Publicado por vez primera en: Kriptópolis, 19 Noviembre 2001
El Parlamento Europeo hace sus deberes
Arturo Quirantes Sierra
En los últimos días estamos oyendo hablar de una
nueva Directiva europea que "permite el correo spam". Lo que no todo el mundo
sabe es que su alcance va más alla del mero debate sobre los usos comerciales o
promocionales del correo electrónico.
Para empezar, vale la pena mencionar que el título de esta Directiva es
"relativa al tratamiento de los datos personales y a la protección de la
intimidad en el sector de las comunicaciones electrónicas" Es decir, se trata de
una actualización y una expansión de una Directiva anterior sobre protección de
datos. Repito: protección de datos. Algo muy serio.
Esta Directiva trata precisamente de proteger nuestro derecho a la intimidad en
el ciberespacio, intentar proteger abusos por parte de las empresas, y evitar
que nuestros datos personales se conviertan en vulgar mercadería. Más aún, trata
de evitar que los gobiernos usen Internet como coto de pesca donde recabar datos
a gran escala sin autorización judicial.
¿Recordáis las resoluciones Enfopol, y el revuelo que armaron? Pues esa guerra
continúa. Y con los sucesos del 11S, la presión por parte de las "autoridades
competentes" por lograr acceso ilimitado a las comunicaciones electrónicas es
mayor que nunca. En EEUU las cajas Carnivore del FBI pululan por doquier, cuando
hace unos meses tan sólo su uso era fuertemente criticado por el propio Congreso
norteamericano. La ley USA Patriot amplía las capacidades de interceptación
electrónica, con escaso control judicial. Y el presidente Bush ha "solicitado" a
la UE que apliquemos aquí los mismos estándares.
Puede que ahora comencéis a entender lo que nos jugamos. Una de las últimas
iniciativas Enfopol consiste en guardar en gigantescos "almacenes de datos"
todos los datos de tráfico de todo tipo de llamadas. Los datos de tráfico son
datos asociados a la llamada. Es decir, no se trata del contenido de la llamada
(o comunicación en general) en sí, pero sí de datos tan sensibles como:
identidad y ubicación de los interlocutores, números de llamada, redes usadas,
duración y hora de la llamada, cuenta o tarjeta con la que se paga la llamada,
nombre de abonados o suscriptores ... en suma, todo un perfil de usuario.
En esto entra la Directiva de la que hablamos. Su ponente en el Parlamento
Europeo, Marco Cappato, es del ala "roja" que intenta por todos los medios
evitar una granhermanización de Internet (también estuvo en la comisión Echelon
del PE). Con gran asombro de muchos -yo, el primero- ha conseguido restringir
fuertemente la intrusión gubernamental o policial indiscriminada en las
comunicaciones electrónicas. Por desgracia, el spam ha sido el precio a pagar.
Permitidme que os aclare el panorama. Recientemente he recibido las enmiendas
aprobadas por el PE. A ver qué os parecen. Antes de comenzar, os indico que el
texto original fue redactado por la Comisión Europea, ya que la Directiva ha de
ser aprobada mediante el llamado procedimiento de codecisión (donde intervienen
Consejo, Comisión y Parlamento).
Desde el principio de motivos se pone de manifiesto que, si bien se acepta la
vigilancia electrónica por motivos de "seguridad nacional" (esto es, espionaje
por la cara) o de persecución de delitos, tampoco significa una licencia para
espiar indiscriminadamente. En la exposición de motivos se lee claramente
"Estará prohibida la vigilancia electrónica exploratoria o
general a gran escala." También se obliga a que los proveedores de
servicios notifiquen a sus usuarios acerca del tipo de datos de tráfico que
están procesando, y del derecho de los usuarios de prohibir tal proceso. Se
apunta también a que los proveedores proporcionen herramientas para la seguridad
de las comunicaciones a sus usuarios, incluyendo la disponibilidad de software
de cifrado y de anonimato.
Vamos a ver, en concreto, qué han hecho los europarlamentarios bien:
- Artículo 1. Se suprime una referencia explícita a que esta Directiva no se
aplicará a las actividades de "seguridad pública, defensa, seguridad del Estado
(incluido el bienestar económico del Estado cuando dichas actividades estén
relacionadas con la seguridad del Estado), y a las actividades del Estado en
materia penal." Es decir, se evita que la eximente de seguridad nacional o
persecución de delitos pueda ser usada como excusa a priori.
- Artículo 5, párrafo 2a (nuevo): "Los Estados Miembros prohibirán el uso de
redes de comunicaciones para almacenar información o para obtener acceso a
información almacenada en el equipo terminal del abonado o usuario sin el
consentimiento previo y explícito del abonado o usuario. " Esto, por si no lo
habéis entendido bien, significa que QUEDAN PROHIBIDAS LAS COOKIES, WEB-BUGS y
demás trucos de las empresas de publicidad para obtener información de nuestros
hábitos mediante el almacenamiento de información en nuestros ordenadores. Las
cookies, mal usadas, son una fuente de inseguridad (más de un
listo ha aprendido a manipularlas para introducirse en máquinas ajenas), y
representan una invasión en nuestra privacidad. Esto por sí solo, en mi opinión,
se merece un aplauso.
