El RGPD supone un cambio significativo en la forma de abordar las actividades necesarias para lograr el cumplimiento normativo en materia de protección de datos. Dicho cambio se puede resumir básicamente en los siguientes puntos de actuación:

• Transitar de un modelo de cumplimiento de requisitos, recogidos en las actuales LOPD y RLOPD, a un modelo de responsabilidad proactiva, según el cual el responsable del tratamiento deberá ser responsable de tratar los datos personales con arreglo a los principios exigidos en el Reglamento y además será capaz de demostrarlo. Este nuevo modelo supone la necesidad de plantearse desde una perspectiva ex-ante la manera de tratar los datos de forma que se minimicen las posibles vulnerabilidades de los datos personales tratados (quiebras de seguridad).
• Modular las medidas de seguridad que se deben adoptar en función del análisis de riesgo de los tratamientos de datos realizados, según el tipo de tratamiento, la naturaleza de los datos, su volumen y el número de personas afectadas.
• Incrementar la transparencia de forma que se comunique a los interesados la información que les afecte de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, además de hacerlo de forma expresa, precisa e inequívoca como requería la LOPD.
• Analizar con carácter previo al desarrollo de cualquier proyecto que implique un tratamiento de datos personales, las medidas organizativas y técnicas adecuadas para integrar en dicho tratamiento las garantías que permitan aplicar de forma efectiva los principios del RGPD (Privacidad desde el diseño) y adoptar las medidas que garanticen que solo se tratan los datos necesarios (Privacidad por defecto).
• Nombrar un Delegado de Protección de Datos (DPD), cuyas funciones principales sean asesorar a la entidad en todo lo relativo al cumplimiento normativo en materia de protección de datos, actuar como punto de contacto con las autoridades de control y con los interesados en todo lo que tenga relación con el tratamiento de sus datos personales. Su existencia será obligatoria tanto cuando el responsable del tratamiento de datos sea un organismo público, como cuando entre las actividades principales del responsable figuren, bien operaciones de tratamiento de datos que requieran una observación habitual y sistemática de interesados a gran escala[1] o bien el tratamiento a gran escala de datos sensibles[2].
• Llevar a cabo un procedimiento especial de evaluación, denominado Evaluación de Impacto (EIPD), con carácter previo a la puesta en marcha del tratamiento de datos personales, cuando dicho tratamiento pueda entrañar un alto riesgo para los derechos y libertades de los interesados.
• Notificar las violaciones de seguridad de los datos que se produzcan a la autoridad competente, en España la Agencia Española de Protección de Datos (AEPD), a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.

Para llevar a cabo las actividades de adecuación al nuevo Reglamento que en cada caso concreto se requieran, tanto las asociadas a cada uno de los puntos de actuación antes mencionados como las que resulten necesarias para adaptarse a todas sus precisiones normativas, es aconsejable realizar siempre un análisis preliminar basado en la situación particular de la entidad en materia de tratamiento de datos personales. En función de esa situación, será suficiente una sencilla autoevaluación llevada a cabo por el propio personal de la entidad, analizando por ejemplo la valoración simplificada elaborada por la AEPD[3], si se trata de una empresa que solo realiza tratamientos básicos, sin incorporar datos sensibles, sobre los datos de sus empleados, clientes y proveedores, o, por el contrario, se requerirá un análisis más detallado para el que resultaría aconsejable contar con el asesoramiento profesional de especialistas en protección de datos.

[1] La valoración del concepto “a gran escala”, que es un concepto jurídico indeterminado y, por ello, de valoración jurisprudencial, debe realizarse teniendo en cuenta el número de interesados afectados, el volumen y la variedad de los datos tratados, la duración y permanencia del tratamiento, así como su extensión geográfica. A modo de ejemplo y a falta de determinar el umbral entre lo que se considera o no “gran escala”, sí se considera así el tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital y no se considera así el tratamiento de datos de pacientes a cargo de un médico.

[2] Son datos sensibles los relativos a salud, vida sexual, origen racial, ideología política, creencias religiosas o filosóficas, afiliación sindical, datos genéticos y biométricos e infracciones penales

[3] Guía del Reglamento General de Protección de Datos para Responsables del Tratamiento, Capítulo 10: Lista de verificación simplificada

Sin embargo, una vez que el usuario ha aceptado ceder sus datos personales a un proveedor de servicios, debería dar un paso más allá para mejorar el control efectivo de su privacidad. Está muy bien que el usuario sepa qué datos personales son susceptibles de cesión y qué valor económico tienen, pero es necesario que pueda controlar el uso real que se está haciendo de ellos. Dicho de otra manera, es necesario que pueda tener la garantía de que las aplicaciones que utiliza no están usando sus datos personales para finalidades no conocidas o facilitándolos a terceros de forma subrepticia o fuera de su control.

Al igual que el fabricante de un coche puede, por ejemplo, trucar el software embebido en el motor de éste para que en determinadas condiciones tenga más potencia a costa de contaminar por encima de los límites permitidos, todo ello con el desconocimiento absoluto por parte del conductor, el fabricante de una cámara de videovigilancia doméstica puede introducir en su firmware el establecimiento de un canal de comunicación con un servidor pirata que capture imágenes privadas del usuario sin su conocimiento. Aunque el usuario crea que tiene bajo su control el coche o la cámara, puede que realmente no sea así. De hecho, siempre se debe partir de que existe el riesgo de que una aplicación que pueda manejar datos personales lleve a cabo actuaciones ocultas con esos datos al margen de las finalidades formalmente comunicadas a los interesados.

Por eso, en relación a una aplicación cliente (que se ejecuta en el terminal del usuario), una manera efectiva de garantizar que su funcionamiento real coincide con lo que su proveedor dice que hace, es que el software que la implemente sea abierto. Es decir, es necesario que el código fuente de la aplicación sea accesible y, por tanto, que su funcionalidad completa sea comprobable por la comunidad de desarrolladores de software, así como que la compilación de ese código fuente tenga como resultado un código objeto cuya función hash coincida con la del fichero descargable correspondiente a dicha aplicación. Un servicio que funcione completamente en redes P2P (peer to peer o extremo a extremo), es decir, sólo mediante aplicaciones cliente, y siempre que el software que las implemente sea abierto, permite conocer su funcionamiento real y garantizar así su transparencia y el control de los usuarios sobre su privacidad.

Sin embargo, por regla general resulta problemático desarrollar aplicaciones que funcionen completamente en redes P2P, ya que es frecuente la necesidad de disponer de repositorios comunes o de bases de datos cuya implementación de forma distribuida resulta compleja, siendo más fácil de realizar en servidores controlados por el proveedor del servicio. En estos casos, es necesario que el software que corre en los servidores del proveedor, si no es abierto, sea al menos auditable, aunque ello no garantizaría que el proveedor no pueda conmutar ese software por otro oculto una vez finalizada la auditoría. Una manera de paliar esta debilidad consistiría en reducir al mínimo la funcionalidad requerida del software ejecutado en servidores en lo que respecta al tratamiento de datos personales y/o definirla mediante protocolos estándar, de forma que pudiera ser implementada por diversos proveedores, como ocurre con los servicios de correo electrónico o de acceso web.

Los servicios basados en aplicaciones de código abierto tienen a su favor la transparencia en su funcionamiento frente a las aplicaciones de código cerrado, de forma que esa característica les permite competir de forma ventajosa aun a costa de tener que evolucionar su modelo de negocio, evitándose de esta manera el riesgo de tratamiento indiscriminado de datos personales fuera del control por parte de sus titulares.

Recientemente han surgido iniciativas, como la plataforma Aura, que han venido también a poner el foco en el valor de los datos personales pero desde el punto de vista de los usuarios de estos servicios, prometiéndoles la posibilidad de gestionar sus datos según sus intereses, lo que les permitiría a su vez ser más conscientes de su valor. En esencia, esta iniciativa no hace más que seguir el nuevo tratamiento facilitador de la portabilidad de los datos recogido en el considerando 68 y en el artículo 20 del RGPD.

Hasta ahora, viene siendo un lugar común considerar gratuitos muchos servicios en Internet en los que el proveedor del servicio en cuestión solicita al usuario la cesión de sus datos, sin que éste sea plenamente consciente de que dicha cesión supone, en realidad, un pago en especie por el servicio recibido. Pago que no sólo se hace de forma prácticamente inconsciente por parte del usuario, sino que en ocasiones es sin duda superior al valor del servicio recibido por el usuario, a juzgar por los sustanciosos beneficios que dichos datos reportan al proveedor. Es evidente además que al tratarse de un mercado en el que el precio de estos servicios es cero, las leyes de la libre competencia no funcionan y de ahí que se den frecuentemente situaciones de monopolio de facto.

Independientemente de que esta especie de trueque de datos personales por servicios escape al tratamiento fiscal de lo que en puridad se trataría de una doble transacción comercial, algo que sería tema para una discusión independiente, llama la atención cómo ha podido pasar aparentemente desapercibida para muchos operadores la base real de un negocio tan lucrativo.

Así, las operadoras de telecomunicaciones en su rol de proveedores de acceso a Internet, han estado preocupadas de forma obsesiva durante todos estos años en denunciar el uso, que ellas consideran abuso, que de sus redes han hecho los proveedores de servicios en Internet, los denominados OTTs, para proporcionar sus servicios a los usuarios finales. Su empeño en conseguir una participación en la tarta de ingresos de los OTTs, mediante un pago directo en compensación por el uso de sus redes, ha tenido claramente un éxito nulo.

