Recientemente han surgido iniciativas, como la plataforma Aura, que han venido también a poner el foco en el valor de los datos personales pero desde el punto de vista de los usuarios de estos servicios, prometiéndoles la posibilidad de gestionar sus datos según sus intereses, lo que les permitiría a su vez ser más conscientes de su valor. En esencia, esta iniciativa no hace más que seguir el nuevo tratamiento facilitador de la portabilidad de los datos recogido en el considerando 68 y en el artículo 20 del RGPD.

Hasta ahora, viene siendo un lugar común considerar gratuitos muchos servicios en Internet en los que el proveedor del servicio en cuestión solicita al usuario la cesión de sus datos, sin que éste sea plenamente consciente de que dicha cesión supone, en realidad, un pago en especie por el servicio recibido. Pago que no sólo se hace de forma prácticamente inconsciente por parte del usuario, sino que en ocasiones es sin duda superior al valor del servicio recibido por el usuario, a juzgar por los sustanciosos beneficios que dichos datos reportan al proveedor. Es evidente además que al tratarse de un mercado en el que el precio de estos servicios es cero, las leyes de la libre competencia no funcionan y de ahí que se den frecuentemente situaciones de monopolio de facto.

Independientemente de que esta especie de trueque de datos personales por servicios escape al tratamiento fiscal de lo que en puridad se trataría de una doble transacción comercial, algo que sería tema para una discusión independiente, llama la atención cómo ha podido pasar aparentemente desapercibida para muchos operadores la base real de un negocio tan lucrativo.

Así, las operadoras de telecomunicaciones en su rol de proveedores de acceso a Internet, han estado preocupadas de forma obsesiva durante todos estos años en denunciar el uso, que ellas consideran abuso, que de sus redes han hecho los proveedores de servicios en Internet, los denominados OTTs, para proporcionar sus servicios a los usuarios finales. Su empeño en conseguir una participación en la tarta de ingresos de los OTTs, mediante un pago directo en compensación por el uso de sus redes, ha tenido claramente un éxito nulo.

De la reciente iniciativa Aura parecería deducirse que por fin una operadora ha vislumbrado una manera efectiva de capturar valor a partir de esa fuente real del negocio de los servicios en Internet que son los datos personales, provocando un cambio en la estrategia de esta operadora. Puede que esta nueva estrategia suponga asumir que “si no puedes con tu enemigo, únete a él”, aunque también podría suceder que fuera algo más sibilina y de ahí la respuesta algo intempestiva que la iniciativa ha tenido. El tiempo, no más de un año según afirman, nos sacará de dudas.

Lo que sí que parece probable es que esta iniciativa permita abrir definitivamente el melón de la monetización por los usuarios de sus datos personales, algo que sin duda supondría un hecho de enorme trascendencia en el ecosistema de los servicios en Internet y que podría dar lugar a la aparición de una verdadera competencia entre servicios digitales, si bien la situación monopolística de partida de muchos de ellos sin duda lo dificultaría.

El usuario podría así visualizar claramente el valor económico de sus datos personales que residen en la plataforma y utilizar ese valor para lo que él quisiera, entre otras posibilidades para comprar un servicio en Internet sin que su precio tuviera que ser necesariamente el mismo que el precio de los datos que el usuario proporciona al prestador, como ocurre de facto ahora con los servicios “gratuitos”. Esta percepción incipiente del usuario acerca del valor de sus datos personales sería trasladable a los datos que otros proveedores de servicios quisieran obtener del usuario o de sus equipos, lo que propiciaría un punto de partida para la aparición de un auténtico mercado de servicios en Internet, hoy en día inexistente. En mi opinión, este cambio, lejos de suponer un impedimento, facilitaría en buena medida el desarrollo de servicios en Internet que no han tenido éxito en muchos casos por no encontrar un modelo de negocio viable debido al paradigma, extendido de forma casi universal en Internet, del servicio “gratuito”, todo ello sin afectar a la continuidad de los servicios que son realmente gratuitos, que no obtienen datos de los usuarios y que se financian generalmente mediante publicidad.

Se trata en definitiva de aplicar el concepto de justicia de dar a cada uno lo suyo, evitando que este petróleo del siglo XXI sea explotado en exclusiva por las compañías “extractoras” y no por los sujetos productores.

