RESUMEN DEL DICTAMEN PRELIMINAR DEL SUPERVISOR EUROPEO DE DATOS PERSONALES SOBRE APLICACION DE EXCEPCIONES TEMPORALES PARA COMBATIR EL ABUSO SEXUAL DE MENORES EN LINEA.

 Por: Carlos A. FERREYROS SOTO

        Doctor en Derecho
        Université de Montpellier I Francia.
        M. Sc. Institut Agronomique Méditerranéen

        cferreyros@hotmail.com

PROLOGO

En septiembre  de 2020 la Comisión Europea publicó una propuesta de Reglamento provisional sobre la excepción temporal de determinadas disposiciones de la Directiva 2002/58/CE acerca de la privacidad y las comunicaciones electrónicas en lo que respecta al uso de tecnologías por proveedores de servicios de comunicaciones interpersonales independientes de la numeración para el tratamiento de datos personales y de otro tipo con fines de lucha contra el abuso sexual de menores en línea.

La excepción se referiría al tratamiento de datos personales en relación con la prestación de «servicios de comunicación independientes de la numeración»  La Propuesta enumera una serie de condiciones para que la excepción sea aplicable, que se analizarán más adelante en este dictamen.

El Supervisor Europeo de Datos Personales, SEPD fue consultado formalmente por la Comisión el 16 de septiembre de 2020. El 30 de septiembre, la Comisión puso en marcha una consulta pública para recibir comentarios sobre su propuesta.

La excepción concernía al artículo 5, apartado 1[1], y al artículo 6[2] de la Directiva sobre la privacidad y las comunicaciones electrónicas en relación con el tratamiento de datos personales con respecto a la prestación de «servicios de comunicaciones independientes de la numeración» (por ejemplo, voz sobre IP, servicios de mensajería y servicios de correo electrónico basados en la web) que sea estrictamente necesario para el uso de la tecnología a efectos de retirar material de abuso sexual de menores y detectar y denunciar el abuso sexual de menores en línea a las autoridades encargadas de garantizar el cumplimiento de la ley y a organizaciones que actúen en interés público contra el abuso sexual de menores.

En este dictamen, el SEPD ofrece sus recomendaciones en relación con la propuesta, en respuesta a una consulta formal por la Comisión, de conformidad con el artículo 42 del Reglamento (UE) 2018/1725.

En particular, señala que las medidas previstas en la propuesta supondrían una injerencia en los derechos fundamentales relativos al respeto a la vida privada y a la protección de datos de todos los usuarios de servicios muy populares de comunicaciones electrónicas, como las plataformas y aplicaciones de mensajería instantánea.

El SEPD desea subrayar que las cuestiones planteadas no son específicas de la lucha contra el abuso de menores, sino que son relevantes para cualquier iniciativa dirigida a fomentar la colaboración del sector privado en la aplicación de las leyes. De ser adoptada, la propuesta inevitablemente constituirá un precedente para la legislación futura en este ámbito. El SEPD considera, por lo tanto, que es esencial que no se acepte esta propuesta, ni siquiera en forma de excepción temporal, hasta que se integren todas las garantías necesarias expuestas en este dictamen.

En particular, en aras de la seguridad jurídica, el SEPD considera que es necesario aclarar si la propuesta en sí misma tiene o no por objeto proporcionar una base jurídica para el tratamiento de datos a los efectos del Reglamento General de Protección de Datos (RGPD). De no ser así, el SEPD recomienda aclarar de forma explícita en la propuesta qué base jurídica en virtud del RGPD sería aplicable en este caso concreto.

A fin de cumplir con el requisito de proporcionalidad, la legislación debe establecer reglas claras y precisas sobre el ámbito de aplicación de las medidas en cuestión e imponer garantías mínimas, para que las personas cuyos datos personales se vean afectados tengan suficientes garantías de que los datos recibirán una protección efectiva contra el riego de abuso.

Por último, considera que la validez de cualquier medida transitoria no debe exceder los dos años.

El texto completo del Dictamen Preliminar se encuentra disponible en alemán, francés, e inglés en el sitio web de SEPD: www.edps.europa.eu

---

[1] Artículo 5. Confidencialidad de las comunicaciones.

1. Los Estados miembros garantizarán, a través de la legislación nacional, la confidencialidad de las comunicaciones, y de los datos de tráfico asociados a ellas, realizadas a través de las redes públicas de comunicaciones y de los servicios de comunicaciones electrónicas disponibles al público. En particular, prohibirán la escucha, la grabación, el almacenamiento u otros tipos de intervención o vigilancia de las comunicaciones y los datos de tráfico asociados a ellas por personas distintas de los usuarios, sin el consentimiento de los usuarios interesados, salvo cuando dichas personas estén autorizadas legalmente a hacerlo de conformidad con el apartado 1 del artículo 15.

