Retención de datos

por Carlos Guerrero

Ex Director de Políticas Públicas (2013-2020)

Bachiller en Derecho por la Universidad Nacional Mayor de San Marcos.

Las compañías que ofrecen servicios de telecomunicaciones deben almacenar los metadatos durante tres (3) años

1. ¿En qué consiste?

El almacenamiento datos derivados de las telecomunicaciones o “metadatos” es un elemento constituyente de las políticas públicas de recolección de datos derivados de las comunicaciones. Estas normas se implementan con el fin de emplear la información almacenada para facilitar la investigación de los delitos, aunque también se pueden emplear para la ubicación de personas desaparecidas, el seguimiento de actividades posiblemente delictivas, la represión de activistas y líderes de movimientos sociales, entre otros.

En Perú existen diferentes leyes y reglamentos que hacen obligatorio el almacenamiento de datos y metadatos derivados de las comunicaciones, lo que incluye: el contenido mismo de las comunicaciones, su origen geográfico, frecuencia, los datos de navegación, etc. Por regla general, cuando se necesitan durante la investigación de un delito, esta información solo es accesible para la Policía Nacional del Perú y/o el Ministerio Público luego de haber obtenido un mandato judicial. Sin embargo, también existen normas que permiten un acceso excepcional sin mandato judicial.

2. ¿Dónde está reconocida?

Agosto 2000: Ley 27336, Ley de Desarrollo de las Funciones y Facultades del Organismo Supervisor de Inversión Privada en Telecomunicaciones – OSIPTEL

  • Hace obligatorio para todas las empresas supervisadas por OSIPTEL el conservar por un período de al menos 3 (tres) años los registros fuentes del detalle de las llamadas y facturación de los servicios que presta. 1

Abril 2002: Ley N° 27697, “Ley que otorga facultad al fiscal para la intervención y control de comunicaciones y documentos privados en caso excepcional”:

  • Otorga al Juez la facultad de autorizar la recolección de datos y metadatos de las comunicaciones de personas investigadas, exclusivamente cuando se trate de los delitos mencionados a continuación: secuestro, trata de personas, pornografía infantil, robo agravado, extorsión, tráfico ilícito de drogas, tráfico ilícito de migrantes, delitos contra la humanidad, atentados contra la seguridad y traición a la patria, peculado, corrupción de funcionarios, terrorismo, delitos tributarios y aduaneros, lavado de activos y delitos informáticos. 2

Julio 2004: Nuevo Código Procesal Penal (NCPP), Artículos 230 y 231: “La intervención de comunicaciones y telecomunicaciones”:

  • Otorga al Fiscal la potestad de solicitar al Juez la grabación de comunicaciones cuando sospeche la comisión de un delito cuya pena sea superior a 4 años de prisión y dicha intervención sea absolutamente necesaria para proseguir la investigación. El mandato del juez puede recaer sobre los investigados o personas de su entorno. 3
  • Otorga al Fiscal la potestad de conservar las grabaciones hasta que culmine el procesal penal o, al finalizar la investigación si esta no se judicializa, previa autorización del juez. 4
  • Hace obligatorio notificar a el o los investigados sobre todo lo actuado (grabaciones, geolocalización, etc.), solo si el objeto de la investigación lo permite y en tanto esto no ponga en peligro la vida o la integridad corporal de terceros. Para que la intervención se mantenga en secreto será necesario una resolución judicial motivada y con plazo determinado. 5

Julio 2015: Decreto Legislativo 1182, “Que regula el uso de los datos derivados de las telecomunicaciones para la identificación, localización y geolocalización de equipos de comunicación, en la lucha contra la delincuencia y el crimen organizado”:

  • Hace obligatorio para las empresas que ofrecen servicios de telecomunicaciones, almacenar los datos derivados de las telecomunicaciones de todos los usuarios de estos servicios durante 12 meses, tiempo durante el cual las autoridades podrán acceder en tiempo real con mandato judicial previo. Adicionalmente, los datos se almacenarán durante 24 meses adicionales, pero el acceso a los mismos será diferido y también previo mandato judicial. 6

3. Contexto

Las políticas públicas relacionadas al almacenamiento de datos derivados de las comunicaciones se caracterizan por ser particularmente intrusivas para la privacidad, pues son generales y aplican a todos los usuarios de estos servicios, no solo a los que las autoridades se encuentren investigando. Dependiendo de la regulación de cada país, dicho almacenamiento puede ser amplio o restringido, pero casi siempre se le encarga su ejecución a las empresas de telecomunicaciones que suelen ser entidades privadas. En todos los casos, se señala que estas políticas son necesarias para mejorar la seguridad ciudadana, específicamente respecto de la investigación de delitos.