Tal parece deducirse de la reciente Resolución R/01753/2016 de la Agencia Española de Protección de Datos en la que sanciona a Telefónica Móviles España por infracción del artículo 22.2 de la Ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI), cuyo tenor literal es:

“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.”

El artículo anterior es conocido informalmente como “Ley de Cookies”, debido a que resulta de la transposición de la Directiva 2002/58/CE que introducía el término cookie en su considerando 25, aunque luego la LSSI lo denominara dispositivo de almacenamiento y recuperación de datos, lo que, a su vez, ha dado lugar a las siglas DARD para su denominación.

Ahora bien, ¿cuál es la definición de dispositivo de almacenamiento y recuperación de datos? A diferencia de otros términos y expresiones que sí se definen en el Anexo de la propia LSSI, tal expresión no se recoge en dicho Anexo, por lo que resulta necesario recurrir a la técnica de la interpretación jurídica para averiguar su significado. Es decir, es necesario llevar a cabo, tal como establece el artículo 3 del Código Civil, el análisis interpretativo de la norma desde un punto de vista literal, sistemático, histórico, sociológico, lógico y teleológico.

Es evidente, por otra parte, que, para considerar infringido el artículo 22.2 de la LSSI en la Resolución mencionada, la AEPD ha tenido que entender que TME ha utilizado un DARD existente en el terminal del usuario y que sobre su utilización no le ha facilitado a éste último información clara y completa, o bien, no ha recibido su consentimiento. Pero, ¿qué es lo que la AEPD ha considerado en este caso como DARD?

• Para tratar de contestar a esta pregunta, analicemos en primer lugar el contenido de la citada Resolución. Dentro del antecedente primero, se detalla que la denuncia recibida hace mención a que “Telefónica de España-Movistar utiliza “supercookies”” y en el antecedente segundo, se mencionan entre otros aspectos, que “Telefónica reconoce que ha estado empleando la técnica de “supercookie” denominada “enriquecimiento de cabeceras”” y que “el inspector actuante … accede desde dos teléfonos móviles con contratos con Movistar … con la finalidad de verificar si el operador utiliza “supercookies””.

A pesar de la alegación de TME acerca de que:

“Es fundamental distinguir la técnica del “enriquecimiento de cabeceras” cuya utilización ha sido reconocida por TME y la utilización de “supercookies”. Para que esta técnica se considera como supercookie es necesario que los datos tratados a través de la misma sean almacenados mediante un DARD”

, la Resolución de la AEPD en su exposición de Hechos Probados y de Fundamentos de Derecho no responde explícitamente a dicha alegación ni vuelve a mencionar el término supercookie, haciendo ya uso exclusivamente de la expresión enriquecimiento de cabeceras para referirse a la técnica utilizada para cometer la infracción.

• A partir del análisis anterior, caben dos posibilidades para explicar, siguiendo un razonamiento lógico, qué ha considerado la AEPD concretamente DARD:

1. Una primera explicación es que la AEPD, habiendo hecho caso omiso de la alegación antes mencionada realizada en sentido contrario por Telefónica, haya interpretado que el enriquecimiento de cabeceras equivale a un DARD, considerando que es una supercookie y, por ello, un tipo de cookie más que se almacena en el terminal del usuario, tal como se deduce del tenor literal del antecedente segundo: técnica de “supercookie” denominada “enriquecimiento de cabeceras”.

Tal interpretación sería evidentemente errónea, ya que el enriquecimiento de cabeceras se llevó a cabo por TME dentro de sus nodos de red, añadiendo la metainformación identificativa del usuario a las cabeceras de sus paquetes HTTP, al tenerle perfectamente identificado desde su conexión a la red, sin que dicha metainformación fuera almacenada previamente en el terminal del usuario, tal como exige el artículo 22.2 LSSI. Ello imposibilita, por tanto, que esta metainformación sea considerada un DARD.

No cabe tampoco salvar este obstáculo mediante la aplicación analógica, considerando similar el efecto producido por el enriquecimiento de cabeceras  con el efecto producido por una cookie y teniendo en cuenta además que el enriquecimiento de cabeceras se ha denominado frecuentemente supercookies o permacookies, favoreciendo la posible interpretación de equivalencia entre enriquecimiento de cabeceras y cookies,  ya que la analogía in malam partem está prohibida en un procedimiento sancionador. Es necesario, por tanto, que la conducta infractora cumpla escrupulosamente el tipo descrito en la Ley, lo que, según esta primera explicación, no ha ocurrido.

