El terrorismo internacional y sus conflictos:

Seguridad versus privacidad

International terrorism and its conflicts:
security versus privacy
ARTEMI RALLO LOMBARTI

Resumen: Tras los ataques terroristas del 11 de
Septiembre, los Gobiernos han comenzado una
nueva tendencia orientada a la adopcin de nue-
vos instrumentos legislativos que tratan de luchar
contra el terrorismo. No obstante, en algunos ca-
sos esto significa una interferencia en el desarro-
llo y aplicacin de Derechos Fundamentales y
Libertades civiles. Sin embargo, los valores de-
mocrticos que estn en la base de nuestras so-
ciedades, deben ser protegidos con un equilibrio
entre stos y la seguridad.
Abstract: Following the terrorist attacks on Sep-
tember 11, Governments have started a new trend
focus on the adoption of new legislation aiming to
fight against terrorism that, in some cases, mean
an interference in fundamental rights and civil
liberties. However, the democratic values that are
in the base of our societies have to be protected
and the right balance between security and fun-
damental rights have to be reached.

Palabras clave: Derechos Fundamentales, Segu- Keywords: Fundamental Rights, Security, Civil
ridad, Libertades Civiles, Proteccin de datos, Liberties. Data Protection, Terrorism.
Terrorismo.

1. INTRODUCCIN

Como respuesta a los atentados terroristas perpetrados desde septiembre de

2001 y a los nuevos mtodos de actuacin de estos grupos criminales, que
desarrollan sus actividades delictivas apoyados en la aplicacin de las nuevas
tecnologas y en los avances que ofrecen las infraestructuras de informacin
y comunicacin, los Gobiernos han iniciado una tendencia marcada por la
adopcin de medidas encaminadas a reforzar la lucha contra el terrorismo
que, en muchos casos, han afectado derechos fundamentales y libertades
pblicas en favor de la seguridad de sus ciudadanos.

INTELIGENCIA Y SEGURIDAD 3 (2007) 113

 ARTEMI RALLO LOMBARTI

En un mundo cada vez ms globalizado, la amenaza terrorista debe ser

abordada desde una perspectiva conjunta y debe ser enfocada hacia el inter-
cambio de informacin y la cooperacin entre las fuerzas de orden pblico.
Esta dimensin supranacional, que adquiere hoy la lucha contra la crimina-
lidad, no puede, sin embargo, dejar de lado la garanta de libertades y dere-
chos fundamentales, como el respeto a la intimidad y la proteccin de los
datos personales; proteccin que legtimamente demandan los ciudadanos a
los poderes pblicos.
EEUU ha sido el pas motor de esta nueva tendencia, en la que la in-
fluencia de los atentados del 11 de septiembre en Nueva York y Wa-
shington es innegable. Este pas ha endurecido su poltica antiterrorista
en los ltimos aos, fomentando y exigiendo el envo de informacin a
travs de medidas no siempre acordes con las reglas vigentes en Europa
en materia de proteccin de la privacidad y de los datos de carcter per-
sonal. Siguiendo esta lnea, la Unin Europea y sus Estados Miembros,
especialmente tras los atentados sufridos en Madrid y Londres en los
aos 2004 y 2005, respectivamente, han intensificado tambin sus ac-
tuaciones.
No cabe duda de que, en una sociedad cada da ms interrelacionada y
enfrentada a una amenaza comn, como es el terrorismo internacional, la
informacin compartida, la puesta en comn de mecanismos rpidos y gi-
les de colaboracin y otras medidas, en algunos aspectos intrusivas en las vi-
das de los ciudadanos, pueden ser consideradas herramientas claves. Pero,
tambin es fundamental que la adopcin de estas medidas est sujeta a cier-
tos controles y lmites por parte de las normas vigentes en los Estados demo-
crticos, destacndose aqullas que limitan la discrecionalidad de los poderes
pblicos para incidir en la vida de los ciudadanos.
Como ya se ha apuntado, los atentados terroristas del 11 de septiembre
de 2001 en Estados Unidos abrieron un amplio proceso de iniciativas legis-
lativas en la lucha antiterrorista y supusieron el comienzo de una nueva eta-
pa en cuanto a la necesidad de conjugar la diversidad de intereses y derechos
en juego: la seguridad pblica y la proteccin de los datos de carcter perso-
nal.
Como pas directamente afectado por los ataques, EEUU fue el primero
en endurecer su normativa sobre proteccin de datos. Apenas mes y medio
despus de producirse estos atentados, se aprob una nueva norma que vino

114 INTELIGENCIA Y SEGURIDAD 3 (2007)

 EL TERRORISMO INTERNACIONAL Y SUS CONFLICTOS: SEGURIDAD VS. PRIVACIDAD

a endurecer su poltica antiterrorista Patriot Act1 y que introdujo, tras

un mnimo debate, una amplia gama de medidas tendentes a facilitar la pre-
vencin, la deteccin y el seguimiento del terrorismo. La nueva legislacin
estadounidense aument la competencia de las Agencias de Seguridad de
EEUU para luchar contra el terrorismo, tanto dentro como fuera de su te-
rritorio y, entre otras medidas, incluy: 1) mayores poderes para controlar
las comunicaciones telefnicas, postales y electrnicas, registros financieros y
mdicos; 2) la posibilidad de que el Departamento del Tesoro llevara a cabo
un mayor seguimiento de las transacciones financieras, particularmente las
relativas a personas y entidades extranjeras; 3) limitaciones de ciertos derechos
a las personas presuntamente relacionadas con actividades terroristas. Toda
una serie de medidas que, si bien adoptadas dentro de las potestades de un
Estado soberano para proteger su seguridad interior, extendan su aplicacin y
jurisdiccin a otras zonas del mundo y a otros Estados soberanos.

2. ALCANCE TRANSNACIONAL DE LAS MEDIDAS ANTITERRORISTAS

DE EEUU

2.1. Passenger Name Records (PNR). Transmisin de datos de los pasajeros

de aerolneas a las autoridades norteamericanas.

