SENTENCIA DEL TRIBUNAL DE JUSTICIA EUROPEA SOBRE CONSERVACION DE DATOS DE TRÁFICO Y DE LOCALIZACIÓN DE LOS USUARIOS FINALES.

 

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho
Universidad de Montpellier I Francia.

cferreyros@hotmail.com   

Resumen  

El Tribunal de Justicia  Europea emitió Sentencia el 20.09.2022 y publicó la misma en el Diario Oficial de la Unión Europea el 07.09.2022 sobre una Petición de decisión prejudicial planteada por el Bundesverwaltungsgericht (Alemania) el 29 de octubre de 2019 en la cual plantea sí ¿Debe interpretarse el artículo 15 de la Directiva 2002/58/CE, a la luz de los artículos 7, 8, 11 y 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea, por un lado, y del artículo 6 de la Carta de los Derechos Fundamentales de la Unión Europea y del artículo 4 del Tratado de la Unión Europea; por otro, en el sentido de que se opone a una normativa nacional que obliga a los proveedores de servicios de comunicaciones electrónicas disponibles al público a conservar los datos de tráfico y de localización de los usuarios finales de dichos servicios, en determinadas condiciones?

La Sentencia debe interpretarse en el sentido de que el Tribunal:

se opone a medidas legislativas nacionales que establezcan, con carácter preventivo, a efectos de la lucha contra la delincuencia grave y la prevención de amenazas graves contra la seguridad pública, una conservación generalizada e indiferenciada de los datos de tráfico y de localización;

no se opone a medidas legislativas nacionales relacionadas a efectos de la protección de la seguridad nacional:

·         frente a una amenaza grave para la seguridad nacional que resulte real y actual o previsible;

·     lucha contra la delincuencia grave y de la prevención de las amenazas graves contra la seguridad pública;

siempre que dichas medidas garanticen, mediante normas claras y precisas, que la conservación de los datos en cuestión está supeditada al respeto de las condiciones materiales y procesales correspondientes y que las personas afectadas disponen de garantías efectivas contra los riesgos de abuso.

A fin de acceder a similares normas y estándares europeos, las empresas, organizaciones públicas y privadas interesadas en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:  cferreyros@hotmail.com

___________________________________________

Sentencia del Tribunal de Justicia (Gran Sala) de 20 de septiembre de 2022 (peticiones de decisión prejudicial planteadas por el Bundesverwaltungsgericht — Alemania) — Bundesrepublik Deutschland / SpaceNet AG (C-793/19), Telekom Deutschland GmbH (C-794/19)

(Asuntos acumulados C-793/19 y C-794/19) (¹)

(Procedimiento prejudicial - Tratamiento de datos de carácter personal en el sector de las comunicaciones electrónicas - Confidencialidad de las comunicaciones - Proveedores de servicios de comunicaciones electrónicas - Conservación generalizada e indiferenciada de los datos de tráfico y de localización - Directiva 2002/58/CE - Artículo 15, apartado 1 - Carta de los Derechos Fundamentales de la Unión Europea - Artículos 6, 7, 8 y 11 y artículo 52, apartado 1 - Artículo 4 TUE, apartado 2)

(2022/C 424/02)

Lengua de procedimiento: alemán

Órgano jurisdiccional remitente

Bundesverwaltungsgericht

Partes en el procedimiento principal

Demandante: Bundesrepublik Deutschland

Demandadas: SpaceNet AG (C-793/19), Telekom Deutschland GmbH (C-794/19)

Fallo

El artículo 15, apartado 1, de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), en su versión modificada por la Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, en relación con los artículos 7, 8, 11 y el artículo 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea, debe interpretarse en el sentido de que

se opone a medidas legislativas nacionales que establezcan, con carácter preventivo, a efectos de la lucha contra la delincuencia grave y la prevención de amenazas graves contra la seguridad pública, una conservación generalizada e indiferenciada de los datos de tráfico y de localización;

no se opone a medidas legislativas nacionales:

—

que permitan, a efectos de la protección de la seguridad nacional, recurrir a un requerimiento efectuado a los proveedores de servicios de comunicaciones electrónicas para que procedan a una conservación generalizada e indiferenciada de los datos de tráfico y de localización, en situaciones en las que el Estado miembro en cuestión se enfrenta a una amenaza grave para la seguridad nacional que resulte real y actual o previsible, pudiendo ser objeto la decisión que contenga dicho requerimiento de un control efectivo bien por un órgano jurisdiccional, bien por una entidad administrativa independiente, cuya decisión tenga carácter vinculante, que tenga por objeto comprobar la existencia de una de estas situaciones, así como el respecto de las condiciones y de las garantías que deben establecerse, y teniendo en cuenta que dicho requerimiento únicamente podrá expedirse por un período temporalmente limitado a lo estrictamente necesario, pero que podrá renovarse en caso de que persista dicha amenaza;