En el Perú, hasta la fecha de publicación del Decreto Legislativo N° 1182 en 2015 durante el gobierno del presidente Ollanta Humala, no existían normas que hacían obligatoria la recolección de datos y metadatos de las comunicaciones con fines de investigación criminal. Sin embargo, previamente, sí existían obligaciones de conservación con motivos de aseguramiento de calidad del servicio y rendición de cuentas frente a los usuarios. No obstante, desde la entrada en vigencia de este Decreto Legislativo se amplió la obligación de conservación a otros elementos más allá del detalle de llamadas, como tráfico de navegación o datos del origen geográfico de la llamadas. El protocolo bajo el cual se realizan las tareas de recolección actualmente no son públicos, por lo que no se conoce bajo qué estándares se almacena la información y cómo se mantiene segura frente a posibles intrusiones de terceros, dado que algunos de estos datos son particularmente sensibles.

4. ¿Cuál es el problema?

El almacenamiento masivo y obligatorio de metadatos representa diferentes problemas para la privacidad. El más grave es que la recolección se realiza no en base a requerimientos individuales sino que se aplica al universo total de usuarios de los servicios intervenidos. Eso significa que todos los ciudadanos, sin excepción alguna, están sujetos a este mecanismo de vigilancia y control. El derecho internacional de los derechos humanos ha señalado que el mero hecho de sentirse observado ya es una afectación a la privacidad.

Así mismo, la implementación de estas medidas suponen también costos adicionales a las empresas, los cuales suelen trasladarse a los usuarios. En el Perú, algunos de los problemas asociados a esta política pública son:

  1. Afectan el derecho a la privacidad de todas las personas porque el almacenamiento es sobre todos los metadatos derivados de las comunicaciones y no en base a requerimientos específicos.
  2. Afectan el derecho a las personas a que sus datos y metadatos almacenados se mantengan fuera del alcance de terceros, pues por el tiempo en que estos deben conservarse son vulnerables a intrusiones de todo tipo. Dada la sensibilidad de esta información, es especialmente crítico que no se sepa cuáles son las medidas de seguridad que se han tomado para resguardarlos.
  3. Afectan la economía de los usuarios finales, pues los costos que asumen las compañías de telecomunicaciones al recolectar estos datos y metadatos y almacenarlos se refleja finalmente en la contraprestación que estos tienen que pagar para acceder a los servicios de telecomunicaciones.

5. ¿Existen políticas públicas similares en la región y el mundo?

Efectivamente, el almacenamiento de datos y metadatos existe en diferentes partes del mundo, siendo empleadas con fines de seguridad nacional y para la persecución de delitos, especialmente aquellos considerados graves como el terrorismo, la pornografía infantil, etc.  En ese sentido, queremos comparar el caso del Perú con el de otros países. Para ello vamos a tomar dos ejemplos:

a) Unión Europea

En 2006, la Unión Europea adoptó una directiva de retención de datos, que habilitaba a los países miembros a crear regulación que permitiera retener diferentes tipos de metadatos como la ubicación, el origen, los dispositivos empleados, el tráfico IP, entre otros, de las comunicaciones por un plazo de entre 6 meses y 2 años. El objetivo era crear un marco legal común que permitiera la investigación y persecución de delitos considerados graves. Sin embargo, pese a su implementación en diferentes países, en el año 2014, la Corte Superior de Justicia de la Unión Europea declaró inválida dicha directiva pues consideró que esta violaba los derechos humanos de los ciudadanos europeos.

b) Rusia

Del otro se encuentra Rusia, que en 2016 implementó una norma que permite la retención de datos y metadatos, que incluyen también el contenido mismo de las comunicaciones, los cuales se almacenan por un período de 6 meses hasta 3 años. Así mismo, dicha ley creaba la obligación de ciertas empresas que ofrecían comunicaciones con cifrado punto a punto como WhatsApp, a instalar puertas traseras y ofrecer acceso privilegiados para acceder al contenido de las informaciones. Pese a la oposición de cierto sector de la sociedad civil, el gobierno mantiene vigentes estas normas como parte de su estrategia contra el terrorismo.

¿Quieres saber más?

DINI, DIRANDRO y Ley Stalker incluidas en reporte de vigilancia estatal en Latinoamérica (2016)
Podcast Control de Cambios N° 3 (2015)
¿Cómo el Perú quiere justificar la vigilancia masiva plagiando y tergiversando las palabras de los activistas? (2015)
Informe Necesario y Proporcional: Vigilancia Estatal de las Comunicaciones en Perú (2105)
EFF: Perú Adopta la retención de datos (2015)
¿Qué hacen las empresas de telecomunicaciones con nuestros datos? (2019)
Informe Quién Defiende Tus Datos (2019)

Esta entrada es parte de nuestra serie especial Privacidad es seguridad gracias al apoyo de Privacy International.

Foto: Justin Bautista para Unsplash

  1. Ley 27336, Artículo 16.

  2. Ley 27697, Artículo 2, incisos 8, 9 y 10.

  3. NCPP, Artículo 230, numerales 1 y 2.

  4. NCPP: Artículo 231, numeral 2.

  5. NCPP: Artículo 231, numeral 3 y 4.

  6. Decreto Legislativo 1182: Segunda Disposición Complementaria Final.

Un comentario

  1. Pingback: Rastreo de contactos digital: presente y futuro en Perú | Hiperderecho

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *