El terrorismo internacional y sus conflictos: Seguridad versus privacidad

International terrorism and its conflicts: security versus privacy

ARTEMI RALLO LOMBARTI

Resumen: Tras los ataques terroristas del 11 de Septiembre, los Gobiernos han comenzado una nueva tendencia orientada a la adopcin de nuevos instrumentos legislativos que tratan de luchar contra el terrorismo. No obstante, en algunos casos esto significa una interferencia en el desarrollo y aplicacin de Derechos Fundamentales y Libertades civiles. Sin embargo, los valores democrticos que estn en la base de nuestras sociedades, deben ser protegidos con un equilibrio entre stos y la seguridad. Palabras clave: Derechos Fundamentales, Seguridad, Libertades Civiles, Proteccin de datos, Terrorismo.

Abstract: Following the terrorist attacks on September 11, Governments have started a new trend focus on the adoption of new legislation aiming to fight against terrorism that, in some cases, mean an interference in fundamental rights and civil liberties. However, the democratic values that are in the base of our societies have to be protected and the right balance between security and fundamental rights have to be reached.

Keywords: Fundamental Rights, Security, Civil Liberties. Data Protection, Terrorism.

1. INTRODUCCIN Como respuesta a los atentados terroristas perpetrados desde septiembre de 2001 y a los nuevos mtodos de actuacin de estos grupos criminales, que desarrollan sus actividades delictivas apoyados en la aplicacin de las nuevas tecnologas y en los avances que ofrecen las infraestructuras de informacin y comunicacin, los Gobiernos han iniciado una tendencia marcada por la adopcin de medidas encaminadas a reforzar la lucha contra el terrorismo que, en muchos casos, han afectado derechos fundamentales y libertades pblicas en favor de la seguridad de sus ciudadanos.
INTELIGENCIA Y SEGURIDAD 3 (2007) 113

ARTEMI RALLO LOMBARTI

En un mundo cada vez ms globalizado, la amenaza terrorista debe ser abordada desde una perspectiva conjunta y debe ser enfocada hacia el intercambio de informacin y la cooperacin entre las fuerzas de orden pblico. Esta dimensin supranacional, que adquiere hoy la lucha contra la criminalidad, no puede, sin embargo, dejar de lado la garanta de libertades y derechos fundamentales, como el respeto a la intimidad y la proteccin de los datos personales; proteccin que legtimamente demandan los ciudadanos a los poderes pblicos. EEUU ha sido el pas motor de esta nueva tendencia, en la que la influencia de los atentados del 11 de septiembre en Nueva York y Washington es innegable. Este pas ha endurecido su poltica antiterrorista en los ltimos aos, fomentando y exigiendo el envo de informacin a travs de medidas no siempre acordes con las reglas vigentes en Europa en materia de proteccin de la privacidad y de los datos de carcter personal. Siguiendo esta lnea, la Unin Europea y sus Estados Miembros, especialmente tras los atentados sufridos en Madrid y Londres en los aos 2004 y 2005, respectivamente, han intensificado tambin sus actuaciones. No cabe duda de que, en una sociedad cada da ms interrelacionada y enfrentada a una amenaza comn, como es el terrorismo internacional, la informacin compartida, la puesta en comn de mecanismos rpidos y giles de colaboracin y otras medidas, en algunos aspectos intrusivas en las vidas de los ciudadanos, pueden ser consideradas herramientas claves. Pero, tambin es fundamental que la adopcin de estas medidas est sujeta a ciertos controles y lmites por parte de las normas vigentes en los Estados democrticos, destacndose aqullas que limitan la discrecionalidad de los poderes pblicos para incidir en la vida de los ciudadanos. Como ya se ha apuntado, los atentados terroristas del 11 de septiembre de 2001 en Estados Unidos abrieron un amplio proceso de iniciativas legislativas en la lucha antiterrorista y supusieron el comienzo de una nueva etapa en cuanto a la necesidad de conjugar la diversidad de intereses y derechos en juego: la seguridad pblica y la proteccin de los datos de carcter personal. Como pas directamente afectado por los ataques, EEUU fue el primero en endurecer su normativa sobre proteccin de datos. Apenas mes y medio despus de producirse estos atentados, se aprob una nueva norma que vino
114 INTELIGENCIA Y SEGURIDAD 3 (2007)

EL TERRORISMO INTERNACIONAL Y SUS CONFLICTOS: SEGURIDAD VS. PRIVACIDAD

a endurecer su poltica antiterrorista Patriot Act1 y que introdujo, tras un mnimo debate, una amplia gama de medidas tendentes a facilitar la prevencin, la deteccin y el seguimiento del terrorismo. La nueva legislacin estadounidense aument la competencia de las Agencias de Seguridad de EEUU para luchar contra el terrorismo, tanto dentro como fuera de su territorio y, entre otras medidas, incluy: 1) mayores poderes para controlar las comunicaciones telefnicas, postales y electrnicas, registros financieros y mdicos; 2) la posibilidad de que el Departamento del Tesoro llevara a cabo un mayor seguimiento de las transacciones financieras, particularmente las relativas a personas y entidades extranjeras; 3) limitaciones de ciertos derechos a las personas presuntamente relacionadas con actividades terroristas. Toda una serie de medidas que, si bien adoptadas dentro de las potestades de un Estado soberano para proteger su seguridad interior, extendan su aplicacin y jurisdiccin a otras zonas del mundo y a otros Estados soberanos. 2. ALCANCE TRANSNACIONAL DE LAS MEDIDAS ANTITERRORISTAS DE EEUU 2.1. Passenger Name Records (PNR). Transmisin de datos de los pasajeros de aerolneas a las autoridades norteamericanas. Como una de las primeras medidas adoptadas en la lucha contra el terrorismo internacional, las autoridades norteamericanas obligaron a las compaas areas que efectuasen vuelos que tuvieran su origen, destino o trnsito en EEUU a proporcionarles un acceso electrnico a los datos contenidos en sus sistemas de reserva y de control de salidas: PNR (Passenger Name Records)2. Este registro necesita, para ser creado, cuatro datos como mnimo: nombre, itinerario, nmero de contacto y detalles del billete (si es tan slo una reserva, si ya ha sido emitido, si ha habido algn cambio,...), si bien puede contener muchos ms datos sobre todo porque es informacin que suministra el
Texto de la Ley en: http://frwebgate.access.gpo.gov/cgi-bin/getdoc.cgi?dbname=107_cong_public_laws&docid=f:publ056.107 2 Ms informacin sobre los datos PNR en: http://ec.europa.eu/external_relations/us/sum06_03/ pnr.pdf
1