Como una de las primeras medidas adoptadas en la lucha contra el terroris-

mo internacional, las autoridades norteamericanas obligaron a las compaas
areas que efectuasen vuelos que tuvieran su origen, destino o trnsito en
EEUU a proporcionarles un acceso electrnico a los datos contenidos en sus
sistemas de reserva y de control de salidas: PNR (Passenger Name Records)2.
Este registro necesita, para ser creado, cuatro datos como mnimo: nombre,
itinerario, nmero de contacto y detalles del billete (si es tan slo una reser-
va, si ya ha sido emitido, si ha habido algn cambio,...), si bien puede con-
tener muchos ms datos sobre todo porque es informacin que suministra el

1
Texto de la Ley en: http://frwebgate.access.gpo.gov/cgi-bin/getdoc.cgi?dbname=107_cong_pu-
blic_laws&docid=f:publ056.107
2
Ms informacin sobre los datos PNR en: http://ec.europa.eu/external_relations/us/sum06_03/
pnr.pdf

INTELIGENCIA Y SEGURIDAD 3 (2007) 115

 ARTEMI RALLO LOMBARTI

pasajero (solicitud de un tipo de comida, de un asiento especial, algn tipo

de asistencia durante el vuelo, sobre la forma de pago del billete,...).
Como quiera que esta medida significara la transferencia internacional de
datos que se encontraban en Europa, deba cumplirse con los requisitos y
limitaciones que, tanto la Directiva Europea 95/46 como la Ley Orgnica de
Proteccin de Datos3, imponan a las transferencias internacionales de datos.
El requisito esencial, con carcter general4, para que un pas tercero pueda
ser destinatario de datos procedentes de la Unin Europea reside en que el
nivel de proteccin que ese pas tercero otorgue a los datos debe ser califica-
do como suficiente o, en la terminologa especfica, adecuado o equiva-
lente a la proteccin que reciben en Europa5. Este nivel de adecuacin es
un proceso habitualmente largo con intervencin de la Comisin Europea y
de las Autoridades Nacionales de proteccin de datos, que, en este caso con-
creto, se sald con negociaciones maratonianas que otorgaron a Estados
Unidos una consideracin de Estado adecuado con carcter ad hoc para la
transferencia de datos PNR. La urgencia y rapidez con la que se alcanz el
acuerdo pona de relieve una voluntad esencialmente poltica, y, tambin, la
necesidad de dar una solucin a una situacin jurdica insostenible, por
cuanto las aerolneas europeas llevaban ms de un ao transfiriendo esa in-
formacin personal.
El resultado de estos acuerdos se plasma en dos textos comunitarios:
por un lado, una Decisin de la Comisin relativa al carcter adecuado de
la proteccin de estos datos incluidos en los registros de nombres de pa-
sajeros que se transfieren al Servicio de Aduanas y Proteccin de Fronteras
de los EEUU (Bureau of Customs and Border Protection-CBP)6; y, por otro,
una Decisin del Consejo relativa a la celebracin de un acuerdo entre la
Unin Europea y los EEUU sobre el tratamiento y la transferencia de

3
Ley 15/1999 de 13 de diciembre de proteccin de datos de carcter personal .
4
El artculo 33 de la LOPD seala que ser preciso para la transferencia a Estados sin reconoci-
miento de un nivel adecuado de proteccin la autorizacin del Director de la AEPD. Asimismo, se
establecen excepciones a este requisito en el artculo 34.
5
Artculos 25 y 26 de la Directiva 95/46.
6
Decisin de la Comisin 2004/535/CE, de 14 de mayo de 2004. Diario Oficial de la Unin Europea L
235 de 6 de julio de 2004; http://eur-lex.europa.eu/LexUriServ/site/es/oj/2004/l_235/l_23520040706-
es00110022.pdf

116 INTELIGENCIA Y SEGURIDAD 3 (2007)

 EL TERRORISMO INTERNACIONAL Y SUS CONFLICTOS: SEGURIDAD VS. PRIVACIDAD

datos de los pasajeros7. Los trminos ms sealados del acuerdo son los si-
guientes:

La finalidad de la transmisin y tratamiento de los datos reside en la

lucha contra el terrorismo y delitos conexos, en la lucha contra otros
delitos graves (incluida la delincuencia organizada) que sean transna-
cionales y en la lucha contra la fuga, en caso de orden de arresto o de-
tencin, por los delitos antes sealados.
La Decisin contiene, en su anexo A, una relacin con un mximo de
treinta y cuatro datos a los que podr tener acceso el servicio de adua-
nas norteamericano, entre los que se encuentran, como se ha destaca-
do, la informacin acerca del nombre y apellidos del pasajero, el me-
dio de pago del billete y si se solicit algn tipo especial de comida.
El CBP extraera la informacin relativa a pasajeros (denominado
mtodo pull) mediante el acceso a los sistemas de reservas de las
compaas areas, en tanto en cuanto no fuera tcnicamente viable la
puesta en marcha de un sistema de transmisin de datos (denominado
mtodo push).
Esa extraccin o acceso a los datos contenidos en los sistemas de reser-
va debera realizarse no antes de las setenta y dos horas que preceden a
la salida del vuelo.
Los posibles datos sensibles que pudieran contener los registros seran
objeto de filtrado por parte de las autoridades americanas. Un dato
sensible podra ser la peticin del pasajero de cierto tipo de asistencia
mdica, lo que revelara un dato de salud, o bien la peticin de un es-
pecfico tipo de comida, que pueda mostrar un dato de salud (por ej.
comida sin gluten) o incluso de una religin (comida sin derivados del
cerdo).
Se impona la obligacin de conservar todos estos datos durante un
periodo de tres aos y medio.
Asimismo, se instauraba un sistema de revisin conjunta (con repre-
sentantes de la Comisin Europea, de las Autoridades Nacionales de

7
Decisin del Consejo 2004/496/CE , de 17 de mayo de 2004 . Diario Oficial L 183 de 25 de
mayo de 2004, http://eur-lex.europa.eu/LexUriServ/site/es/oj/2004/l_183/l_18320040520es008400-
85.pdf

INTELIGENCIA Y SEGURIDAD 3 (2007) 117

 ARTEMI RALLO LOMBARTI

Proteccin de Datos y de las autoridades americanas) de celebracin

peridica. La primera revisin del acuerdo tuvo lugar en septiembre
de 2005, con la participacin de la Comisin Europea, representantes
de las Autoridades Nacionales de Proteccin de Datos y del Servicio
de Aduanas de EEUU, con una metodologa de trabajo basada en la
respuesta a un cuestionario de preguntas concretas as como una visita
a la Oficina de la CBP. El resultado de la revisin determin el nivel
esencialmente positivo de cumplimiento por los EEUU de los com-
promisos alcanzados8.