 

—

que prevean, a efectos de la protección de la seguridad nacional, de la lucha contra la delincuencia grave y de la prevención de las amenazas graves contra la seguridad pública, una conservación selectiva de los datos de tráfico y de localización que esté delimitada, sobre la base de elementos objetivos y no discriminatorios, en función de las categorías de personas afectadas o mediante un criterio geográfico, para un período temporalmente limitado a lo estrictamente necesario, pero que podrá renovarse;

 

—

que prevean, a efectos de la protección de la seguridad nacional, de la lucha contra la delincuencia grave y de la prevención de las amenazas graves contra la seguridad pública, una conservación generalizada e indiferenciada de las direcciones IP atribuidas al origen de una conexión, para un período temporalmente limitado a lo estrictamente necesario;

 

—	que prevean, a efectos de la protección de la seguridad nacional, de la lucha contra la delincuencia y de la protección de la seguridad pública, una conservación generalizada e indiferenciada de los datos relativos a la identidad civil de los usuarios de medios de comunicaciones electrónicas, y

 

—

que permitan, a efectos de la lucha contra la delincuencia grave y, a fortiori, de la protección de la seguridad nacional, recurrir a un requerimiento efectuado a los proveedores de servicios de comunicaciones electrónicas, mediante una decisión de la autoridad competente sujeta a un control jurisdiccional efectivo, para que procedan, durante un período determinado, a la conservación rápida de los datos de tráfico y de localización de que dispongan estos proveedores de servicios, siempre que dichas medidas garanticen, mediante normas claras y precisas, que la conservación de los datos en cuestión está supeditada al respeto de las condiciones materiales y procesales correspondientes y que las personas afectadas disponen de garantías efectivas contra los riesgos de abuso.

---

(¹)  DO C 45 de 10.2.2020.

_______________________________________________

Petición de decisión prejudicial planteada por el Bundesverwaltungsgericht (Alemania) el 29 de octubre de 2019 — Bundesrepublik Deutschland/SpaceNet AG

(Asunto C-793/19)

(2020/C 45/15)

Lengua de procedimiento: alemán

Órgano jurisdiccional remitente

Bundesverwaltungsgericht

Partes en el procedimiento principal

Recurrente en casación: Bundesrepublik Deutschland

Recurrida en casación: SpaceNet AG

Cuestión prejudicial

¿Debe interpretarse el artículo 15 de la Directiva 2002/58/CE, (¹) a la luz de los artículos 7, 8, 11 y 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea, por un lado, y del artículo 6 de la Carta de los Derechos Fundamentales de la Unión Europea (²) y del artículo 4 del Tratado de la Unión Europea, por otro, en el sentido de que se opone a una normativa nacional que obliga a los proveedores de servicios de comunicaciones electrónicas disponibles al público a conservar los datos de tráfico y de localización de los usuarios finales de dichos servicios, cuando:

—	la obligación en cuestión no está sujeta a ninguna condición específica, ya sea geográfica, temporal o espacial;

 

—

en el caso de prestación de servicios de telefonía disponibles al público (incluida la transmisión de mensajes breves, multimedia o similares y de llamadas perdidas o no respondidas), la obligación en cuestión tiene por objeto los siguientes datos: — el número de teléfono u otra identificación de la línea de origen y de destino y, en caso de redirección o desvió de llamada, de las demás líneas intervinientes;   — la fecha y hora de inicio y fin de la comunicación o, en caso de transmisión de mensajes breves, multimedia o similares, la hora de envío y recepción del mensaje, con indicación de la zona horaria;   — datos del servicio utilizado, en caso de que en el marco del servicio telefónico puedan utilizarse distintos servicios;   — en caso de servicios de telefonía móvil, además: — la identificación internacional del usuario móvil para la línea de origen y de destino;   — la identificación internacional del terminal de origen y de destino;   — la fecha y hora de la primera activación del servicio, con indicación de la zona horaria, en caso de servicios de pago anticipado;   — denominación de las células utilizadas al inicio de la comunicación por la línea de origen y de destino;   — en caso de servicios de telefonía por Internet, además, las direcciones de protocolo de Internet de la línea de origen y de destino y las identificaciones de usuario asignadas;

 