De la reciente iniciativa Aura parecería deducirse que por fin una operadora ha vislumbrado una manera efectiva de capturar valor a partir de esa fuente real del negocio de los servicios en Internet que son los datos personales, provocando un cambio en la estrategia de esta operadora. Puede que esta nueva estrategia suponga asumir que “si no puedes con tu enemigo, únete a él”, aunque también podría suceder que fuera algo más sibilina y de ahí la respuesta algo intempestiva que la iniciativa ha tenido. El tiempo, no más de un año según afirman, nos sacará de dudas.

Lo que sí que parece probable es que esta iniciativa permita abrir definitivamente el melón de la monetización por los usuarios de sus datos personales, algo que sin duda supondría un hecho de enorme trascendencia en el ecosistema de los servicios en Internet y que podría dar lugar a la aparición de una verdadera competencia entre servicios digitales, si bien la situación monopolística de partida de muchos de ellos sin duda lo dificultaría.

El usuario podría así visualizar claramente el valor económico de sus datos personales que residen en la plataforma y utilizar ese valor para lo que él quisiera, entre otras posibilidades para comprar un servicio en Internet sin que su precio tuviera que ser necesariamente el mismo que el precio de los datos que el usuario proporciona al prestador, como ocurre de facto ahora con los servicios “gratuitos”. Esta percepción incipiente del usuario acerca del valor de sus datos personales sería trasladable a los datos que otros proveedores de servicios quisieran obtener del usuario o de sus equipos, lo que propiciaría un punto de partida para la aparición de un auténtico mercado de servicios en Internet, hoy en día inexistente. En mi opinión, este cambio, lejos de suponer un impedimento, facilitaría en buena medida el desarrollo de servicios en Internet que no han tenido éxito en muchos casos por no encontrar un modelo de negocio viable debido al paradigma, extendido de forma casi universal en Internet, del servicio “gratuito”, todo ello sin afectar a la continuidad de los servicios que son realmente gratuitos, que no obtienen datos de los usuarios y que se financian generalmente mediante publicidad.

Se trata en definitiva de aplicar el concepto de justicia de dar a cada uno lo suyo, evitando que este petróleo del siglo XXI sea explotado en exclusiva por las compañías “extractoras” y no por los sujetos productores.

Habitualmente, la facilidad de uso de una aplicación se opone a su seguridad y, en concreto, a la relativa a la privacidad del usuario. Un ejemplo de ello se puede encontrar en la aplicación WhatsApp: ¿Puede WhatsApp basar de forma segura la identificación de usuario exclusivamente en su número telefónico, como ha hecho de forma ineludible hasta fecha muy reciente? Sin duda, la respuesta es no, ya que el usuario al que un operador de red asigna un determinado número de teléfono puede dejar de tenerlo asignado y, de hecho, lo deja de tener frecuentemente. Por ejemplo, cuando el usuario se da de baja en el operador sin ejercer su derecho a la portabilidad o cuando una tarjeta SIM de prepago se deja de recargar durante un periodo superior al admitido por el operador.

Al quedar libre por cualquier razón el número asignado al usuario, el operador de red lo asignará de nuevo en un periodo de tiempo probablemente no muy grande, dada la escasez de numeración disponible.

Una de las consecuencias negativas que se derivan de ello, dada la implementación de la aplicación WhatsApp, es que, si el usuario anterior no ha tenido la precaución de darse de baja en dicha aplicación, cuando el nuevo usuario se dé de alta en ella sin activar la verificación opcional de la identidad mediante código de 6 dígitos recientemente introducida (verificación en dos pasos), WhatsApp no tendrá manera de saber que se trata de un nuevo usuario y le descargará datos personales del anterior, tales como su foto, sus chats o los contactos participantes en estos chats, con los que el nuevo usuario podría, si quisiese, seguir manteniendo conversaciones sin que aquellos advirtieran que el usuario real ha cambiado[1]. Esto, además de ser una cesión no consentida de datos por parte de WhatsApp, de cuya posibilidad desde luego no advierte en su Política de Privacidad, lo que sería sancionable ya con la legislación actual, supone un ejemplo evidente de negación de los principios de protección de datos desde el diseño y por defecto del RGPD, ya que no es admisible semejante agujero de privacidad sin haberlo advertido en un mínimo análisis durante la fase de diseño de la aplicación.

Es evidente que un número telefónico no puede ser un identificador único de usuario, máxime teniendo en cuenta que la aplicación es de uso global y que la asignación de números telefónicos está sometida a las diferentes condiciones existentes en la normativa de cada país. Si se prioriza la protección de datos desde que se comienza el diseño de una aplicación, como es preceptivo según el nuevo RGPD, es necesario establecer un método suficientemente robusto para evitar la suplantación de identidad, incluso inadvertida para el propio “suplantador”. Por ello, la verificación en dos pasos de la identidad debería ser preceptiva, en lugar de ser opcional como lo es actualmente.

