Seguridad y protección de datos.

Permita el lector una confesión sobre un despiste. Este texto tuvo su origen en la preparación de una intervención en el II Congreso Internacional de Seguridad, Justicia y Sistema penal y en una confusión. Preparado el texto que a continuación se expone resultó que el ponente se había equivocado de tema y panel. No obstante, como se suele decir, escrito está. Ármese el lector de paciencia, puesto que son nueve páginas, y léalo con una cierta comprensión.

Cuando hablamos seguridad y protección de datos en el contexto actual, no puedo dejar de sentir una cierta zozobra. Por una parte, resultaría extraordinariamente sencillo presentarme ante esta audiencia evocando el mundo orwelliano de 1984. No es algo complicado si tenemos en cuenta que por ejemplo un ciudadano londinense a lo largo de un día laborable será grabado por centenares o miles de cámaras. Así que el símil es más bien sencillo. Podría aderezar el plato con una pizca de Snowden, unas miajas de drones, y usar palabras como Big Data para captar su atención y seguramente desviarla del verdadero debate.

Por otra parte, en los tiempos que corren tampoco es inusual el voceo de pretendidos campeones de las libertades que a lomos de un discurso fácil aparecen como nuestros salvadores, ante unas Fuerzas y Cuerpos de Seguridad a las que se pinta más como la Securitate rumana que como a servidores públicos al servicio de la democracia. Ya les advierto, que para mi desgracia y como uno de mis personajes literarios preferidos el Martín Romaña de vida exagerada, adoptaré en esta intervención una posición equidistante y técnica que sólo me puede acarrear sinsabores. Pero, ante todo les debo a Vds. una cierta honradez intelectual, y ya saben lo que les ocurre a esos árboles viejos, poco flexibles, e incapaces de plegarse a los vientos.

Por otra parte, es muy probable que les aporte una visión que yo definiría de “a pie de obra” que huirá de teorizaciones estériles y tratará de abordar problemas de orden práctico. Y para ello, a lo primero a lo que hay que ceñirse es a los hechos.

Como mero observador ciudadano uno puede constatar unas ciertas pautas de influencia de la sociedad de la información en la cuestión terrorista, tanto desde el punto de vista de los delincuentes como desde aquello que afecta a las Fuerzas y Cuerpos de Seguridad. En primer lugar, parece claro que los terroristas como todo hijo de vecino, y no lo tomen como un broma, usan el correo electrónico, el smartphone y las redes sociales. Por otra parte, si debo creer en la información que se difunde en los medios de comunicación un terrorista no nace, se hace. Además, en los últimos tiempos no se trata de personas que nos invadan como una potencia extranjera en una guerra clásica. En el contexto europeo asistimos a procesos de radicalización de personas que incluso han nacido aquí y que se incorporan a la llamada yihad a partir de procesos de captación y conversión que se producen en suelo europeo.

Por otra parte, e insisto, si aquello que se nos cuenta es cierto, junto a un modo tradicional de entender el terrorismo como organización aparece lo que se ha dado en llamar el lobo solitario. Se trataría bien de sujetos, bien de pequeños grupos, que desconectados de cualquier estructura organizativa se activan ante la llamada pública a la Yihad desde cualquier altavoz. Si esto es cierto, una licencia de caza, un cuchillo comprado en cualquier mercadillo, o el coche propio permitirían atentar contra el primero que a uno se le ponga por delante. Algunos de estos lobos solitarios consiguen emigrar a escenarios de guerra donde reciben entrenamiento y se curten para después regresar a casa con su pasaporte europeo.

Para luchar contra estas nuevas modalidades de terrorismo los ministros del interior han apuntado, o yo he creído deducir, al menos tres tipos de medidas:

  • Fortalecer los mecanismos de cooperación en el contexto de Schengen.

  • Diseñar un Passenger Names Record europeo, y en algunos caso se acaba de licitar el nacional según autorizadísimos tuiteros.

  • Solicitar una mayor cooperación desde los proveedores de ciertos servicios en entornos de redes sociales.

Sumen Vds. alguna salida de tono en Gran Bretaña amenazando con prohibir WhatsApp.