Hay que sealar, sin embargo, que estos textos de mayo de 2004, dos
meses despus, fueron recurridos por el Parlamento Europeo ante el Tribu-
nal de Justicia de la Unin Europea, por considerarlos contrarios al Derecho
Comunitario. El 30 de mayo de 2006 el Alto Tribunal dict sentencia por la
que se estimaban los dos recursos de anulacin9 presentados por el Parla-
mento Europeo en julio de 2004, al considerar los textos formulados sobre
una base jurdica inadecuada10. Los recursos argumentaban la anulabilidad,
tanto de la Decisin de la Comisin Europea declarando el nivel adecuado
de proteccin de datos de EEUU, como de la Decisin sobre el Acuerdo
Internacional firmado con las autoridades americanas para dotar de base le-
gal a la transmisin de datos PNR de los pasajeros. Ambos recursos fueron
presentados individualmente pero fueron acumulados por el Tribunal de
Justicia, quien dict sentencia estimativa, basndose en un defecto de forma
de los dos recursos y orden la denuncia del acuerdo con EEUU.
En efecto, el Tribunal de Justicia, consider que las actividades objeto de
los textos comunitarios que daban cobertura a la transmisin de datos esta-
ban referidas a la seguridad pblica, la defensa, la seguridad del Estado y las
actividades del Estado en el mbito penal (ttulos V y VI del Tratado de la
Unin Europea), materias no comprendidas dentro del mbito del Derecho
Comunitario (esto es, las materias comprendidas en el denominado Primer

8
Versin completa del informe resultante de la revisin en: http://ec.europa.eu/justice_home/
fsj/privacy/docs/adequacy/pnr/review_2005.pdf
9
Recursos: C-317-04 y C-318/04. Contenido bsico en: http://eur-lex.europa.eu/LexUriServ/site/
es/oj/2004/ c_228/c_22820040911es00320033.pdf
10
Texto de la Sentencia en: http://www.belt.es/jurisprudencia/anterior/seg_inf_y_prot_datos/
prot_datos/pdf/300506_Stc_Prote_dtos.pdf

118 INTELIGENCIA Y SEGURIDAD 3 (2007)

 EL TERRORISMO INTERNACIONAL Y SUS CONFLICTOS: SEGURIDAD VS. PRIVACIDAD

Pilar o pilar comunitario). El Tribunal no entr a valorar el fondo de la

cuestin litigiosa sino, simplemente, examin el primero de los motivos es-
grimidos por el Parlamento en sus recursos: la inadecuacin de unos instru-
mentos comunitarios (Decisiones y Directivas) como base jurdica para re-
gular esta cuestin. En este sentido, su principal argumento lo constituye el
artculo 3.2 de la Directiva 95/46, que excluye de su mbito de aplicacin el
tratamiento de datos personales efectuado en el ejercicio de actividades no
comprendidas en el mbito de aplicacin del Derecho comunitario (aquellas
relativas a la cooperacin policial y judicial en materia penal y, en cualquier
caso, el tratamiento de datos que tenga por objeto la seguridad pblica, la
defensa, la seguridad del Estado y las actividades del Estado en materia pe-
nal). Es por ello que, un instrumento jurdico previsto para un sector mate-
rial concreto no puede utilizarse como base jurdica para otro mbito dife-
renciado.
No obstante, a pesar de declarar la nulidad de dichos textos, y amparn-
dose en razones de seguridad jurdica, el Tribunal decidi mantenerlos vi-
gentes hasta finales de septiembre de ese mismo ao, obligando a las institu-
ciones europeas a alcanzar nuevos compromisos con EEUU antes de esa
fecha. Forzados por este plazo, se alcanz un nuevo acuerdo el 19 de octubre
de 200611, con carcter provisional por cuanto expiraba el 31 de julio de
2007, que mantena esencialmente los compromisos alcanzados en mayo de
2004. A partir de entonces, por lo tanto, se planteaba de nuevo una situa-
cin de inseguridad jurdica que deba salvarse mediante la conclusin de un
nuevo acuerdo que garantizara plenamente los derechos de los ciudadanos.
Las Autoridades Europeas de proteccin de datos, agrupadas en el llama-
do Grupo de Trabajo del Artculo 29, abordaron reiteradamente esta cues-
tin. Sus reticencias principales se plantearon respecto de los siguientes
puntos:

a) La necesidad de limitar la finalidad en el uso de esta informacin, ex-

clusivamente para la lucha contra el terrorismo, otros delitos conexos
y delitos graves de carcter transnacional.

11
Texto del nuevo acuerdo. Diario Oficial de la UE serie L 298 de 27-10-2006. http://eur-
lex.europa.eu/LexUriServ/site/es/oj/2006/l_298/l_29820061027es00270028.pdf y http://eur-lex.euro-
pa.eu/LexUriServ/site/es/oj/2006/l_298/l_29820061027es00290031.pdf

INTELIGENCIA Y SEGURIDAD 3 (2007) 119

 ARTEMI RALLO LOMBARTI

b ) Los datos transmitidos deban limitarse a diecinueve12.

c) Los datos deban transmitirse directamente por las aerolneas (mto-
do push) no accediendo, por lo tanto, las autoridades americanas a
los sistemas de reserva.
d) Por ltimo, anualmente deba garantizarse la realizacin de una revi-
sin conjunta de seguimiento del acuerdo.