Otra consecuencia negativa para el funcionamiento de WhatsApp, también derivada de identificar al usuario únicamente por su número telefónico, consiste en la posibilidad de mantener inadvertidamente conversaciones con alguien desconocido a quien hayan asignado el número telefónico de un contacto nuestro que ha abandonado dicho número sin darse de baja en WhatsApp. Sería de nuevo aplicable la anterior nota a pie de página si se ha habilitado la detección.

Durante el año pasado hemos asistido a una intensa campaña por parte de WhatsApp para ser percibido como un adalid de la privacidad en base a la inclusión del protocolo Signal para el cifrado de mensajes extremo a extremo, manifestando que nadie al margen de los interlocutores de un mensaje, ni siquiera el propio WhatsApp, puede acceder a su contenido. Esto, visto lo anterior, además de tratarse de una pura cuestión de fe mientras su software cliente no sea abierto, ya que ese software presenta el contenido del mensaje en la pantalla del terminal y por tanto existe la posibilidad de que lo cifre también con otra clave, lo transmita donde quiera, o haga lo que le venga en gana sin advertir de todo ello al usuario, es como tener una caja fuerte con otra puerta a la calle sin cerradura.

[1] Tan sólo podrían percibir que el usuario ha cambiado de terminal, siempre que haya habilitado en la configuración de su app esa opción que no lo está por defecto.

Tal parece deducirse de la reciente Resolución R/01753/2016 de la Agencia Española de Protección de Datos en la que sanciona a Telefónica Móviles España por infracción del artículo 22.2 de la Ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI), cuyo tenor literal es:

“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.”

El artículo anterior es conocido informalmente como “Ley de Cookies”, debido a que resulta de la transposición de la Directiva 2002/58/CE que introducía el término cookie en su considerando 25, aunque luego la LSSI lo denominara dispositivo de almacenamiento y recuperación de datos, lo que, a su vez, ha dado lugar a las siglas DARD para su denominación.

Ahora bien, ¿cuál es la definición de dispositivo de almacenamiento y recuperación de datos? A diferencia de otros términos y expresiones que sí se definen en el Anexo de la propia LSSI, tal expresión no se recoge en dicho Anexo, por lo que resulta necesario recurrir a la técnica de la interpretación jurídica para averiguar su significado. Es decir, es necesario llevar a cabo, tal como establece el artículo 3 del Código Civil, el análisis interpretativo de la norma desde un punto de vista literal, sistemático, histórico, sociológico, lógico y teleológico.

Es evidente, por otra parte, que, para considerar infringido el artículo 22.2 de la LSSI en la Resolución mencionada, la AEPD ha tenido que entender que TME ha utilizado un DARD existente en el terminal del usuario y que sobre su utilización no le ha facilitado a éste último información clara y completa, o bien, no ha recibido su consentimiento. Pero, ¿qué es lo que la AEPD ha considerado en este caso como DARD?

• Para tratar de contestar a esta pregunta, analicemos en primer lugar el contenido de la citada Resolución. Dentro del antecedente primero, se detalla que la denuncia recibida hace mención a que “Telefónica de España-Movistar utiliza “supercookies”” y en el antecedente segundo, se mencionan entre otros aspectos, que “Telefónica reconoce que ha estado empleando la técnica de “supercookie” denominada “enriquecimiento de cabeceras”” y que “el inspector actuante … accede desde dos teléfonos móviles con contratos con Movistar … con la finalidad de verificar si el operador utiliza “supercookies””.

A pesar de la alegación de TME acerca de que:

“Es fundamental distinguir la técnica del “enriquecimiento de cabeceras” cuya utilización ha sido reconocida por TME y la utilización de “supercookies”. Para que esta técnica se considera como supercookie es necesario que los datos tratados a través de la misma sean almacenados mediante un DARD”

, la Resolución de la AEPD en su exposición de Hechos Probados y de Fundamentos de Derecho no responde explícitamente a dicha alegación ni vuelve a mencionar el término supercookie, haciendo ya uso exclusivamente de la expresión enriquecimiento de cabeceras para referirse a la técnica utilizada para cometer la infracción.

• A partir del análisis anterior, caben dos posibilidades para explicar, siguiendo un razonamiento lógico, qué ha considerado la AEPD concretamente DARD:

1. Una primera explicación es que la AEPD, habiendo hecho caso omiso de la alegación antes mencionada realizada en sentido contrario por Telefónica, haya interpretado que el enriquecimiento de cabeceras equivale a un DARD, considerando que es una supercookie y, por ello, un tipo de cookie más que se almacena en el terminal del usuario, tal como se deduce del tenor literal del antecedente segundo: técnica de “supercookie” denominada “enriquecimiento de cabeceras”.

Tal interpretación sería evidentemente errónea, ya que el enriquecimiento de cabeceras se llevó a cabo por TME dentro de sus nodos de red, añadiendo la metainformación identificativa del usuario a las cabeceras de sus paquetes HTTP, al tenerle perfectamente identificado desde su conexión a la red, sin que dicha metainformación fuera almacenada previamente en el terminal del usuario, tal como exige el artículo 22.2 LSSI. Ello imposibilita, por tanto, que esta metainformación sea considerada un DARD.

