 |
| Via Wikimedia |
El 8 d'abril de
En 2014, el Tribunal de Justícia Europeu ha fallat en els casos de Digital Rigths
Ireland contra les autoritats irlandeses i de la Cort Constitucional
Austríaca vs el Govern de Carinthia i Mr Seitling, Mr Tschohl i altres
denunciants, Casos C-293/12 i C-594/12 (En anglès), declarant invàlida i nul·la
la Directiva sobre retenció de dades telefòniques i de comunicacions
electròniques del 2006, d'ara endavant la “Directiva”, amb efecte a partir
de la data en què la Directiva va entrar en vigor.
A què obligava la Directiva? Quin tipus de dades s'havien de retenir?
En 2014, el Tribunal de Justícia Europeu ha fallat en els casos de Digital Rigths
Ireland contra les autoritats irlandeses i de la Cort Constitucional
Austríaca vs el Govern de Carinthia i Mr Seitling, Mr Tschohl i altres
denunciants, Casos C-293/12 i C-594/12 (En anglès), declarant invàlida i nul·la
la Directiva sobre retenció de dades telefòniques i de comunicacions
electròniques del 2006, d'ara endavant la “Directiva”, amb efecte a partir
de la data en què la Directiva va entrar en vigor.
A què obligava la Directiva? Quin tipus de dades s'havien de retenir?
Amb l'objectiu de lluitar contra el terrorisme i altres delictes greus, la Directiva obligava a les companyies telefòniques i operadors de internet a registrar, retenir i conservar en tot tipus de trucades telefòniques (fixos i mòbils, o sense resposta) i correus electrònics durant un període, segons la legislació aplicable a cada estat, entre 6 i 24 mesos, les dades següents:
- En el cas de telèfons fixos, les dades de números de telèfon d'origen i destí, els noms i adreces de les persones que truquen i d'aquelles per a les quals estan registrades els números de telèfon en el moment de la connexió, així com el servei telefònic utilitzat, així com des d'on truquen, encara que no el contingut de la conversa per a la qual cosa es requerirà autorització judicial.
- En el cas dels telèfons mòbils, s'hi afegeix l'identificador de l'ordinador.
- Per a Internet, les adreces IP dinàmica i estàtica assignades pel proveïdor d'accés a la connexió, el nom i l'adreça de l'usuari i les dades sobre l'hora, la data i la durada d'una comunicació.
- També seran objecte de retenció les dades referides a la data i moment dactivació duna targeta prepagament.
Raons de la nul·litat de la Directiva
El Tribunal de Justícia assenyala que les obligacions imposades a les empreses de telecomunicacions suposen una intervenció àmplia i particularment greu dels drets fonamentals a la vida privada ia la protecció de les dades personals dels individus, ja que no hi ha límits substantius i processals a la Directiva que regulin i restringeixin aquestes interferències a allò estrictament necessari, excedint per això el principi de proporcionalitat.
De fet, assenyala la Sentència que “per tal de perseguir el terrorisme i la delinqüència, la Directiva exigeix la retenció de forma generalitzada de totes les persones, tots els mitjans de comunicació electrònica i les dades de trànsit sense cap tipus de diferenciació, limitació o excepció".
Així, manté la Sentència que les dades esmentades preses en conjunt, el que anomenem Big Data, poden proporcionar informació molt precisa sobre la vida privada de les persones les dades del qual estan retingudes, com ara els hàbits de la vida quotidiana, els llocs permanents o temporals de residència, les activitats dutes a terme a la nostra vida ordinària, en moments d'oci o vacances, les nostres relacions, amics, entorns socials, en definitiva tota la nostra vida, els nostres pensaments, creences, sentiments, la nostra ubicació, i la dels nostres fills, comptes corrents, sense que hi hagi informació prèvia als individus sobre l'ús de les dades ni el consentiment per al seu tractament, principis bàsics del dret fonamental a la protecció de les dades.
El Tribunal de Justícia examina a la Sentència si aquesta ingerència en els drets fonamentals està justificada i malgrat reconeix que la Directiva:
(i) no permet el coneixement del contingut de les comunicacions electròniques,
(ii) obliga els proveïdors de serveis o d'internet a respectar certs principis de la protecció de dades i seguretat i
(iii) que la conservació de les dades per tal de la seva possible transmissió a les autoritats nacionals competents de debò satisfà un objectiu d'interès general, per lluitar contra els delictes greus i protegir la seguretat pública,
el Tribunal declara que la Directiva no estableix prou salvaguardes per garantir la protecció efectiva de les dades contra el risc d'abús i en contra de qualsevol accés i ús il·legal dels mateixos.
Per tant, no hi ha una obligació formal d'imposar mesures de seguretat reforçades, per protegir aquesta informació ni obligacions de revisió i auditoria sobre l'aplicació d'aquestes mesures per verificar-ne el compliment i evitar que aquesta caigui en mans de persones o entitats que puguin fer un ús no consentit, Des de la creació de perfils de personalitat o comportaments, a un ús delictiu, xantatge, robatoris de casa teva i dels teus diners, segrest de tu o de la teva família, etc, sobre les mateixes.
Com sabem, l'aplicació de mesures de seguretat requereixen inversió i despesa en aquesta, i assenyala el Tribunal, que la Directiva permet a els proveïdors de serveis han de tenir en compte les consideracions econòmiques a l'hora de determinar el nivell de seguretat que s'apliquen (en particular pel que fa als costos d'implementació de les mesures de seguretat) i que no assegura la destrucció irreversible de les dades al final del període de retenció.
De fet, la seguretat dels individus també es veu afectada perquè, segons precisa el Tribunal de Justícia, la Directiva no exigeix que les dades es conservin a la UE. Per tant, la Directiva no garanteix que les dades es tractaran amb les mateixes mesures de seguretat i els mateixos criteris de protecció que els que regeixen a la UE, principi imprescindible, implantat i consolidat a la normativa europea que regeix el tractament de les dades de persones físiques a la UE, sense que s'exigeixin autoritzacions de l'autoritat competent i verificacions dels nivells de seguretat aplicables a les dades.
Conclusió
La evolució de la tecnologia ha donat lloc que es pugui saber tot de nosaltres, Al fet que tot i tots som atacables des del punt de vista de la ciberseguretat, els únics límits a un atac són quant de temps triga un hacker a fer-se amb les dades i quins són les mesures que han previst les empreses i els governs per alentir l'atac, poder detectar-lo i aturar-lo. actualment, la guerra i el poder de la informació són al espai i no em refereixo a l'aeri sinó al ciberespai encara que això soni a la guerra de les galàxies.
Els abusos que alguns governs estan fent de les nostres dades, des de l'espionatge de l'NSA a altres com Ucraïna, porten a plantejar-nos una vegada més la necessitat de defensar la nostra seguretat, sense la qual no hi ha llibertat ni democràcia, i, per tant, protegir les nostres dades, felicitant el Tribunal de Justícia Europeu per la seva decisió.