2. Pero una segunda explicación, si bien es preciso reconocer de entrada que en absoluto resulta evidente de la redacción de la Resolución, sería que la AEPD haya entendido que el DARD no estaba constituido por la metainformación añadida en el enriquecimiento de cabeceras, sino por la información que permite la identificación del usuario por el operador de red, almacenada en el terminal del usuario, concretamente dentro de la SIM física o virtual. Entre los diversos datos que se almacenan en una SIM, el IMSI (International Mobile Subscriber Identity), es el identificador que almacena la identidad del usuario en la red, compuesta de código de país, identificador del operador y número telefónico del usuario. Al tratarse, por tanto, de una información almacenada en el terminal del usuario, sí cumpliría esta condición impuesta por el artículo 22.2 LSSI para ser un DARD.

Ahora bien, con arreglo a la interpretación jurídica mencionada más arriba, ¿se puede considerar que el identificador de usuario guardado en una SIM es realmente un DARD?

• Desde una interpretación literal, un DARD es un dispositivo, es decir, un mecanismo o artificio capaz de producir una acción prevista, acción que no es otra que la de almacenar y recuperar posteriormente unos datos determinados. El identificador IMSI guardado en la tarjeta SIM es un campo que almacena dicho dato, que posteriormente se lee por el operador de la red móvil cada vez que el usuario conecta su terminal a ésta. Por tanto, atendiendo a una interpretación estrictamente literal, sí que dicho identificador puede ser considerado un DARD.
• Pero si acudimos a una interpretación sistemática y lógica, es decir, atendiendo al contexto en el que aparece en la LSSI la expresión dispositivos de almacenamiento y recuperación de datos (DARD) y atendiendo también al espíritu de la norma, hay una primera cuestión a tener en cuenta: tal dispositivo solo va a poder utilizarse después de que se haya facilitado información clara y completa sobre su utilización y, en particular, sobre los fines del tratamiento de los datos de carácter personal.

Es decir, el legislador está refiriéndose a dispositivos sobre los que el proveedor de servicios tenga perfectamente claro para qué se van a utilizar antes de almacenar los datos en dichos dispositivos, de forma que pueda facilitar una información completa al usuario sobre su uso.

En el caso que estamos analizando, hay que tener en cuenta que el identificador IMSI se almacena en el terminal de usuario tras contratar éste su línea móvil con el operador de red, momento en el que éste le hace entrega de la tarjeta SIM, o, en el caso de una SIM virtual, se la activa remotamente, y permanece constante en tanto el usuario mantenga su número de teléfono móvil y su operador de red, incluso aunque cambie de tarjeta SIM.

Por ello, resulta evidente que la información de identificación de usuario guardada en la SIM va a ser utilizada por el operador de red para una diversidad de servicios o funcionalidades que están indefinidas a priori en el momento de hacer entrega de la SIM al usuario. Es evidente del mismo modo, que resulta imposible informar al usuario acerca de servicios o funcionalidades futuras que ni siquiera están previstos o especificados por el operador de red.

Por tanto, desde un punto de vista sistemático y lógico, el identificador de usuario guardado en la SIM no puede ser considerado como un DARD, ya que considerarlo así nos llevaría al absurdo de requerir que el operador de red aportara una información al usuario de imposible cumplimiento.