El presente apartado no impedirá el almacenamiento técnico necesario para la conducción de una comunicación, sin perjuicio del principio de confidencialidad.

[2] Artículo 6 Datos de tráfico

1. Sin perjuicio de lo dispuesto en los apartados 2, 3 y 5 del presente artículo y en el apartado 1 del artículo 15, los datos de tráfico relacionados con abonados y usuarios que sean tratados y almacenados por el proveedor de una red pública de comunicaciones o de un servicio de comunicaciones electrónicas disponible al público deberán eliminarse o hacerse anónimos cuando ya no sea necesario a los efectos de la transmisión de una comunicación.

2. Podrán ser tratados los datos de tráfico necesarios a efectos de la facturación de los abonados y los pagos de las interconexiones. Se autorizará este tratamiento únicamente hasta la expiración del plazo durante el cual pueda impugnarse legalmente la factura o exigirse el pago.

3. El proveedor de un servicio de comunicaciones electrónicas disponible para el público podrá tratar los datos a que se hace referencia en el apartado 1 para la promoción comercial de servicios de comunicaciones electrónicas o para la prestación de servicios con valor añadido en la medida y durante el tiempo necesarios para tales servicios o promoción comercial, siempre y cuando el abonado o usuario al que se refieran los datos haya dado su consentimiento. Los usuarios o abonados dispondrán de la posibilidad de retirar su consentimiento para el tratamiento de los datos de tráfico en cualquier momento.

4. El proveedor del servicio deberá informar al abonado o al usuario de los tipos de datos de tráfico que son tratados y de la duración de este tratamiento a los efectos mencionados en el apartado 2 y, antes de obtener el consentimiento, a los efectos contemplados en el apartado 3.

5. Sólo podrán encargarse del tratamiento de datos de tráfico, de conformidad con los apartados 1, 2, 3 y 4, las personas que actúen bajo la autoridad del proveedor de las redes públicas de comunicaciones o de servicios de comunicaciones electrónicas disponibles al público que se ocupen de la facturación o de la gestión del tráfico, de las solicitudes de información de los clientes, de la detección de fraudes, de la promoción comercial de los servicios de comunicaciones electrónicas o de la prestación de un servicio con valor añadido, y dicho tratamiento deberá limitarse a lo necesario para realizar tales actividades.

6. Los apartados 1, 2, 3 y 5 se aplicarán sin perjuicio de la posibilidad de que los organismos competentes sean informados de los datos de tráfico con arreglo a la legislación aplicable, con vistas a resolver litigios, en particular los relativos a la interconexión o a la facturación.

 

____________________________________________________________

Resumen del dictamen del Supervisor Europeo de Protección de Datos sobre la propuesta relativa a la aplicación de excepciones temporales a la Directiva 2002/58/CE para combatir el abuso sexual de menores en línea

(El texto completo de este dictamen puede consultarse en alemán, francés e inglés en el sitio web del SEPD www.edps.europa.eu)

(2021/C 102/04)

Resumen ejecutivo

El 10 de septiembre de 2020, la Comisión publicó una propuesta de Reglamento sobre la excepción temporal de determinadas disposiciones de la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas en lo que respecta al uso de tecnologías por proveedores de servicios de comunicaciones interpersonales independientes de la numeración para el tratamiento de datos personales y de otro tipo con fines de lucha contra el abuso sexual de menores en línea. La excepción se refiere al artículo 5, apartado 1, y al artículo 6 de la Directiva sobre la privacidad y las comunicaciones electrónicas en relación con el tratamiento de datos personales con respecto a la prestación de «servicios de comunicaciones independientes de la numeración» necesario para el uso de la tecnología a efectos de retirar el material de abuso sexual de menores y detectar y denunciar a las autoridades el abuso sexual de menores en línea.

En este dictamen, el SEPD ofrece sus recomendaciones en relación con la propuesta, en respuesta a una consulta formal por la Comisión, de conformidad con el artículo 42 del Reglamento (UE) 2018/1725.

En particular, señala que las medidas previstas en la propuesta supondrían una injerencia en los derechos fundamentales relativos al respeto a la vida privada y a la protección de datos de todos los usuarios de servicios muy populares de comunicaciones electrónicas, como las plataformas y aplicaciones de mensajería instantánea. La confidencialidad de las comunicaciones es una piedra angular de los derechos fundamentales relativos al respeto a la vida privada y familiar. Incluso las medidas voluntarias adoptadas por empresas individuales constituyen una injerencia en dichos derechos cuando implican el seguimiento y análisis del contenido de las comunicaciones y el tratamiento de datos personales.

