INTIMIDAD Y PRIVACIDAD EN LA RED. CONSIDERACIONES JURÍDICAS DEL DERECHO ESPAÑOL

1. Intimidad y privacidad

La protección de la intimidad en el constitucionalismo español.

Referirnos a derechos personales y, en concreto, al derecho a la intimidad es situarnos en una de las preocupaciones más actuales. Es cierto que ya desde hace tiempo la inviolabilidad del domicilio ¹³ y el secreto de las comunicaciones ¹⁴ han recibido una protección constitucional en nuestro país, pero el derecho a la intimidad es un nuevo derecho recogido únicamente por las Constituciones europeas más recientes¹⁵.

Pese a su novedad, el derecho a la intimidad no es el último de los derechos fundamentales. La protección de la intimidad, del honor y de aquellos derechos susceptibles de ser vulnerados por medio de la informática ha dado lugar al nacimiento de un nuevo derecho que precisamente por su reciente aparición en los textos constitucionales¹⁶, aún carece de un nombre comúnmente aceptado, y se ha denominado como derecho a la autodeterminación informativa, derecho a la autodeterminación informática, libertad informática, derecho a la intimidad informática, etc.

La protección de la privacidad

La protección de la vida privada tiene un interesante desarrollo a nivel internacional. La Declaración Universal de Derechos Humanos (1948) en el artículo 12 estableció:

"Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques"

El Pacto Internacional de Derechos Civiles y Políticos (1966) recoge en el artículo 17:

"1. Nadie será objeto de injerencias arbitrarias o ilegales en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques ilegales a su honra y reputación."

"2. Toda persona tiene derecho a la protección de la ley contra esas injerencias o esos ataques".

El Convenio Europeo para la Protección de los Derechos Humanos y las Libertades Fundamentales (1950) manifiesta en el artículo 8:

"1. Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia."

"2. No podrá haber injerencia de la autoridad pública en el ejercicio de este derecho, sino en tanto en cuanto esta injerencia esté prevista por la ley y constituya una medida que, en una sociedad democrática, sea necesaria para la seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención del delito, la protección de la salud o de la moral, o la protección de los derechos y las libertades de los demás".

Las expresiones intimidad, vida privada o privacidad, parecen señalar una frontera entre aquello que debe permanecer reservado a la persona y aquello otro que queda sometido a la consideración pública.
Como hemos manifestado en otra ocasión "el concepto de intimidad se ha definido utilizando una metáfora, en donde lo inmaterial se transforma en una figura geométrica: se habla de la esfera de la intimidad"¹⁷. El Tribunal Constitucional español en varias ocasiones se ha referido a la esfera de la intimidad o a la esfera privada de la persona (entre otras las sentencias 22/1984, 110/1984, 114/1984).
Lo cierto es que la protección de la vida privada no se encuentra recogida de forma expresa en la Constitución española que se refiere a la intimidad en el párrafo 1º del artículo 18 y en el párrafo 4º del artículo 20 al citarlo como uno de los límites de las libertades informativas. Mientras que el párrafo 4º del artículo 18 dice:

"La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos"¹⁸.

Este precepto ha sido desarrollado por la Ley Orgánica 5/1992, 29 de octubre de 1992, de regulación del tratamiento automatizado de los datos de carácter personal (LORTAD). Esta Ley establece en beneficio de las personas una serie de cautelas respecto de las bases de datos públicas y privadas.
Fundamentalmente se refiere a la privacidad. De ahí que en la propia exposición de motivos se utilice esta expresión de privacidad:

"El progresivo desarrollo de las técnicas de recolección y almacenamiento de datos y de acceso a los mismos ha expuesto a la privacidad, en efecto a una amenaza potencial antes desconocida. Nótese que se habla de la privacidad, y no de la intimidad; aquélla es más amplia que ésta, pues en tanto la intimidad protege la esfera en que se desarrollan las facetas más singularmente reservadas de la vida de la persona -el domicilio donde realiza su vida cotidiana, las comunicaciones en las que expresa sus sentimientos, por ejemplo- la privacidad constituye un conjunto, más amplio más global de facetas de su personalidad que, aisladamente consideradas, pueden carecer de significación intrínseca pero que, coherentemente enlazadas entre sí, arrojan como precipitado un retrato de la personalidad del individuo que éste tiene derecho a mantener reservado, Y si la intimidad en sentido estricto está suficientemente protegida por las previsiones de los tres primeros párrafos del artículo 18 de la Constitución y por las leyes que los desarrollan, la privacidad puede resultar menoscabada por la utilización de las tecnologías informáticas de tan reciente desarrollo.