INTELIGENCIA Y SEGURIDAD 3 (2007)

115

ARTEMI RALLO LOMBARTI

pasajero (solicitud de un tipo de comida, de un asiento especial, algn tipo de asistencia durante el vuelo, sobre la forma de pago del billete,...). Como quiera que esta medida significara la transferencia internacional de datos que se encontraban en Europa, deba cumplirse con los requisitos y limitaciones que, tanto la Directiva Europea 95/46 como la Ley Orgnica de Proteccin de Datos3, imponan a las transferencias internacionales de datos. El requisito esencial, con carcter general4, para que un pas tercero pueda ser destinatario de datos procedentes de la Unin Europea reside en que el nivel de proteccin que ese pas tercero otorgue a los datos debe ser calificado como suficiente o, en la terminologa especfica, adecuado o equivalente a la proteccin que reciben en Europa5. Este nivel de adecuacin es un proceso habitualmente largo con intervencin de la Comisin Europea y de las Autoridades Nacionales de proteccin de datos, que, en este caso concreto, se sald con negociaciones maratonianas que otorgaron a Estados Unidos una consideracin de Estado adecuado con carcter ad hoc para la transferencia de datos PNR. La urgencia y rapidez con la que se alcanz el acuerdo pona de relieve una voluntad esencialmente poltica, y, tambin, la necesidad de dar una solucin a una situacin jurdica insostenible, por cuanto las aerolneas europeas llevaban ms de un ao transfiriendo esa informacin personal. El resultado de estos acuerdos se plasma en dos textos comunitarios: por un lado, una Decisin de la Comisin relativa al carcter adecuado de la proteccin de estos datos incluidos en los registros de nombres de pasajeros que se transfieren al Servicio de Aduanas y Proteccin de Fronteras de los EEUU (Bureau of Customs and Border Protection-CBP)6; y, por otro, una Decisin del Consejo relativa a la celebracin de un acuerdo entre la Unin Europea y los EEUU sobre el tratamiento y la transferencia de
Ley 15/1999 de 13 de diciembre de proteccin de datos de carcter personal . El artculo 33 de la LOPD seala que ser preciso para la transferencia a Estados sin reconocimiento de un nivel adecuado de proteccin la autorizacin del Director de la AEPD. Asimismo, se establecen excepciones a este requisito en el artculo 34. 5 Artculos 25 y 26 de la Directiva 95/46. 6 Decisin de la Comisin 2004/535/CE, de 14 de mayo de 2004. Diario Oficial de la Unin Europea L 235 de 6 de julio de 2004; http://eur-lex.europa.eu/LexUriServ/site/es/oj/2004/l_235/l_23520040706es00110022.pdf
3 4

116

INTELIGENCIA Y SEGURIDAD 3 (2007)

EL TERRORISMO INTERNACIONAL Y SUS CONFLICTOS: SEGURIDAD VS. PRIVACIDAD

datos de los pasajeros7. Los trminos ms sealados del acuerdo son los siguientes: La finalidad de la transmisin y tratamiento de los datos reside en la lucha contra el terrorismo y delitos conexos, en la lucha contra otros delitos graves (incluida la delincuencia organizada) que sean transnacionales y en la lucha contra la fuga, en caso de orden de arresto o detencin, por los delitos antes sealados. La Decisin contiene, en su anexo A, una relacin con un mximo de treinta y cuatro datos a los que podr tener acceso el servicio de aduanas norteamericano, entre los que se encuentran, como se ha destacado, la informacin acerca del nombre y apellidos del pasajero, el medio de pago del billete y si se solicit algn tipo especial de comida. El CBP extraera la informacin relativa a pasajeros (denominado mtodo pull) mediante el acceso a los sistemas de reservas de las compaas areas, en tanto en cuanto no fuera tcnicamente viable la puesta en marcha de un sistema de transmisin de datos (denominado mtodo push). Esa extraccin o acceso a los datos contenidos en los sistemas de reserva debera realizarse no antes de las setenta y dos horas que preceden a la salida del vuelo. Los posibles datos sensibles que pudieran contener los registros seran objeto de filtrado por parte de las autoridades americanas. Un dato sensible podra ser la peticin del pasajero de cierto tipo de asistencia mdica, lo que revelara un dato de salud, o bien la peticin de un especfico tipo de comida, que pueda mostrar un dato de salud (por ej. comida sin gluten) o incluso de una religin (comida sin derivados del cerdo). Se impona la obligacin de conservar todos estos datos durante un periodo de tres aos y medio. Asimismo, se instauraba un sistema de revisin conjunta (con representantes de la Comisin Europea, de las Autoridades Nacionales de
7 Decisin del Consejo 2004/496/CE , de 17 de mayo de 2004 . Diario Oficial L 183 de 25 de mayo de 2004, http://eur-lex.europa.eu/LexUriServ/site/es/oj/2004/l_183/l_18320040520es00840085.pdf

INTELIGENCIA Y SEGURIDAD 3 (2007)

