Hay una cosa que ya tenemos muy clara, y es que todo lo que hacemos en Internet queda registrado en alguna parte. En la mayoría de los casos, en la nube de las grandes empresas tecnológicas que nos brindan los servicios que usamos en nuestro día a día: correo electrónico, espacios virtuales de trabajo (como Google Drive u Outlook), redes sociales, videollamadas, aplicaciones de mensajería etc. Cuando usamos estas funciones, generamos una serie de datos que se quedan las empresas, que dicen mucho de nosotros, y que pueden ser útiles para una investigación policial o judicial.
Lo vemos con un ejemplo bastante reciente: la polémica revocación de la sentencia Roe vs Wade que protegía el acceso al aborto en Estados Unidos. En Maldita.es hablamos de qué relación tenía esto con nuestra vida online, especialmente a raíz de que se viralizase en redes un llamamiento a eliminar las aplicaciones de control menstrual.
Esto se debió al temor por que se pudiese usar la información registrada en ellas para conocer si una mujer había pasado por un aborto (aunque a priori no es tan fácil de identificar). A raíz del revuelo, varias grandes empresas tecnológicas, entre ellas las GAFAM, advirtieron de que no entregarían datos relacionados con este asunto de sus usuarias, como contamos también a fondo en Maldita.es. También la empresa detrás de una de estas apps (Clue) aseguró que “no cumpliría con los requerimientos de información relacionada con la salud de los usuarios por parte de las autoridades de Estados Unidos”.
Sin embargo, esto no es tan fácil de cumplir a rajatabla y de ahí sale una pregunta que hemos recibido en Maldita Tecnología. ¿Cómo funcionan estas peticiones de datos por parte de jueces o autoridades policiales? ¿Están obligadas las empresas a entregarlos sí o sí? ¿Funciona igual en todo el mundo?
Por norma general, los tribunales tienen que tener jurisdicción en el país en el que quieren solicitar la información
Empezamos con la última pregunta, ya que tiene truco: los jueces y tribunales de cualquier estado pueden solicitar información mediante un requerimiento judicial, pero tanto el tipo de información, como la forma y los plazos dependerán de cada lugar, explica a Maldita.es Elena Gil, abogada experta en derecho digital y protección de datos.
Esto, a su vez, es cambiante, ya que si bien es necesario que el tribunal que realiza una solicitud en un país tenga jurisdicción en él, hay veces que se mandan igualmente solicitudes a empresas extranjeras -y estas tienen la opción de contestar o no- y otras en las que existen tratados especiales entre regiones que autorizan estos requerimientos . “Por lo general, un tribunal estadounidense solamente tiene jurisdicción ante empresas estadounidenses. Sin embargo, muchos países firman entre sí tratados de asistencia jurídica mutua para facilitar la investigación de delitos que requieran de la ayuda de un país extranjero”, enfatiza Carmen Villarroel, también abogada y especialista en privacidad y protección de datos.
Es el caso de Estados Unidos y la Unión Europea, por ejemplo. En Europa, rige la Convención Europea de Derechos Humanos, recuerda Villarroel, que “obliga a los países a respetar ciertos requisitos a la hora de legislar cuestiones relativas a los derechos humanos de sus ciudadanos, como la privacidad”. Y por ende, a solicitar datos a mansalva a las empresas tecnológicas.
El derecho a la privacidad es uno fundamental, por eso las solicitudes no siempre salen adelante
En principio, nuestro derecho a la privacidad prevalece sobre una petición de datos, a menos que haya una justificación sólida de por qué se necesitan. “Dentro de nuestra normativa, vulnerar un derecho fundamental solo puede suceder cuando ‘choque’ con otro derecho fundamental, cuando haya otro bien mayor en juego que necesite protección”, añade Elena Davara, especialista en protección de datos y socia de Davara & Davara.
De ahí que hablemos de que las empresas ‘batallan’ estos requerimientos cuando les llegan y que no se entreguen los datos en el cien por cien de los casos: “En derecho es indispensable calibrar la proporcionalidad de una medida o, dicho de otra manera, someterlo a ese juicio de ponderación tomando todos los intereses -y, sobre todo, todos los derechos, que entran en juego-. Por tanto, hemos de revisar, en primer lugar, que no haya medidas menos intrusivas para paliar o evitar el daño y, en segundo lugar, que la aportación de los datos sea la mínima imprescindible”, aclara Davara.
Para aclararnos, ¿de qué tipo de información estamos hablando? Por poner un ejemplo, en Maldita.es explicamos en 2021 el caso de un activista francés que había sido detenido después de que el proveedor de correo electrónico ProtonMail tuviera que entregar su dirección IP a las autoridades suizas. Gracias a este dato, que da información sobre una ubicación de forma aproximada, pudieron localizarle. En el caso del aborto en Estados Unidos, también hablamos de cómo se incriminó a una mujer y a su hija después de que Facebook revelase una conversación que ambas mantuvieron por Facebook Messenger (aunque el caso fuese previo a la revocación de la sentencia Roe vs Wade).
Las empresas pueden batallar los requerimientos, pero suelen ceder al menos parte de los datos
“Muchas grandes empresas tecnológicas (estadounidenses en su mayoría) tienen políticas respecto a este tipo de solicitudes. Algunas de ellas establecen que solamente responderán a solicitudes que cumplan todos los requisitos legales, y que recurrirán todas aquellas que no los cumplan”, relata Villarroel a Maldita.es. Algunas, además dan datos sobre las solicitudes que reciben, entre ellas Google o Apple. Google, por ejemplo, proporciona datos en el 80-84 % de los casos, aproximadamente
Recordemos una cosa, que es el tema de las diferencias entre países y jurisdicciones: en Estados Unidos, Elena Gil especifica que su legislación permite de manera amplia que las autoridades obtengan información, una tradición que puede derivar de los atentados del 11S, sobre todo para poder acceder a comunicaciones o información de personas extranjeras que supongan un riesgo de seguridad nacional (a partir de la la conocidaLey de Vigilancia de Inteligencia Extranjera, conocida comoo ley FISA, por sus siglas en inglés). Por ejemplo, en EE.UU.allí no solo pueden solicitar datos jueces y tribunales, sino también autoridades policiales. De ahí que la solicitud de datos pueda ser mayor que en otros países.
Y ya por último: una vez que la información ha sido solicitada, ¿cómo puede reaccionar una empresa? “Si la solicitud es legal, no pueden negarse”, señala Carmen Villarroel. “La empresa podrá batallar (recurrir o impugnar, la terminología puede variar) cuando considere que las solicitudes no respetan estos requisitos legales, pero de no prosperar el recurso, tendrán que entregar la información”, añade. Y ojo, que este desenlace lo decidirá siempre un tribunal o un juez, no la empresa en sí.
Para terminar, un apunte que nos da Gil: dentro del tipo de datos que no pueden ser entregados, están las ‘comunicaciones abogado-cliente’ e información obtenida ‘de forma ilícita’. Por ejemplo, unas grabaciones.