipulado en el art.18 de la CE.
Según el contenido esencial del secreto de las comunicaciones –que debe ser
respetado por el control tecnológico del empresario- protege contra la interceptación
o el conocimiento antijurídico de las comunicaciones ajenas. Cuenta además con la
garantía de que sólo mediante resolución judicial puede levantarse el secreto y con el
resguardo punitivo que brinda el artículo 197 del Código Penal, que sanciona al que
para descubrir los secretos o vulnerar la intimidad de otro sin su consentimiento, se
apoderase de sus papeles, cartas, mensajes de correo electrónico o cualesquiera
otros documentos o efectos personales, o interceptase sus telecomunicaciones o
utilizase artificios técnicos de escucha, transmisión, grabación o reproducción del
22

23. Instituto Nacional
de Tecnologías
de la Comunicación
sonido o de la imagen, o de cualquier otra señal de comunicación, castigándolo con
penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.
Por lo tanto, para controlar el uso del correo electrónico, por ejemplo, el empresario
debe demostrar que interfiere en el trabajo ya que, al equipararse al resto de las
comunicaciones, es inviolable y su control puede constituir un delito contra la
intimidad, si no cuenta con el consentimiento inequívoco del trabajador.
En el caso de necesitarse el acceso al correo electrónico del empleado y a falta de
legislación específica, se procede a actuar de manera análoga al procedimiento
usado en la investigación de las taquillas de los trabajadores, requiriéndose la
presencia de un representante sindical de la empresa. Es usual que en el caso de
empresas de entidad se proceda a contar con la presencia de un notario que levante
acta de todo el procedimiento así como del resultado de las pesquisas, a fin de
justificar en su caso el despido del trabajador.
El propio Estatuto de los Trabajadores, en su artículo 18, se refiere a la inviolabilidad
de la persona, al preceptuar que sólo podrán realizarse registros sobre la persona del
trabajador, en sus taquillas y efectos particulares, cuando sean necesarios para la
protección del patrimonio empresarial y del de los demás trabajadores de la
empresa, dentro del centro de trabajo y en horas de trabajo. En su realización se
respetará al máximo la dignidad e intimidad del trabajador y se contará con la
asistencia de un representante legal de los trabajadores o, en su ausencia del centro
de trabajo, de otro trabajador de la empresa, siempre que ello fuera posible. Es decir,
los registros están autorizados bajo ciertas condiciones, garantizando transparencia
e información al trabajador afectado. Es común en la práctica de estas actuaciones la
presencia de un notario que levante acta de cómo se han llevado a cabo así como de
las pesquisas obtenidas de estas investigaciones.
Ahora bien, el Tribunal Constitucional ha establecido que frente a medidas
limitadoras como las que puede adoptar el empresario en el caso que nos ocupa, los
límites de los derechos deben ser interpretados restrictivamente, por eso, dichas
limitaciones, además de estar previstas en la ley, deben ser siempre razonables y
proporcionadas en relación con el bien o derecho que limitan, justificadas y
destinadas a cumplir realmente el fin para las que fueron establecidas.
La razón y proporcionalidad de las medidas no puede establecerse en abstracto.
Para comprobar si una medida restrictiva supera el principio de proporcionalidad, es
necesario constatar si es susceptible de conseguir el objetivo propuesto (principio de
idoneidad); si, además, es necesaria, en el sentido de que exista otra medida más
adecuada para la consecución de tal propósito con igual eficacia (principio de
necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de
ella más beneficios o ventajas para el interés general que perjuicios sobre otros
bienes o valores en conflicto (principio de proporcionalidad en sentido estricto).
23

24. Instituto Nacional
de Tecnologías
de la Comunicación
La justificación de la medida limitadora debe ser exteriorizada adecuadamente con
objeto de que los destinatarios conozcan las razones por las cuales su derecho se
sacrificó y los intereses a los que se entregó. Por último, la medida limitadora debe
servir para hacer efectivo un fin legítimo real, no para encubrir objetivos espurios.
Conclusiones
A continuación se recoge a modo de resumen una serie de conclusiones expuestas a
lo largo de esta guía:
a. El secreto y privacidad de las comunicaciones se encuentran
expresamente considerados por el art. 18.3 de la Constitución Española un
derecho fundamental.
b. La intervención de las comunicaciones requiere de una previa habilitación
legal que permita la intervención, así como de la necesidad y oportunidad
suficientemente justificable y de un auto judicial debidamente motivado.
c. La retención de datos por parte de los operadores de telecomunicaciones y
prestadores de servicios de la Sociedad de la Información tienen como única
finalidad poder luchar de forma más efectiva contra los delitos graves,
delincuencia organizada, y terrorismo.
d. En ningún caso la retención de datos por parte de los sujetos obligados
podrá ser relativa al contenido de las comunicaciones, sino únicamente
respecto a los datos de tráfico y/o origen y destino.
e. Aún no se ha establecido un plazo concreto para poder retener los
datos. Únicamente se ha establecido un plazo mínimo de 6 meses y un
máximo de 24 meses (2 años), pudiendo ser los estados los que establecen
otros plazos dentro de los límites.
f. La entrega de una tarjeta de visita, al menos en el ámbito de una
convención profesional -tal y como indica la jurisprudencia- se
considera como la prestación del consentimiento expreso requerido por la
normativa para poder remitir comunicaciones comerciales. La jurisprudencia
ha comprendido que la entrega de estas tarjetas de visita entre empresas en
el ámbito de una convención o feria de promoción del sector es prueba de
una relación comercial presente o futura.
g. Aunque en este sentido concreto aún no ha habido pronunciamiento por parte
de ningún tribunal, el acceso no autorizado a los correos electrónicos,
(aunque sea de forma completamente automatizada y nunca al contenido
24

25. Instituto Nacional
de Tecnologías
de la Comunicación
completo del mensaje), debería ser considerado un acceso ilegítimo y por
tanto una vulneración de la intimidad.
Palabras Clave
Como complemento a esta guía y para encontrar información y enlaces de interés
usted puede acudir al Directorio del Área Jurídica de la Seguridad y las TIC en
www.inteco.es/observatorio/directorio/
Este servicio ofrece enlaces categorizados por palabras clave o “tags”. Se
recomiendan, entre otras, las siguientes palabras clave: privacidad; lopd; protección;
datos; personales; telecomunicaciones; retención.
25