- Artículo 6. Titulado "Datos de tráfico", es uno de los más polémicos. Para
abreviar: el Consejo de Ministros de Justicia e Interior (JAI) pretende que los
datos de tráfico -que ahora se borran- sean almacenados para que la policía
pueda buscar en ellos. El problema es que no se trata de guardar los datos de
alguien en concreto, sino los de TODAS las llamadas de TODOS los usuarios. De
esa forma, la policía podrá revisar dichos datos por si acaso alguien resulta
que el año que viene es acusado de algo. Es decir, es una retención preventiva
de datos, no una retención concreta en el transcurso de una investigación penal.
El Consejo JAI ha presionado fuertemente en pro de esta iniciativa de "almacén
de datos", cosa que en particular el Reino Unido defiende vigorosamente. Por
contra, la Comisión desea que las cosas queden como están. Es decir, los datos
de tráfico se borrarán en cuanto no sean necesarios para la facturación.
El PE no solamente mantiene la misma postura, sino que se reafirma en que los
datos de tráfico han de ser borrados o hechos anónimos de forma irreversible. En
los casos de persecución de delitos o amenazas a la segurida nacional, se podrán
guardar dichos datos, pero no de forma indiscriminada, como indica el artículo
15 (ver más abajo).
- Artículo 9. Se refiere a los "datos de ubicación", esto es, la información
sobre dónde se encuentra el abonado. Los teléfonos móviles permiten saber la
ubicación del abonado, con un error de decenas o centenares de metros (mucho
menos en el caso de los teléfonos de tercera generación). Las empresas quieren
usar esa información para ofrecer servicios, como indicar al abonado dónde se
encuentra la farmacia más próxima o un restaurante con ofertas. Imaginaos lo que
puede hacerse con esos datos si se usan mal. Las modificaciones del PE afirman
que esos datos solamente se podrán procesar cuando sean datos anónimos, o cuando
el usuario haya dado su consentimiento expreso al respecto, consentimiento que
podrá retirar en cualquier momento.
- Artículo 15. Indica, entre otras cosas, que los Estados Miembros podrán
restringir los derechos y obligaciones anteriores (en especial los de los
artículos 6 y 9 sobre datos de tráfico y de ubicación) cuando dicha restricción
constituya una medida necesaria para la seguridad nacional, defensa, seguridad
pública o persecución de delitos. Vamos, que si el gobierno toca la alarma no
hay derechos que valgan. La novedad es que el PE afirma que tales medidas,
además han de ser "apropiadas, proporcionadas y temporales" Es decir, nada de
matar mosquitos a cañonazos ni aprovechar la cláusula de seguridad cuando
convenga.
Pero hay más: "Estas medidas serán enteramente excepcionales, basadas en una ley
específica, claramente comprensible para el público en general y autorizadas por
un juez u otra autoridad competente, caso por caso. De acuerdo con la Convención
Europea de Derechos Humanos, y según sentencias del Tribunal Europeo de Derechos
Humanos, se prohíben cualquier forma de vigilancia electrónica a gran escala,
general o exploratoria"
Es decir, nada de redes de interceptación general tipo Echelon ni de cajas
Carnivore para espionaje electrónico. Es como si el PE dijese que vale pescar,
pero con caña y sacando los peces uno a uno, nada de redes de deriva. ¿No nos
quejábamos tanto del espionaje electrónico indiscriminado? Pues aquí se intenta
poner coto.
Espero haberos ayudado a entender que la Directiva en cuestión se ha tomado muy
en serio la protección de la privacidad del individuo. Esto es especialmente
serio en estos tiempos en que los gobiernos "requieren" a los ISP que guarden
los datos de sus abonados a estilo MAR ("no te obligo, pero hazme caso o atente
a las consecuencias") y la búsqueda de terroristas parece ser
la nueva patente de corso para cometer cualquier atropello a los derechos de los
ciudadanos.
Hace poco otra comisión del PE demostró que Echelon existe y que hay que tomar
medidas para evitarlo. Aquí está la primera medida. Con ella, el Parlamento
Europeo ha conseguido evitar una goleada por parte del Consejo de Ministros, que
se muere de ganas por echar mano al botín que representan los datos de tráfico y
ubicación. Ya no será tan fácil para nuestros paternalistas
gobiernos usar el fuera de juego de la "seguridad nacional", sacándoles la
tarjeta roja.
Llego dos años siguiendo el embrollo de Enfopol y temas similares, y sé de lo
que hablo. He tenido ocasión de seguir el trabajo del PE en diversos temas
relacionados con libertades y privacidad, y me consta que algunos
europarlamentarios están preocupados por el tema, peleando con uñas y dientes
contra enemigos poderosos y despiadados. La seguridad no se obtiene sacrificando
la libertad. Son conceptos complementarios y capaces de coexistir si se legisla
bien.
© Arturo Quirantes Sierra. Algunos derechos
reservados según Licencia Creative Commons