No cabe tampoco salvar este obstáculo mediante la aplicación analógica, considerando similar el efecto producido por el enriquecimiento de cabeceras  con el efecto producido por una cookie y teniendo en cuenta además que el enriquecimiento de cabeceras se ha denominado frecuentemente supercookies o permacookies, favoreciendo la posible interpretación de equivalencia entre enriquecimiento de cabeceras y cookies,  ya que la analogía in malam partem está prohibida en un procedimiento sancionador. Es necesario, por tanto, que la conducta infractora cumpla escrupulosamente el tipo descrito en la Ley, lo que, según esta primera explicación, no ha ocurrido.

2. Pero una segunda explicación, si bien es preciso reconocer de entrada que en absoluto resulta evidente de la redacción de la Resolución, sería que la AEPD haya entendido que el DARD no estaba constituido por la metainformación añadida en el enriquecimiento de cabeceras, sino por la información que permite la identificación del usuario por el operador de red, almacenada en el terminal del usuario, concretamente dentro de la SIM física o virtual. Entre los diversos datos que se almacenan en una SIM, el IMSI (International Mobile Subscriber Identity), es el identificador que almacena la identidad del usuario en la red, compuesta de código de país, identificador del operador y número telefónico del usuario. Al tratarse, por tanto, de una información almacenada en el terminal del usuario, sí cumpliría esta condición impuesta por el artículo 22.2 LSSI para ser un DARD.

Ahora bien, con arreglo a la interpretación jurídica mencionada más arriba, ¿se puede considerar que el identificador de usuario guardado en una SIM es realmente un DARD?

• Desde una interpretación literal, un DARD es un dispositivo, es decir, un mecanismo o artificio capaz de producir una acción prevista, acción que no es otra que la de almacenar y recuperar posteriormente unos datos determinados. El identificador IMSI guardado en la tarjeta SIM es un campo que almacena dicho dato, que posteriormente se lee por el operador de la red móvil cada vez que el usuario conecta su terminal a ésta. Por tanto, atendiendo a una interpretación estrictamente literal, sí que dicho identificador puede ser considerado un DARD.
• Pero si acudimos a una interpretación sistemática y lógica, es decir, atendiendo al contexto en el que aparece en la LSSI la expresión dispositivos de almacenamiento y recuperación de datos (DARD) y atendiendo también al espíritu de la norma, hay una primera cuestión a tener en cuenta: tal dispositivo solo va a poder utilizarse después de que se haya facilitado información clara y completa sobre su utilización y, en particular, sobre los fines del tratamiento de los datos de carácter personal.

Es decir, el legislador está refiriéndose a dispositivos sobre los que el proveedor de servicios tenga perfectamente claro para qué se van a utilizar antes de almacenar los datos en dichos dispositivos, de forma que pueda facilitar una información completa al usuario sobre su uso.

En el caso que estamos analizando, hay que tener en cuenta que el identificador IMSI se almacena en el terminal de usuario tras contratar éste su línea móvil con el operador de red, momento en el que éste le hace entrega de la tarjeta SIM, o, en el caso de una SIM virtual, se la activa remotamente, y permanece constante en tanto el usuario mantenga su número de teléfono móvil y su operador de red, incluso aunque cambie de tarjeta SIM.

Por ello, resulta evidente que la información de identificación de usuario guardada en la SIM va a ser utilizada por el operador de red para una diversidad de servicios o funcionalidades que están indefinidas a priori en el momento de hacer entrega de la SIM al usuario. Es evidente del mismo modo, que resulta imposible informar al usuario acerca de servicios o funcionalidades futuras que ni siquiera están previstos o especificados por el operador de red.

Por tanto, desde un punto de vista sistemático y lógico, el identificador de usuario guardado en la SIM no puede ser considerado como un DARD, ya que considerarlo así nos llevaría al absurdo de requerir que el operador de red aportara una información al usuario de imposible cumplimiento.

• Del mismo modo, atendiendo a una interpretación histórica, la introducción del DARD se produjo, como ya se ha mencionado anteriormente, en 2002 a consecuencia de la transposición de la Directiva 2002/58/CE. Esta Directiva mostraba su preocupación en el considerando 24 porque los denominados «programas espía» (spyware), web bugs, identificadores ocultos y otros dispositivos similares pueden introducirse en el terminal del usuario sin su conocimiento para acceder a información, archivar información oculta o rastrear las actividades del usuario, lo que puede suponer una grave intrusión en la intimidad de dichos usuarios. Para establecer, a renglón seguido en el considerando 25, que los dispositivos de este tipo, por ejemplo los denominados «chivatos» (cookies), pueden constituir un instrumento legítimo y de gran utilidad, por ejemplo, para analizar la efectividad del diseño y de la publicidad de un sitio web y para verificar la identidad de usuarios partícipes en una transacción en línea. En los casos en que estos dispositivos, por ejemplo los denominados «chivatos» (cookies), tengan un propósito legítimo, como el de facilitar el suministro de servicios de la sociedad de la información, debe autorizarse su uso a condición de que se facilite a los usuarios información clara y precisa al respecto, de conformidad con la Directiva 95/46/CE, para garantizar que los usuarios están al corriente de la información que se introduce en el equipo terminal que están utilizando… se podrá supeditar el acceso a determinados contenidos de un sitio web a la aceptación fundada de un «chivato» (cookie) o dispositivo similar, en caso de que éste tenga un propósito legítimo.