117

ARTEMI RALLO LOMBARTI

Proteccin de Datos y de las autoridades americanas) de celebracin peridica. La primera revisin del acuerdo tuvo lugar en septiembre de 2005, con la participacin de la Comisin Europea, representantes de las Autoridades Nacionales de Proteccin de Datos y del Servicio de Aduanas de EEUU, con una metodologa de trabajo basada en la respuesta a un cuestionario de preguntas concretas as como una visita a la Oficina de la CBP. El resultado de la revisin determin el nivel esencialmente positivo de cumplimiento por los EEUU de los compromisos alcanzados8. Hay que sealar, sin embargo, que estos textos de mayo de 2004, dos meses despus, fueron recurridos por el Parlamento Europeo ante el Tribunal de Justicia de la Unin Europea, por considerarlos contrarios al Derecho Comunitario. El 30 de mayo de 2006 el Alto Tribunal dict sentencia por la que se estimaban los dos recursos de anulacin9 presentados por el Parlamento Europeo en julio de 2004, al considerar los textos formulados sobre una base jurdica inadecuada10. Los recursos argumentaban la anulabilidad, tanto de la Decisin de la Comisin Europea declarando el nivel adecuado de proteccin de datos de EEUU, como de la Decisin sobre el Acuerdo Internacional firmado con las autoridades americanas para dotar de base legal a la transmisin de datos PNR de los pasajeros. Ambos recursos fueron presentados individualmente pero fueron acumulados por el Tribunal de Justicia, quien dict sentencia estimativa, basndose en un defecto de forma de los dos recursos y orden la denuncia del acuerdo con EEUU. En efecto, el Tribunal de Justicia, consider que las actividades objeto de los textos comunitarios que daban cobertura a la transmisin de datos estaban referidas a la seguridad pblica, la defensa, la seguridad del Estado y las actividades del Estado en el mbito penal (ttulos V y VI del Tratado de la Unin Europea), materias no comprendidas dentro del mbito del Derecho Comunitario (esto es, las materias comprendidas en el denominado Primer
8 Versin completa del informe resultante de la revisin en: http://ec.europa.eu/justice_home/ fsj/privacy/docs/adequacy/pnr/review_2005.pdf 9 Recursos: C-317-04 y C-318/04. Contenido bsico en: http://eur-lex.europa.eu/LexUriServ/site/ es/oj/2004/ c_228/c_22820040911es00320033.pdf 10 Texto de la Sentencia en: http://www.belt.es/jurisprudencia/anterior/seg_inf_y_prot_datos/ prot_datos/pdf/300506_Stc_Prote_dtos.pdf

118

INTELIGENCIA Y SEGURIDAD 3 (2007)

EL TERRORISMO INTERNACIONAL Y SUS CONFLICTOS: SEGURIDAD VS. PRIVACIDAD

Pilar o pilar comunitario). El Tribunal no entr a valorar el fondo de la cuestin litigiosa sino, simplemente, examin el primero de los motivos esgrimidos por el Parlamento en sus recursos: la inadecuacin de unos instrumentos comunitarios (Decisiones y Directivas) como base jurdica para regular esta cuestin. En este sentido, su principal argumento lo constituye el artculo 3.2 de la Directiva 95/46, que excluye de su mbito de aplicacin el tratamiento de datos personales efectuado en el ejercicio de actividades no comprendidas en el mbito de aplicacin del Derecho comunitario (aquellas relativas a la cooperacin policial y judicial en materia penal y, en cualquier caso, el tratamiento de datos que tenga por objeto la seguridad pblica, la defensa, la seguridad del Estado y las actividades del Estado en materia penal). Es por ello que, un instrumento jurdico previsto para un sector material concreto no puede utilizarse como base jurdica para otro mbito diferenciado. No obstante, a pesar de declarar la nulidad de dichos textos, y amparndose en razones de seguridad jurdica, el Tribunal decidi mantenerlos vigentes hasta finales de septiembre de ese mismo ao, obligando a las instituciones europeas a alcanzar nuevos compromisos con EEUU antes de esa fecha. Forzados por este plazo, se alcanz un nuevo acuerdo el 19 de octubre de 200611, con carcter provisional por cuanto expiraba el 31 de julio de 2007, que mantena esencialmente los compromisos alcanzados en mayo de 2004. A partir de entonces, por lo tanto, se planteaba de nuevo una situacin de inseguridad jurdica que deba salvarse mediante la conclusin de un nuevo acuerdo que garantizara plenamente los derechos de los ciudadanos. Las Autoridades Europeas de proteccin de datos, agrupadas en el llamado Grupo de Trabajo del Artculo 29, abordaron reiteradamente esta cuestin. Sus reticencias principales se plantearon respecto de los siguientes puntos: a) La necesidad de limitar la finalidad en el uso de esta informacin, exclusivamente para la lucha contra el terrorismo, otros delitos conexos y delitos graves de carcter transnacional.
11 Texto del nuevo acuerdo. Diario Oficial de la UE serie L 298 de 27-10-2006. http://eurlex.europa.eu/LexUriServ/site/es/oj/2006/l_298/l_29820061027es00270028.pdf y http://eur-lex.europa.eu/LexUriServ/site/es/oj/2006/l_298/l_29820061027es00290031.pdf

INTELIGENCIA Y SEGURIDAD 3 (2007)