Finalmente, las autoridades norteamericanas y europeas alcanzaron, el 28

de junio de 2007, un nuevo Acuerdo, a ms largo plazo, que proporciona
cobertura jurdica a la transmisin de datos PNR13. Comparndolo con el
anterior, el nuevo acuerdo se distingue en que:

a) Ampla las finalidades para las que pueden utilizarse los datos, ya que
podrn ser usados cuando sea necesario para la prevencin de intereses
vitales del titular de los datos o de otras personas, en un procedi-
miento criminal o en cualquier otro previsto en la ley.
b) Los datos sensibles sern filtrados, pero una vez que estn en territorio
americano y por el propio Departamento de Seguridad Interior. Asi-
mismo, las autoridades americanas pueden hacer uso de los datos sen-
sibles en determinadas circunstancias, algo que no se prevea en acuer-
dos anteriores.
c) Se facilita la transmisin posterior de la informacin a otras agencias
americanas. A diferencia del acuerdo anterior, ahora todas las divisio-
nes del DHS pueden recoger y procesar datos PNR. Asimismo, puesto
que se amplan las finalidades para las que puedan utilizarse estos da-
tos, en consonancia tambin aumentan las agencias y otros organis-

12
Cdigo localizador del expediente PNR, fecha de la reserva, fecha o fechas en las que se haya
previsto viajar, nombre del pasajero, otros nombres que figuren en los datos PNR, itinerario completo
del viaje, identificacin de billetes gratuitos, billetes de ida slo, informacin sobre la emisin de bi-
lletes, datos ATFQ (Automatic Ticket Fare Quote), nmero de billete, fecha de emisin del billete,
informacin relativa a la no comparecencia del pasajero (no show history), nmero de unidades de
equipaje, nmeros de las etiquetas de las unidades de equipaje, informacin relativa a pasajeros de l-
tima hora sin reserva (go show), nmero de unidades de equipaje por cada segmento, mejoras volun-
tarias o involuntarias de las condiciones e historial de las modificaciones introducidas en los datos
PNR en relacin con los aspectos mencionados
13
El texto del nuevo acuerdo puede encontrarse en: http://register.consilium.europa.eu/pdf/en/
07/st11/st11304.en07.pdf

120 INTELIGENCIA Y SEGURIDAD 3 (2007)

 EL TERRORISMO INTERNACIONAL Y SUS CONFLICTOS: SEGURIDAD VS. PRIVACIDAD

mos a los que pueda transmitirse la informacin. Los lmites estableci-

dos en el anterior acuerdo relativos a la posible transmisin de infor-
macin a pases terceros (slo caso por caso) no se aplican ahora, por
lo que cabra preguntarse acerca del control del uso de los datos una
vez que estn en posesin de un pas tercero.
d) El perodo de almacenamiento de los datos se ampla a quince aos.
e) Una eventual revisin del acuerdo se llevar a cabo slo por las partes
y si existe acuerdo sobre las condiciones bajo las que se desarrollar.
No ser posible ningn tipo de asesoramiento o asistencia indepen-
dientes.

2.2. Las transferencias internacionales dinerarias interbancarias: SWIFT

Tambin, en el marco de la Patriot Act, las autoridades norteamericanas han

centrado sus esfuerzos en impedir la utilizacin del sistema financiero con
fines de blanqueo de dinero o de financiacin del terrorismo14, para lo que
dotaron a su Departamento del Tesoro de facultades para recabar informa-
cin sobre transacciones financieras realizadas fuera de EEUU.
En junio de 2006 una informacin publicada en New York Times, de la
que se hicieron eco otros medios de comunicacin, desvel la existencia de
un programa por el que el Gobierno de EEUU ha tenido acceso a los datos
relativos a transferencias bancarias internacionales realizadas a travs de la
Sociedad SWIFT15. Esta Sociedad, jurdicamente una cooperativa con sede
en Blgica y, por tanto, sometida a su jurisdiccin, tiene una estructura tc-
nica por la que todos los datos relativos a una transferencia (ordenante, des-
tinatario, fecha de la transferencia, banco del que procede y banco al que se
destina el dinero) son guardados en su base de datos en territorio europeo y
en una copia de seguridad en Estados Unidos (lo que se conoce como al-
macenamiento por duplicado en servidores espejos). Los datos que se en-
contraban en territorio americano fueron objeto, en el marco de este pro-
grama de investigacin de transacciones financieras, de requerimientos por

14
Programa de Seguimiento de la Financiacin Terrorista (Terrorist Finance Tracking Pro-
gram). Ms informacin en: http://www.ustreas.gov/press/releases/js4340.htm
15
http://www.swift.com/

INTELIGENCIA Y SEGURIDAD 3 (2007) 121

 ARTEMI RALLO LOMBARTI

parte del Departamento del Tesoro, que solicitaba informacin sobre trans-
ferencias realizadas en un determinado perodo. En estos barridos de infor-
macin podan incluirse tanto datos relativos a personas que pudieran estar
siendo objeto de una investigacin concreta como, tambin, de otros indivi-
duos completamente ajenos a cualquier proceso de investigacin.
A travs de este sistema se realizan prcticamente todas las transferencias
interbancarias internacionales (de hecho, se necesita un cdigo SWIFT para
realizar transferencias de un pas a otro) y se prev que sea tambin el siste-
ma que se utilice cuando se ponga en marcha el llamado SEPA (Single Euro-
pean Payment Area), aplicndose, en ese momento, tambin a las transferen-
cias puramente domsticas dentro de un Estado (sin ninguna vinculacin,
por tanto, con EE.UU).
En Espaa, tras las actuaciones previas de investigacin llevadas a cabo
por la AEPD en julio de 2006, se constat que SWIFT tena una oficina de
carcter puramente comercial, por lo que la AEPD procedi al archivo de las
actuaciones mediante la resolucin de 27 de julio de 2007. Pero se deban
esclarecer otro tipo de responsabilidades, sobre todo las derivadas de la ac-
tuacin realizada por las entidades financieras. En el marco de la colabora-
cin del Grupo que rene a las Autoridades Nacionales de Proteccin de
Datos (Grupo de Trabajo del Artculo 29) se elabor un dictamen16 en el
que se determin la responsabilidad, tanto de SWIFT como de las institu-
ciones financieras que utilizan sus servicios en la transmisin de los datos a
EEUU, por haber infringido principios fundamentales que rigen el derecho
a la proteccin de datos en Europa, como son los relativos a la calidad de los
datos17, la comunicacin al interesado de una informacin mnima relativa a
este tratamiento18, o la transferencia de datos personales a pases terceros sin
cumplir los requisitos19 ya que, como hemos destacado, EEUU carece de

