La famosa LORTAD ha sido derogada por la nueva Ley de Protección de Datos de Carácter Personal, (esta nueva ley no es objeto de este artículo), sino que en este artículo se recuerda que a pesar de que la LORTAD ya no se aplique (como me recordó un suscriptor), siguen vigentes las normas de desarrollo de la misma (Reglamentos que se aprobaron, salvo que el Gobierno desarrolle otros).
Así pues, siguen en vigor el Reglamento de Medidas de Seguridad de los Ficheros Automatizados (Hispasec 13/01/00), así como las Directivas (normas de la Comunidad Europea) 95/46 CE y la 97/66 CE. Sobre estas, vamos a hablar un poco:
DIRECTIVA 95/46 CE del Parlamento Europeo de 24 de Octubre relativa a la protección de las personas jurídicas en lo que respecta al tratamiento de datos personales y a la circulación de esos datos. DOCE n¦ L 281 de 23 de Nov. De 1995, pag. 51.
Trata diferentes temas.
-Seguridad de la información transmitida a través de las redes publicas de comunicaci¢n.
-Confidencialidad de las comunicaciones.
-Limitaci¢n a la capacidad de proceso de datos sobre el tr fico y los recibos por los proveedores de los servicios.
-Opciones del usuario sobre identificaci¢n de l¡nea entrante (el usuario tiene derecho al anonimato, se ha de permitir la posibilidad de prohibir tal identificaci¢n).
-Llamadas maliciosas.- pueden ser almacenadas y puestas a disposici¢n del proveedor del servicio.
-Llamadas autom ticas.- con fines de venta, solo para abonados que hayan dado su consentimiento.
-Derecho de abonados a no aparecer en listas publicas o gu¡as telef¢nicas (de forma gratuita).
La Directiva establece que los proveedores de servicios deben tomar las medidas para salvaguardar la seguridad de los servicios e INFORMAR A LOS ABONADOS AL SERVICIO DE TODO RIESGO CONCRETO DE VIOLACION DE LA SEGURIDAD DE LA RED. (Y esto es as¡ aunque sea negativo para los intereses empresariales del prestador del servicio).
Se establece que los estados miembros destinatarios de la Directiva deber n garantizar la confidencialidad de las comunicaciones realizadas a trav’s de las redes poblicas de comunicaci¢n (segon esto el mismo Estado ser¡a responsable en caso de violaci¢n de la comunicaci¢n, +o no?). Deber prohibir la escucha, la grabaci¢n, el almacenamiento u otros tipos de interceptaci¢n o vigilancia de las comunicaciones por personas distintas de los usuarios, salvo autorizaci¢n judicial. Es decir la monitorizaci¢n debe ser autorizada previamente o adem s de no servir como prueba en un juicio se convierte en una infracci¢n legal.
Por otra parte, la DIRECTIVA 97/66/CE del Parlamento Europeo y del Consejo, de 15 de diciembre, relativa al tratamiento de datos personales y a la protecci¢n de la intimidad en el sector de las telecomunicaciones. fue incorporada al derecho espa_ol mediante Real Decreto 1736/1998, de 31 de julio, conocido como Reglamento de Servicio Poblico, que en realidad desarrolla el Titulo III de la Ley General de Telecomunicaciones.
Conforme a estas normas (muy interesantes para phreakers y admiradores), los datos sobre el tr fico relacionados con usuarios deben ser destruidos en cuanto termine la comunicaci¢n, con excepci¢n de los datos que enumera el Reglamento cuando sean necesarios para realizar la facturaci¢n y los pagos de interconexiones. Esta informaci¢n onicamente podr ser conservada durante el plazo en el que pueda impugnarse la factura o exigirse el pago.
Se establece la obligaci¢n de elaborar gu¡as de abonados unificadas, y para evitar el tr fico de datos entre los distintos operadores del mercado, establece que dichos operadores faciliten a la Comisi¢n del Mercado de las Telecomunicaciones (CMT) los datos personales de sus abonados. Ser por tanto la CMT la encargada de suministrar estos datos a quienes deseen elaborar gu¡as telef¢nicas, y esto de forma gratuita.
Las compa_¡as que intervengan en el establecimiento de comunicaciones con identificaci¢n de la l¡nea llamante (ya sea mediante la opci¢n llamada a llamada o mediante preselecci¢n de operador), deber n ofrecer, en su tramo de red correspondiente, la posibilidad de que el usuario que origine las llamadas pueda suprimir la identificaci¢n de la l¡nea llamante.
Esto se puede hacer marcando del c¢digo 067, asignado por la Secretear¡a General de Comunicaciones el 2 de Diciembre de 1998. Ejemplo de marcado para evitar la identificaci¢n: 067 + c¢digo de selecci¢n de operador (Retevisi¢n o al que te hayas apuntado, si tu operador es Telef¢nica no hay que marcar ningon numero de acceso) + nomero deseado. Yo he probado el uso de tal c¢digo de fijo a m¢vil y efectivamente el m¢vil no puede identificar la llamada, lo he probado con l¡neas RDSI y si la localiza, si alguien hace m s pruebas se agradecen comentarios.
En teor¡a sobre esto deber¡an informar las propias compa_¡as, eso dice la ley, pero yo me compr’ un m¢vil y nadie me dijo nada.
En las redes de telefon¡a m¢vil modalidad GSM y en las redes RDSI, la supresi¢n de la identificaci¢n de la l¡nea llamante, deber realizarse mediante la marcaci¢n de c¢digos que se ajusten a la normativa t’cnica europea (no conozco estos c¢digos), a los acuerdos internacionales de operadores y subsidiariamente, a las especificaciones nacionales de cada pa¡s miembro.
El anonimato en destino debe abarcar no s¢lo al nomero entrante, sino tambi’n al operador desde el que se est llamando. Los operadores deben eliminar el anonimato cuando se llama a un servicio de urgencias (bomberos, ambulancias, etc..), y ello por motivos obvios, ya que puede haber en peligro vidas humanas, es decir si se llama a la polic¡a no sirve de nada marcar ningon c¢digo previo de ocultaci¢n, el mismo operador lo desbloquea.
Cuando los operadores usan redes interconectadas, el operador desde donde se origina la llamada ser responsable de la entrega de datos en el punto de interconexi¢n, de la identidad de la l¡nea llamante y del respeto a la posible marca de supresi¢n (anonimato) que haya sido marcada por el usuario.
El operador cuya red realice exclusivamente servicios de tr nsito de las llamadas, deber transmitir de manera transparente, la identidad de la l¡nea llamante y sus marcas (de anonimato) asociadas. Es decir que si se interceptan estas l¡neas se tiene acceso a toda la informaci¢n.
En las llamadas internacionales, el env¡o de informaci¢n sobre la identidad de l¡nea llamante s¢lo se permite para aquellos pa¡ses cuya normativa garantice el adecuado tratamiento de los datos de car cter personal. Tras un informe administrativo es la Agencia de Protecci¢n de Datos, la que determina la relaci¢n de pa¡ses a los que puede ser enviada informaci¢n sobre la identidad de la l¡nea llamante.
Recordar, por oltimo, (a las compa_¡as principalmente) que sigue en vigor el Real Decreto 994/1999, de 11 de junio, que obliga a los operadores a adoptar medidas de ¡ndole t’cnico y organizativo, para garantizar la seguridad de los datos de car cter personal y evitar su manipulaci¢n, p’rdida, o acceso no autorizado.
Eusebio del Valle
evalle@hispasec.com
