El crecimiento y desarrollo de Internet ha sido exponencial en los últimos años, y paralelamente ha ido creciendo la regulación legal de tal actividad a fin de evitar que sea mal utilizada. Esto ocurrió con la ley 25.873 promulgada el 6 de febrero de 2004, que con la finalidad de combatir el delito y servir al esquema de seguridad de la Nación extendió su ámbito de aplicación al ciberespacio.
La reglamentación de dicha norma vino de la mano del decreto 1563/04, en noviembre de 2004, y a poco de su publicación recibió las primeras impugnaciones en enero de 2005.
En medio de esta polémica -reavivada en los últimos días- y ante el anuncio oficial de que se dejará sin efecto el decreto 1563/04, Diariojudicial.com se reunió con Pablo Palazzi, Abogado, especialista en derecho informatico para consultarlo al respecto.
En el diálogo mantenido, Palazzi explicó –dando ejemplos del derecho comparado- que la normativa citada forma parte de un movimiento a nivel mundial para tratar de evitar que las nuevas tecnologías sirvan sólo para delinquir y no para prevenir el delito.
No obstante, en el caso de la ley 25.873 y el decreto 1563/04 advirtió que “no queda claro en la ley si a los datos de tráfico se les va a aplicar los mismos estándares de protección que a los datos de contenidos” señalando que “ambos gozan de la misma protección” ya que en la ley no hay ninguna evidencia que digan que son distintos. A continuación reproducimos la charla mantenida.Diario Judicial: ¿Cuál es su opinión acerca de la ley 25.873 y su polémico decreto reglamentario?

Pablo Palazzi: La ley y el decreto forman parte de un movimiento a nivel mundial para tratar de evitar que las nuevas tecnologías sirvan solo para delinquir y no para prevenir el delito. Lo que se quiere evitar es que las nuevas formas de comunicación como el e-mail, la mensajería electrónica, las comunicaciones P2P, entre otras, sirvan para burlar a las fuerzas de seguridad. De esta forma se obliga a las telcos y a las empresas proveedoras de servicios de internet (ISPs) que tengan una tecnología accesible y que puedan interceptar comunicaciones. Y a su vez como estos datos de tráfico se guardan por poco tiempo -que dicen cuando, donde y por cuanto tiempo te conectaste- se establece un plazo para guardarlos de modo que cuando haya que investigar un delito existan.

¿Esto se extiende a los contenidos?

De acuerdo al art. 236 del Código Procesal Penal de la Nación, cualquier juez que quiere conocer el contenido de las comunicaciones en tiempo real puede establecer la interceptación y/o intervención. También en algunos casos a pedido del fiscal.
Si yo puedo conocer el contenido de una comunicación telefónica, yo no sé por que la gente se alarma que se pueda conocer el contenido de una comunicación via e-mail, aunque siempre por orden del juez y deben existir causas probables de que se está cometiendo un delito.

¿Este sistema se aplicaría también a la telefonía IP?
(NdR: El sistema de telefonía IP (Internet Protocol), permite realizar llamadas a través del protocolo de comunicación IP por lo que se pueden comunicar equipos de todo el mundo. Se digitaliza la voz y se la comprime en paquetes de datos que se envían y reconvierten en voz en el punto de destino)

En realidad, estas definiciones hablan de cualquier comunicación y el problema es que la telefonía IP justamente es un ejemplo de convergencia, porque es “voz” pero no a través de los mecanismos tradicionales sino a través de internet. Yo creo que si un juez da una orden de que una comunicación a través de voz IP se intercepte, la empresa que recibe el pedido debería hacerlo e instrumentar los medios necesarios. La obligación del art. 1 en la ley 25.873, es una obligación de colaborar con una investigación judicial. El único problema es que si la empresa de telefonía IP está en Estados Unidos van a existir dificultades.

¿Se podría decir que estas normas son inconstitucionales por invadir el derecho a la intimidad?

Para mi no, si es usado con la finalidad inicial de la ley que es combatir el delito y siempre que exista orden de juez competente dentro del marco de la constitución (art. 18 CN) . La única crítica es la del plazo de 10 años que tal vez es demasiado. Fue una opción del legislador y así fue aprobado.

¿Los datos de tráficos y de contenido tienen la misma protección?

La jurisprudencia norteamericana tiene esa diferenciación y protege en menor medida los datos de trafico que los de contenido, porque según tiene dicho la Corte Suprema de EEUU los datos de tráfico los da voluntariamente el navegante a los ISP, cuando le digo a mi ISP que entro por ej. a www.diariojudicial.com, voluntariamente se lo digo.
En Estados Unidos, no gozan de la misma protección y para la intercepción de la comunicación con el contenido necesito una orden de un juez con causa probable y fundada en cambio para la obtención de datos de tráfico simplemente se pone en conocimiento del juez y se obtiene. En cambio en Europa que es de donde proviene nuestro sistema, existen fallos que para obtener los datos de trafico se necesita una orden de juez.
No queda claro en la ley si a los datos de tráfico se les va a aplicar los mismos estándares de los contenidos. Acá yo creo que ambos gozan de la misma protección y en la ley no hay ninguna evidencia que digan que son distintos. Lo que sucede es que cuando la Corte Suprema de la Nación, ha resuelto casos de prueba ilegal se ha apoyado en la jurisprudencia norteamericana.