119

ARTEMI RALLO LOMBARTI

b ) Los datos transmitidos deban limitarse a diecinueve12. c) Los datos deban transmitirse directamente por las aerolneas (mtodo push) no accediendo, por lo tanto, las autoridades americanas a los sistemas de reserva. d) Por ltimo, anualmente deba garantizarse la realizacin de una revisin conjunta de seguimiento del acuerdo. Finalmente, las autoridades norteamericanas y europeas alcanzaron, el 28 de junio de 2007, un nuevo Acuerdo, a ms largo plazo, que proporciona cobertura jurdica a la transmisin de datos PNR13. Comparndolo con el anterior, el nuevo acuerdo se distingue en que: a) Ampla las finalidades para las que pueden utilizarse los datos, ya que podrn ser usados cuando sea necesario para la prevencin de intereses vitales del titular de los datos o de otras personas, en un procedimiento criminal o en cualquier otro previsto en la ley. b) Los datos sensibles sern filtrados, pero una vez que estn en territorio americano y por el propio Departamento de Seguridad Interior. Asimismo, las autoridades americanas pueden hacer uso de los datos sensibles en determinadas circunstancias, algo que no se prevea en acuerdos anteriores. c) Se facilita la transmisin posterior de la informacin a otras agencias americanas. A diferencia del acuerdo anterior, ahora todas las divisiones del DHS pueden recoger y procesar datos PNR. Asimismo, puesto que se amplan las finalidades para las que puedan utilizarse estos datos, en consonancia tambin aumentan las agencias y otros organis
12 Cdigo localizador del expediente PNR, fecha de la reserva, fecha o fechas en las que se haya previsto viajar, nombre del pasajero, otros nombres que figuren en los datos PNR, itinerario completo del viaje, identificacin de billetes gratuitos, billetes de ida slo, informacin sobre la emisin de billetes, datos ATFQ (Automatic Ticket Fare Quote), nmero de billete, fecha de emisin del billete, informacin relativa a la no comparecencia del pasajero (no show history), nmero de unidades de equipaje, nmeros de las etiquetas de las unidades de equipaje, informacin relativa a pasajeros de ltima hora sin reserva (go show), nmero de unidades de equipaje por cada segmento, mejoras voluntarias o involuntarias de las condiciones e historial de las modificaciones introducidas en los datos PNR en relacin con los aspectos mencionados 13 El texto del nuevo acuerdo puede encontrarse en: http://register.consilium.europa.eu/pdf/en/ 07/st11/st11304.en07.pdf

120

INTELIGENCIA Y SEGURIDAD 3 (2007)

EL TERRORISMO INTERNACIONAL Y SUS CONFLICTOS: SEGURIDAD VS. PRIVACIDAD

mos a los que pueda transmitirse la informacin. Los lmites establecidos en el anterior acuerdo relativos a la posible transmisin de informacin a pases terceros (slo caso por caso) no se aplican ahora, por lo que cabra preguntarse acerca del control del uso de los datos una vez que estn en posesin de un pas tercero. d) El perodo de almacenamiento de los datos se ampla a quince aos. e) Una eventual revisin del acuerdo se llevar a cabo slo por las partes y si existe acuerdo sobre las condiciones bajo las que se desarrollar. No ser posible ningn tipo de asesoramiento o asistencia independientes. 2.2. Las transferencias internacionales dinerarias interbancarias: SWIFT Tambin, en el marco de la Patriot Act, las autoridades norteamericanas han centrado sus esfuerzos en impedir la utilizacin del sistema financiero con fines de blanqueo de dinero o de financiacin del terrorismo14, para lo que dotaron a su Departamento del Tesoro de facultades para recabar informacin sobre transacciones financieras realizadas fuera de EEUU. En junio de 2006 una informacin publicada en New York Times, de la que se hicieron eco otros medios de comunicacin, desvel la existencia de un programa por el que el Gobierno de EEUU ha tenido acceso a los datos relativos a transferencias bancarias internacionales realizadas a travs de la Sociedad SWIFT15. Esta Sociedad, jurdicamente una cooperativa con sede en Blgica y, por tanto, sometida a su jurisdiccin, tiene una estructura tcnica por la que todos los datos relativos a una transferencia (ordenante, destinatario, fecha de la transferencia, banco del que procede y banco al que se destina el dinero) son guardados en su base de datos en territorio europeo y en una copia de seguridad en Estados Unidos (lo que se conoce como almacenamiento por duplicado en servidores espejos). Los datos que se encontraban en territorio americano fueron objeto, en el marco de este programa de investigacin de transacciones financieras, de requerimientos por
14 Programa de Seguimiento de la Financiacin Terrorista (Terrorist Finance Tracking Program). Ms informacin en: http://www.ustreas.gov/press/releases/js4340.htm 15 http://www.swift.com/

INTELIGENCIA Y SEGURIDAD 3 (2007)

121

ARTEMI RALLO LOMBARTI

parte del Departamento del Tesoro, que solicitaba informacin sobre transferencias realizadas en un determinado perodo. En estos barridos de informacin podan incluirse tanto datos relativos a personas que pudieran estar siendo objeto de una investigacin concreta como, tambin, de otros individuos completamente ajenos a cualquier proceso de investigacin. A travs de este sistema se realizan prcticamente todas las transferencias interbancarias internacionales (de hecho, se necesita un cdigo SWIFT para realizar transferencias de un pas a otro) y se prev que sea tambin el sistema que se utilice cuando se ponga en marcha el llamado SEPA (Single European Payment Area), aplicndose, en ese momento, tambin a las transferencias puramente domsticas dentro de un Estado (sin ninguna vinculacin, por tanto, con EE.UU). En Espaa, tras las actuaciones previas de investigacin llevadas a cabo por la AEPD en julio de 2006, se constat que SWIFT tena una oficina de carcter puramente comercial, por lo que la AEPD procedi al archivo de las actuaciones mediante la resolucin de 27 de julio de 2007. Pero se deban esclarecer otro tipo de responsabilidades, sobre todo las derivadas de la actuacin realizada por las entidades financieras. En el marco de la colaboracin del Grupo que rene a las Autoridades Nacionales de Proteccin de Datos (Grupo de Trabajo del Artculo 29) se elabor un dictamen16 en el que se determin la responsabilidad, tanto de SWIFT como de las instituciones financieras que utilizan sus servicios en la transmisin de los datos a EEUU, por haber infringido principios fundamentales que rigen el derecho a la proteccin de datos en Europa, como son los relativos a la calidad de los datos17, la comunicacin al interesado de una informacin mnima relativa a este tratamiento18, o la transferencia de datos personales a pases terceros sin cumplir los requisitos19 ya que, como hemos destacado, EEUU carece de
Dictamen 10/2006, http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2006/wp128_es.pdf Art. 6 de la Directiva 95/46/CE relativa a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de estos datos los datos deben recogerse con fines determinados sin que puedan ser tratados posteriormente de manera incompatible con dicho fin). 18 Arts. 10 y 11 de la citada Directiva 95/46/CE. 19 Art. 26 de la Directiva y Resolucin del Parlamento Europeo sobre interceptacin de transferencias bancarias del sistema SWIFT por los servicios secretos estadounidenses (P6_TAPROV(2006)0317); Resolucin del Supervisor Europeo de Proteccin de Datos; Comunicados de prensa del Grupo de Trabajo del Artculo 29 sobre el caso Swift de 28/7/2006: http://ec.europa.eu/
16 17