Ello es así porque, hasta el presente, las fronteras de la privacidad estaban defendidas por el tiempo y el espacio. El primero procuraba, con su transcurso, que se evanescieran los recuerdos de las actividades ajenas, impidiendo, así, la configuración de una historia lineal e ininterrumpida de la persona; el segundo, con la distancia que imponía, hasta hace poco difícilmente superable, impedía que tuviésemos conocimiento de los hechos que, protagonizados por los demás, hubieran tenido lugar lejos de donde nos hallábamos. El tiempo y el espacio operaban, así como salvaguarda de la privacidad de la persona.

Uno y otro límite han desaparecido hoy: las modernas técnicas de comunicación permiten salvar sin dificultades el espacio, y la informática posibilita almacenar todos los datos que se obtienen a través de las comunicaciones y acceder a ellos en apenas segundos, por distante que fuera el lugar donde transcurrieron los hechos o remotos que fueran éstos".

Es interesante señalar que el ámbito de protección de este derecho se extiende más allá de la propia intimidad, alcanzando datos que se generan y se captan en ámbitos privados, incluso públicos pero cuyo tratamiento automatizado puede determinar aspectos íntimos del individuo. Es decir, cuando nos referimos al derecho a la intimidad informática, la protección de los datos no se realiza por la naturaleza más o menos íntima de los datos¹⁹, sino por el hecho que esos datos van a ser procesados de forma automática y a través de ese procesamiento puede llegar a esa esfera íntima y recóndita del ser humano.

Protección constitucional frente a la informática y las telecomunicaciones.

Lo cierto es que la protección constitucional del artículo 18.4 de los mencionados derechos frente a la informática debería de extenderse más allá, hasta mencionar expresamente a las telecomunicaciones, tal y como se recoge en la propia exposición de motivos de la LORTAD. Aunque la fusión entre informática y telecomunicaciones es tal que lo correcto sería referirse a la telemática como medio agresor de los derechos fundamentales. De ahí que el olvido del Constituyente no sea un obstáculo insalvable. Además, el hecho que cualquier sistema moderno de telecomunicaciones exija un control y supervisión por sistemas informáticos, supone que la ausencia de una mención expresa a la telecomunicaciones no es relevante.

La anterior afirmación debería compartirse con la reflexión que apunta a que las normas jurídicas de protección de la intimidad y la vida privada, en nuestro país fundamentalmente la LORTAD, se han quedado ya superadas por "la misma noción de fichero y de banco de datos tiende a volverse insuficiente y a ser superada, ya que la nueva frontera no es ya el ordenador personal. Son cada vez más importantes las nociones de red, la red de área local y las tecnologías interactivas, por las posibilidades que otorga la telemática"²⁰

2. Internet y privacidad

Introducción. Internet ¿la Ley de la Selva?

Internet es un medio que ha revolucionado la forma de comunicarnos, hasta el punto de colaborar de forma primordial en la desaparición de las fronteras tradicionales. Este mismo efecto, la aterritorialidad del fenómeno Internet ha motivado que ante la falta de una autoridad que regule, controle y castigue los abusos cometidos en la red, se busquen otros mecanismos de protección. De alguna forma en la "la ley de la selva", la del más fuerte, trata de ser sustituida por normas más civilizadas.

La dificultad de regular el fenómeno no impide que desde diversas instancias se busque soluciones.

En este sentido entendemos que la regulación jurídica y ejecutiva debe realizarse a tres niveles:

La coordinación internacional

La regulación y actuación en cada país

A través de normas de autorregulación. Normas sociales que reciben diversas denominaciones: códigos éticos, normas sociales en Internet, etc.