—

en el caso de prestación de servicios de acceso a Internet disponibles al público, la obligación de almacenamiento tiene por objeto los siguientes datos: — la dirección de protocolo de Internet asignada al usuario para cada uso de Internet;   — una identificación exclusiva de la línea utilizada para el uso de Internet, y la identificación de usuario asignada;   — la fecha y hora de inicio y fin del uso de Internet con la dirección de protocolo de Internet asignada, con indicación de la zona horaria;   — en caso de uso móvil, la denominación de la célula utilizada al inicio de la conexión;

 

—

no se permite almacenar los siguientes datos: — el contenido de la comunicación;   — datos de los sitios web visitados;   — datos de los servicios de correo electrónico;   — datos relativos a comunicaciones a o desde determinadas líneas de personas, autoridades u organizaciones de ámbitos sociales o religiosos;

 

—	el plazo de conservación de los datos de localización, es decir, la denominación de la célula utilizada, es de cuatro semanas; para los demás datos, el plazo es de diez semanas;

 

—	se garantiza una protección efectiva de los datos almacenados frente a cualquier uso indebido y frente a cualquier acceso no autorizado, y

 

—

solo se permite la utilización de los datos almacenados con fines de investigación de delitos graves y para la prevención de un riesgo concreto para la vida, la integridad física o la libertad de las personas o para la seguridad de la Federación o de un Land, con excepción de la dirección de protocolo de Internet asignada al usuario para cada uso de Internet, cuya utilización se autoriza en el marco de transmisiones de extractos de la base de datos con fines de investigación de cualquier tipo de delito y para prevenir riesgos para la seguridad pública y el orden público y no obstaculizar las funciones de los servicios de inteligencia?»

---

(¹)  Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO 2002, L 201, p. 37), modificada por la Directiva 2009/136/CE (DO 2009, L 337, p. 1).

(²)  DO 2000, C 364, p. 1.

 

INFORME EUROPEO SOBRE DROGAS DE 2022. TENDENCIAS Y NOVEDADES - OBSERVATORIO EUROPEO DE LAS DROGAS Y LAS TOXICOMANÍAS.

 

Por: Carlos A. FERREYROS SOTO

Doctor en Derecho
Universidad de Montpellier I Francia.

cferreyros@hotmail.com   

Resumen   

El Informe Europeo sobre Drogas de 2022. Tendencias y Novedades, elaborado por el Observatorio Europeo de las Drogas y las Toxicomanías analiza las tendencias que configuran la situación actual, y define las amenazas emergentes que pueden afectar a los problemas en materia de drogas a los que se enfrentará Europa en el futuro.

Una de las principales conclusiones del Informe es el enfrentamiento actual a una situación más compleja en el ámbito de las drogas, caracterizada por una gran disponibilidad y una mayor diversidad en las pautas de consumo de drogas. De ello se desprende que en la actualidad se corre el riesgo de que casi todo lo que tiene potencial psicoactivo puede hacer acto de presencia en el mercado, a menudo mal etiquetado, lo que significa que quienes consumen estas sustancias podrían no ser conscientes de lo que están usando realmente. En este contexto, preocupan especialmente los informes sobre la adulteración de productos de cannabis con cannabinoides sintéticos; lo cual es solo un ejemplo de las nuevas amenazas relacionadas con las drogas. Otro ejemplo es el incremento de la producción de drogas sintéticas en Europa, donde el aumento de la producción de metanfetamina resulta particularmente inquietante. Una importante evolución constatada en el informe de este año es el impacto en curso de la pandemia de COVID-19, tanto sobre los servicios relacionados con las drogas como sobre el modo en que las personas adquieren sustancias reguladas. También se observa en muchos países la necesidad permanente de ampliar los servicios de tratamiento y reducción de daños para las personas con problemas de drogadicción.

El Informe contiene una rúbrica sobre : "La globalización sigue impulsando la innovación en el tráfico y la producción de drogas'. El enlace al Informe en castellano se encuentra en el siguiente enlace: https://www.emcdda.europa.eu/system/files/publications/14644/20222419_TDAT22001ESN_PDF.pdf

A fin de acceder a similares normas y estándares europeos, las empresas, organizaciones públicas y privadas interesadas en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:  cferreyros@hotmail.com

____________________________________________________________

 

SEGURIDAD EN LA NUBE Y SEGURIDAD EN LAS NUBES GUBERNAMENTALES - AGENCIA EUROPEA DE SEGURIDAD DE LAS REDES Y DE LA INFORMACION (ENISA)

 Por: Carlos A. FERREYROS SOTO

Doctor en Derecho
Universidad de Montpellier I Francia.

cferreyros@hotmail.com   

Resumen   

En el pasado, las organizaciones se focalizaban en la compra de equipos de Tecnologías de la Información, TI (hardware y/o software) para administrarlos ellos mismos. Hoy en día, muchas organizaciones prefieren comprar servicios de TI a un proveedor de servicios de TI. Esta tendencia se conoce en general, y liberalmente, como 'going cloud'. El amplio uso de los servicios en la nube combinado con el volumen de datos ha dado como resultado el término Big Data.

