En septiembre de 2014, R3D interpuso
una demanda de amparo en contra los artículos 189 y 190 de la Ley Federal de
Telecomunicaciones y Radiodifusión (LFTR) en representación de un grupo de
defensores de derechos humanos, periodistas, estudiantes, entre otros.
Estos artículos establecen
diversas medidas que invaden el derecho a la privacidad, desde nuestro punto de
vista, de manera incompatible con la Constitución. Una de ellas es la
establecida en el artículo 190, fracción I. La cual, en resumen, obliga a las
empresas de telecomunicaciones a conservar, masiva e indiscriminadamente respecto de todos los usuarios de sus servicios, una serie de datos conocidos como
“metadatos de comunicaciones”.
En los próximos días, la
Segunda Sala de la Suprema Corte de Justicia de la Nación resolverá nuestro
juicio de amparo. El proyecto del ministro Pérez Dayán defiende la
constitucionalidad de LFTR y pretende negar el amparo. Para entender mejor lo
que será decidido se presentan las siguientes preguntas fundamentales respecto
de la obligación de conservación de datos. El día de mañana, nos referiremos
con detalle a las cuestiones relacionadas con el acceso a los metadatos de
comunicaciones y la geolocalización en tiempo real de dispositivos de
comunicación.
¿Los “metadatos” están
protegidos por el derecho a la inviolabilidad de las comunicaciones privadas?
Para algunos existe
controversia respecto de si el derecho a la inviolabilidad de las
comunicaciones privadas, reconocido en los párrafos decimosegundo y décimo
tercero del artículo 16 constitucional, protege únicamente el contenido de las
comunicaciones o también se refiere a los datos que identifican una
comunicación.
No obstante, la Suprema
Corte, la Corte Interamericana de Derechos Humanos y organismos de protección
internacional de derechos humanos han establecido reiteradamente que los
metadatos también se encuentran protegidos por el derecho a la inviolabilidad
de las comunicaciones privadas.
Esta protección
equivalente parte del hecho de que los metadatos revelan información tan
sensible como el contenido de las comunicaciones. Como lo ha señalado el Tribunal
de Justicia de la Unión Europea (TJUE): “Estos datos, considerados en su
conjunto, pueden permitir extraer conclusiones muy precisas sobre la vida
privada de las personas cuyos datos se han conservado, como los hábitos de la
vida cotidiana, los lugares de residencia permanentes o temporales, los
desplazamientos diarios u otros, las actividades realizadas, sus relaciones
sociales y los medios sociales que frecuentan.”
En este sentido, el
acceder, conservar o registrar los metadatos de comunicaciones constituye una
interferencia con el derecho a la inviolabilidad de las comunicaciones privadas
y, por ende, debe cumplir con los requisitos que establece el artículo 16
constitucional, principalmente, la necesidad de una autorización judicial.
Cabe señalar además que
las leyes entienden que el concepto de “intervención de comunicaciones
privadas” incluye tanto el acceso al contenido, como el acceso a los datos que
identifican una comunicación, como es el caso del artículo 291 del Código
Nacional de Procedimientos Penales. Aunque nos referiremos con mayor detalle a
las cuestiones relacionadas con el acceso a los datos en otra ocasión.
¿Las personas tienen una
expectativa razonable de privacidad respecto de datos que voluntariamente
otorgan a empresas de telecomunicaciones para la prestación del servicio? ¿La
mera conservación interfiere con los derechos de los usuarios?
En el proyecto, se sugiere
que las personas usuarias de servicios de telecomunicaciones no tienen una
“expectativa razonable de privacidad” respecto de los metadatos de
comunicaciones porque otorgan su consentimiento a una empresa para el
tratamiento de esos datos y, por ende, la obligación de conservación de
metadatos no implicaría una interferencia con el derecho a la protección de
datos personales y el derecho a la inviolabilidad de comunicaciones privadas.
Según el proyecto, esos datos ya se conservan para prestar el servicio.
Lo anterior es impreciso,
dado que en México rige el principio de autodeterminación informativa y
diversos principios de protección de datos personales, como el principio de
finalidad, por el cual se dispone que los datos únicamente pueden ser tratados
para las finalidades expresas y consentidas por el titular. En este caso, los
usuarios de telecomunicaciones otorgan su consentimiento para que los
concesionarios y autorizados efectúen el tratamiento de sus datos personales
únicamente para la prestación del servicio y por el tiempo necesario para ello.
La Ley de Telecomunicaciones, por su parte, obliga a los concesionarios a
efectuar el tratamiento de los datos por dos años, un tiempo mayor al necesario
para la prestación del servicio.
En este sentido, la
obligación legal de conservación de los datos por un tiempo adicional al
necesario para la prestación del servicio y para fines distintos de aquéllos
respecto de los cuales el usuario otorgó su consentimiento constituye una
interferencia con el derecho a la protección de datos personales. Toda vez que
constituye una restricción al ejercicio de la autodeterminación informativa, al
principio de finalidad y al ejercicio de derechos como la cancelación y
oposición por lo tanto debe analizarse si la ley cumple con los requisitos de
finalidad legítima, idoneidad, necesidad y proporcionalidad. A esta conclusión
han llegado tanto el TJUE como la Corte Europea de Derechos Humanos en diversas
ocasiones.
¿La obligación legal de
conservar metadatos de comunicaciones constituye una interferencia contraria al
derecho a la privacidad?
