Una semana más, desde Nivolap, Abogacía Digital, Empresa y Startups volvemos con un nuevo artículo sobre la actualidad digital.
En esta ocasión, analizamos la licitud en la obtención de la información albergada en la serie IMSI (International Mobile Subscriber Identity) e IMEI (International Mobile Equipement Identity), así como de la etiqueta numérica que compone la dirección IP (Internet Protocol) de un dispositivo electrónico. Toda esta información resulta de especial relevancia para las Fuerzas y Cuerpos de Seguridad del Estado a la hora de investigar la realización de presuntos hechos delictivos.
¿Qué son los códigos IMSI e IME y la dirección IP?
Por IMSI, entendemos aquella cadena de cifras decimales, con una longitud máxima de 15 cifras, que identifica una sola suscripción. La IMSI está formada por tres campos:
- El indicativo de país para el servicio móvil (MCC).
- El indicativo de red para el servicio móvil (MNC).
- El número de identificación de suscripción al servicio móvil (MSIN)”. Véase, en este sentido, la Recomendación UIT-T E.212 “Plan de identificación internacional para redes públicas y suscripciones”.
En cambio, por IMEI se entiende aquel código pregrabado en cada terminal y su función principal es identificar a los móviles a nivel mundial.
Finalmente, la dirección IP es un número único e identificativo que se le asigna a tu equipo para identificarlo de forma inequívoca cuando éste se conecta a una red.
Respecto a los códigos IMSI e IMEI
Por lo que respecta a los códigos IMSI e IMEI, habrá que remitirse a la Circular 1/2013 de la Fiscalía General del Estado sobre pautas en relación con la diligencia de intervención de las comunicaciones electrónicas. Ésta se pronuncia de forma contundente al entender que «ni el IMSI ni el IMEI por sí solos, son datos integrables en el concepto de comunicación» (véase la página 45 de la Circular). Por ende, esas actuaciones de investigación no entrarán dentro del ámbito de protección del derecho fundamental al secreto de las comunicaciones ni del derecho a la intimidad personal.
De la misma forma se han pronunciado las Sentencias del Tribunal Supremo número 1115/2011, de 17 de noviembre (RJ 2012\11372), número 79/2011, de 15 de febrero (RJ 2011\4265), número 249/2008, de 20 de mayo (RJ 2008\4387) y número 776/2008, de 18 de noviembre (RJ 2008\6988). Frecuentemente esta idea ha sido respaldada por la Sentencia del Tribunal Supremo número 481/2016, de 2 de junio (RJ 2016\2719).
Sin embargo, hay que tener en cuenta que una cosa es la captación de tales números a efectos de investigación penal por parte de las Fuerzas y Cuerpos de Seguridad del Estado, y otra muy diferente es la solicitud de dicha información a las operadores telefónicas. En otras palabras, el artículo 3.1 e), 2º iv) y v) de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones es claro al exigir la preceptiva autorización judicial para la cesión del IMSI e IMEI.
De esta forma, podría resultar aplicable el artículo 11 de la LOPD al entender que nos encontramos ante una comunicación de datos. Si bien, la propia Circular entiende que no es aplicable el apartado primero del artículo 11 de la LOPD (vid. páginas 45 y 46 de la misma), sino su apartado 2 letra a) funcionando como una excepción a la prestación del consentimiento por parte del interesado. Esta tesis es la precisamente respaldada por las ya citadas Sentencias del Tribunal Supremo número 249/2008, de 20 de mayo (RJ 2008\4387) y número 776/2008 (RJ 2008\6988).
Respecto a la dirección IP
Acerca de la obtención de la dirección IP de un dispositivo, la Circular en su página 47 –al igual que múltiples Sentencia del Tribunal Supremo como la número 292/2008, de 28 de mayo (RJ 2008\3241) o la número 776/2008, de 18 de noviembre (RJ 2008\6988)– se ha mantenido en la idea de no precisar de autorización judicial, pues entiende que el Protocolo de Internet es de dominio público; y ello a pesar de que se deduzca del artículo 2.1 de la LOPD que se trata de un dato de carácter personal. De la misma forma, se ha pronunciado la Agencia Española de Protección de Datos a través del Informe Jurídico publicado en 2003 denominado «Carácter de dato personal de la dirección IP», pues ha mantenido la idea de que no existe ningún acto de comunicación pública.
Sin embargo, hay que mantener la idea expuesta anteriormente. Una cosa es el rastreo policial del espacio público y otra muy distinta el librar oficio a una operadora para que disponga de tales datos. Esto es, “los rastreos policiales para localizar direcciones IP pueden por tanto realizarse sin necesidad de autorización judicial, ya que no se trata de datos confidenciales preservados del conocimiento público” (vid. página 47 de la Circular). Mientras que para obtener información de una operadora será necesaria el libramiento de mandamiento judicial al fin de respetar al artículo 3.1 a) 2º. iii) de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.
Sentencias del Tribunal Supremo como la número 292/2008, de 28 de mayo (RJ 2008\3241), la número 236/2008, de 9 de mayo (RJ 2008/4648) o la número 680/2010, de 14 de julio (RJ 2010\3509) consideran lo mismo. También, el artículo 588 ter k de la LECrim. contempla esta interpretación, pues se limita a exigir el deber de colaboración contenido en el artículo 588 ter e para aquellos casos en los que no conste “la identificación y localización del equipo o del dispositivo de conectividad correspondiente ni los datos de identificación personal del usuario”.