Dictamen 10/2006, http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2006/wp128_es.pdf

16

Art. 6 de la Directiva 95/46/CE relativa a la proteccin de las personas fsicas en lo que res-
17

pecta al tratamiento de datos personales y a la libre circulacin de estos datos los datos deben recogerse
con fines determinados sin que puedan ser tratados posteriormente de manera incompatible con dicho fin).
18
Arts. 10 y 11 de la citada Directiva 95/46/CE.
19
Art. 26 de la Directiva y Resolucin del Parlamento Europeo sobre interceptacin de transfe-
rencias bancarias del sistema SWIFT por los servicios secretos estadounidenses (P6_TA-
PROV(2006)0317); Resolucin del Supervisor Europeo de Proteccin de Datos; Comunicados de
prensa del Grupo de Trabajo del Artculo 29 sobre el caso Swift de 28/7/2006: http://ec.europa.eu/

122 INTELIGENCIA Y SEGURIDAD 3 (2007)

 EL TERRORISMO INTERNACIONAL Y SUS CONFLICTOS: SEGURIDAD VS. PRIVACIDAD

un nivel adecuado de proteccin. El eje central de esta responsabilidad es,

no obstante, la utilizacin de los datos para una finalidad distinta a la que
fueron recabados ello porque, una finalidad inicial de carcter comercial
se vio desvirtuada por una utilizacin de esos mismos datos en el marco de la
lucha contra el terrorismo y la criminalidad organizada.
Con vistas a legitimar las transferencias de datos a Estados Unidos desde
el punto de vista de la proteccin de datos, SWIFT ha decidido adherirse al
denominado Puerto Seguro20, una serie de principios con los que se trata
de garantizar un adecuado nivel de proteccin de los datos transferidos a
pases terceros y que deben ser cumplidos por las empresas para que esas
transferencias sean consideradas legales. Por su parte, Estados Unidos ha
aceptado proporcionar ciertas garantas al tratamiento de esos datos, sobre
todo, en trminos de limitacin de la finalidad (lucha contra el terrorismo),
perodo mximo de retencin (cinco aos) y supervisin y control indepen-
dientes (revisin anual por un europeo eminente).

3. LA UNIN EUROPEA EN LA LUCHA CONTRA

EL TERRORISMO INTERNACIONAL

Vistas quedan las medidas ms importantes adoptadas por los EEUU para
controlar el intercambio y la utilizacin de informacin personal a raz de
los atentados terroristas de 2001. Estas iniciativas han incidido de manera
directa en las polticas europeas sobre la materia. Al igual que ha sucedido en
EEUU, los atentados que sufrieron Espaa e Inglaterra en 2004 y 2005, res-
pectivamente, han hecho que la Unin Europea se replanteara su poltica
antiterrorista pasando a realizar un seguimiento ms exhaustivo de los inter-
cambios y transferencias de los datos personales como un medio efectivo de
lucha contra el terrorismo internacional, dentro de un espacio en el que las

justice_home/fsj/privacy/news/docs/PR_SWIFT_Affair_28_07_06_en.pdf; de 27/9/2006; http://ec.euro-

pa.eu/ justice_home/fsj/privacy/news/docs/PR_Swift_Affair_26_09_06_en.pdf.
20
Decisin de la Comisin de 26 de julio de 2000 con arreglo a la Directiva 95/46/CE del Par-
lamento Europeo y del Consejo, sobre la adecuacin de la proteccin conferida por los principios de
puerto seguro para la proteccin de la vida privada y las correspondientes preguntas ms frecuentes,
publicadas por el Departamento de Comercio de Estados Unidos de Amrica. http://eur-
lex.europa.eu/LexUriServ/site/es/oj/2000/l_215/l_21520000825es00070047.pdf

INTELIGENCIA Y SEGURIDAD 3 (2007) 123

 ARTEMI RALLO LOMBARTI

personas, bienes y capitales circulan libremente y sin obstaculizar, con ello,

el mercado interior de las comunicaciones electrnicas.

3.1. La retencin de los datos de trfico en las comunicaciones electrnicas

como instrumento en la lucha contra el terrorismo

En el desarrollo de la Sociedad de la Informacin se ha prestado una especial

atencin a garantizar los derechos y libertades de las personas fsicas en lo
que respecta al tratamiento de sus datos personales en las comunicaciones
electrnicas. En este mbito, los ltimos acontecimientos han hecho retomar
la conservacin de datos de las telecomunicaciones como prioritario en la
lucha contra el terrorismo.
Esta nueva etapa va a estar marcada por los atentados ocurridos el 11 de
marzo de 2004 en Madrid y la inmediata respuesta por parte de la Unin
Europea. En un Consejo Europeo extraordinario celebrado el 25 de marzo
de 2004, los Jefes de Estado y de Gobierno de la UE concluyeron en la ne-
cesidad de adoptar propuestas destinadas a establecer normas sobre la con-
servacin de datos de trfico de las comunicaciones por parte de los provee-
dores de servicios [...] con vistas a que estn adoptadas en junio de 200521.
En abril de 2004 fue presentada, a iniciativa de Francia, Irlanda, Suecia y
Reino Unido, una propuesta de Decisin Marco sobre la conservacin de los
datos tratados y almacenados en relacin con la prestacin de servicios de
comunicaciones electrnicas de acceso pblico o el suministro de datos en
redes pblicas de comunicaciones a efectos de la prevencin, investigacin,
descubrimiento y represin de la delincuencia y de las infracciones penales,
con inclusin del terrorismo22. La propuesta pretenda armonizar en los Es-
tados miembros unas normas mnimas sobre la retencin de los llamados
datos de trfico de comunicaciones (los relativos a la fecha y hora de la
comunicacin, su origen y destino, etc.) vista la importancia creciente que
los mismos venan adquiriendo en la investigacin del terrorismo y otros

Texto de la Declaracin del Consejo Europeo de lucha contra el terrorismo: http://www.consilium.