El SEPD desea subrayar que las cuestiones planteadas no son específicas de la lucha contra el abuso de menores, sino que son relevantes para cualquier iniciativa dirigida a fomentar la colaboración del sector privado en la aplicación de las leyes. De ser adoptada, la propuesta inevitablemente constituirá un precedente para la legislación futura en este ámbito. El SEPD considera, por lo tanto, que es esencial que no se acepte esta propuesta, ni siquiera en forma de excepción temporal, hasta que se integren todas las garantías necesarias expuestas en este dictamen.

En particular, en aras de la seguridad jurídica, el SEPD considera que es necesario aclarar si la propuesta en sí misma tiene o no por objeto proporcionar una base jurídica para el tratamiento de datos a los efectos del Reglamento General de Protección de Datos (RGPD). De no ser así, el SEPD recomienda aclarar de forma explícita en la propuesta qué base jurídica en virtud del RGPD sería aplicable en este caso concreto. En este sentido, el SEPD insiste en que la orientación por las autoridades de protección de datos no sustituye el cumplimiento del requisito de legalidad. Es insuficiente disponer que las excepciones temporales se entienden «sin perjuicio» del RGPD y exigir una consulta previa a las autoridades de protección de datos. Los colegisladores deben asumir su responsabilidad y garantizar que la excepción propuesta cumple con los requisitos del artículo 15, apartado 1, de acuerdo con la interpretación del Tribunal de Justicia de la Unión Europea.

A fin de cumplir con el requisito de proporcionalidad, la legislación debe establecer reglas claras y precisas sobre el ámbito de aplicación de las medidas en cuestión e imponer garantías mínimas, para que las personas cuyos datos personales se vean afectados tengan suficientes garantías de que los datos recibirán una protección efectiva contra el riego de abuso.

Por último, el SEPD considera que el plazo de cinco años propuesto no parece proporcionado teniendo en cuenta la falta de a) una demostración previa de la proporcionalidad de la medida prevista y b) la inclusión de suficientes garantías en el texto legislativo. Considera que la validez de cualquier medida transitoria no debe exceder los dos años.

I.   INTRODUCCIÓN

1.1   Antecedentes

1.

El 24 de julio de 2020, la Comisión adoptó la Comunicación Estrategia de la UE para una lucha más eficaz contra el abuso sexual de menores (1). La Comunicación señala que, a partir de diciembre de 2020, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo («Directiva sobre la privacidad y las comunicaciones electrónicas») (2) tendrá un mayor ámbito de aplicación a consecuencia de la aprobación del Código Europeo de las Comunicaciones Electrónicas (3). El Código Europeo de las Comunicaciones Electrónicas amplia el ámbito de aplicación de la Directiva sobre la privacidad y las comunicaciones electrónicas para abarcar los servicios de comunicaciones interpersonales de transmisión libre [over-the-top (OTT)], por ejemplo, los servicios de mensajería y correo electrónico. Según la Comunicación, de esta forma se impedirá que ciertas empresas individuales (en ausencia de medidas legislativas nacionales adoptadas de conformidad con el artículo 15, apartado 1, de la Directiva sobre la privacidad y las comunicaciones electrónicas) continúen aplicando medidas voluntarias para detectar, retirar y notificar abusos sexuales de menores en línea. (4)

2.

El 10 de septiembre de 2020, la Comisión publicó (5) una propuesta de Reglamento provisional sobre el tratamiento de datos personales y de otro tipo con fines de lucha contra el abuso sexual de menores, que prevé la excepción temporal del artículo 5, apartado 1, y el artículo 6 de la Directiva sobre la privacidad y las comunicaciones electrónicas (la «Propuesta»). La Comisión considera que tal excepción es necesaria para permitir la continuación de las actuales actividades voluntarias después de diciembre de 2020. La excepción se referiría a el tratamiento de datos personales en relación con la prestación de «servicios de comunicación independientes de la numeración» (6) (por ejemplo, voz sobre IP, servicios de mensajería y servicios de correo electrónico basados en la web) que sea estrictamente necesario para el uso de la tecnología a efectos de retirar material de abuso sexual de menores y detectar y denunciar el abuso sexual de menores en línea a las autoridades encargadas de garantizar el cumplimiento de la ley y a organizaciones que actúen en interés público contra el abuso sexual de menores. La Propuesta enumera una serie de condiciones para que la excepción sea aplicable, que se analizarán más adelante en este dictamen.

3.