122

INTELIGENCIA Y SEGURIDAD 3 (2007)

EL TERRORISMO INTERNACIONAL Y SUS CONFLICTOS: SEGURIDAD VS. PRIVACIDAD

un nivel adecuado de proteccin. El eje central de esta responsabilidad es, no obstante, la utilizacin de los datos para una finalidad distinta a la que fueron recabados ello porque, una finalidad inicial de carcter comercial se vio desvirtuada por una utilizacin de esos mismos datos en el marco de la lucha contra el terrorismo y la criminalidad organizada. Con vistas a legitimar las transferencias de datos a Estados Unidos desde el punto de vista de la proteccin de datos, SWIFT ha decidido adherirse al denominado Puerto Seguro20, una serie de principios con los que se trata de garantizar un adecuado nivel de proteccin de los datos transferidos a pases terceros y que deben ser cumplidos por las empresas para que esas transferencias sean consideradas legales. Por su parte, Estados Unidos ha aceptado proporcionar ciertas garantas al tratamiento de esos datos, sobre todo, en trminos de limitacin de la finalidad (lucha contra el terrorismo), perodo mximo de retencin (cinco aos) y supervisin y control independientes (revisin anual por un europeo eminente). 3. LA UNIN EUROPEA EN LA LUCHA CONTRA
EL TERRORISMO INTERNACIONAL

Vistas quedan las medidas ms importantes adoptadas por los EEUU para controlar el intercambio y la utilizacin de informacin personal a raz de los atentados terroristas de 2001. Estas iniciativas han incidido de manera directa en las polticas europeas sobre la materia. Al igual que ha sucedido en EEUU, los atentados que sufrieron Espaa e Inglaterra en 2004 y 2005, respectivamente, han hecho que la Unin Europea se replanteara su poltica antiterrorista pasando a realizar un seguimiento ms exhaustivo de los intercambios y transferencias de los datos personales como un medio efectivo de lucha contra el terrorismo internacional, dentro de un espacio en el que las
justice_home/fsj/privacy/news/docs/PR_SWIFT_Affair_28_07_06_en.pdf; de 27/9/2006; http://ec.europa.eu/ justice_home/fsj/privacy/news/docs/PR_Swift_Affair_26_09_06_en.pdf. 20 Decisin de la Comisin de 26 de julio de 2000 con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuacin de la proteccin conferida por los principios de puerto seguro para la proteccin de la vida privada y las correspondientes preguntas ms frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de Amrica. http://eurlex.europa.eu/LexUriServ/site/es/oj/2000/l_215/l_21520000825es00070047.pdf
INTELIGENCIA Y SEGURIDAD 3 (2007) 123

ARTEMI RALLO LOMBARTI

personas, bienes y capitales circulan libremente y sin obstaculizar, con ello, el mercado interior de las comunicaciones electrnicas. 3.1. La retencin de los datos de trfico en las comunicaciones electrnicas como instrumento en la lucha contra el terrorismo En el desarrollo de la Sociedad de la Informacin se ha prestado una especial atencin a garantizar los derechos y libertades de las personas fsicas en lo que respecta al tratamiento de sus datos personales en las comunicaciones electrnicas. En este mbito, los ltimos acontecimientos han hecho retomar la conservacin de datos de las telecomunicaciones como prioritario en la lucha contra el terrorismo. Esta nueva etapa va a estar marcada por los atentados ocurridos el 11 de marzo de 2004 en Madrid y la inmediata respuesta por parte de la Unin Europea. En un Consejo Europeo extraordinario celebrado el 25 de marzo de 2004, los Jefes de Estado y de Gobierno de la UE concluyeron en la necesidad de adoptar propuestas destinadas a establecer normas sobre la conservacin de datos de trfico de las comunicaciones por parte de los proveedores de servicios [...] con vistas a que estn adoptadas en junio de 200521. En abril de 2004 fue presentada, a iniciativa de Francia, Irlanda, Suecia y Reino Unido, una propuesta de Decisin Marco sobre la conservacin de los datos tratados y almacenados en relacin con la prestacin de servicios de comunicaciones electrnicas de acceso pblico o el suministro de datos en redes pblicas de comunicaciones a efectos de la prevencin, investigacin, descubrimiento y represin de la delincuencia y de las infracciones penales, con inclusin del terrorismo22. La propuesta pretenda armonizar en los Estados miembros unas normas mnimas sobre la retencin de los llamados datos de trfico de comunicaciones (los relativos a la fecha y hora de la comunicacin, su origen y destino, etc.) vista la importancia creciente que los mismos venan adquiriendo en la investigacin del terrorismo y otros
Texto de la Declaracin del Consejo Europeo de lucha contra el terrorismo: http://www.consilium. europa.eu/ueDocs/cms_Data/docs/pressData/es/ec/79641.pdf 22 El texto de la propuesta de Decisin Marco puede encontrarse en: http://register.consilium.europa.eu/pdf/es/04/st08/st08958.es04.pdf
21