Coordinación internacional

En algunas ocasiones si la agresión se realiza allende las fronteras se exige una colaboración internacional, no solo policial, también judicial. Para que esa colaboración tenga eficacia debe de coordinarse con objeto, por ejemplo, de poder detener simultáneamente a varios delincuentes (así fue el caso de la pornografía de menores). Este tipo de protección que se incardina en la protección penal exige una voluntad común de los Estados para armonizar las distintas legislaciones. Ello es posible para algunos tipos de agresiones teleinformáticas, como para proteger a los menores o incluso para la protección de la vida privada de las personas.

Actuaciones en cada país

Como cuando se tratan de aplicar normas de cada Estado al fenómeno Internet. En algunos casos quien comete la agresión se encuentra en el mismo país, por lo que puede ser perseguido y sancionado (la Policía Española tiene una unidad especializada en nuevas tecnologías). Aún en este caso existen dificultades para regular el fenómeno Internet.

Los problemas que se plantean son entre otros, como la ocultación tecnológica del autor, la dificultad de probar la agresión, etc.

Superados esas dificultades, en muchos caso nos encontramos que no hay normas específicas para Internet. Es entonces cuando se trata de aplicar las normas generales. Pero esa aplicación plantea numerosas dificultades. Por ejemplo, ¿se pueden aplicar a los delitos cometidos por Internet, las normas específicas sobre responsabilidad penal en caso de delitos cometidos utilizando medios de comunicación social? Por tanto ¿pueden los proveedores de acceso a Internet asimilarse a los editores de una publicación? La respuesta a esta pregunta no puede ser un sí absoluto. Solo en el caso que pueda probarse el conocimiento directo del proveedor sin que realice ninguna acción de bloqueo puede imputársele algún tipo de responsabilidad. Además la actuación de los proveedores de acceso pueden tener la misma consideración que las compañías de teléfonos que aunque permiten la comunicación entre dos puntos no son responsables de las informaciones, las conversaciones o los datos que circulan por sus líneas.

Normativa nacional

En otros casos, existen nuevas normas que contemplan las nuevas tecnologías. En España, el Código Penal de 1995 incluye diversos preceptos que contemplan esta nueva realidad. En concreto en su artículo 197²¹ al referirse a la vulneración del derecho a la intimidad, incluye la utilización de nuevos medios tecnológicos.

En este delito descrito en el "larguísimo" artículo 197, la intencionalidad de "descubrir los secretos o vulnerar la intimidad de otro" es imprescindible como requisito subjetivo del delito descrito en el punto 1º. Sin embargo, el párrafo 2º no incluye tal requisito cuando lo se trata de "apoderarse, utilizar o modificar, en perjuicio de tercero, datos de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado" convirtiéndose el perjuicio de tercero en el elemento esencial del tipo penal.

Desde el punto de vista administrativo la norma que viene a desarrollar el artículo 18. 4 de la Constitución, la LORTAD²² que por tanto contempla también la utilización de la informática respecto de los datos personales, ha establecido diversos mecanismos de control sobre las bases de datos de carácter personal. Incluso mediante un sistema de sanciones al que dedica todo el título séptimo (artículos 42 a 48)²³.

Menos específica con las nuevas tecnologías es la Ley Orgánica 1/1982 de protección civil del derecho al honor a la intimidad personal y familiar y a la propia imagen. Norma que vino a suplir provisionalmente durante diez años la ausencia de un desarrollo del artículo 18.4 de la Constitución, que como hemos visto ser realizó por la LORTAD. Entendemos sin embargo, que la mencionada Ley Orgánica 1/82 puede ser empleada para dirimir las responsabilidades civiles derivadas de acciones contrarias a los derechos de la personalidad cuando dichas acciones se realizan por los nuevos medios tecnológicos, incluidas las agresiones que puedan realizarse a través de Internet.

La privacidad del navegante

La información que se transmite. Mensajes electrónicos.

Una de las muchas cuestiones que preocupan en la red de redes es la posible agresión a la intimidad de los cibernautas, comenzando por la interceptación de sus mensajes.

Al respecto entiendo que es de aplicación el artículo 197 del Código Penal, así como la LORTAD y la Ley 1/82.

En particular cuando se trata de una violación de la correspondencia, en este caso electrónica, la acción puede ser considerada delictiva y por tanto incluida dentro del artículo 197. Incluso cuando quien realiza la interceptación electrónica es el proveedor del acceso puede estimarse la comisión delictiva, ni siquiera podría alegarse por parte del proveedor del acceso que tal interceptación se realizó para filtrar o en aras de un derecho de veto, que no tiene.