¿Podría eventualmente darse algún tipo de conflictos con la acción de hábeas data o la normativa de datos personales?

No conflictos yo creo que no. Al contrario. Porque existe el hábeas data y la ley de protección de datos personales todas estas acumulaciones de información que van a tener los ISP y telcos van a estar sujetas a la ley de protección de datos personales ya que el art. 45 bis ley 25.873 dice de “conformidad con la legislación vigente”, lo que tiene dos interpretaciones. O que se refiere a la legislación vigente ley 25.760 porque habla del Ministerio Público, o que también esto incluye la ley de protección de datos personales, a raíz de la cual tenes derecho a acceder a los datos personales, a corregirlos, a cotejarlos, derecho a suprimirlos y hasta derecho al olvido.

Lo que puede suceder es que como uno no se entera de los datos interceptados no pueda ejercer estos derechos eficazmente…

Justamente ahora la Dirección Nacional de Protección de Datos Personales habilitó un registro para guardar bases de datos y de esta forma existe un listado de bases de datos que existen y los cuales pueden tener datos tuyos. Estoy pensando si estos datos almacenados por los ISPs y telcos tendrían que registrarse pues son base de datos creadas obligatoriamente. Pero ellos la tienen ahí y como poseen datos personales deberían registrarlas.

¿Existe alguna norma en el derecho comparado de estas características?

EEUU no tiene una norma expresa sino que funciona en situaciones ad hoc y cuando un juez se da cuenta que cierta situación hay que preservarla puede emitir una orden y decirle preserve la información de tal tiempo. Entonces los ISP en EEUU cada uno lo guarda por determinado tiempo pero no por un tiempo obligatorio. En Europa, luego del atentado del 11 de septiembre de 2001 hubo mucho debate y a principio mucha oposición a reglamentar ese tráfico y obligar a retener datos de tráfico en telecomunicaciones y finalmente se aprobó por presión de EEUU.
Tampoco va en contra de todo el espíritu de la ley de protección de datos. Hay un principio que es el de finalidad, tenés los datos para una determinada finalidad, y podes usarlo sólo para esa finalidad. Si las telefónicas y los ISP tiene información de tráfico para regular el consumo y la facturación, -hiciste 100 llamadas a tal lugar, te cobro por esas 100 llamadas- esa información no se puede utilizar para otra finalidad. Y ese cambio para guardar información provocó un gran conflicto porque se decía que violaba la Directiva Europea de Protección de Datos Personales.

¿Qué plazos existen en otras legislaciones?

Son mucho menores, en EEUU no hay plazos y en Europa son 12 meses, 2 años, 3 años en Italia, pero nunca 10 años. Y no por una cuestión de respetar el derecho al olvido sino por una cuestión práctica, lógica y económica. Hay un estudio de America Online, que dice que para guardar información solamente de datos de tráfico, no de contenido, se precisan alrededor de 36.000 Cd´s, a lo que hay que sumarle recursos tecnológicos y humanos para almacenarlos y hacer un sistema de búsqueda; y en diez años serían 360.000 cd´s.

¿Quiénes asumen el costo de esta implementación?

En EEUU lo asumen los ISPs pero el Estado le paga el costo que hayan tenido. En Europa, Inglaterra terminó la cuestión con un código de conducta o buenas prácticas, una especie de cumplimiento voluntario. En cambio acá en Argentina el costo lo tienen que asumir las empresas.

¿Que debería modificarse?

Creo que el tema de los plazos y costos. El plazo debería ser más corto teniendo en cuenta el derecho comparado y en cuanto a los costos debieran compartirse o tenerse en cuenta que si son excesivamente onerosos ya deja de ser una carga legal, como la que todos tenemos que cumplir. El tema de los contenidos no, porque siempre el juez tuvo la facultad de ordenar la interceptación de una comunicación y si la tecnología evoluciona y se hace más difícil, la ley debe acompañarla y permitir que puedan interceptarla.

El Estado al contestar el informe del art. 8 ley 16.986 en el marco del amparo interpuesto por CABASE contra el decreto 1563/04 sostuvo que no se viola la intimidad. ¿Cuál es su opinión?

No se viola la intimidad si hay una orden de juez competente de interceptar una comunicación.
Pero si se registra de un sitio de internet la información de datos tráfico, qué es lo que yo navegué –que ahí coincide justo el contenido con la información de datos de tráfico- es decir si en mi casa yo estoy navegando determinado sitios y eso queda almacenado hay un peligro para la intimidad porque alguien puede acceder a esta información de datos de tráfico, saber mis gustos, mis preferencias lo que yo hago en mi casa y eso sí es privado.

¿Haría falta una regulación integral de internet?

En realidad, el problema es que internet ya está muy regulada pero se cumplen pocas disposiciones. Existe la ley 25.690 por la que las empresas ISP tendrán la obligación de ofrecer software de protección que impida al acceso a sitios específicos que en la práctica nunca se puso en funcionamiento. Existe la ley de protección de datos que se aplica a todo lo que sea internet y sin embargo abrís una cuenta de mail y tenes un montón de spam, y circulan bases de datos de lo que se te ocurra.