124

INTELIGENCIA Y SEGURIDAD 3 (2007)

EL TERRORISMO INTERNACIONAL Y SUS CONFLICTOS: SEGURIDAD VS. PRIVACIDAD

delitos graves y que adaptara la Directiva 2002/58 relativa al tratamiento de los datos personales y a la proteccin de la intimidad en el sector de las comunicaciones electrnicas, a esta nueva realidad generada tras los ataques. La base jurdica de la propuesta, artculos del Tratado de la UE referentes a la cooperacin policial y judicial y, por lo tanto, incluidos en el llamado Tercer Pilar, con un procedimiento legislativo que requiere para su aprobacin la unanimidad de los Estados miembros y sin informe vinculante del Parlamento Europeo, provoc diversas reacciones contrarias por parte del Parlamento que vea cmo su poder de decisin en una propuesta tan relevante para los ciudadanos era relegado a un mero papel consultivo. En julio de 2005, recin iniciada la Presidencia semestral de la Unin Europea por el Reino Unido, los atentados de Londres hicieron que las autoridades polticas europeas retomaran la intencin de adoptar medidas armonizadas en el mbito de la conservacin de datos de las comunicaciones electrnicas. Y ello pese a la oposicin de los operadores de telecomunicaciones y de diversas organizaciones sociales de defensa de los derechos civiles que vean la iniciativa desproporcionada, una ausencia de conviccin clara sobre su eficacia, los elevados costes que ello supondra para la industria que podra repercutir, en ltima instancia, en los usuarios y, sobre todo, la vulneracin de derechos humanos tales como el derecho a la vida privada (artculo 8 del CEDH)23. A pesar de ello, se aprueba la Directiva 2006/24/CE sobre la conservacin de datos tratados en relacin con la prestacin de servicios pblicos de comunicacin electrnica y por la que se modifica la Directiva 2002/58/CE24. En cuanto a sus elementos principales, su objetivo es la armonizacin de la obligacin de retener datos de trfico y localizacin y hacerlos disponibles con el fin de detectar, investigar y perseguir crmenes graves (tal y como estn definidos en la legislacin de cada Estado miembro). Los sujetos obligados a retener los datos son los proveedores de servicios de comunicaciones electrnicas de acceso pblico y proveedores de redes pbli
23 Slo podr admitirse la interceptacin o el almacenamiento de datos si responde a tres requisitos fundamentales, de acuerdo con el apartado 2 del artculo 8 del CEDH y de la interpretacin reservada a esta disposicin por el Tribunal Europeo de Derechos Humanos: un fundamento jurdico, la necesidad de tal medida en una sociedad democrtica y la conformidad con uno de los objetivos legtimos enumerados en el Convenio. 24 El texto de la Directiva puede encontrarse en el Diario Oficial de la Unin Europea serie L 105 de 13 de abril de 2006.

INTELIGENCIA Y SEGURIDAD 3 (2007)

125

ARTEMI RALLO LOMBARTI

cas de comunicaciones. Asimismo, los datos a retener son: a) aquellos necesarios para identificar la fuente, el destino y el tipo de comunicacin: su fecha, hora y duracin, el equipo de comunicacin; y b) aquellos necesarios para la localizacin del equipo de comunicacin mvil (tambin en el caso de las llamadas perdidas). El perodo de retencin se fija entre seis meses y dos aos, y los sujetos obligados deben asegurar la calidad y seguridad de los datos retenidos y la transmisin de los datos solicitados sin demora25. Cabe destacar que Irlanda interpuso en julio de 2006 recurso contra la Directiva argumentando que, una medida destinada a la lucha contra la criminalidad (Tercer Pilar) no poda tener como base legal el Tratado de la CE. Argumento, como vemos, similar al ya utilizado por el Tribunal de Justicia para anular las Decisiones de adecuacin en el caso PNR. El recurso an no ha sido resuelto por el Tribunal. 3.2. El Tratado Prm: cooperacin penal y policial e intercambio de informacin Como ya se apunt anteriormente, una de las mayores dificultades que se le plantean a la Unin Europea es la manera de instrumentar medidas
Actualmente se encuentra en tramitacin parlamentaria en Espaa un proyecto de Ley sobre conservacin de datos relativos a las Comunicaciones Electrnicas y a las Redes Pblicas de Comunicaciones que transpone al ordenamiento jurdico espaol los principios enumerados en la norma comunitaria. El proyecto est actualmente en tramitacin en el Senado, y el dictamen aprobado el 28 de junio por el Congreso hace algunas precisiones al proyecto de Ley que se corresponden, en gran medida, con las salvaguardias expresadas por la AEPD en su informe jurdico. La futura ley limita el uso de la informacin conservada a los casos de deteccin, investigacin y enjuiciamiento de delitos graves, extiende la obligacin de conservacin tambin a los servicios de mensajes cortos (sms) y a las tarjetas prepago, y el acceso a los datos slo podr realizarse por los agentes facultados (miembros de las Fuerzas y Cuerpos de Seguridad de acuerdo con el artculo 547 de la LOPJ, personal del Centro Nacional de Inteligencia en el curso de investigaciones de seguridad sobre personas y entidades as como los funcionarios de la Direccin Adjunta de Vigilancia Aduanera en desarrollo de sus competencias como polica judicial de acuerdo con el artculo 283.1 de la LECri). Ser necesaria previa resolucin judicial. Por ltimo, decir que el plazo mximo de conservacin de estos datos ser de un ao desde la fecha en que se produjo la comunicacin; no obstante, reglamentariamente, previa consulta a los operadores y en atencin a los costes y la utilidad que puedan tener los datos, se podr ampliar el plazo de conservacin para determinados datos. El texto puede encontrarse en: http://www.congreso.es/public_oficiales/L8/CONG/BOCG/A/A_128-10.PDF
25