El SEPD fue consultado formalmente por la Comisión el 16 de septiembre de 2020. El 30 de septiembre, la Comisión puso en marcha una consulta pública para recibir comentarios sobre su propuesta.

1.2   Relación con la Directiva 2011/93/UE

4.

La Unión había adoptado previamente un instrumento jurídico exhaustivo para luchar contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil, la Directiva 2011/93/UE del Parlamento Europeo y del Consejo («Directiva contra el abuso sexual de menores») (7).

5.

La Directiva contra el abuso sexual de menores establece normas mínimas relativas a la definición de las infracciones penales y de las sanciones en el ámbito de los abusos sexuales y la explotación sexual de los menores y el material de abusos sexuales de menores. Requiere que los Estados miembros garanticen la punibilidad de las siguientes conductas dolosas cuando se cometen de forma ilícita (8): — el acceso a sabiendas a pornografía infantil por medio de las tecnologías de la información y la comunicación; — la distribución, difusión o transmisión de pornografía infantil; — el ofrecimiento, suministro o puesta a disposición de pornografía infantil (9).

6.

La Directiva contra el abuso sexual de menores también obliga a los Estados miembros a adoptar las medidas necesarias para garantizar la punibilidad de ciertas conductas que equivalen a la captación de menores con fines sexuales por medio de las tecnologías de la información y la comunicación.

7.

La Directiva contra el abuso sexual de menores requiere a los Estados miembros adoptar las medidas necesarias para garantizar la rápida retirada de páginas web de internet que contengan o difundan pornografía infantil que se encuentren en su territorio y procurar obtener la retirada de las páginas de esa índole que se encuentren fuera de su territorio, así como embargar y decomisar los instrumentos y productos de tales infracciones. (10) Asimismo, los Estados miembros adoptarán medidas para bloquear el acceso a las páginas web de internet que contengan o difundan pornografía infantil a los usuarios de internet en su territorio. (11)

8.

En 2010, el SEPD emitió un dictamen de iniciativa sobre la propuesta de Directiva relativa a la lucha contra los abusos sexuales, la explotación sexual de los menores y la pornografía infantil (12). Las consideraciones y recomendaciones incluidas en este dictamen también son relevantes para la propuesta de Reglamento provisional. En su caso, el SEPD reiterará o hará referencia a su dictamen de 2010.

III.   CONCLUSIONES

52.

Las medidas previstas por la propuesta supondrían una injerencia con los derechos fundamentales relativos al respeto a la vida privada y a la protección de datos de todos los usuarios de servicios muy populares de comunicaciones electrónicas, como las plataformas y aplicaciones de mensajería instantánea. Incluso las medidas voluntarias de empresas individuales constituyen una injerencia con dichos derechos cuando implican el seguimiento y análisis del contenido de las comunicaciones y el tratamiento de datos personales.

53.

Las cuestiones planteadas no son específicas de la lucha contra el abuso de menores, sino que son relevantes para cualquier iniciativa dirigida a fomentar la colaboración del sector privado en la aplicación de las leyes. De ser adoptada, la propuesta inevitablemente constituirá un precedente para la legislación futura en este ámbito. El SEPD considera, por lo tanto, que es esencial que no se acepte esta propuesta, ni siquiera en forma de excepción temporal, hasta que se integren todas las garantías necesarias expuestas en este dictamen.

54.

En aras de la seguridad jurídica, el SEPD considera que es necesario aclarar si la Propuesta en sí misma tiene o no por objeto proporcionar una base jurídica para el tratamiento de datos a los efectos del Reglamento General de Protección de Datos (RGPD). De no ser así, el SEPD recomienda aclarar de forma explícita en la propuesta qué base jurídica en virtud del RGPD sería aplicable en este caso concreto. En este sentido, el SEPD insiste en que la orientación por las autoridades de protección de datos no sustituye el cumplimiento del requisito de legalidad. Es insuficiente disponer que las excepciones temporales se entienden «sin perjuicio» del RGPD y exigir una consulta previa a las autoridades de protección de datos. Los colegisladores deben asumir su responsabilidad y garantizar que la excepción propuesta cumple con los requisitos del artículo 15, apartado 1, de acuerdo con la interpretación del Tribunal de Justicia de la Unión Europea.

55.

A fin de cumplir con el requisito de proporcionalidad, la legislación debe establecer reglas claras y precisas sobre el ámbito de aplicación de las medidas en cuestión e imponer garantías mínimas, para que las personas cuyos datos personales se vean afectados tengan suficientes garantías de que los datos recibirán una protección efectiva contra el riego de abuso.

56.

La no identificación de las medidas sujetas a excepción podría socavar la seguridad jurídica.

57.

