El Proyecto de Ley de Conservar Datos de Tráfico: Implicancias Jurídicas y Prácticas

Aunque Internet se ha constituido en una herramienta imprescindible para facilitar el acceso a la información y alcanzar desarrollo económico y social, su uso indebido también genera serios problemas. Organizaciones criminales y grupos terroristas frecuentemente recurren a las comunicaciones electrónicas para perpetrar sus actos delictivos. Los trágicos sucesos del 11 de Septiembre de 2001 y los posteriores atentados de Atocha y Londres son ya clásicos ejemplos.

Alrededor del mundo diversos países empezaron a considerar a Internet y a las comunicaciones electrónicas como mecanismos efectivos para prevenir, detectar e investigar hechos punibles relacionados con el crimen organizado y el terrorismo. Es así que varios países europeos adoptaron legislación para exigir que los proveedores de servicios retengan los denominados datos de “tráfico y ubicación”. Éstos son los necesarios para identificar a un determinado usuario. En la jerga tecnológica, se refiere al almacenamiento de los datos del Internet protocol (IP) utilizados por el terminal de origen y las páginas visitadas. El terminal de origen puede ser un número de teléfono o el denominado “International Mobile Equipment Identity” – IMEI del dispositivo móvil. Al guardar los datos de tráfico, el proveedor de servicios de Internet (PSI) podrá saber que un determinado IP fue utilizado por una línea telefónica determinada en una fecha determinada para enviar un archivo determinado a una dirección de correo electrónico o a una página web.

Posteriormente, a los efectos de armonizar la normativa de sus Estados miembros, en Marzo de 2006, el Consejo y el Parlamento Europeo adoptaron la Directiva 2006/24 sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público. La normativa comunitaria busca asegurar que los datos se encuentren disponibles a la hora de investigar y perseguir conductas delictivas serias. Asimismo, en la Argentina, una modificación de la ley de telecomunicaciones intentó lograr que los proveedores de servicios de Internet guarden los datos por un periodo de 10 años. Aunque Estados Unidos no ha impuesto tal requisito, bajo ciertas circunstancias, el Stored Communications Act (SCA) permite que el gobierno acceda a cualquier dato que se encuentre almacenado por los proveedores de servicios.

Recientemente, con el fuerte apoyo de la Fiscalía General del Estado, cuatro Senadores paraguayos (Acevedo, Silva Facetti, Giuzzio y Wiens) han presentado un proyecto de conservación de datos de tráfico. El proyecto parte de la premisa que el avance irrestricto de Internet presenta riegos considerables para el Estado, ya que ello induce a la aparición de nuevas formas delictivas con connotaciones no solamente nacionales, sino transnacionales. El Estado entonces debe adoptar medidas para prevenir y sancionar esos hechos punibles. Para los proyectistas, “la vida en el mundo se torna cada vez más insegura”.  En la mente de los proyectistas, Internet es una modalidad tecnológica frecuentemente utilizada por delincuentes para incurrir en hechos punibles tales como el acceso indebido a datos y sistemas informáticos (hacking), pornografía infantil, estafas y prácticas terroristas. Para corregir tal anomalía, a través del intervencionismo normativo, el “Estado debe cumplir con su obligación de brindar protección” a la ciudadanía.  Esencialmente, el proyecto pretende imponer la obligación en cabeza de los PSIs de conservación de datos de tráfico. Esta obligación abarca tanto a las empresas públicas como privadas que cuenten con la licencia de PSI expedida por la CONATEL. Para el proyecto, datos de tráfico “son aquellos generados en torno a una comunicación electrónica o magnética realizada por medio de un programa o sistema informático y que indica una dirección de IP, origen y destino de la misma, hora y fecha de la conexión y desconexión, itinerario, tamaño y duración de la comunicación”. Sin embargo, el contenido de las comunicaciones electrónicas se encuentra expresamente excluido. Por ende, según los proyectistas, el proyecto de ley no trasgrede los preceptos constitucionales concernientes al derecho a la intimidad y la inviolabilidad de las comunicaciones.

Para los proyectistas, la identificación de datos tales como la dirección del IP, la hora y fecha de conexión y desconexión al servicio de Internet por parte del usuario, así como aquellos datos que fuesen necesario para identificar al equipo de comunicación utilizado y su ubicación geográfica, podrían constituir elementos indispensables para esclarecer procedimientos judiciales.  En este contexto, la obligación de guarda de los datos de tráfico es una “herramienta” indispensable para que los organismos competentes (e.g. Poder Judicial, Fiscalía General) puedan llevar a cabo su mandato constitucional. El proyecto pretende “localizar e individualizar al usuario y al titular registrado”. En la actualidad, según la normativa de la CONATEL, las empresas de telefonía móvil ya se encuentran obligadas a conservar el detalle de las llamadas entrantes y salientes de todas las líneas que conforman su cartera de clientes.