126

INTELIGENCIA Y SEGURIDAD 3 (2007)

EL TERRORISMO INTERNACIONAL Y SUS CONFLICTOS: SEGURIDAD VS. PRIVACIDAD

adecuadas para controlar la correcta utilizacin de los datos personales y la libre circulacin de stos dentro de un espacio interior sin fronteras como un medio efectivo en su lucha contra el terrorismo y la delincuencia transfronteriza. Conscientes, pues, de la necesidad de intensificar su cooperacin en esta materia, siete Estados Europeos (Blgica, Espaa26, Francia, Luxemburgo, Pases Bajos, Alemania y Austria) firmaron el Tratado de Prm, que plantea una cooperacin policial reforzada para luchar contra el terrorismo, la delincuencia transfronteriza y la inmigracin ilegal. Este tratado, rubricado en mayo de 2005 en la localidad alemana que le da su nombre, posibilita a los pases firmantes el intercambio de datos relativos a huellas dactilares, perfiles de ADN y registros de matriculacin de vehculos. Los aspectos del Tratado ms novedosos son: 3.2.1. ADN El Tratado prev la creacin de ficheros nacionales de anlisis de ADN para fines de persecucin de terrorismo, delincuencia transfronteriza y migracin ilegal. Adems, se obliga a las partes signatarias del mismo a crear ndices de referencia con perfiles de ADN obtenidos a partir de la parte no codificante del ADN y una referencia (por lo que no se tiene acceso a toda la secuencia gentica del individuo, evitando identificar directamente a la persona concernida)27. A estos ndices de referencia podrn acceder de forma automatizada las dems partes contratantes mediante una comparacin de perfiles de ADN28.
El instrumento de ratificacin se aprob en el BOE de 25 de diciembre de 2006: http://www. boe.es/boe/dias/2006/12/25/pdfs/A45524-45534.pdf 27 Slo revelador de la identidad y sexo de la persona 28 En diciembre de 2006 se present al Congreso de los Diputados un Proyecto de Ley reguladora de la base de datos policial sobre identificadores obtenidos a partir de ADN que tiene como finalidad la creacin de una base de datos en la que, de una manera nica, se integren aquellos ficheros de las Fuerzas y Cuerpos de Seguridad del Estado en los que se almacenen los datos identificativos obtenidos a partir de los anlisis de ADN que se hayan realizado en el marco de una investigacin criminal, o en los procedimientos de identificacin de cadveres. Los datos que se incluirn en la base de datos sern utilizados para la investigacin, esencialmente, de delitos graves (contra la vida, libertad sexual..). La cesin de la informacin contenida en la base de datos se realizar, sin necesidad de consentimiento previo del interesado, a las autoridades judiciales, fiscales y policiales de terceros pases, policas auto26

INTELIGENCIA Y SEGURIDAD 3 (2007)

127

ARTEMI RALLO LOMBARTI

El Tratado tambin contempla el supuesto de que, en el curso de una investigacin, sea requerida informacin del ADN de una persona que se encuentre en la base de datos de otra de las partes. En este caso, se solicitar la obtencin y transmisin de dicha informacin previa comunicacin de la finalidad para la que se requiere, certificacin de que se cumplen los requisitos para la obtencin de dicha informacin si la persona se encontrase en el pas requirente, as como de que esos requisitos tambin se cumplen segn la normativa del pas requerido. 3.2.2. Huellas Dactilares Por otro lado, el Tratado prev que los Estados parte dispongan de ndices de referencia relativos a los datos que se contengan en los sistemas nacionales de identificacin dactiloscpica, a los que podrn tener acceso para consultas automatizadas mediante comparacin de datos el resto de las partes contratantes. Si se comprueba la concordancia de datos, la transmisin de informacin adicional se har, igualmente, a travs de los mecanismos de cooperacin policial y conforme al derecho interno de la parte requerida. Vemos, por lo tanto, que se trata de un procedimiento similar a los previstos para los perfiles de ADN, que debe realizarse siempre en el marco de lo dispuesto por la LOPD respecto del tratamiento por las fuerzas de seguridad de datos sin consentimiento de las personas afectadas, slo en los supuestos en que sea necesario para la prevencin de un peligro real para la seguridad pblica o la represin de infracciones penales. 3.2.3. Matrculas de vehculos Igualmente, los Estados permitirn la consulta automatizada, en casos concretos, de los datos de los propietarios o usuarios y los datos de los vehculos.
nmicas y al Centro Nacional de Inteligencia. Debern ser objeto de un tratamiento que cuente con un nivel de seguridad alto y, en cuanto a su conservacin se atender a los siguientes criterios: el plazo de prescripcin del delito; cancelacin de antecedentes penales o la decisin de sobreseimiento o sentencia absolutoria. El texto de la propuesta puede encontrarse en: http://www.congreso.es/public_oficiales/L8/CONG/BOCG/A/A_117-10.PDF
128 INTELIGENCIA Y SEGURIDAD 3 (2007)