• Del mismo modo, atendiendo a una interpretación histórica, la introducción del DARD se produjo, como ya se ha mencionado anteriormente, en 2002 a consecuencia de la transposición de la Directiva 2002/58/CE. Esta Directiva mostraba su preocupación en el considerando 24 porque los denominados «programas espía» (spyware), web bugs, identificadores ocultos y otros dispositivos similares pueden introducirse en el terminal del usuario sin su conocimiento para acceder a información, archivar información oculta o rastrear las actividades del usuario, lo que puede suponer una grave intrusión en la intimidad de dichos usuarios. Para establecer, a renglón seguido en el considerando 25, que los dispositivos de este tipo, por ejemplo los denominados «chivatos» (cookies), pueden constituir un instrumento legítimo y de gran utilidad, por ejemplo, para analizar la efectividad del diseño y de la publicidad de un sitio web y para verificar la identidad de usuarios partícipes en una transacción en línea. En los casos en que estos dispositivos, por ejemplo los denominados «chivatos» (cookies), tengan un propósito legítimo, como el de facilitar el suministro de servicios de la sociedad de la información, debe autorizarse su uso a condición de que se facilite a los usuarios información clara y precisa al respecto, de conformidad con la Directiva 95/46/CE, para garantizar que los usuarios están al corriente de la información que se introduce en el equipo terminal que están utilizando… se podrá supeditar el acceso a determinados contenidos de un sitio web a la aceptación fundada de un «chivato» (cookie) o dispositivo similar, en caso de que éste tenga un propósito legítimo.

Parece evidente de los párrafos anteriores que el legislador europeo se estaba refiriendo a la protección del usuario de redes de comunicaciones electrónicas frente a los dispositivos susceptibles de introducirse en su terminal sin su previo conocimiento y favorecer, en concreto, el uso de cookies que facilitaran el acceso a sitios web, pero no a los datos relativos a los abonados que son tratados en las redes de comunicaciones electrónicas para el establecimiento de conexiones y la transmisión de información, como obviamente es el caso del identificador IMSI, a los que la Directiva se refiere precisamente a continuación en el considerando 26 y, en su parte dispositiva, en los apartados 1 y 2 del artículo 5 (Confidencialidad de las comunicaciones), a diferencia de la información almacenada en el equipo de usuario (cookie) a la que dedica el apartado 3 de dicho artículo.

Por todo ello, la interpretación histórica redunda también, en mi opinión, en negar la condición de DARD al identificador de usuario guardado en la SIM.

• En cuanto a la interpretación sociológica aplicable a este caso, creo que no proporciona ninguna aportación diferencial con relación a la anterior interpretación histórica, ya que la realidad social actual no es, en el asunto que nos ocupa, sustancialmente diferente de la que existía cuando la norma fue promulgada inicialmente en 2002.

En este sentido, la modificación en 2009 de la Directiva 2002/58/CE por la Directiva 2009/136/CE no afectó significativamente a la argumentación llevada a cabo en el punto anterior. En concreto los considerandos 24, 25 y 26 de la anterior Directiva se corresponden respectivamente, de forma bastante aproximada en lo relativo al caso, con los considerandos 65, 66 y 69 de la más reciente, mientras que el artículo 5 tan solo se modifica en el apartado 3 para requerir que el consentimiento del usuario se realice después de recibir la información clara y completa sobre los fines del tratamiento de datos, pero sin alterar los tipos de datos a los que dedica cada apartado.

• Por último, una interpretación teleológica del artículo 22.2 LSSI conduce, en mi opinión, a que la finalidad del legislador fue aplicarlo a los DARD almacenados en el terminal del usuario como consecuencia del uso de un determinado servicio de la sociedad de la información, quedando fuera de su ámbito de aplicación aquellos datos de usuario almacenados en su terminal que son utilizados por el operador de red para permitir su conexión a la red y la posterior transmisión de información y que resultan susceptibles de un tratamiento diferencial por parte de otra norma.

A esta conclusión se llega precisamente partiendo de la existencia de una norma específica que es aplicable exclusivamente a los operadores de red, como es la Ley 9/2014 General de Telecomunicaciones y, en concreto, su artículo 41 dedicado a la protección por parte del operador de red de los datos de carácter personal, que le exige la adopción de medidas técnicas y de gestión y, entre otras, en su apartado 1b, la protección de los datos personales almacenados o transmitidos de la destrucción accidental o ilícita, la pérdida o alteración accidentales o el almacenamiento, tratamiento, acceso o revelación no autorizados o ilícitos.

Por tanto, tampoco desde un punto de vista teleológico debe considerarse un DARD al identificador de usuario guardado en la SIM.

En conclusión, a través del anterior proceso interpretativo del artículo 22.2 LSSI llevado a cabo, se concluye que no se puede considerar que el identificador de usuario guardado en una SIM sea un DARD. En consecuencia, la segunda explicación acerca de lo que la AEPD ha podido considerar como DARD, la información residente en el terminal del usuario que permite su identificación por el operador de red, no es conforme, en mi opinión, con una interpretación correcta del artículo 22.2 de la LSSI.