La obligación se extiende a “todos los datos de tráfico generados, con la utilización de las redes de Internet”. Los PSI deberán guardar por un período de doce meses “todos los datos de tráfico de comunicaciones que estén vinculados al acceso a internet”. Entre otros, ellos pueden incluir el “nombre y dirección del usuario y titular registrado que acceda a internet, la identificación de usuario o el número de teléfono del destinatario o destinatarios de una llamada telefónica por internet, la fecha y hora de conexión y desconexión del servicio de acceso a internet registrado, basado en un determinado huso horario, así como el IP o dirección de protocolo de internet, ya sea dinámica o estática asignada por el proveedor de acceso a internet a una comunicación, los datos necesarios para identificar el equipo de comunicación utilizado y posición geográfica”. Los PSIs dispondrán de 72 horas para proveer los datos solicitados al juzgado interviniente o al Ministerio Público. Además, según el Proyecto, los PSIs deberán: i) garantizar la conservación de los datos, así como su confidencialidad; ii) identificar el personal especialmente autorizado para acceder a dichos datos; iii) adoptar las medidas técnicas a los efectos de evitar la manipulación indebida de los mismos, así como su pérdida accidental o destrucción ilícita. Los PSIs que utilicen indebidamente dichos datos pueden ser pasibles de multas de hasta 1.000 jornales mínimos.

Resulta innegable que las diversas dependencias administrativas del Estado deben realizar sus mejores esfuerzos a la hora de prevenir y reprimir hechos punibles. En este contexto, el Estado debe arbitrar las medidas necesarias para proteger la seguridad de todos sus habitantes. Ahora bien, la persecución de tales objetivos no puede ir en menoscabo de los derechos de ciudadanos que nada tienen que ver con los hechos delictivos. La obligación de guarda de los datos comprenderá los datos de trafico y ubicación de todo el universo de clientes del PSI, independientemente a si la conducta de los mismos se encuentre o no incursa en actos delictivos. El proyecto parecería otorgar una carta blanca a las autoridades para requerir cualquier tipo de dato sin restricción alguna – ésta es una situación muy diferente al contexto europeo donde la obtención de tales datos se encuentra circunscripta a los denominados hechos punibles serios (e.g. terrorismo, crimen organizado, pornografía infantil). Tampoco resulta claro el uso que las autoridades darían a tales datos ni que medidas implementarían para garantizar la confidencialidad de los mismos.  Es por ello que no resulta extraño que el proyecto de ley haya atraído numerosas críticas.

En primer lugar el proyecto de ley impone una onerosa carga financiera para los PSIs, ya que tendrán que dotarse de costosos equipos para poder almacenar los datos de tráfico. Además, los PSIs deberán de introducir un sinnúmero de cambios operacionales y organizacionales dentro de su estructura interna para poder cumplir con las obligaciones impuestas por la normativa. El acceso a tales datos tendrá necesariamente un carácter restrictivo o lo que se conoce en la jerga como “need to know basis”. De igual manera, la guarda de datos implica una responsabilidad adicional para los PSIs. Éstos serán responsables por la pérdida o fuga de datos por cualesquiera motivos. Aquí la sola custodia de los datos podría generar una responsabilidad objetiva, con independencia a la culpa del PSI.

Otro de los serios riesgos del proyecto es su apego a definir términos como los PSIs, datos de tráfico, Internet, IP y usuario. Dichos términos se encuentran en constante evolución y cambio. Aunque precisar su concepto es deseable, consideramos que sería mas apropiado dejar la definición de los mismos a la regulación de carácter técnico, ya que es mucho más fácil cambiar una resolución administrativa que el texto de una ley. Bien pudiera darse el caso que la definición otorgada por el legislador devenga inapropiada en un corto lapso de tiempo.

Toda normativa que imponga la retención de ciertos datos ha sido atacada como violatoria al derecho de la intimidad.  De acuerdo con la Eletronic Frontier Foundation (EFF), este tipo de normativa es esencialmente “invasiva, costosa y perjudicial al derecho de la intimidad y la libertad de expresión”. Según EFF, con esta normativa los usuarios pierden su anonimato digital. Es por ello que diversas organizaciones han catalogado al proyecto de ley como un verdadero “pyraweb” normativo.

Determinar si un proyecto de ley transgrede o no una garantía constitucional como el derecho a la intimidad, requiere una ponderación especial. Los derechos (e.g. intimidad, acceso a la información, seguridad) no residen en forma aislada. Éstos interactúan los unos con los otros. Cada caso requiere un análisis especifico donde se balancean, por un lado, el interés de la sociedad en general y por el otro los intereses particulares. Es lo que Ronald Dworkin denomina el “balance de los principios” ante situaciones específicas. A través de una ponderación similar, recientemente el Tribunal de Justicia Europeo ha anulado la Directiva 2006/24 por considerarla contraria a la normativa de protección de datos personales. La redacción actual del proyecto de ley de retención de datos podría implicar una transgresión al derecho a la intimidad. Sería recomendable replantearse la necesidad de dicho proyecto de ley o introducir ciertas salvaguardas.