Las agresiones contra los ordenadores (hacker)

Es posible con la tecnología y los programas adecuados acceder a un ordenador que esté conectado a una red, rompiendo la protección del mismo. Una vez hecho esto, el hacker puede desde limitarse a husmear/fisgar en las cartas de amor escritas en Word (en este caso sería de aplicación el artículo 197 del CP), a dejar un mensaje gracioso, apropiarse de los ficheros de claves propios, borrar, alterar o inutilizar los ficheros (en el caso de daños se aplicaría el artículo 264 del CP).

¿Podrá utilizarse mencionado artículo 197 del CP para sancionar criminalmente al hacker que se limita a romper la protección de un sistema para introducirse en el mismo? Según el 197.2 in fine "iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero". La redacción desafortunada parece contemplar dos supuestos de hecho diferentes al utilizar la expresión ""iguales penas se impondrán a quien … y a quien …" Si así fuera, existiría una considerable desproporción entre el "simple acceso" sin autorización, propio del hacker que "prueba" la seguridad de un sistema informático -primer supuesto-, y el segundo supuesto de hecho. A su vez este segundo supuesto de hecho, incluye otros dos subsupuestos: el acceso con alteración, por un lado, y por otro, el acceso con utilización de la información en perjuicio de otro. A todas luces parece que la alteración debería ser contemplada según la gravedad y daño producido, ya que incluso una alteración puede ser positiva, y con la letra del 197 en la mano, punible. Ciertamente el delito de daños ya se recoge expresamente en el apartado 2º del artículo 264.

Las conclusiones a que se pueden llegar es que la diferencia entre los artículos 264²⁴ y 197 reside en el bien jurídico protegido en cada uno de ellos, la propiedad ajena en el caso del 264.2 y el derecho a la intimidad en el artículo 197. Además se precisa una labor jurisprudencial que perfile los tipos penales establecidos en relación con los nuevos medios tecnológicos.

La información que se entrega a la red.

Los usuarios de la red para acceder a determinadas informaciones, servicios deben de presentarse ofreciendo determinados datos a los servidores de información (nombre, dirección de correo, preparación académica, etc...) En algunos casos esa información se hace pública, por ejemplo cuando se realiza una presentación de un nuevo miembro de una lista de distribución. En otros la información queda almacenada por el servidor. La normativa en este punto deberá de establecer criterios de confidencialidad. Y llegados a este punto, replantearnos el derecho a la intimidad, tal y como se ha manifestado ante la Comisión de Redes del Senado: "El hecho de entender la intimidad como anonimato y de preservar la posibilidad de que los datos personales del usuario no sean conocidos por gente fuera de su control exige una solución que, probablemente, va a tener que pasar por un replanteamiento radical de lo que significan la intimidad y el anonimato. Vamos a tener que olvidarnos de la intimidad como anonimato que hay, por ejemplo, en una gran ciudad y vamos a tener que volver a un sistema más parecido al de un pueblo, en el cual todo el mundo se conoce y todo el mundo sabe, más o menos, lo que los demás están haciendo, lo que han hecho o lo que van a hacer, pero hay un sistema de confianza mutua por el cual no se abusa de esa confianza. Es la vuelta al concepto de aldea, en este caso global" (CERVERA)²⁵.

Los "rastros" en Internet (Cookies, Los movimientos de una dirección IP. Estadísticas).

En ocasiones la entrega de información no es explícita. Por ejemplo, cuando nos ponemos en contacto con algún servicio que exige password o identificación, la primera vez tecleamos los datos para acceder, Para simplificar posteriores conexiones se generan una "cookie", una galleta que se utiliza cada vez que se accede a ese servidor. En la galleta figura información que puede ser empleada para identificar al usuario, su máquina, etc.

Estas galletas sirven para alimentar no solo a los sistemas informáticos que nos requieren información, también para caracterizar a un determinado usuario.