La Agencia Europea de Seguridad de las Redes y de la Información (ENISA), siguiendo las tendencias tecnológicas y las necesidades de la comunidad, se ha centrado en ayudar al sector público y privado a comprender los beneficios y los inconvenientes de seguridad en Cloud Computing y Big Data . En este artículo publicado por ENISA, el lector encontrará información relevante a la: 1. Seguridad en la  Nube y 2. Seguridad en las Nubes Gubernamentales. Además del acceso a un cierto número de enlaces a recursos e informes relacionados al tema de la seguridad de las redes y de la información, este artículo debe invitar a la reflexion sobre las experiencia europea en estas materias. 

A fin de acceder a similares normas y estándares europeos, las empresas, organizaciones públicas y privadas interesadas en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:  cferreyros@hotmail.com

____________________________________________________________

Agencia Europea de Seguridad de las Redes y de la Información (ENISA)

1. Seguridad en la Nube. 

Nuestra evaluación de riesgos de seguridad en la nube de 2009 es ampliamente consultada en todos los estados miembros de la UE y fuera de la UE. Como seguimiento a esta evaluación de riesgos, publicamos un marco de garantía para controlar los riesgos de seguridad de la información cuando se pasa a la nube. Este marco de garantía se está utilizando como base para algunas iniciativas de la industria sobre la garantía de la nube. En 2011 ENISA publicó un informe sobre seguridad y resiliencia en nubes gubernamentales .

Estamos dando seguimiento a nuestro trabajo anterior en la nube con las siguientes actividades:

Gestión de la seguridad a través de SLA : el trabajo del responsable de TI de una organización ha cambiado como consecuencia: en lugar de instalar hardware, instalar y configurar software, los responsables de TI tienen que gestionar contratos de servicio con estos proveedores de servicios de TI. ENISA analiza cómo se pueden establecer y controlar estos contratos de servicios de tal manera que se optimice la seguridad de la información. En diciembre de 2011, ENISA publicó una encuesta y un análisis de los parámetros de seguridad en los SLA de la nube en el sector público europeo . También se organizó en 2011 un taller sobre parámetros de seguridad en los SLA de la nube, junto con OASIS y CSA, en el simposio de la nube de OASIS International .

Servicios críticos en la nube : también estamos desarrollando una visión sobre la criticidad de los servicios en la nube. El ahorro de costes está impulsando a las empresas a utilizar servicios en la nube alojados en grandes centros de datos que pueden ofrecer recursos informáticos de forma más eficiente que los pequeños: es posible ofrecer alta calidad a un buen precio. Por supuesto, si un servicio en la nube con millones de clientes deja de funcionar, el impacto también es grande. Tenemos la intención de analizar y discutir, con las partes interesadas, cuál podría ser el impacto de una falla en el servicio de la nube, y en qué circunstancias los servicios en la nube deben considerarse "infraestructura crítica".

Grupo de expertos en seguridad y resiliencia en la nube: A lo largo de los años, ENISA ha escrito una serie de artículos sobre computación en la nube, con una variedad de expertos en seguridad en la nube. Estos expertos trabajan y se reúnen en un grupo informal de expertos llamado ENISA Cloud Security and Resilience Expert Group. El espacio de trabajo del Grupo de expertos en resiliencia y seguridad en la nube de ENISA está abierto para la audiencia. Para obtener más información sobre las actividades del grupo, póngase en contacto con nosotros en  cloud.security@enisa.europa.eu

Guía de buenas prácticas para nubes gubernamentales: En 2013, ENISA publicó un informe sobre nubes gubernamentales , evaluando qué Estados miembros de la UE tienen infraestructuras gubernamentales en la nube operativas y brindando una descripción general de la adopción de la nube en el sector público de la UE. Con este trabajo, ENISA tiene como objetivo ayudar a los Estados miembros a elaborar una implementación de la estrategia nacional de la nube, comprender las barreras actuales y sugerir soluciones para superar esas barreras, y compartir las mejores prácticas que allanan el camino para un conjunto común de requisitos para todos los Estados miembros (MS ).

Informes de incidentes para la computación en la nube:   ENISA a menudo ha subrayado las oportunidades de seguridad de la computación en la nube. En 2013, ENISA publicó un documento que analiza cómo los proveedores de la nube, los clientes en sectores críticos y las autoridades gubernamentales pueden establecer esquemas de informes de incidentes de seguridad en la nube.

