lunes, 2 de septiembre de 2013

“Vigilancia” de las comunicaciones en Internet y acceso al correo electrónico de los ciudadanos europeos

Desde que a principios de junio las informaciones sobre los programas de vigilancia de Internet por parte de EEUU saltaron a las primera páginas de la prensa internacional, parece haberse impuesto la sensación de que para el conjunto de los ciudadanos esas actividades son algo distante, en el sentido de que no exigen ningún tipo de explicación, cautela o garantía en el marco de relaciones privadas cotidianas, sobre las que no parecen tener repercusión. Me refiero a relaciones, por ejemplo, como las que mantiene un prestador de servicios de correo electrónico con sus usuarios, o un empleador (o cualquier entidad) con sus trabajadores (o sus miembros) a los que impone/proporciona el uso de una cuenta de correo electrónico. Cabe recordar que esas informaciones han puesto de relieve cómo esos programas incluyen la supervisión continuada, entre otros, de cuentas de correo electrónico. En principio, esa supervisión va referida únicamente a cuentas de personas que no sean ciudadanas de EEUU y a informaciones que se encuentren principalmente en servidores de EEUU, incluidos los de los proveedores de servicios más relevantes a escala global. El acceso a esas cuentas de correo electrónico (y otros servicios, como los que ofrecen las redes sociales) tendría lugar sin las garantías propias de la legislación del país de la persona cuya cuenta es supervisada (por ejemplo, España). Para hacerse una idea de las cuestiones (y riesgos) que esta vigilancia plantea desde la perspectiva del Derecho de la UE y, en concreto, de la tutela del derecho fundamental a la protección de datos, resulta muy útil la carta fechada el 13 de agosto en la que el llamado Grupo de Trabajo de Protección de Datos del artículo 29 (GTPD), que engloba a las autoridades de los Estados miembros en la materia, se dirige a la Vicepresidenta de la Comisión y Comisaria de Justicia, reclamando el esclarecimiento de una serie de cuestiones de gran trascendencia en relación con este asunto. 



            Como el interés y brevedad de la carta aconsejan la lectura completa por parte de los interesados, no me detendré en su contenido. En todo caso, las aclaraciones que el GTPD considera necesarias que proporcionen las autoridades de EEUU dejan claro el desconocimiento del alcance de las actividades de supervisión que existe todavía en la actualidad entre las autoridades europeas. Entre otros, los aspectos sobre los que se considera necesario que informen las autoridades de EEUU incluyen qué tipos de datos y comunicaciones están siendo recopilados. Asimismo, el GTPD reclama que se aclare si la actividad de supervisión se extiende también a datos que se encuentran en medios situados en EEUU únicamente con fines de tránsito, lo que vincula la carta con la circunstancia de que la legislación europea no resulta de aplicación al tratamiento de datos en medios situados en la UE si los medios se utilizan sólo con fines de tránsito. Se trata de una cuestión clave, desde el punto de vista de los servicios que pueden estar siendo objeto de supervisión –y su repercusión sobre los ciudadanos europeos-: “It thus needs to become clear whether the intelligence services or other relevant bodies have to prove that the data are physically and legally available on US soil (i.e. stored on servers on US territory) or if it is sufficient that data are processed by or through an American company or subsidiary” (p. 2 de la carta). El texto incluso pone de relieve que (a través de estas compañías) las autoridades de EEUU pueden estar accediendo a datos que se encuentran en la UE. También resulta de especial interés en la parte final de la carta, la mención acerca de la necesidad de clarificar si estos programas de EEUU son conformes con el Derecho europeo e internacional. Por último, la carta hace una vaga alusión a la necesidad de abordar la reparación y posibilidades de reclamación de los afectados no estadounidenses.
            Al inicio de esta entrada hacía referencia a la eventual repercusión de las actividades de las que dan cuenta esas revelaciones sobre ciertas relaciones privadas, en particular, en la medida en que se encuentren implicadas las empresas desde cuyos servidores y servicios las autoridades de EEUU acceden a los datos (incluidos mensajes) de los usuarios europeos.  Esa repercusión cabe entender que podría sentirse, por ejemplo, en los contratos entre esas empresas y los usuarios europeos de sus servicios (¿informan a estos de que sus datos pueden llegar a ser objeto de supervisión por las autoridades de EEUU incluso si utilizan esos servicios sólo desde Europa?, ¿acceden en el marco de la ejecución de esos contratos a facilitar el acceso de las autoridades de EEUU a la información pese a que se trate servicios prestados a españoles que se encuentran en España?, ¿supone esto último un incumplimiento del contrato?). 
          Especialmente relevante podría ser la repercusión en las relaciones entre ciertas entidades y esos prestadores de servicios con respecto a la prestación de servicios como el correo electrónico. Por ejemplo, Google proporciona en la actualidad los servicios de correo electrónico de la UCM, incluidas las cuentas de su personal y estudiantes. ¿Existen en el marco de los acuerdos que regulen la prestación de servicio de correo electrónico a la UCM garantías relativas a la no supervisión por autoridades extranjeras de esas cuentas de correo? En el caso de que el prestador del servicio facilitara a las autoridades de EEUU (al margen de la ley española) el acceso a las cuentas de empleados o estudiantes ¿supondría un incumplimiento del contrato (además eventualmente de una vulneración la legislación europea e internacional)? [Sólo para los especialistas en DIPr: al valorar el eventual incumplimiento del contrato y sus consecuencias ¿sería relevante que la obligación de facilitar el acceso a la información a las autoridades de EEUU viniera impuesta por una norma internacionalmente imperativa de EEUU en el sentido del artículo 9 del Reglamento Roma I?] El siguiente paso sería plantear ciertas preguntas al hilo de las relaciones entre el empleador y el empleado… No debe olvidarse que se trata de cuestiones que surgen al hilo de la eventual vulneración de derechos fundamentales.