21

europa.eu/ueDocs/cms_Data/docs/pressData/es/ec/79641.pdf
22
El texto de la propuesta de Decisin Marco puede encontrarse en: http://register.consi-
lium.europa.eu/pdf/es/04/st08/st08958.es04.pdf

124 INTELIGENCIA Y SEGURIDAD 3 (2007)

 EL TERRORISMO INTERNACIONAL Y SUS CONFLICTOS: SEGURIDAD VS. PRIVACIDAD

delitos graves y que adaptara la Directiva 2002/58 relativa al tratamiento de

los datos personales y a la proteccin de la intimidad en el sector de las co-
municaciones electrnicas, a esta nueva realidad generada tras los ataques.
La base jurdica de la propuesta, artculos del Tratado de la UE referentes
a la cooperacin policial y judicial y, por lo tanto, incluidos en el llamado
Tercer Pilar, con un procedimiento legislativo que requiere para su apro-
bacin la unanimidad de los Estados miembros y sin informe vinculante del
Parlamento Europeo, provoc diversas reacciones contrarias por parte del
Parlamento que vea cmo su poder de decisin en una propuesta tan rele-
vante para los ciudadanos era relegado a un mero papel consultivo.
En julio de 2005, recin iniciada la Presidencia semestral de la Unin Eu-
ropea por el Reino Unido, los atentados de Londres hicieron que las autorida-
des polticas europeas retomaran la intencin de adoptar medidas armonizadas
en el mbito de la conservacin de datos de las comunicaciones electrnicas. Y
ello pese a la oposicin de los operadores de telecomunicaciones y de diversas
organizaciones sociales de defensa de los derechos civiles que vean la iniciativa
desproporcionada, una ausencia de conviccin clara sobre su eficacia, los eleva-
dos costes que ello supondra para la industria que podra repercutir, en l-
tima instancia, en los usuarios y, sobre todo, la vulneracin de derechos
humanos tales como el derecho a la vida privada (artculo 8 del CEDH)23.
A pesar de ello, se aprueba la Directiva 2006/24/CE sobre la conserva-
cin de datos tratados en relacin con la prestacin de servicios pblicos de
comunicacin electrnica y por la que se modifica la Directiva
2002/58/CE24. En cuanto a sus elementos principales, su objetivo es la ar-
monizacin de la obligacin de retener datos de trfico y localizacin y ha-
cerlos disponibles con el fin de detectar, investigar y perseguir crmenes gra-
ves (tal y como estn definidos en la legislacin de cada Estado miembro).
Los sujetos obligados a retener los datos son los proveedores de servicios de
comunicaciones electrnicas de acceso pblico y proveedores de redes pbli-

23
Slo podr admitirse la interceptacin o el almacenamiento de datos si responde a tres requi-
sitos fundamentales, de acuerdo con el apartado 2 del artculo 8 del CEDH y de la interpretacin re-
servada a esta disposicin por el Tribunal Europeo de Derechos Humanos: un fundamento jurdico,
la necesidad de tal medida en una sociedad democrtica y la conformidad con uno de los objetivos le-
gtimos enumerados en el Convenio.
24
El texto de la Directiva puede encontrarse en el Diario Oficial de la Unin Europea serie L 105
de 13 de abril de 2006.

INTELIGENCIA Y SEGURIDAD 3 (2007) 125

 ARTEMI RALLO LOMBARTI

cas de comunicaciones. Asimismo, los datos a retener son: a) aquellos nece-

sarios para identificar la fuente, el destino y el tipo de comunicacin: su fe-
cha, hora y duracin, el equipo de comunicacin; y b) aquellos necesarios
para la localizacin del equipo de comunicacin mvil (tambin en el caso
de las llamadas perdidas).
El perodo de retencin se fija entre seis meses y dos aos, y los sujetos
obligados deben asegurar la calidad y seguridad de los datos retenidos y la
transmisin de los datos solicitados sin demora25.
Cabe destacar que Irlanda interpuso en julio de 2006 recurso contra la
Directiva argumentando que, una medida destinada a la lucha contra la
criminalidad (Tercer Pilar) no poda tener como base legal el Tratado de la
CE. Argumento, como vemos, similar al ya utilizado por el Tribunal de
Justicia para anular las Decisiones de adecuacin en el caso PNR. El recurso
an no ha sido resuelto por el Tribunal.

3.2. El Tratado Prm: cooperacin penal y policial e intercambio

de informacin

Como ya se apunt anteriormente, una de las mayores dificultades que

se le plantean a la Unin Europea es la manera de instrumentar medidas

25
Actualmente se encuentra en tramitacin parlamentaria en Espaa un proyecto de Ley sobre con-
servacin de datos relativos a las Comunicaciones Electrnicas y a las Redes Pblicas de Comunicaciones
que transpone al ordenamiento jurdico espaol los principios enumerados en la norma comunitaria. El
proyecto est actualmente en tramitacin en el Senado, y el dictamen aprobado el 28 de junio por el Con-
greso hace algunas precisiones al proyecto de Ley que se corresponden, en gran medida, con las salvaguar-
dias expresadas por la AEPD en su informe jurdico. La futura ley limita el uso de la informacin conser-
vada a los casos de deteccin, investigacin y enjuiciamiento de delitos graves, extiende la obligacin de
conservacin tambin a los servicios de mensajes cortos (sms) y a las tarjetas prepago, y el acceso a los datos
slo podr realizarse por los agentes facultados (miembros de las Fuerzas y Cuerpos de Seguridad de
acuerdo con el artculo 547 de la LOPJ, personal del Centro Nacional de Inteligencia en el curso de in-
vestigaciones de seguridad sobre personas y entidades as como los funcionarios de la Direccin Adjunta de
Vigilancia Aduanera en desarrollo de sus competencias como polica judicial de acuerdo con el artculo
283.1 de la LECri). Ser necesaria previa resolucin judicial. Por ltimo, decir que el plazo mximo de
conservacin de estos datos ser de un ao desde la fecha en que se produjo la comunicacin; no obstante,
reglamentariamente, previa consulta a los operadores y en atencin a los costes y la utilidad que puedan
tener los datos, se podr ampliar el plazo de conservacin para determinados datos. El texto puede encon-
trarse en: http://www.congreso.es/public_oficiales/L8/CONG/BOCG/A/A_128-10.PDF