Parece evidente de los párrafos anteriores que el legislador europeo se estaba refiriendo a la protección del usuario de redes de comunicaciones electrónicas frente a los dispositivos susceptibles de introducirse en su terminal sin su previo conocimiento y favorecer, en concreto, el uso de cookies que facilitaran el acceso a sitios web, pero no a los datos relativos a los abonados que son tratados en las redes de comunicaciones electrónicas para el establecimiento de conexiones y la transmisión de información, como obviamente es el caso del identificador IMSI, a los que la Directiva se refiere precisamente a continuación en el considerando 26 y, en su parte dispositiva, en los apartados 1 y 2 del artículo 5 (Confidencialidad de las comunicaciones), a diferencia de la información almacenada en el equipo de usuario (cookie) a la que dedica el apartado 3 de dicho artículo.

Por todo ello, la interpretación histórica redunda también, en mi opinión, en negar la condición de DARD al identificador de usuario guardado en la SIM.

• En cuanto a la interpretación sociológica aplicable a este caso, creo que no proporciona ninguna aportación diferencial con relación a la anterior interpretación histórica, ya que la realidad social actual no es, en el asunto que nos ocupa, sustancialmente diferente de la que existía cuando la norma fue promulgada inicialmente en 2002.

En este sentido, la modificación en 2009 de la Directiva 2002/58/CE por la Directiva 2009/136/CE no afectó significativamente a la argumentación llevada a cabo en el punto anterior. En concreto los considerandos 24, 25 y 26 de la anterior Directiva se corresponden respectivamente, de forma bastante aproximada en lo relativo al caso, con los considerandos 65, 66 y 69 de la más reciente, mientras que el artículo 5 tan solo se modifica en el apartado 3 para requerir que el consentimiento del usuario se realice después de recibir la información clara y completa sobre los fines del tratamiento de datos, pero sin alterar los tipos de datos a los que dedica cada apartado.

• Por último, una interpretación teleológica del artículo 22.2 LSSI conduce, en mi opinión, a que la finalidad del legislador fue aplicarlo a los DARD almacenados en el terminal del usuario como consecuencia del uso de un determinado servicio de la sociedad de la información, quedando fuera de su ámbito de aplicación aquellos datos de usuario almacenados en su terminal que son utilizados por el operador de red para permitir su conexión a la red y la posterior transmisión de información y que resultan susceptibles de un tratamiento diferencial por parte de otra norma.

A esta conclusión se llega precisamente partiendo de la existencia de una norma específica que es aplicable exclusivamente a los operadores de red, como es la Ley 9/2014 General de Telecomunicaciones y, en concreto, su artículo 41 dedicado a la protección por parte del operador de red de los datos de carácter personal, que le exige la adopción de medidas técnicas y de gestión y, entre otras, en su apartado 1b, la protección de los datos personales almacenados o transmitidos de la destrucción accidental o ilícita, la pérdida o alteración accidentales o el almacenamiento, tratamiento, acceso o revelación no autorizados o ilícitos.

Por tanto, tampoco desde un punto de vista teleológico debe considerarse un DARD al identificador de usuario guardado en la SIM.

En conclusión, a través del anterior proceso interpretativo del artículo 22.2 LSSI llevado a cabo, se concluye que no se puede considerar que el identificador de usuario guardado en una SIM sea un DARD. En consecuencia, la segunda explicación acerca de lo que la AEPD ha podido considerar como DARD, la información residente en el terminal del usuario que permite su identificación por el operador de red, no es conforme, en mi opinión, con una interpretación correcta del artículo 22.2 de la LSSI.

Consideraciones al margen

Al margen de la argumentación anterior, expongo a continuación unas breves consideraciones de tipo más tecnológico que jurídico sobre este asunto, en un intento de clarificación:

Parece evidente, según las propias alegaciones de Telefónica, que, hasta septiembre de 2015, TME introdujo identificadores únicos en dos campos no estándar de la cabecera HTTP, “x-up-subno” y “TM user-id”, de forma indiscriminada en todos los usuarios de su red, tanto si utilizaban acceso a servicios de pago como si no lo hacían.