Pero además, cada vez que nos internamos en la selva/bosque que es Internet dejamos un rastro (visitas a páginas de adopción de menores, a páginas picantes, a webs de deportes violentos, a información sobre hoteles en países europeos, etc...) y esa información que marca un perfil de intereses, de aficiones, incluso de sentimientos íntimos, tiene un alto valor para vendedores de enciclopedias, o seguros, para entidades de crédito, para organizaciones sociales, políticas o económicas que tratan de controlarnos o determinar si valemos o no valemos, si seremos buenos o malos clientes, y todo eso sin nuestro conocimiento.

La publicidad de datos personales

Sin embargo, debemos de entender que una situación como la descrita antes no puede significar un sistema cerrado. Ya hemos citado las palabras de CERVERA en donde se plantea una nueva dimensión de la intimidad. La nueva sociedad de la información precisa de una confianza, de una puesta en común de información con los riesgos que ello genera. Incluso en otra ocasión hemos manifestado que la transparencia se convierte en un mecanismo de protección de la intimidad²⁶.

Como ejemplo de un exceso de celo en la protección de la información podemos la interpretación restrictiva de uno de los límites que aparecen en la LORTAD.

Datos de servicios de telecomunicaciones. Números de teléfonos. Direcciones de correo electrónico (art.26 LORTAD)

El artículo 26 de la LORTAD atribuye un régimen jurídico especial a los datos de abonados a servicios de telecomunicación:

Los números de los teléfonos y demás servicios de telecomunicación junto con otros datos complementarios, podrán figurar en los repertorios de abonados de acceso al público, pero el afectado podrá exigir su exclusión.

Este precepto trastoca el principio de voluntad del afectado, ya que la norma general de toda la LORTAD se resume que es preciso el consentimiento previo para la captación (artículo 5), tratamiento (artículo 6) o cesión (artículo 11) de los datos de carácter personal. Sin embargo, cuando se trata de datos de abonados a servicios de telecomunicación (listines de teléfonos, listas de direcciones de correo electrónico, etc…) el consentimiento solo opera a posteriori para exigir su exclusión.

La interpretación que se está realizando es restrictiva en el sentido de solicitar la autorización del abonado a priori.

Incluso cuando se trata de direcciones de correo electrónico, al igual que números de teléfonos que corresponden a una organización como puede ser una empresa privada, una universidad o, incluso, un ayuntamiento, la inclusión o no del dato trabajador o empleado al servicio de esa institución se hace depender de la voluntad del trabajador y no de la institución.

Esa interpretación creemos que no es correcta. Es más, si se trata de algo público, el derecho de ciudadano a la identificación del funcionario, de las autoridades y del personal al servicio de las Administraciones Públicas "bajo cuya responsabilidad se tramiten los procedimientos" (artículo 35 párrafo b de la Ley 30/1992 de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común) entendemos que iría más allá y comprendería el acceso por medio de las telecomunicaciones. Esto es el conocimiento no sólo de los números de teléfono sino también de las direcciones de correo electrónico como principio general, que en todo caso puede tener sus excepciones.

3. Apuntes para unas conclusiones

La encriptación.

La protección de la privacidad en Internet pasa por la posible utilización de la encriptación²⁷ de mensajes, tal y como reconoce el artículo 52 de la Ley General de Telecomunicaciones. La crítica que ha recibido ese precepto con la campaña "No al Artículo 52. Criptografría libre, criptografía segura" desde organizaciones defensoras de la libertad en Internet²⁸ reside en la posible obligación que se establecería reglamentariamente para entregar el procedimiento de cifrado a la Administración General del Estado, lo cual supondría una clara disminución de las garantías del cifrado.

Soluciones jurídicas

Ya hemos apuntado la idea que la regulación del fenómeno Internet debe de realizarse desde tres fuentes: la regulación nacional, la regulación jurídica internacional y la regulación social de los propios usuarios de Internet. Con esta triple regulación no se solucionan definitivamente los problemas que puedan generarse dentro de la Red de Redes.

No debemos olvidar, como se ha dicho reiteradamente, que el Derecho no es más que uno más de los medios de control social, el último. Antes de llegar a la intervención del Derecho, la educación, la tecnología, la formación, la ética personal debe de intervenir para solucionar los conflictos, incluso para evitar esos conflictos antes que se produzcan.

Seminario Complutense de Telecomunicaciones e Información

Madrid, Diciembre 1998