Por último, el SEPD considera que el plazo de cinco años propuesto no parece proporcionado teniendo en cuenta la falta de: a) una demostración previa de la proporcionalidad de la medida prevista, y b) la inclusión de suficientes garantías en el texto legislativo. Considera que la validez de cualquier medida transitoria no debe exceder los dos años.

Bruselas, 10 de noviembre de 2020

Wojciech WIEWIÓROWSKI

---

(1)  COM(2020) 607 final, https://ec.europa.eu/home-affairs/sites/homeaffairs/files/what-we-do/policies/european-agenda-security/20200724_com-2020-607-commission-communication_en.pdf

(2)  Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

(3)  Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo, de 11 de diciembre de 2018, por la que se establece el Código Europeo de las Comunicaciones Electrónicas (versión refundida) (DO L 321 de 17.12.2018, p. 36).

(4)  COM(2020) 607 final, p. 4. La Comunicación señala que puesto que la Directiva sobre la privacidad y las comunicaciones electrónicas no contiene una base jurídica para el tratamiento voluntario de contenidos y datos de tráfico para detectar abusos sexuales a menores, los proveedores de servicios únicamente pueden adoptar dichas medidas con base en disposiciones legislativas nacionales que reúnan los requisitos del artículo 15 de la Directiva sobre la privacidad y las comunicaciones electrónicas para limitar el derecho a la confidencialidad. En ausencia de dichas medidas legislativas, las medidas para detectar abusos sexuales de menores adoptadas por los proveedores, que tratan contenidos o datos de tráfico, carecerán de base jurídica.

(5)  COM(2020) 568 final, 2020/0259 (COD), Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establece una excepción temporal a determinadas disposiciones de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo en lo que respecta al uso de tecnologías por proveedores de servicios de comunicaciones interpersonales independientes de la numeración para el tratamiento de datos personales y de otro tipo con fines de lucha contra el abuso sexual de menores en línea, https://ec.europa.eu/digital-single-market/en/news/interim-regulation-processing-personal-and-other-data-purpose-combatting-child-sexual-abuse

(6)  El artículo 2, apartado 5, del Código Europeo de las Comunicaciones Electrónicas define un «servicio de comunicaciones electrónicas» como «un servicio prestado por lo general a cambio de una remuneración que permite un intercambio de información directo, interpersonal e interactivo a través de redes de comunicaciones electrónicas entre un número finito de personas, en el que el iniciador de la comunicación o participante en ella determina el receptor o receptores y no incluye servicios que permiten la comunicación interpersonal e interactiva como una mera posibilidad secundaria que va intrínsecamente unida a otro servicio». Un «servicio de comunicaciones interpersonales independiente de la numeración» se define como un servicio de comunicaciones interpersonales que no conecta a través de recursos de numeración pública asignados, es decir, de un número o números de los planes de numeración nacional o internacional, o no permite la comunicación con un número o números de los planes de numeración nacional o internacional (artículo 2, apartado 7, del Código Europeo de las Comunicaciones Electrónicas).

(7)  Directiva 2011/93/UE del Parlamento Europeo y del Consejo, de 13 de diciembre de 2011, relativa a la lucha contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil y por la que se sustituye la Decisión marco 2004/68/JAI del Consejo (DO L 335 de 17.12.2011, p. 1).

(8)  El término «de forma ilícita» permite a los Estados miembros establecer una excepción respecto de las conductas relacionadas con material pornográfico en caso de que tengan, por ejemplo, fines médicos, científicos o similares. También posibilita las actividades autorizadas por la legislación nacional, como la posesión lícita de pornografía infantil por parte de las autoridades con miras a llevar a cabo actuaciones penales o prevenir, detectar o investigar delitos. Por otra parte, no excluye las excepciones jurídicas o principios pertinentes similares que eximen de responsabilidad en determinadas circunstancias, como ocurre con las actividades realizadas mediante las líneas directas de teléfono o de internet para denunciar tales casos. Considerando 25 de la Directiva 2011/93/UE.

(9)  Artículo 5, apartados 3, 4 y 5, de la Directiva 2011/93/UE.

(10)  Artículos 11 y 25, apartado 1, de la Directiva 2011/93/UE.

(11)  Artículo 25, apartado 2, de la Directiva 2011/93/UE.

(12)  Dictamen del Supervisor Europeo de Protección de Datos sobre la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la lucha contra los abusos sexuales, la explotación sexual de los niños y la pornografía infantil, por la que se deroga la Decisión marco 2004/68/JAI, de 10 de mayo de 2010, https://edps.europa.eu/sites/edp/files/publication/10-05-10_child_abuse_en.pdf.