126 INTELIGENCIA Y SEGURIDAD 3 (2007)

 EL TERRORISMO INTERNACIONAL Y SUS CONFLICTOS: SEGURIDAD VS. PRIVACIDAD

adecuadas para controlar la correcta utilizacin de los datos personales y la

libre circulacin de stos dentro de un espacio interior sin fronteras como
un medio efectivo en su lucha contra el terrorismo y la delincuencia trans-
fronteriza.
Conscientes, pues, de la necesidad de intensificar su cooperacin en esta
materia, siete Estados Europeos (Blgica, Espaa26, Francia, Luxemburgo,
Pases Bajos, Alemania y Austria) firmaron el Tratado de Prm, que plantea
una cooperacin policial reforzada para luchar contra el terrorismo, la delin-
cuencia transfronteriza y la inmigracin ilegal. Este tratado, rubricado en
mayo de 2005 en la localidad alemana que le da su nombre, posibilita a los
pases firmantes el intercambio de datos relativos a huellas dactilares, perfiles
de ADN y registros de matriculacin de vehculos. Los aspectos del Tratado
ms novedosos son:

3.2.1. ADN

El Tratado prev la creacin de ficheros nacionales de anlisis de ADN para fi-

nes de persecucin de terrorismo, delincuencia transfronteriza y migracin ile-
gal. Adems, se obliga a las partes signatarias del mismo a crear ndices de refe-
rencia con perfiles de ADN obtenidos a partir de la parte no codificante del
ADN y una referencia (por lo que no se tiene acceso a toda la secuencia genti-
ca del individuo, evitando identificar directamente a la persona concernida)27.
A estos ndices de referencia podrn acceder de forma automatizada las dems
partes contratantes mediante una comparacin de perfiles de ADN28.

26
El instrumento de ratificacin se aprob en el BOE de 25 de diciembre de 2006: http://www.
boe.es/boe/dias/2006/12/25/pdfs/A45524-45534.pdf
27
Slo revelador de la identidad y sexo de la persona
28
En diciembre de 2006 se present al Congreso de los Diputados un Proyecto de Ley reguladora
de la base de datos policial sobre identificadores obtenidos a partir de ADN que tiene como finalidad la
creacin de una base de datos en la que, de una manera nica, se integren aquellos ficheros de las
Fuerzas y Cuerpos de Seguridad del Estado en los que se almacenen los datos identificativos obtenidos
a partir de los anlisis de ADN que se hayan realizado en el marco de una investigacin criminal, o en
los procedimientos de identificacin de cadveres. Los datos que se incluirn en la base de datos sern
utilizados para la investigacin, esencialmente, de delitos graves (contra la vida, libertad sexual..). La
cesin de la informacin contenida en la base de datos se realizar, sin necesidad de consentimiento
previo del interesado, a las autoridades judiciales, fiscales y policiales de terceros pases, policas auto-

INTELIGENCIA Y SEGURIDAD 3 (2007) 127

 ARTEMI RALLO LOMBARTI

El Tratado tambin contempla el supuesto de que, en el curso de una in-

vestigacin, sea requerida informacin del ADN de una persona que se en-
cuentre en la base de datos de otra de las partes. En este caso, se solicitar la
obtencin y transmisin de dicha informacin previa comunicacin de la fi-
nalidad para la que se requiere, certificacin de que se cumplen los requisitos
para la obtencin de dicha informacin si la persona se encontrase en el pas
requirente, as como de que esos requisitos tambin se cumplen segn la
normativa del pas requerido.

3.2.2. Huellas Dactilares

Por otro lado, el Tratado prev que los Estados parte dispongan de ndices
de referencia relativos a los datos que se contengan en los sistemas nacionales
de identificacin dactiloscpica, a los que podrn tener acceso para consultas
automatizadas mediante comparacin de datos el resto de las partes
contratantes. Si se comprueba la concordancia de datos, la transmisin de
informacin adicional se har, igualmente, a travs de los mecanismos de
cooperacin policial y conforme al derecho interno de la parte requerida.
Vemos, por lo tanto, que se trata de un procedimiento similar a los previstos
para los perfiles de ADN, que debe realizarse siempre en el marco de lo dis-
puesto por la LOPD respecto del tratamiento por las fuerzas de seguridad de
datos sin consentimiento de las personas afectadas, slo en los supuestos en
que sea necesario para la prevencin de un peligro real para la seguridad p-
blica o la represin de infracciones penales.

3.2.3. Matrculas de vehculos

Igualmente, los Estados permitirn la consulta automatizada, en casos con-

cretos, de los datos de los propietarios o usuarios y los datos de los vehculos.

nmicas y al Centro Nacional de Inteligencia. Debern ser objeto de un tratamiento que cuente con
un nivel de seguridad alto y, en cuanto a su conservacin se atender a los siguientes criterios: el plazo
de prescripcin del delito; cancelacin de antecedentes penales o la decisin de sobreseimiento o sen-
tencia absolutoria. El texto de la propuesta puede encontrarse en: http://www.congre-
so.es/public_oficiales/L8/CONG/BOCG/A/A_117-10.PDF

128 INTELIGENCIA Y SEGURIDAD 3 (2007)

 EL TERRORISMO INTERNACIONAL Y SUS CONFLICTOS: SEGURIDAD VS. PRIVACIDAD

Esta consulta slo podr efectuarse utilizando un nmero completo de

identificacin de un vehculo o una matrcula completa. Este precepto con-
tiene adems la especificacin de que el acceso a estos datos slo tendr lugar
para los fines de prevencin y persecucin de delitos, cumpliendo los requi-
sitos del mencionado artculo 22 de la LOPD.
Un eje central de esta disposicin lo constituyen las medidas destinadas a
reforzar la cooperacin en materia antiterrorista. En efecto, se prev la
transmisin de datos29 , sin que medie peticin previa de otro Estado parte,
cuando existan hechos que justifiquen la presuncin de que la persona en
cuestin vaya a cometer alguno de los delitos contenidos en la Decisin
Marco de lucha contra el terrorismo30: delitos de terrorismo, relativos a un
grupo terrorista y delitos ligados a actividades terroristas. La utilizacin de
estos datos podr estar sometida a condiciones por parte de la autoridad que
los transmita, como sera nuestro caso por la aplicacin del artculo 22.2 de
la LOPD.

