El fichero SIDENPOL: el cajón de sastre de lo que piensa el Estado de nosotros

Helicóptero del Cuerpo Nacional de Policía (España). Crédito: Wikipedia
Helicóptero del Cuerpo Nacional de Policía (España). Crédito: Wikipedia

La Agencia Española de Protección de Datos(AEPD) resolvió en enero un procedimiento de tutela de derechos en favor de una Brigada Provincial de Información de la Policía Nacional, en el cual un particular reclamaba el origen de una información aportada por agentes a un expediente judicial. Los redactores incluían curiosas valoraciones sobre filiación política del reclamante e incluso imputaciones de terrorismo basadas “en informaciones propias y de confidentes”. Es el fichero SIDENPOL, un fichero de difícil acceso donde parece que vale todo. Continue reading El fichero SIDENPOL: el cajón de sastre de lo que piensa el Estado de nosotros

La Policía Nacional no te puede pedir el IMEI en la calle

Según informa el diario El Confidencial Digital, en varios puntos de la Península, agentes del Cuerpo Nacional de Policía están llevando a cabo controles en la calle donde al ciudadano afectado se le solicitan dos cosas: su DNI y el teléfono móvil a efectos de comprobar si su IMEI corresponde a un teléfono robado.

Bien, quien se vea afectado por esta práctica debe saber que se trata de una práctica completamente ilegal. La Ley 25/2007 de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones no regula expresamente cómo será el régimen de cesión de los datos a las Fuerzas y Cuerpos de Seguridad del Estado, por lo que entonces su protección descansa sobre la Ley de Protección de Datos.

La Sentencia del Tribunal Supremo 4152/2013, parece aclaradora al respecto. La misma argumenta que para la intercepción del número de IMEI no es necesaria autorización judicial, pero para cruzar y obtener los datos de su titular, sí:

La captura de estos I.M.S.I. o I.M.E.I. no precisa de previa autorización judicial“.

Esta Ley [de Protección de Datos] dispone que la recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad (art. 22.2)

La recogida y tratamiento por las Fuerzas y Cuerpos de Seguridad de los datos, a que hacen referencia los apartados 2 y 3 del artículo 7, podrán realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación, concreta, sin perjuicio, del control de legalidad de la actuación administrativa o de la obligación de resolver las pretensiones formuladas en su caso por los interesados que corresponden a los órganos jurisdiccionales” (art. 22.3)

Entiende el TS que el IMEI es un dato en poder de las operadoras y cuya titularidad corresponde a éstas. La obtención masiva de éstos datos sin el consentimiento de sus titulares y/o afectados constituye una infracción al art. 22 de la Ley 15/1999 de Protección de Datos, y más aún el hecho de llevar a cabo, y aquí sin orden judicial, las actividades indagatorias que permitan asociar un IMEI a una identidad determinada sin que ésta se haga en el marco de una investigación criminal o en referencia a un hecho penalmente relevante.

Es importante que sepas que puedes negarte a entregar el teléfono móvil y, en caso de denuncia administrativa, esgrimir las argumentaciones que expresa el Tribunal Supremo en la mencionada sentencia.

Obtener los datos del dueño de un hosting y/o dominio en GoDaddy




GoDaddy es una empresa proveedora de hosting y dominios que ha absorbido gran parte de los servicios que antes proveía Blogger. Hasta hace pocos meses, los blogs de este popular servicio se podían personalizar aplicando un dominio de pago provisto por la empresa, pero un cambio en su política comercial le ha hecho delegar este servicio en empresas patrocinadas como GoDaddy. Esta novedad le ha servido a Blogger para desligarse de muchos aspectos legales derivados de la responsabilidad de someter sus dominios a las legislaciones nacionales, y en el caso de España, en aquello que afecta a la Ley Orgánica de Protección de Datos.

Hace pocos días se nos presentó en Bitcoin Hispano un asunto de una posible estafa realizada por internet que afectaba a ciudadanos de varios países. El colectivo de afectados quería saber ante todo los datos del titular o titulares de la web y el dominio, a los efectos de realizar una posible reclamación patrimonial en el país desde donde se había domiciliado.

GoDaddy tiene una política legal muy confusa respecto a estos temas. Aparte, la traducción al castellano de la terminología jurídica tampoco ayuda demasiado, pues confunde los términos “citación” con “notificación” (el término en inglés subpoena puede referirse también a “apercibimiento”), lo que confundiría a quien, por ejemplo, desde España, piense que un juzgado va a librar con facilidad una orden internacional en una jurisdicción extranjera.

Realizadas las consultas con la empresa, hemos aclarado algunos aspectos que si bien no hacen sencillo el proceso de obtención de estos datos que nos interesan (ni tampoco los abaratan), sí que los simplifican.

Para que GoDaddy pueda cumplir con los requisitos del programa TRUSTe en relación a la privacidad de los datos, el solicitante de la información debe aportar una demanda presentada ante autoridad judicial o administrativa, debidamente fundamentada, que determine las razones legales que se esgriman contra el titular del hosting y/o dominio, y donde se especifique la necesidad de identificarlo. En el caso de España, la presentación que se haga ante la autoridad correspondiente deberá ser traducida mediante traductor jurado y legalizada, y remitida por los medios que ofrece GoDaddy en su web (incluye fax y correo electrónico).

Esta comunicación tiene como finalidad acreditar la identidad y el interés legítimo del solicitante y proteger a GoDaddy en caso de eventuales reclamaciones del titular de los datos. Este proceso no debería demorarse más de 30 días naturales desde que se remitió la documentación.

Fuentes: elaboración propia