También se deduce de las alegaciones de Telefónica que nadie más, aparte de TME, conocía la asignación de dicho identificador único a la identidad real del usuario, pudiendo considerarse por ello un seudónimo de éste para terceros distintos de TME.

El resultado de todo ello es que cualquier servidor web que fuera accedido por cualquiera de estos usuarios estaría en disposición de poder leer dicho identificador único y asociarlo dentro de una técnica específica de rastreo a un perfil de usuario concreto, susceptible de tratamiento diferenciado por el propio servidor web o por otros servidores a los que éste le comunicara dicho perfil.

No obstante, difícilmente podría considerarse que la información del usuario recibida por los servidores web a los que éste accedía, fueran datos de carácter personal, al tratarse de datos anonimizados para todos excepto para TME, siempre en el supuesto de que solo ésta conociera la asignación del identificador único a la identidad del usuario. Ello no impediría el tratamiento diferenciado para cada usuario por parte del servidor web, aunque aquellos fueran anónimos para éste último. En este supuesto, cabría una vulneración del artículo 48.2.b de la Ley General de Telecomunicaciones si el identificador único añadido a las cabeceras HTTP pudiera ser considerado como datos de tráfico.

Asimismo, hay que tener en cuenta que la recepción de ese identificador único sería similar, a efectos de la información recibida por estos servidores web, a recibir peticiones HTTP de usuarios con IP fija y sin NAT ni Proxy intermedios, con la diferencia de que dicha IP sí podría identificar al usuario a través de un servicio de identificación tipo whois. En relación con esto, hay que tener también presente que con IPv6, las IPs son fijas, no siendo ya necesario en principio ningún tipo de NAT o Proxy por causa de la carencia de direcciones.

• En primer lugar, en lo tocante al fondo de la cuestión, en concreto, a cuáles son los requisitos que deben reunir las fuentes de prueba informáticas, las normas mencionadas no mencionan siquiera mínimamente el procedimiento de obtención ni de conservación o custodia para que el medio de prueba informático resulte confiable por parte de los jueces, todo ello teniendo en cuenta la facilidad de manipulación de estos medios de prueba. Así, son frecuentes los casos en que se aportan al proceso correos electrónicos o conversaciones en redes sociales, tan sólo soportados en simples impresiones en papel de su contenido.
  Evidentemente, sería conveniente que la norma definiera los requisitos de este procedimiento de recopilación de evidencias digitales mediante una metodología concreta o un marco de referencia, pero en su defecto, al menos debería establecerse este marco de referencia jurisprudencialmente, mejorándose así la seguridad jurídica alrededor de la prueba electrónica. Hay que decir que, en este sentido, supone un paso adelante significativo la reciente sentencia del Tribunal Supremo 2047/2015 que, ha establecido la necesidad de llevar a cabo un informe pericial informático, que acredite tanto la identidad de los interlocutores como la integridad de la conversación, para que una conversación mantenida a través de una red social sea aceptada como prueba válida en un proceso judicial. De esta manera, la doctrina que emana de esta resolución del TS dota al juez de forma imperativa de un dictamen pericial informático que le va a ayudar a formar su convicción sobre una determinada evidencia digital que sería, a priori, fácilmente manipulable de no ir acompañada por dicho dictamen pericial.
• En segundo lugar, en lo referente al tratamiento procesal de la prueba informática, y sin profundizar en el tema más que lo imprescindible, cabe decir que no existe una homogeneidad legislativa en cuanto a su carácter documental y, por tanto, de su consideración como prueba plena, lo que ha dado lugar a un tratamiento desigual y, por lo general, bastante restrictivo por parte de los tribunales. Todo ello no se corresponde con el impulso que se pretende dar a la Sociedad de la Información en el ámbito de la Justicia. Para enfrentarse a esta realidad, que no es sólo española y que dificulta además la cooperación global a nivel internacional en la persecución del ciberdelito, se ha llegado incluso a proponer, hasta ahora con poco éxito, el establecimiento de normas internacionales tendentes a homogenizar el tratamiento procesal de la prueba informática en los distintos Estados.
• En tercer lugar, y en lo tocante a la forma del tratamiento de estas pruebas informáticas, tampoco existe en nuestra legislación concreción alguna al respecto. Así, la reciente reforma pendiente de aprobación de la Ley de Enjuiciamiento Criminal, utiliza al referirse a la forma en que debe ser tratada la prueba informática o electrónica, expresiones genéricas como “bajo los términos y alcance fijados por el juez” o “con las condiciones necesarias”, conceptos jurídicos indeterminados que dejan a criterio del juez la determinación de la idoneidad técnica de dicho tratamiento.
  Por ello, creo que resultaría aconsejable que el texto legislativo concretara los aspectos formales del tratamiento de los medios de prueba informáticos, haciendo referencia de forma directa o indirecta a estándares o normas técnicas de Autoridades de Normalización existentes sobre la materia, de manera similar al caso de la regulación de la firma electrónica, en la que se hace referencia a normas técnicas criptográficas y a Autoridades de Certificación Electrónica, traduciéndolas en terminología legislativa como “dispositivos y datos de creación y de verificación de firma” y “prestadores de servicios de certificación”, respectivamente.