Consideraciones al margen

Al margen de la argumentación anterior, expongo a continuación unas breves consideraciones de tipo más tecnológico que jurídico sobre este asunto, en un intento de clarificación:

Parece evidente, según las propias alegaciones de Telefónica, que, hasta septiembre de 2015, TME introdujo identificadores únicos en dos campos no estándar de la cabecera HTTP, “x-up-subno” y “TM user-id”, de forma indiscriminada en todos los usuarios de su red, tanto si utilizaban acceso a servicios de pago como si no lo hacían.

También se deduce de las alegaciones de Telefónica que nadie más, aparte de TME, conocía la asignación de dicho identificador único a la identidad real del usuario, pudiendo considerarse por ello un seudónimo de éste para terceros distintos de TME.

El resultado de todo ello es que cualquier servidor web que fuera accedido por cualquiera de estos usuarios estaría en disposición de poder leer dicho identificador único y asociarlo dentro de una técnica específica de rastreo a un perfil de usuario concreto, susceptible de tratamiento diferenciado por el propio servidor web o por otros servidores a los que éste le comunicara dicho perfil.

No obstante, difícilmente podría considerarse que la información del usuario recibida por los servidores web a los que éste accedía, fueran datos de carácter personal, al tratarse de datos anonimizados para todos excepto para TME, siempre en el supuesto de que solo ésta conociera la asignación del identificador único a la identidad del usuario. Ello no impediría el tratamiento diferenciado para cada usuario por parte del servidor web, aunque aquellos fueran anónimos para éste último. En este supuesto, cabría una vulneración del artículo 48.2.b de la Ley General de Telecomunicaciones si el identificador único añadido a las cabeceras HTTP pudiera ser considerado como datos de tráfico.

Asimismo, hay que tener en cuenta que la recepción de ese identificador único sería similar, a efectos de la información recibida por estos servidores web, a recibir peticiones HTTP de usuarios con IP fija y sin NAT ni Proxy intermedios, con la diferencia de que dicha IP sí podría identificar al usuario a través de un servicio de identificación tipo whois. En relación con esto, hay que tener también presente que con IPv6, las IPs son fijas, no siendo ya necesario en principio ningún tipo de NAT o Proxy por causa de la carencia de direcciones.

Del uso tan dispar de la firma electrónica en uno y otro ámbito surgen situaciones paradójicas, como aquellas en las que se realiza una presentación telemática ante la Administración de documentos que atañen a relaciones jurídicas de índole privada. Tal es el caso de la legalización de los libros correspondientes al ejercicio social que todo empresario debe realizar anualmente en el Registro Mercantil. Actualmente, ya es obligatoria la presentación telemática de dichos libros mediante la firma electrónica cualificada del empresario, llevada a cabo tanto sobre la instancia de presentación, como sobre el archivo en formato zip que contiene los ficheros con los libros a legalizar. Entre éstos, además de los libros contables del ejercicio finalizado, se incluyen los libros de actas de las reuniones mantenidas por los órganos colegiados de la sociedad, que obviamente deberán cumplimentarse en formato electrónico para permitir su envío de forma telemática. Hay que tener en cuenta que estas actas, en el caso de un consejo de administración, deben ser firmadas, según la Ley de Sociedades de Capital, por el presidente y el secretario del consejo y, en el caso de una junta universal, según el Reglamento del Registro Mercantil, por todos los socios.

La cuestión es cómo se incluyen estas firmas en el documento electrónico privado. El Registro Mercantil admite como documento electrónico a legalizar la imagen escaneada del acta firmada de forma manuscrita. Se podría argumentar que, al escanearse, estas firmas son ya firmas electrónicas, pero evidentemente no se trata de firmas electrónicas cualificadas, ni siquiera son avanzadas, y no resultan equiparables a efectos de prueba a la firma manuscrita original.