Ante esta situación algunas autoridades de protección de datos se han apresurado a criticar las medidas e incluso a destacar su ineficacia. Pese a mi proverbial desparpajo y atrevimiento yo me limitaré a opinar sobre ciertos aspectos jurídicos, que es la materia que conozco. Me declaro incompetente absoluto para evaluar si las medidas que se solicitan son eficaces o no, no soy experto, no tengo datos.

Pero si permítanme hacer una pequeña reflexión. En mi oficio, muy apegado a la seguridad informática uno aprende a realizar un balance entre los riesgos, -es decir que exista un atentado-, la probabilidad de que ello suceda, y la magnitud del impacto: alguien muere. Es extraordinariamente cómodo, defender las libertades cuando ese riesgo tiende a cero, cuando no se pisa la calle, cuando manejamos conceptos abstractos y elevados. Desgraciadamente, quien les habla es incapaz de hacer esto, porque no puede evitar pensar que el hecho de que alguien muera es irreparable, rompe su vida, rompe a su familia, rompe su entorno.

Siguiendo con los hechos, y les pido un poco de paciencia, creo inevitable subrayar el proverbial acuerdo en esta materia por las dos fuerzas mayoritarias que han gobernado este país. La habilitación a las Fuerzas y Cuerpos de Seguridad para tratar datos personales ha sido mantenida y sistemáticamente acrecida por Partido Socialista y Partido Popular. Veamos los datos:

  • La Ley orgánica 5/1992, de 29 de octubre de tratamiento automatizado de los datos de carácter personal se caracteriza por dos notas:

→ excluye de la Ley, y por tanto del control por la Agencia Española de Protección de Datos, los ficheros sometidos a la normativa sobre protección de materias clasificadas que se rigen por la Ley del CNI y los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. Estos últimos se notifican para conocimiento de sus características esenciales a la Agencia Española de Protección de Datos.

→ fijan un conjunto de excepciones en relación con los ficheros de investigación:

– se exime del deber de información

– se pueden tratar datos sin consentimiento para fines policiales limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales

– pueden tratarse datos especialmente protegidos en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta, recogiendo lo previsto en la Recomendación 87 (15) del Consejo de Europa

– finalmente, y tomen buena nota, podrán denegarse los derechos de acceso, rectificación, cancelación y oposición al tratamiento «en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando».

  • Pese a que el Partido Popular recurre la constitucionalidad de esta norma, incluye la excepción a los derechos de acceso, rectificación, cancelación y oposición al tratamiento literalmente en la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos. Ley que se aprueba de modo prácticamente unánime por nuestro parlamento.

  • El régimen jurídico de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, resulta ser idéntico.

  • El sistema se cierra, de nuevo durante el ciclo socialista con la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones. Hoy discutida en el plano europeo.

Este escenario de acuerdo general se ha manifestado Acuerdo para afianzar la unidad en defensa de las libertades y en la lucha contra el terrorismo o si Vds. lo prefieren pacto de estado contra el yihadismo. Este contempla dos ideas, interesantes para mi intervención ya que ambos partidos se comprometen a:

«3.- Impulsar las reformas legislativas necesarias para actualizar y reforzar el marco jurídico que permita a jueces, fiscales y Fuerzas y Cuerpos de Seguridad ser más eficaces en la investigación criminal de los delitos de terrorismo. En este sentido, las modificaciones a incorporar en la futura reforma de la Ley de Enjuiciamiento Criminal han de permitir fortalecer las garantías de los derechos y libertades de la ciudadanía y la eficacia probatoria de las investigaciones frente al terrorismo.

7.- Promover en el seno de la Unión Europea y en las instituciones internacionales la adopción de políticas de prevención, persecución, cooperación y sanción penal contra el terrorismo, participando activamente en los foros internacionales y poniendo, para ello, en valor el papel de España en el Consejo de Seguridad de Naciones Unidas».

Para acabar de dibujar a vds. el panorama nacional, sería interesante saber que hacen o dicen nuestros garantes de derechos.

  • En el caso de la Agencia Española de Protección de Datos, les recomiendo que lean el conjunto de informes en los sistemáticamente se admiten cesiones de datos personales a las Fuerzas y Cuerpos de Seguridad cuando existe una base jurídica adecuada. Significativo es el informe, a fecha de hoy publicado y debo entender que vigente, en el que se admiten las cesiones de datos cuando se actúa en función de policía judicial poco menos que con la presunción de que eso en sí mismo es una garantía. Y que si bien técnicamente es impecable fue malinterpretado sistemáticamente y se usaba para requerir datos de tráfico en las comunicaciones a pesar de que el dictamen 1/1999 de la Fiscalía General del Estado consideraba que eran datos protegidos por el secreto de las comunicaciones.

