A principios del mes de mayo de 2017 se filtró el último borrador de la norma “Investigatory Powers Act” sustituta de la norma “Draft Communications Data Bill”, propuesta por Theresa May. Ambas normas conforman la llamada “Snooper´s Charter” o “Ley del Fisgón”.
El borrador de esta nueva norma establece una serie de obligaciones de cooperación con las autoridades, las cuales se podrían resumir en definitiva, en una expansión de las competencias de las agencias de inteligencia británicas.
Del borrador, llama la atención no sólo su contenido, sino también su preámbulo, el cual establece que para la redacción del borrador se ha consultado al Technical Advisory Board, y a aquellas personas que quedarían obligadas por la norma. Esta afirmación contrasta con el hecho de que el público en general, los ciudadanos, quienes serían los principales afectados, no hayan sido informados sobre una norma que restringiría de una forma tan extrema su privacidad.
El propósito de esta norma es obligar a los proveedores de telecomunicaciones a monitorizar las conversaciones de los usuarios, instalar puertas traseras en sus redes e interceptar a tiempo real las comunicaciones de los ciudadanos. Esto permitiría a las autoridades (entre ellas agencias de seguridad de Reino Unido como el GCHQ, MI5 y M16) a acceder al contenido de las comunicaciones de los usuarios.
Entre las obligaciones impuestas a los operadores de telecomunicaciones destacan:
- la obligación de mantener las intercepciones de comunicaciones e incluso auditar su correcto funcionamiento;n
- la obligación de asegurar la transmisión de esta información;n
- y la de eliminar la protección electrónica a las telecomunicaciones.n
Pero estas obligaciones no afectan sólo a los operadores de internet, sino también a los operadores postales, quienes bajo esta norma tendrán la obligación de mantener la capacidad de abrir, copiar y resellar las comunicaciones postales de los ciudadanos.
Mientras los colectivos de defensa de la privacidad denuncian la incompatibilidad de la norma con los derechos humanos dada la vigilancia extrema y los poderes intrusivos en la privacidad de los usuarios concedidos a las agencias, el Gobierno de Reino Unido asegura la compatibilidad de la norma con la Convención Europea de Derechos Humanos.
En relación a la violación de la privacidad de las comunicaciones existen dentro de la Unión Europea otros precedentes, como la Directiva de Conservación de Datos de Telecomunicaciones de 2006 cuyo objetivo era garantizar la protección y seguridad, imponiendo a los proveedores la obligación de conservar determinados datos para garantizar su disponibilidad a la hora de investigar y enjuiciar delitos graves, siendo los datos a conservar sólo datos de tráfico o identificación (metadatos), y no el contenido de las comunicaciones como es el caso del borrador del que se habla en este artículo.
Esta Directiva fue anulada por la Sentencia del Tribunal Europeo de justicia de 8 de abril de 2014, al considerar que la norma atentaba contra los derechos fundamentales reconocidos por la Unión Europea relativos a la vida privada y a la protección de los datos de carácter personal de los ciudadanos europeos y por exceder los límites del principio de proporcionalidad al poder producirse un abuso en el uso de los datos por parte de las autoridades de los Estados Miembros.
En conclusión, cabe plantearse si la afirmación del Gobierno Británico sobre la compatibilidad del borrador con el derecho de la Unión Europea es cierta, ya que como se ha comprobado, otras normas (como la Directiva de Conservación de Datos) más leves en cuanto a la intrusión en la privacidad de los usuarios, han sido consideradas nulas por el TJUE. Por otro lado, no está de más preguntarse si tras el Brexit, el Reino Unido se seguirá preocupando por el cumplimiento de la normativa de la Unión en el ámbito de la privacidad, ya que de no ser así, existirían aún menos impedimentos a la hora de aprobar este borrador, con la consecuente intromisión en la vida privada de los ciudadanos británicos, pudiendo llegar a considerarse a Reino Unido como un destino que no reúne garantías suficientes de cara a las transferencias internacionales de datos personales.
Áudea Seguridad de la Información