Por tanto, cualquier acta del libro de actas legalizado, que debe de servir como elemento probatorio en sede judicial conforme al artículo 327 de la LEC, sería susceptible de ser impugnada por alguien que negara que alguna de las firmas de la imagen escaneada del acta, por muy legalizada que esté por el Registro Mercantil, sea legítima, de forma que la carga de la prueba de la legitimidad de la firma va a recaer sobre la sociedad mercantil, por lo que ésta debería, para tener éxito en su acción probatoria, conservar el original en papel con las firmas manuscritas, lo que no deja de resultar paradójico en un entorno completamente digitalizado. Hay que tener en cuenta a este respecto, que no son infrecuentes los casos de falsificación de actas mercantiles y que resulta de una enorme facilidad escanear una firma a partir de otro documento legítimo y pegarla sobre la imagen escaneada y editada del acta.

La solución evidente a esta problemática es sustituir en estos documentos privados, como las actas del ejemplo anterior o cualquier otro documento o contrato entre personas físicas y/o jurídicas, la firma escaneada por la firma electrónica cualificada. Teniendo esto en cuenta, cabría preguntarse por qué ésta última no se está utilizando apenas en este tipo de documentos, máxime en el caso del ámbito mercantil en el que la utilización de los certificados electrónicos es obligatoria, entre otros, en los trámites tributarios. La respuesta a esta pregunta puede atribuirse a muchas y variadas razones, unas jurídicas, otras técnicas y algunas culturales y sociales, como la inveterada inercia al cambio en la manera de hacer las cosas.

Entre las razones técnicas, cabe destacar, en mi opinión, la escasa disponibilidad de lectores de tarjeta para acceder al DNI-e o a cualquier otra tarjeta criptográfica con capacidad para realizar firmas electrónicas cualificadas, así como la dificultad de consensuar y de acostumbrarse a utilizar entornos software de amplia aceptación para la realización de firmas electrónicas en cualquier tipo de documento privado. En este sentido, hay que tener en cuenta que, a diferencia de los documentos privados, en los trámites administrativos se acepta entre otros sistemas, conforme a la Ley 11/2007, la firma electrónica avanzada, evitándose así la necesidad de usar lectores de tarjetas, y el entorno software de realización de firma viene dado por la propia aplicación web proporcionada por la Administración.

Además, una vez realizado el trámite administrativo, no es necesario volver a validar la firma electrónica, ya que el órgano de la Administración certifica la realización del trámite con su fecha y hora mediante la inserción en el documento electrónico de un código seguro de verificación. En contraposición a ello, los documentos privados se suelen firmar con vocación de permanencia en el tiempo, necesitándose habitualmente validar la firma en momentos muy posteriores a su realización.

Debido a esto último, hay otra razón que implica una dificultad de implantación de la firma electrónica en el ámbito privado, desde mi punto de vista, mayor, ya que afecta a la confianza de los firmantes en la validez de sus firmas electrónicas, y que tiene una raíz de índole jurídica: la Ley de Firma Electrónica, aunque en su artículo 20.1.f obliga a los prestadores de servicios de certificación que expiden certificados reconocidos a conservar durante 15 años, contados desde su expedición, los datos de un certificado reconocido, sin embargo, en su artículo 10.4 sólo obliga a mantener accesible el servicio de consulta sobre la vigencia de un certificado hasta la fecha en que hubiera finalizado su período inicial de validez. La consecuencia de ello, es la imposibilidad práctica de validar online una firma electrónica cualificada después de que el certificado con el que se firmó haya caducado y, en cualquier caso, la imposibilidad absoluta de tener la garantía de validarla transcurridos 15 años desde la emisión del certificado electrónico. Una forma de superar este impedimento y permitir que una firma electrónica cualificada perdure en el tiempo, consiste en la realización de la firma conforme al estándar PAdES LT (Long-Term) de ETSI (European Telecommunications Standards Institute). Pero para ello resulta necesario, entre otros requisitos, la incorporación de servicios de marcas o sellos de tiempo por parte de un proveedor de servicios de confianza, servicios que no suelen ser fácilmente accesibles ni gratuitos.