El proyecto hace un
análisis sumamente superficial respecto de la necesidad y proporcionalidad de
la obligación de conservación de metadatos de todos los usuarios de
telecomunicaciones. En síntesis, el proyecto pretende justificar la medida
únicamente bajo el argumento de que persigue una finalidad legítima como lo es
la protección de la seguridad.
Pero existen reiterados
precedentes jurisprudenciales y doctrinales que señalan que las obligaciones de
conservación de metadatos de comunicaciones, de manera masiva e indiscriminada,
son contrarios al derecho a la privacidad por no ser necesarias ni
proporcionales.
Destaca la decisión del
Tribunal de Justicia de la Unión Europea en el caso Digital Rights Ireland
en el cual declaró inválida la Directiva Europea sobre Retención de Datos por
ser contraria al derecho a la privacidad. Algunos de los argumentos de la TJUE
fueron:
[La Directiva de Retención
de Datos] afecta con carácter global a todas las personas que utilizan
servicios de comunicaciones electrónicas, sin que las personas cuyos datos se
conservan se encuentren, ni siquiera indirectamente, en una situación que pueda
dar lugar a acciones penales. Por lo tanto, se aplica incluso a personas
respecto de las que no existen indicios que sugieran que su comportamiento
puede guardar relación, incluso indirecta o remota, con delitos graves. Además,
no establece ninguna excepción, por lo que se aplica también a personas cuyas
comunicaciones están sujetas al secreto profesional con arreglo a las normas de
la legislación nacional.
Por otra parte, aun cuando
la Directiva pretende contribuir a la lucha contra la delincuencia grave, no
exige ninguna relación entre los datos cuya conservación se establece y una
amenaza para la seguridad pública y, en particular, la conservación no se
limita a datos referentes a un período temporal o zona geográfica determinados
o a un círculo de personas concretas que puedan estar implicadas de una manera
u otra en un delito grave, ni a personas que por otros motivos podrían
contribuir, mediante la conservación de sus datos, a la prevención, detección o
enjuiciamiento de delitos graves.
[...] Por lo tanto, debe
considerarse que esta Directiva constituye una injerencia en los derechos
fundamentales de gran magnitud y especial gravedad en el ordenamiento jurídico
de la Unión, sin que esta injerencia esté regulada de manera precisa por
disposiciones que permitan garantizar que se limita efectivamente a lo
estrictamente necesario.
Igualmente, el Relator
Especial de la ONU sobre el derecho a la libertad de expresión ha advertido la
incompatibilidad de estas normas con el derecho a la privacidad. Por ejemplo se
ha señalado que:
Las leyes nacionales de
conservación de datos son invasivas y costosas, y atentan contra los derechos a
la intimidad y la libre expresión. Al obligar a los proveedores de servicios de
comunicaciones a generar grandes bases de datos acerca de quién se comunica con
quién telefónicamente o por Internet, la duración del intercambio y la
ubicación de los usuarios, y a guardar esta información (a veces durante varios
años), las leyes de conservación obligatoria de datos aumentan
considerablemente el alcance de la vigilancia del Estado, y de este modo el
alcance de las violaciones de los derechos humanos. Las bases de datos de
comunicaciones se vuelven vulnerables al robo, el fraude y la revelación
accidental.
¿Sin la obligación de
conservación de metadatos se afectarían gravemente las posibilidades de
investigación y sanción de delitos?
Se ha aducido que la
conservación prolongada, masiva e indiscriminada de metadatos de
comunicaciones, como la que mandata el artículo 190, fracción II, es
indispensable para la consecución de finalidades legítimas como la
investigación de delitos o la atención de amenazas a la seguridad nacional.
Sin embargo, las
autoridades responsables no han logrado demostrar que la conservación de datos
ha incrementado la eficacia de, por ejemplo, investigaciones criminales. Por el
contrario, existe evidencia de que existen otras técnicas de investigación,
como ordenes de conservación de datos específicos respecto de líneas
telefónicas relacionadas con investigaciones particulares, que resultan tan
efectivas como la conservación de datos.
De hecho, este sistema es
el que ha operado en países europeos como Suecia, Austria o Alemania, entre
otros, en los que no existe una obligación de conservación de datos. Inclusive,
un estudio de los Servicios Científicos del Parlamento Alemán concluyó que la
conservación de datos no ha tenido un efecto significativo en la reducción de
tasas criminales y otro estudio independiente comisionado por el Parlamento
Alemán también encontró que la obligación de conservación de datos hizo
la diferencia, únicamente, en el 0.002% de las investigaciones criminales. Es
decir, la autoridades investigadoras habrían podido acceder a la misma
información sin necesidad de la conservación obligatoria, prolongada y masiva
de datos de comunicaciones en prácticamente todas las investigaciones.
Otro estudio independiente
comisionado por el gobierno Alemán concluyó que en la ausencia de una
obligación legal de conservación prolongada y masiva de conservación de datos,
únicamente el 4% de las solicitudes de acceso a datos conservados no fueron
exitosas por la ausencia de los datos solicitados.
En vista de lo anterior,
es claro que no existe evidencia de que la ausencia de una obligación de
conservación de datos frustre la consecución de objetivos constitucionalmente
válidos como la investigación de delitos o la protección de la seguridad
nacional. Por ello, dado que existen medidas menos gravosas para la consecución
del fin legítimo, es claro que la conservación obligatoria, masiva e
indiscriminada de metadatos de comunicaciones que dispone el artículo 190,
fracción II, es inconstitucional.
Luis Fernando García. R3D.
Red en Defensa de los Derechos Digitales.