EL TERRORISMO INTERNACIONAL Y SUS CONFLICTOS: SEGURIDAD VS. PRIVACIDAD

Esta consulta slo podr efectuarse utilizando un nmero completo de identificacin de un vehculo o una matrcula completa. Este precepto contiene adems la especificacin de que el acceso a estos datos slo tendr lugar para los fines de prevencin y persecucin de delitos, cumpliendo los requisitos del mencionado artculo 22 de la LOPD. Un eje central de esta disposicin lo constituyen las medidas destinadas a reforzar la cooperacin en materia antiterrorista. En efecto, se prev la transmisin de datos29 , sin que medie peticin previa de otro Estado parte, cuando existan hechos que justifiquen la presuncin de que la persona en cuestin vaya a cometer alguno de los delitos contenidos en la Decisin Marco de lucha contra el terrorismo30: delitos de terrorismo, relativos a un grupo terrorista y delitos ligados a actividades terroristas. La utilizacin de estos datos podr estar sometida a condiciones por parte de la autoridad que los transmita, como sera nuestro caso por la aplicacin del artculo 22.2 de la LOPD. 3.2.4. Grandes eventos Por ltimo, tambin se contienen medidas para reforzar la cooperacin policial en caso de grandes eventos transfronterizos a travs del intercambio de informacin sobre individuos respecto de los cuales una condena firme u otras circunstancias justifiquen la presuncin de que vayan a cometer un delito o supongan una amenaza para la seguridad y el orden pblico. Como se acaba de examinar, el Tratado recoge un importante nmero de medidas que, por su trascendencia y repercusin, deberan ser de aplicacin en toda la Unin Europea. Por ello, en enero de 2007, la presidencia de turno de la Unin Europea, Alemania, propuso al Consejo de Ministros de la Unin una iniciativa para ampliar este instrumento a los veintisiete Estados Miembros, pasando as de ser un acuerdo meramente intergubernamental a ser considerado parte integrante del acervo comunitario. En un principio, se manifestaron ciertas reticencias, bien de tipo presupuestario
Nombre, apellidos, fecha y lugar de nacimiento y hechos que justifican la presuncin Decisin marco del Consejo, de 13 de junio de 2002, sobre lucha contra el terrorismo. Diario Oficial n. L 164, de 22 de junio de 2002.
29 30

INTELIGENCIA Y SEGURIDAD 3 (2007)

129

ARTEMI RALLO LOMBARTI

bien de tipo jurdico como los problemas derivados de su transposicin que podra suponer para algunos pases31 a dicha propuesta. Finalmente, el texto de la propuesta fue aprobado el pasado Consejo de Ministros de Asuntos de Justicia e Interior de 12 y 13 de junio de 2007. 3.3. Hacia un PNR europeo Para concluir, merece resaltarse la ltima de las iniciativas que se estn debatiendo en el seno de la Unin Europea para luchar contra el terrorismo internacional y que se conoce como el PNR Europeo32. Su punto de partida se sita en la Declaracin que realiz el Consejo Europeo en marzo de 2004, tras los atentados terroristas de Madrid, sobre la lucha contra el terrorismo, en la que se llam la atencin sobre la necesidad de presentar propuestas para un enfoque europeo comn en el uso de datos de los pasajeros con vistas a garantizar la seguridad area y de fronteras. Este propsito ha sido reiterado en el Programa de la Haya33 as como en el Plan de Accin sobre la lucha contra el terrorismo. Como resultado de esta peticin, la Comisin Europea se propone presentar en breve una propuesta de Decisin Marco relativa a la transmisin de datos PNR de los pasajeros que viajen en vuelos que se dirijan a la UE, como medida de lucha contra el terrorismo internacional y la criminalidad organizada. Las Autoridades de Supervisin, al ser consultadas en el proceso previo de valoracin del impacto de la medida, volvieron a reiterar que toda iniciativa que supusiera una restriccin en los derechos
Las principales reservas vienen del Reino Unido, pas reacio a que este Tratado se convierta en un instrumento comunitario y a dar poderes a policas de otros pases para actuar en su territorio en caso de necesidad, un aspecto que contempla el actual Tratado. Polonia y la Repblica Checa expresaron igualmente sus preocupaciones por el posible coste que acarreara la modernizacin de sus bases de datos para adaptarlas a estas nuevas especificaciones. 32 Hay que recordar que ya est en vigor la Directiva 2004/82/CE del Consejo, de 29 de abril, sobre la obligacin de los transportistas de comunicar los datos de las personas transportadas aprobada a iniciativa espaola y por la que ya se solicitan una serie de datos (datos API, los que estn recogidos en el pasaporte) sobre aquellos pasajeros provenientes de Estados que no formaban parte del espacio Schengen. http://eur-lex.europa.eu/LexUriServ/site/es/oj/2004/l_261/l_26120040806es00240027.pdf 33 Programa de la Haya: consolidacin de la libertad, la seguridad y la justicia en la Unin Europea, publicado en el DOUE el 3 de marzo de 2005. http://europa.eu.int/eur-lex/lex/LexUriServ/site/es/oj/2005/c_053/c_05320050303es00010014.pdf
31

130

INTELIGENCIA Y SEGURIDAD 3 (2007)

EL TERRORISMO INTERNACIONAL Y SUS CONFLICTOS: SEGURIDAD VS. PRIVACIDAD

fundamentales de los ciudadanos europeos debera contar con una estricta limitacin en cuanto a su finalidad, garantizar un uso proporcionado de los datos, y fijar las salvaguardias ms estrictas en lo que a la utilizacin de datos sensibles se refiere. 4. CONCLUSIONES Actualmente, nuestras sociedades democrticas deben hacer frente a una amenaza global que pretende menoscabar nuestras libertades y valores. En este nuevo escenario, el tratamiento e intercambio de informacin personal se ha convertido en instrumento esencial para la eficacia en la labor de las Fuerzas y Cuerpos de Seguridad en Europa. Un argumento contundente y legtimo que, no obstante, debe ser objeto de lmites. La proteccin de la vida privada y los datos personales de los ciudadanos no pueden ni deben verse como un obstculo al efectivo intercambio de informacin, sino que est en el propio inters de nuestras fuerzas policiales y judiciales el contar con informacin segura, veraz y efectiva para poder desarrollar su labor como garantes de la seguridad pblica, garantizando la prevalencia de los derechos y las libertades en nuestra sociedad democrtica avanzada. En este mbito no podemos dejar de lado las especiales caractersticas de la informacin que est siendo objeto de intercambio, as como de las consecuencias que de su tratamiento pudiera derivarse, por lo que es imprescindible la fijacin de controles y mecanismos de supervisin eficaces.

INTELIGENCIA Y SEGURIDAD 3 (2007)

131