Como un posible remedio a la anterior dificultad, el Reglamento Europeo 910/2014 o eIDAS, que va a ser ya aplicable en su mayor parte a partir del próximo 1 de julio, dejando inaplicable, que no derogada, la Ley de Firma Electrónica en todo aquello que contradiga al Reglamento, obliga en su artículo 24.4 a los prestadores cualificados de servicios de confianza que expidan certificados cualificados, a proporcionar a cualquier parte usuaria información sobre el estado de validez o revocación de los certificados cualificados expedidos por ellos “en cualquier momento y con posterioridad al periodo de validez del certificado en una forma automatizada que sea fiable, gratuita y eficiente”. De esta forma, debería resultar factible sin mayor dificultad la validación de una firma electrónica cualificada, que se haya realizado con un certificado cualificado expedido con arreglo a dicho Reglamento, en cualquier momento, incluso posterior a la vigencia del certificado.

El tiempo dirá si la aplicación del Reglamento eIDAS, además de favorecer el uso transfronterizo interno a la UE de la identificación electrónica y de los servicios de confianza, que es su principal objetivo, resulta o no decisiva para incrementar significativamente la utilización de estos servicios en el marco de las relaciones jurídicas privadas.

• En primer lugar, en lo tocante al fondo de la cuestión, en concreto, a cuáles son los requisitos que deben reunir las fuentes de prueba informáticas, las normas mencionadas no mencionan siquiera mínimamente el procedimiento de obtención ni de conservación o custodia para que el medio de prueba informático resulte confiable por parte de los jueces, todo ello teniendo en cuenta la facilidad de manipulación de estos medios de prueba. Así, son frecuentes los casos en que se aportan al proceso correos electrónicos o conversaciones en redes sociales, tan sólo soportados en simples impresiones en papel de su contenido.
  Evidentemente, sería conveniente que la norma definiera los requisitos de este procedimiento de recopilación de evidencias digitales mediante una metodología concreta o un marco de referencia, pero en su defecto, al menos debería establecerse este marco de referencia jurisprudencialmente, mejorándose así la seguridad jurídica alrededor de la prueba electrónica. Hay que decir que, en este sentido, supone un paso adelante significativo la reciente sentencia del Tribunal Supremo 2047/2015 que, ha establecido la necesidad de llevar a cabo un informe pericial informático, que acredite tanto la identidad de los interlocutores como la integridad de la conversación, para que una conversación mantenida a través de una red social sea aceptada como prueba válida en un proceso judicial. De esta manera, la doctrina que emana de esta resolución del TS dota al juez de forma imperativa de un dictamen pericial informático que le va a ayudar a formar su convicción sobre una determinada evidencia digital que sería, a priori, fácilmente manipulable de no ir acompañada por dicho dictamen pericial.
• En segundo lugar, en lo referente al tratamiento procesal de la prueba informática, y sin profundizar en el tema más que lo imprescindible, cabe decir que no existe una homogeneidad legislativa en cuanto a su carácter documental y, por tanto, de su consideración como prueba plena, lo que ha dado lugar a un tratamiento desigual y, por lo general, bastante restrictivo por parte de los tribunales. Todo ello no se corresponde con el impulso que se pretende dar a la Sociedad de la Información en el ámbito de la Justicia. Para enfrentarse a esta realidad, que no es sólo española y que dificulta además la cooperación global a nivel internacional en la persecución del ciberdelito, se ha llegado incluso a proponer, hasta ahora con poco éxito, el establecimiento de normas internacionales tendentes a homogenizar el tratamiento procesal de la prueba informática en los distintos Estados.
• En tercer lugar, y en lo tocante a la forma del tratamiento de estas pruebas informáticas, tampoco existe en nuestra legislación concreción alguna al respecto. Así, la reciente reforma pendiente de aprobación de la Ley de Enjuiciamiento Criminal, utiliza al referirse a la forma en que debe ser tratada la prueba informática o electrónica, expresiones genéricas como “bajo los términos y alcance fijados por el juez” o “con las condiciones necesarias”, conceptos jurídicos indeterminados que dejan a criterio del juez la determinación de la idoneidad técnica de dicho tratamiento.
  Por ello, creo que resultaría aconsejable que el texto legislativo concretara los aspectos formales del tratamiento de los medios de prueba informáticos, haciendo referencia de forma directa o indirecta a estándares o normas técnicas de Autoridades de Normalización existentes sobre la materia, de manera similar al caso de la regulación de la firma electrónica, en la que se hace referencia a normas técnicas criptográficas y a Autoridades de Certificación Electrónica, traduciéndolas en terminología legislativa como “dispositivos y datos de creación y de verificación de firma” y “prestadores de servicios de certificación”, respectivamente.