3.2.4. Grandes eventos

Por ltimo, tambin se contienen medidas para reforzar la cooperacin poli-

cial en caso de grandes eventos transfronterizos a travs del intercambio de
informacin sobre individuos respecto de los cuales una condena firme u
otras circunstancias justifiquen la presuncin de que vayan a cometer un
delito o supongan una amenaza para la seguridad y el orden pblico.
Como se acaba de examinar, el Tratado recoge un importante nmero de
medidas que, por su trascendencia y repercusin, deberan ser de aplicacin
en toda la Unin Europea. Por ello, en enero de 2007, la presidencia de
turno de la Unin Europea, Alemania, propuso al Consejo de Ministros de
la Unin una iniciativa para ampliar este instrumento a los veintisiete Esta-
dos Miembros, pasando as de ser un acuerdo meramente interguberna-
mental a ser considerado parte integrante del acervo comunitario. En un
principio, se manifestaron ciertas reticencias, bien de tipo presupuestario

29
Nombre, apellidos, fecha y lugar de nacimiento y hechos que justifican la presuncin
30
Decisin marco del Consejo, de 13 de junio de 2002, sobre lucha contra el terrorismo. Diario
Oficial n. L 164, de 22 de junio de 2002.

INTELIGENCIA Y SEGURIDAD 3 (2007) 129

 ARTEMI RALLO LOMBARTI

bien de tipo jurdico como los problemas derivados de su transposicin

que podra suponer para algunos pases31 a dicha propuesta. Finalmente,
el texto de la propuesta fue aprobado el pasado Consejo de Ministros de
Asuntos de Justicia e Interior de 12 y 13 de junio de 2007.

3.3. Hacia un PNR europeo

Para concluir, merece resaltarse la ltima de las iniciativas que se estn de-
batiendo en el seno de la Unin Europea para luchar contra el terrorismo
internacional y que se conoce como el PNR Europeo32. Su punto de partida
se sita en la Declaracin que realiz el Consejo Europeo en marzo de 2004,
tras los atentados terroristas de Madrid, sobre la lucha contra el terrorismo,
en la que se llam la atencin sobre la necesidad de presentar propuestas pa-
ra un enfoque europeo comn en el uso de datos de los pasajeros con vistas a
garantizar la seguridad area y de fronteras. Este propsito ha sido reiterado
en el Programa de la Haya33 as como en el Plan de Accin sobre la lucha
contra el terrorismo. Como resultado de esta peticin, la Comisin Europea
se propone presentar en breve una propuesta de Decisin Marco relativa a la
transmisin de datos PNR de los pasajeros que viajen en vuelos que se diri-
jan a la UE, como medida de lucha contra el terrorismo internacional y la
criminalidad organizada. Las Autoridades de Supervisin, al ser consultadas
en el proceso previo de valoracin del impacto de la medida, volvieron a
reiterar que toda iniciativa que supusiera una restriccin en los derechos

31
Las principales reservas vienen del Reino Unido, pas reacio a que este Tratado se convierta en
un instrumento comunitario y a dar poderes a policas de otros pases para actuar en su territorio en
caso de necesidad, un aspecto que contempla el actual Tratado. Polonia y la Repblica Checa expresa-
ron igualmente sus preocupaciones por el posible coste que acarreara la modernizacin de sus bases
de datos para adaptarlas a estas nuevas especificaciones.
32
Hay que recordar que ya est en vigor la Directiva 2004/82/CE del Consejo, de 29 de abril, sobre
la obligacin de los transportistas de comunicar los datos de las personas transportadas aprobada a iniciati-
va espaola y por la que ya se solicitan una serie de datos (datos API, los que estn recogidos en el pasa-
porte) sobre aquellos pasajeros provenientes de Estados que no formaban parte del espacio Schengen.
http://eur-lex.europa.eu/LexUriServ/site/es/oj/2004/l_261/l_26120040806es00240027.pdf
33
Programa de la Haya: consolidacin de la libertad, la seguridad y la justicia en la Unin Euro-
pea, publicado en el DOUE el 3 de marzo de 2005. http://europa.eu.int/eur-lex/lex/LexUri-
Serv/site/es/oj/2005/c_053/c_05320050303es00010014.pdf

130 INTELIGENCIA Y SEGURIDAD 3 (2007)

 EL TERRORISMO INTERNACIONAL Y SUS CONFLICTOS: SEGURIDAD VS. PRIVACIDAD

fundamentales de los ciudadanos europeos debera contar con una estricta

limitacin en cuanto a su finalidad, garantizar un uso proporcionado de los
datos, y fijar las salvaguardias ms estrictas en lo que a la utilizacin de datos
sensibles se refiere.

4. CONCLUSIONES

Actualmente, nuestras sociedades democrticas deben hacer frente a una

amenaza global que pretende menoscabar nuestras libertades y valores. En
este nuevo escenario, el tratamiento e intercambio de informacin personal
se ha convertido en instrumento esencial para la eficacia en la labor de las
Fuerzas y Cuerpos de Seguridad en Europa. Un argumento contundente y
legtimo que, no obstante, debe ser objeto de lmites.
La proteccin de la vida privada y los datos personales de los ciudadanos
no pueden ni deben verse como un obstculo al efectivo intercambio de in-
formacin, sino que est en el propio inters de nuestras fuerzas policiales y
judiciales el contar con informacin segura, veraz y efectiva para poder desa-
rrollar su labor como garantes de la seguridad pblica, garantizando la pre-
valencia de los derechos y las libertades en nuestra sociedad democrtica
avanzada.
En este mbito no podemos dejar de lado las especiales caractersticas de
la informacin que est siendo objeto de intercambio, as como de las conse-
cuencias que de su tratamiento pudiera derivarse, por lo que es imprescindi-
ble la fijacin de controles y mecanismos de supervisin eficaces.

INTELIGENCIA Y SEGURIDAD 3 (2007) 131