¿Qué hay de cierto en que el gobierno vaya a intervenir los watsapp?

Clara Rodríguez Ilárraz, del despacho jurídico Evolvers, lo explica.

El Anteproyecto de la Ley General de Comunicaciones, que se encuentra actualmente en estado de Audiencia Pública hasta el día 23 de octubre de 2020, ha generado confusión y alarma por considerarse que el Gobierno podría intervenir las aplicaciones móviles de mensajería instantánea y redes sociales, con el fin de enviar alertas a los ciudadanos por motivos de seguridad nacional. Clara Rodríguez Ilárraz, experta jurídica en Evolvers, explica el anteproyecto.

El Anteproyecto modifica sustancialmente la derogada Ley 32/2003 General de Telecomunicaciones en dos aspectos fundamentales:

(i) La extensión del objeto de aplicación de la Ley a la prensa o noticias en línea, a las redes sociales y a la mensajería instantánea, entre otros; y

(ii) La supresión de competencias en materia de registro, que pasa de la Comisión Nacional de los Mercados y de la Competencia (CNMC), al Ministerio de Asuntos Económicos y Transformación Digital.

Diferencias entre ambos textos legislativos

Si bien es cierto que en la derogada Ley del año 2003 ya se anunciaba la posibilidad de que el Gobierno, con carácter excepcional y transitorio, acordara la asunción de la gestión directa de determinados servicios de comunicaciones electrónicas, existen tres diferencias entre la anterior y la nueva redacción del Anteproyecto:

En primer lugar, en el año 2003 no estaban vigentes el Reglamento General Europeo de Protección de Datos (RGPD), ni la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPD-GDD), entrando en vigor ambos textos legales en el año 2018.

De acuerdo con el artículo 23 del RGPD, los datos de los usuarios podrán cederse a las Fuerzas y Cuerpos de la Seguridad del Estado y demás instituciones con el fin de salvaguardar la seguridad y defensa del Estado, la prevención, investigación, detección o enjuiciamiento de infracciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención.

Según la normativa nacional (LOPD-GDD, artículo 52), hasta la propia Agencia Española de Protección de Datos deberá recabar una autorización judicial en aquellos casos en que solicite una cesión de datos, salvo si está actuando en el marco de una investigación iniciada como consecuencia de una denuncia.

Asimismo, la Ley 25/2007, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, establece que la cesión solamente podrá tener lugar previa autorización judicial solicitada por alguno de los agentes facultados para instar el requerimiento de información.

En definitiva, de la nueva normativa se desprende que, desde el año 2018, una autorización judicial es necesaria para la cesión de datos personales, siempre que dichos datos no sean tratados con fines de seguridad nacional o de enjuiciamiento criminal.

En segundo lugar, en el Anteproyecto se introduce, en el artículo 4, el concepto de “orden público”. En caso de aprobación del texto actual, el Gobierno podrá gestionar o intervenir directamente las redes y servicios de comunicaciones electrónicas en determinados supuestos excepcionales. Concretamente, los que puedan afectar al orden público, a la seguridad pública y a la seguridad nacional.

En este punto el legislador se ha excedido en sus definiciones pues el concepto de “orden público no es considerado como causa justificativa por la legislación vigente en materia de protección de datos para excusar una autorización judicial en caso de cesión.

Clases de operadores

En lo que respecta a los operadores, hay que distinguir entre los independientes de la numeración, es decir, redes sociales y servicios de comunicación instantánea como Telegram o WhatsApp, que podrán tener asignada la obligación de transmitir alertas públicas en caso de grandes catástrofes o emergencias inminentes o en curso, pero no tendrán que registrarse como operadores; y los dependientes de la enumeración (Telefónica, Orange, Vodafone…) que deberán registrarse como operadores y podrán ser intervenidos y gestionados directamente por el Gobierno, teniendo la obligación de transmitir alertas públicas por el mero hecho de estar registrados.

Es claro el Anteproyecto en este punto porque establece en su artículo 6.2 que únicamente deberán registrarse los prestadores de un determinado servicio de comunicaciones electrónicas interpersonales basados en la numeración disponible al público.

Por ello, con independencia del ámbito de aplicación de la Ley, los operadores independientes de la numeración, esto es, aquellos que no utilizan números de un plan nacional o internacional de numeración, están exentos del régimen de autorización general, de conformidad con el artículo 12 del Código Europeo de las Comunicaciones Electrónicas (CECE). Por lo tanto, su prestador no debería inscribirse en el Registro de Operadores. De acuerdo con esto, en el artículo 4.6 del Anteproyecto se realiza una diferenciación entre operadores basados en numeración, quienes deberán estar registrados, y los independientes de la enumeración, que podrán tener asignada la obligación de emitir alertas.

El sistema de alertas públicas

Este sistema se regula por primera vez en el Anteproyecto de la Ley General de Telecomunicaciones, en el artículo 75.

En el mismo se establece que los operadores independientes de la enumeración, incluyéndose expresamente los medios de servicios de comunicación audiovisual (Netflix, HBO, Prime…) o las aplicaciones móviles (APP Radar Covid o WhatsApp, por ejemplo), podrán comunicar alertas, pero el legislador deja en suspense el modo en que podrían ser publicadas y, sobre todo, si las mismas se emitirían previa orden del Gobierno.

En este punto el legislador no es claro.

La asunción de nuevas competencias por el gobierno

Con este nuevo texto legal, a diferencia de la Ley General de Telecomunicaciones del año 2003, el Registro de Operadores que fue creado entonces, ya no dependerá más de la CNMC. Dependerá del Ministerio de Asuntos Económicos y Transformación Digital.

La consecuencia de la creación de esta nueva competencia es fundamentalmente que el legislador obliga a un deber de colaboración entre ambos organismos: el Ministerio y la CNMC.

El texto no esclarece nada sobre el funcionamiento de este nuevo Registro de Operadores que se regulará, según el Anteproyecto, por Real Decreto. Lo que sí que queda expresamente recogido en el artículo 9 es que el Ministerio podrá recabar toda la información que necesite de la CNMC en esta materia, sin necesidad de autorización judicial. Esto, desde el punto de vista de la protección de datos, exigiría, al menos, una evaluación de impacto.

Si se realizara una evaluación de impacto previa a la entrada en vigor de este, por el momento, Anteproyecto de Ley, los ciudadanos podrían conocer el alcance de los datos que van a ser cedidos entre instituciones y la seguridad que el Ministerio va a aplicar a sus sistemas de información para evitar brechas o violaciones de seguridad y/o la utilización y el tratamiento de los datos personales recabados para otros fines distintos del de seguridad nacional, como con fines de “orden público”.

En definitiva, el nuevo texto legal que se ha dado a la Ley General de Telecomunicaciones otorga al Gobierno y al Ministerio de Asuntos Económicos y Transformación Digital nuevas facultades que pueden ser entendidas desde la perspectiva de la innovación tecnológica, o bien desde la perspectiva más purista en lo que a protección de datos se refiere.

Ciertamente le será complicado al Gobierno justificar un requerimiento de datos personales a los operadores independientes de la enumeración (WhatsApp, Telegram...) pues se deberá respetar también lo previsto en la Ley 25/2007 en la que se exige una autorización judicial, así como el deber de confidencialidad previsto en la Directiva europea sobre la privacidad y las comunicaciones electrónicas, debiendo motivar el Gobierno adecuadamente sus premisas en este aspecto, que deberán ser proporcionadas al fin perseguido. En caso contrario, será la Agencia Española de Protección de Datos la autoridad competente para resolver cualquier conflicto que se derive de este asunto.