De esta manera, se mejoraría la situación actual de indefinición en lo relativo a los peritajes informáticos aportados a los procedimientos judiciales, alcanzándose así una madurez en su metodología de elaboración y aportación a los procesos judiciales, que creo que resulta necesaria para alcanzar la deseable seguridad jurídica.

Existen en la actualidad unas marcadas diferencias entre el régimen jurídico de Internet y el del mercado audiovisual tradicional. Estas diferencias son probablemente consecuencia de las distintas circunstancias existentes en el origen de ambos mercados.

Por una parte, el mercado audiovisual, y, en concreto, la televisión, surgió inicialmente como servicio público con una enorme capacidad de influencia, al que, en el posterior proceso de privatización, se le aplicó una regulación exhaustiva con el propósito de garantizar fundamentalmente, el pluralismo informativo, la limitación de la publicidad y la protección de los menores.

Frente a esto, Internet surge con una marcada tendencia hacia la autorregulación, de la que es ejemplo paradigmático la “Declaración de Independencia del Ciberespacio” de John P. Barlow, cofundador de la Electronic Frontier Foundation, en febrero de 1996. Este planteamiento de origen y las peculiares características de los servicios de Internet en cuanto a su localización espacial, ha hecho el desarrollo normativo del Derecho en Internet lento y difícil.

En este escenario tan distinto, aparecen los servicios audiovisuales online, tanto los accesibles a través de Internet, como los proporcionados, a través de sus intranets, por las operadoras de telecomunicaciones. Estos servicios suponen ya una competencia real a la televisión convencional, actualmente por TDT, como lo demuestra el creciente porcentaje de “televidentes” a través de accesos online en distintos tipos de dispositivos. De esta forma, se ha alcanzado en buena medida la tantas veces anunciada convergencia tecnológica y de mercado entre Televisión e Internet.

Sin embargo, como ya he comentado, no se puede decir lo mismo de la convergencia en su regulación jurídica, a pesar de que la Directiva 2010/13/UE y de la Ley General de Comunicación Audiovisual han establecido el principio de neutralidad tecnológica, lo que ha supuesto un avance indudable hacia esa convergencia.

A pesar de ello, la ubicuidad por encima de fronteras estatales de los prestadores de servicio y las peculiaridades de uso de los servicios audiovisuales en Internet ha producido en la práctica una dualidad en el tratamiento regulatorio de estos servicios, dando lugar a que la regulación protectora de los usuarios presente de forma intensiva en los medios audiovisuales tradicionales, no exista prácticamente en la regulación de los servicios audiovisuales por Internet.

Dadas las diferencias de uso de los servicios entre ambos entornos, no parece factible que la solución al problema sea aplicar la actual regulación audiovisual al entorno de Internet. Lo lógico sería encontrar un punto de equilibrio que tenga en cuenta las distintas características de uno y otro medio.

En esta dirección de encontrar un marco regulatorio homogéneo para el conjunto de servicios audiovisuales se enmarca el Informe sobre Televisión conectada de la Comisión de Cultura y Educación del Parlamento Europeo. Es informe pedía ya en 2013 a la Comisión Europea revisar el contenido de la actual Directiva de Servicios Audiovisuales para adaptar el marco regulatorio a la convergencia audiovisual y establecer una regulación uniforme. Sin entrar en el detalle de su contenido, sí que refleja, por ejemplo, claramente, la necesidad de que los usuarios de una Smart TV conectada a Internet no vean condicionada su elección de servicios por la oferta predeterminada y priorizada por el fabricante del equipo.

Ahora, la iniciativa de la Comisión Europea parece recoger esta petición en la mencionada Comunicación del 6 de Mayo de 2015 que plantea revisar la Directiva de Servicios Audiovisuales a principio de 2016.

En esta iniciativa, se plantea considerar la conveniencia de ampliar el ámbito de aplicación de la Directiva “con un enfoque en su ámbito y en la naturaleza de las reglas aplicables a todos los actores de los mercados” y adaptar sus reglas a fin de abarcar tanto servicios que actualmente se sitúan fuera de dicho ámbito de aplicación, como proveedores no incluidos en su actual cobertura geográfica.