Sobre la deriva en materia de videovigilancia privada, ni les cuento. Con la Instrucción 1/2006 sólo empresas de seguridad privada podían manejar estos sistemas. Tras la Ley ómnibus el regulador consideró que básicamente cualquiera podía instalar o manejar una videocámara.

  • El Defensor del Pueblo, rechazó recurrir la regulación de la excepción policial en la LOPD.

  • El Tribunal Constitucional ha admitido un registro de ordenador sin auto judicial por razones de urgencia, (STC 173/2011), ha establecido una sutil distinción entre el acceso por razones de urgencia a la agenda de un teléfono móvil y a otros ámbitos del mismo (STC 142/2012), en reiteradas ocasiones relaja un tanto sus exigencias en casos de comptage por ejemplo admitiendo integrar la motivación de un auto con el contenido de una diligencia policial, o finalmente, aunque ya sé que no viene al caso admitiendo el levantamiento absoluto del velo de privacidad en el correo electrónico corporativo por un convenio colectivo (STC 170/2013).

Así que la cuestión, no es si existe o no una especial habilitación y refuerzo de las capacidades para la investigación policial, ésta obviamente existe y está plenamente consolidada. Este ponente, ni la cuestiona, ni la valora es sencillamente un hecho.

Llegados a este punto, debemos regresar a las tres o cuatro medidas planteadas a futuro. Se las recuerdo:

  • Fortalecer los mecanismos de cooperación en el contexto de Schengen.

  • Diseñar un Passenger Names Record europeo, y en algunos caso se acaba de licitar el nacional según autorizadísimos tuiteros.

  • Solicitar una mayor cooperación desde los proveedores de ciertos servicios en entornos de redes sociales.

Estas medidas se resumen en una sola palabra: TRAZABILIDAD. Los ministros, las Fuerzas y Cuerpos de Seguridad nos están diciendo:

  • Si en mi territorio entra una matrícula vinculada a un señalamiento en Schengen.

  • Si un colectivo en una mezquita se radicaliza y comienza a sonar a Yihad en Facebook.

  • Si en mi aeropuerto o desde él se mueve un sospechoso.

Yo quiero saberlo.

Llegados a este punto la posición sencilla sería cerrarse en banda afirmando que cualquier medida como las que se apuntan cercenará nuestras libertades. Por otra parte, la lectura del libro de Glen Greenwald debo confesarles que ayuda y mucho.

Sin embargo, es conveniente explorar otros territorios. En mi opinión, va a ser muy complicado prohibir el acceso a las Fuerzas y Cuerpos de Seguridad a las ventajas que proporcionan tecnologías de la información. La policía vive en su tiempo como Vd. y como yo y recurre a la tecnología disponible. Así que permitan que aquí y ahora explore “el cómo”. En mi opinión, este es el problema, subidos en la ola del miedo que provoca el terrorismo se adoptan y proponen decisiones que probablemente necesitan de una meditación profunda y de la aplicación de los criterios técnico-jurídicos disponibles. Y esto no siempre sucede.

En este sentido, en mi opinión resulta indispensable manejar tres conceptos:

  • Lo que sabemos y hemos aprendido de casos anteriores.

  • La Privacy by Design y las Privacy Impact Assessments.

  • Y lo que, emulando a Lawrence Lessig definiré como la Ley del Código informático.

  • Lo que sabemos y hemos aprendido de casos anteriores.

En primer lugar, quisiera referirme a la jurisprudencia de los dos tribunales europeos, el de Derechos Humanos, y el de Justicia, no sin antes recordar que el Tribunal Constitucional alemán, en su conocida sentencia de la ley del censo subraya cómo si un ciudadano se siente permanentemente observado por el estado no podrá autodeterminarse libremente en ámbitos como la libertad ideológica o el derecho de reunión y manifestación.