Certificación en la estrategia Cloud de la UE: En 2012, la CE emitió un comunicado llamado "Estrategia europea para la computación en la nube: liberando el poder de la computación en la nube en Europa". Una de las acciones esbozadas allí es ayudar al desarrollo de esquemas de certificación voluntaria en toda la UE. Hacer una lista de dichos esquemas. En la estrategia se pide a ENISA que apoye este trabajo. La CE, como uno de los primeros pasos, creó un grupo de expertos de la industria, llamado Cloud Select Industry Group (C-SIG), con varios grupos de trabajo, también sobre Certificación, abreviado como CERT-SIG. En 2013, ENISA publicó un documento de trabajo que recopilaba y resumía los resultados de CERT-SIG y proponía pasos adicionales a la CE, CERT-SIG y la European Cloud Partnership.

El vicepresidente de la UE, Kroes (Comisionado para la Agenda Digital de la UE), escribió en su blog sobre este trabajo en:  http://ec.europa.eu/commission_2010-2014/kroes/en/content/making-cloud-more-transparent-boost-secure- servicios de confianza

Lista de esquemas de certificación de la nube (CCSL): ENISA, como parte de las actividades bajo la estrategia de la nube de la UE, desarrolló una lista de diferentes esquemas de certificación que podrían ser relevantes para los clientes potenciales de computación en la nube. La creación de esta lista se menciona explícitamente como una acción clave en la Estrategia Europea de la Nube . Esta lista fue desarrollada por ENISA en estrecha colaboración con la Comisión Europea y el sector privado. La lista de esquemas de certificación se puede encontrar en: https://resilience.enisa.europa.eu/cloud-computing-certification   (Remitimos a los lectores interesados ​​a un artículo de ENISA publicado el año pasado que brinda una descripción general de una variedad de esquemas de certificación de seguridad de la información , utilizado en diferentes sectores.)

2. Seguridad en las Nubes Gubernamentales

Los organismos públicos son un actor clave en el área de la computación en la nube, ya que ofrece escalabilidad, elasticidad, alto rendimiento, resiliencia y seguridad, junto con la rentabilidad y, al mismo tiempo, podría permitir y simplificar la interacción de los ciudadanos con el gobierno al reducir el tiempo de procesamiento de la información. costo de los servicios gubernamentales y mejorar la seguridad de los datos de los ciudadanos. Las Nubes Gubernamentales ofrecen a los organismos públicos, incluidos ministerios, agencias gubernamentales y administraciones públicas (AP), el potencial para gestionar la seguridad y la resiliencia en entornos TIC tradicionales y fortalecer su estrategia de Nube nacional.

Estrategia de la nube de la UE: “La computación en la nube puede ayudar a impulsar la transición hacia servicios públicos del siglo XXI que sean interoperables, escalables y en línea con las necesidades de una población y empresas móviles que desean beneficiarse del mercado único digital europeo”.

La estrategia de nube de la UE , subtitulada " Liberar el potencial de la computación en nube en Europa" , fue lanzada por la Comisión Europea en 2012. Describe el plan estratégico de la Comisión Europea con el objetivo de habilitar y facilitar la adopción de servicios de nube en la nube pública y privada. sector informático en toda la UE.

ENISA, reconociendo la necesidad de más directrices para respaldar la implementación de la nube en el sector público, lanzó este trabajo centrado en la seguridad y la privacidad. Esta serie de publicaciones está dirigida principalmente a los organismos públicos de la UE (en cualquier nivel de administración local, oficinas regionales de la administración pública, agencias y autoridades) que evalúan los costos y beneficios del despliegue de la nube.

Publicaciones de ENISA

• Security and Resilience in Governemental Clouds , 2011: este informe identifica un modelo de toma de decisiones que puede ser utilizado por la alta dirección para determinar los requisitos operativos, legales y de seguridad de la información, así como las limitaciones presupuestarias y de tiempo. Lea el informe .
• Guía de buenas prácticas para nubes gubernamentales , 2013: este informe evalúa qué Estados miembros de la UE tienen infraestructuras gubernamentales en la nube operativas y proporciona una descripción general de la adopción de la nube en el sector público de la UE y ofrece algunas pautas sobre los próximos pasos. Lea el informe .
• Marco de seguridad para las nubes gubernamentales , 2014: este informe brinda orientación sobre el proceso desde la precontratación hasta la finalización y salida de un contrato de nube, explicando cuáles son los pasos a seguir cuando se enfoca en la seguridad y la privacidad. Lea el informe .