De esta manera, se mejoraría la situación actual de indefinición en lo relativo a los peritajes informáticos aportados a los procedimientos judiciales, alcanzándose así una madurez en su metodología de elaboración y aportación a los procesos judiciales, que creo que resulta necesaria para alcanzar la deseable seguridad jurídica.

El fallo de la sentencia, sin embargo, rechazó el recurso de amparo promovido en base a la vulneración de la intimidad personal del recurrente, que había resultado condenado por un delito de corrupción de menores a raíz de que los hechos inculpatorios se descubrieran cuando llevó a reparar su ordenador portátil a un establecimiento con el encargo de cambiar la grabadora que no funcionaba. Tras efectuar la reparación y para comprobar el funcionamiento de la nueva grabadora, el dueño del establecimiento utilizó unos archivos de la carpeta Mis documentos del propio ordenador, en los que encontró contenidos pornográficos de menores, que sirvieron de base para su denuncia ante la Policía Nacional.

La sentencia valida en sus Fundamentos Jurídicos, e incluso también en el voto particular discrepante que contiene, la actuación del encargado del establecimiento de reparación que accedió a unos contenidos que constituían indudablemente, por tratarse de imágenes personales de carácter sexual, datos de carácter personal de nivel alto, independientemente de la posterior calificación delictiva de los mismos. Y ello, a pesar de que establece que no existió consentimiento expreso ni tácito del propietario para que se accediera durante la reparación a dichos archivos.

Por el contrario, la sentencia, en su Fundamento Jurídico quinto, parte de considerar que el propietario emitió una declaración de voluntad para que se procediera a la reparación de la grabadora de dispositivos ópticos, indicando al mismo tiempo que para ello no se precisaba de contraseña de acceso. A partir de esa consideración, establece que el encargado no se extralimitó del mandato recibido, ya que los archivos con contenido pedófilo se encontraban en la carpeta Mis documentos y determina su acceso el mínimo necesario para comprobar la reparación.

Independientemente de que el establecimiento de esta doctrina por el Tribunal Constitucional podría abrir la puerta a la realización de inmisiones no autorizadas en los archivos de datos por parte de cualquier técnico que repare un ordenador, sin que por ello vulnere el derecho fundamental de su propietario, en mi opinión es posible considerar como un error de hecho de índole técnico-informática, la determinación que hace la sentencia de que dicho acceso a los archivos de la carpeta Mis documentos constituía un mínimo necesario para verificar el funcionamiento de la grabadora tras su reparación. En efecto, debería resultar evidente, al menos para cualquier usuario informático, que para realizar dicha verificación no era necesario acceder a ningún fichero de datos existente en el disco duro del ordenador, ya que hubiera bastado para ello utilizar archivos propios del establecimiento de reparación, bien conocidos por su encargado y disponibles bien en un soporte óptico (DVD, CD, etc.), legible por la propia grabadora reparada, o bien en cualquier otro soporte externo (pen-drive USB o similar). Esta forma de actuar es, además, técnicamente más correcta, ya que se utiliza para la prueba de verificación una herramienta conocida (el archivo en posesión del agente reparador), que permite efectuar con seguridad una comprobación de integridad comparando los datos iniciales y finales del proceso de grabación y lectura de dicho archivo en un soporte óptico de prueba, evitando así la utilización de cualquier archivo desconocido que pueda estar dañado y contener cualquier defecto que impida su correcta lectura, invalidando con ello la prueba.

En otro orden de cosas, un segundo error técnico en que, en mi opinión, también incurre la sentencia es considerar, en su antecedente segundo, que la contraseña de acceso de la que carecía el ordenador constituía una llave para acceder al disco duro interno de éste. La contraseña en cuestión permite restringir el acceso al sistema operativo, residente normalmente en el disco duro interno del ordenador, pero no a dicho disco duro en sí mismo considerado, que, por otra parte, puede ser accedido por medios distintos de los disponibles en el propio sistema operativo. En este disco duro residen distintos tipos de archivos, archivos propios del sistema operativo, archivos de los programas instalados y archivos de datos que pueden ser susceptibles de contener datos de carácter personal. Interpretar, como hace la sentencia, que permitir el arranque del sistema operativo, al carecer éste de contraseña de acceso, es equivalente a permitir el acceso a los archivos del disco duro, incluidos los archivos de datos de carácter personal que puedan estar ubicados en cualquier carpeta más o menos “profunda” del sistema de archivos, constituye también, en mi opinión, un error de hecho de índole técnico-informática que puede incidir en la calificación jurídica del acceso a los datos, tornando dicho acceso de legítimo en ilegítimo.