En primer lugar, permitan que les cite el asunto Marper contra Reino Unido, en el que con motivo de la conservación sine die de muestras genéticas y huelas dactilares se pretendía la permanente indexación de presuntos delincuentes. Este caso, es relevante en la medida en incorpora y consolida los principios fijados previamente en Gaskin y Rotaru, sentencias en las que la cuestión policial resulta determinante. Aquí el Tribunal, siguiendo su metodología una vez verificada la invasividad de la medida para el derecho a la vida privada, y constatada la presencia de una finalidad lícita a la vista del Convenio, y también del Convenio 108 y la previsión y precisión normativa, aborda la cuestión de la proporcionalidad.

Lo primero que debemos recordar es que estas medidas deben ser necesarias en una sociedad democrática, en términos de necesidad social imperiosa. Y esa es la primera pregunta a la que deben responder nuestros gobiernos ¿existe una necesidad social imperiosa de rastrear los viajes de las personas y hacer seguimientos en internet?

Esa media además debe ser proporcional. La Corte plantea aquí una reflexión que debo citar literalmente:

«105. Según el punto de vista de la Corte, está fuera de toda duda que la lucha contra la criminalidad, y de modo particular la lucha contra el crimen organizado y el terrorismo, es uno de los retos a los que deben hacer frente hoy en día las sociedades del continente europeo, y depende en gran medida del uso de las más moderna técnicas científicas de investigación e identificación».

Me pregunto si ocurre lo mismo con el uso de las tecnologías de la información.

El Tribunal, no obstante aplica el juicio de proporcionalidad para el que en este caso, y en el nuestro la finalidad es determinante, y que además se vincula aquí al periodo de conservación. Por otra parte, el Tribunal también evalúa la intensidad de la injerencia en función de la naturaleza del dato personal, no es lo mismo conservar el ADN, que el resultado, que una huella digital. No obstante la mera conservación afecta a los derechos, al producir un efecto disuasorio sobre las conductas, se usen o no tales datos.

Finalmente la Corte no admite, la conservación de los datos con carácter general e indiferenciado.

El segundo bloque jurisprudencial lo proporciona el reciente caso Digital Rights Ireland del Tribunal de Justicia de la Unión. Esta sentencia declara que la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones, es contraria a los artículos 7 y 8 de la Carta Europea de los Derechos Fundamentales. El Tribunal sigue una metodología idéntica a la del TEDH y constata que la conservación de datos de tráfico. En tal sentido, la lucha contra la delincuencia es de interés general y coherente con los objetivos de los Tratados. No obstante y resumiendo sus conclusiones el Tribunal señala que:

  1. a) Puede tener un cierto impacto en la libertad de expresión.

  2. b) Afecta a la vida privada, y al derecho fundamental a la protección de datos. Tanto por el tratamiento como por la conservación de los datos.

  3. c) Genera en el ciudadano la sensación de una vigilancia constante por parte del estado.

  4. d) Los periodos de conservación de los datos, por más que se pueda entender la necesidad de la misma por periodos más o menos largos, no se precisan de modo alguno, como por ejemplo atendiendo a la gravedad de los delitos. Por otra parte es esencial acreditar el interés general en esa conservación.

  5. e) El tratamiento de los datos es automático, y afecta a toda la población, sin necesidad de haber cometido delitos e incluso en casos en los el secreto profesional es muy relevante como por ejemplo en las relaciones cliente-abogado.

  6. f) No fija criterios de acceso.

  7. g) No define reglas de seguridad.

  8. h) no limita el almacenamiento en terceros países.

  • La Privacy by Design y las Privacy Impact Assessments.

La jurisprudencia, nos conduce inevitablemente en esa búsqueda de respuestas sobre el “cómo” a desarrollar una Privacy Impact Assessment en el diseño de futuras medidas normativas. No entraré en el rango y carácter de las mismas, es obvio.

Sin embargo, no basta con regular “un PNR” con 42 datos a recoger, no basta con decir “quiero saber todo lo que pasa en las redes sociales”, no basta con proponer prohibir WhatsApp. Hay que responder a preguntas muy concretas:

  • Qué datos quiero tratar.

  • Para qué finalidad.

  • Debo acreditar que esos datos son útiles.

  • Debo precisar un periodo de conservación razonable.

  • Debo asegurar trazabilidad, nadie debe poder acceder a esos datos sin legitimación y sus acciones deben quedar absolutamente registradas.

Pero además debo responder a cómo impactan en los ciudadanos:

  • ¿Afectan a su libertad?

  • El balance seguridad-libertad es el adecuado, supone una renuncia adecuada y justa.

  • ¿Se impacta en la esfera de los datos especialmente protegidos?

Y ese diagnóstico, no puede ser puramente político sino el resultado de la convergencia de un análisis técnico riguroso en el que participen las Fuerzas y Cuerpos de Seguridad y los expertos en privacidad, en un debate abierto, sincero y carente de prejuicios.

  • La Ley del Código informático.

El tercer nivel, responde al desarrollo de las aplicaciones. ¿Cómo puedo conseguir que el Código informático contribuya a los objetivos de seguridad y a salvaguardar las libertades? Hasta hoy, ha existido un rechazo frontal de las autoridades de protección de datos personales a considerar que el diseño de algoritmos de búsqueda que funcionan automatizadamente eximiera de responsabilidad en los tratamientos.

Puede compartirse el planteamiento. Sin embargo, creo que el momento exige tener una visión mucho más amplia y plantearse cómo esos algoritmos pueden ayudarnos, por raro que les parezca a preservar al menos parcialmente las libertades. Sé que lo que les propongo no evita en absoluto la indexación de la población, pero permitan que de rienda suelta a mi imaginación.

A nadie de los aquí presentes entiendo les debe parecer ilícito que un algoritmo dotado de patrones de análisis semántico y de criterios de corte comportamental sea capaz de definir patrones y fijar perfiles. Y si les parece muy muy mal, deberían abandonar ya todas sus redes sociales, contratar un correo de pago, y no usar buscador alguno, ni siquiera geográfico. Por qué esto es lo que Vds. han aceptado, y mientras las compañías limiten sus tratamientos a los cauces definidos por el Grupo de Trabajo del artículo 29 en su dictamen sobre publicidad comportamental es lícito.

Y la pregunta que dejo sobre la mesa, es justo esta ¿deberíamos trabajar en medios automatizados que identifiquen patrones claros de conductas policialmente relevantes? ¿Podría esto servirnos para que la conservación de datos personales se limitase al máximo en el tiempo y se limitase en el volumen de personas? ¿Nos puede ayudar el código?

Pero el escenario que les quiero dibujar no acaba aquí. En caso de que asumamos un mundo así, que ojala no fuera necesario, nada de lo aquí planteado sería viable sin la existencia de frenos y contrapesos al ejercicio del poder. Permítanme enunciarles algunos de ellos:

  • Tecnológicamente hablando el acceso a datos personales no debería ser general sino basarse en alarmas y patrones preestablecidos ordenados a minimizar el impacto. Por ejemplo, imagine que indexamos matrículas de vehículos, el sistema sólo deberían lanzar alertas sobre matrículas previamente indexadas en bases de datos de señalamientos como Schengen.

  • El sistema debería ser muy riguroso en cuanto a trazabilidad, por tanto los agentes deberían saber que cualquier acceso, cualquier acción, quedará registrada y podría generar responsabilidad disciplinaria o penal según los casos.

  • Cuando se genere una alerta, la notificación al juez debería ser inmediata y cualquier actuación posterior autorizada y sometida a control judicial, sobre lavase de la presencia de indicios racionales de delito.

  • La actuación de las Fuerzas y Cuerpos de Seguridad en esta materia debería ser auditable y controlable. En tal sentido, del mismo modo que existe una auditoría anual de Schengen, debería existir otra sobre este tipo de sistemas e incluso comunicarse a la Comisión de interior del Congreso. Por último, el ejercicio de derechos, como ocurre en otros sistemas, podría incluir la verificación material por funcionarios de la autoridad de protección de datos.

No obstante, y acabo volviendo al punto de partida he compartido con Vds. estas reflexiones desde la profunda duda en no saber si hoy en día afrontamos una cuestión de prevalencia sobre seguridad y libertad, pero desde el convencimiento que si la apuesta de nuestra sociedad es la seguridad, o si simplemente la tecnología nos lleva por este camino, nuestro ineludible deber es poner todo nuestro conocimiento al servicio de las garantías de los derechos de los ciudadanos.

Muchas gracias.