La CNIL se ha pronunciado sobre las disposiciones del proyecto de ley relativas a la protección de los datos personales. En sus dictámenes, la Comisión recuerda, en particular, que los medios utilizados en materia de inteligencia deben ir acompañados de garantías fuertes para limitar los atentados contra la vida privada de las personas.

La CNIL se pronunció con urgencia, en tres dictámenes de fecha 8 de abril, 15 de abril y 3 de mayo de 2021, sobre determinadas disposiciones del proyecto de ley relativo a la prevención de actos de terrorismo, en su versión entonces prevista por el Gobierno. Dado que el proyecto de ley se publicó en su totalidad el miércoles 12 de mayo, estos dictámenes se hacen públicos.

En consonancia con la Ley de Inteligencia de 2015, el proyecto tiene por objeto adaptar los instrumentos de inteligencia existentes a la evolución de la amenaza y la tecnología de la información. Contiene varias disposiciones relativas a la protección de los datos personales y a la vida privada, por lo que el Gobierno ha recurrido a la CNIL para que emita su dictamen.

Con el fin de garantizar un equilibrio entre los imperativos legítimos de seguridad y el respeto de la vida privada, la CNIL considera necesario enmarcar más estrictamente los dispositivos previstos por este proyecto de ley. La Comisión ha formulado varias observaciones en ese sentido, algunas de las cuales se han tenido en cuenta en la versión aprobada por el Gobierno. Corresponde ahora al legislador apreciar y definir los contornos de este equilibrio en relación con las exigencias constitucionales y europeas. No obstante, la CNIL deberá ser consultada sobre determinadas disposiciones reglamentarias de aplicación de la ley que finalmente se apruebe.

Lo esencial

• Por lo que se refiere a la técnica llamada del «algoritmo», la CNIL no ha dispuesto de los elementos necesarios para poder apreciar la necesidad de su perennización, El balance detallado está cubierto por el secreto de la defensa nacional y sólo es accesible a la Comisión Nacional de Control de las Técnicas de Inteligencia (CNCTR) y a la delegación parlamentaria de inteligencia. La Comisión pidió que se volviera a ensayar la posibilidad de ampliar esta técnica a las URL, pero el Gobierno no hizo nada al respecto.
• En cuanto a las demás técnicas de inteligencia, la CNIL observó que se aplicaban salvaguardias importantes (limitación para determinados fines, períodos de conservación, acceso limitado, etc.). Sin embargo, recomendó que en el proyecto de ley se incluyeran salvaguardias adicionales (por ejemplo, la limitación de las finalidades para determinadas técnicas y la aclaración de las condiciones de aplicación). En el proyecto de enmienda se abordan algunas de esas recomendaciones.
• En lo que se refiere a los datos tratados por los servicios de comunicaciones electrónicas, la CNIL ha solicitado que se precise el texto relativo a las condiciones de conservación y acceso a los datos de identidad y de conexión de los usuarios con fines de lucha contra las infracciones penales. El Gobierno ha seguido esta cuestión.
• Considera que el control de la aplicación de estas disposiciones constituye una garantía esencial para garantizar que las violaciones de los derechos de las personas se limiten efectivamente a lo estrictamente necesario. Pidió que se reforzaran las competencias de la CNCTR, recomendando un dictamen de ésta sobre la decisión de conservar los datos de conexión y un verdadero dictamen conforme a la aplicación de las técnicas de inteligencia, que no está previsto en el proyecto de ley presentado a la Asamblea Nacional.

La necesidad de hacer un balance de la técnica llamada del «algoritmo» y de su extensión a las URL

En 2015 se introdujo una nueva tecnología de inteligencia para detectar automáticamente las conexiones telefónicas o de Internet que pudieran revelar una amenaza terrorista. Esta técnica, llamada «algoritmo», es particularmente intrusiva: no procede a una vigilancia específica sino que analiza el conjunto de datos de conexión de grupos de personas. En virtud de las garantías que debían enmarcar esta técnica, se había previsto entonces proceder a una experimentación, de conformidad con las propuestas de la CNIL en la época.

Sin embargo, en su opinión sobre este nuevo proyecto de ley, la CNIL estimó que no había tenido un balance suficientemente preciso (ya que estos elementos estaban protegidos en virtud del secreto de la defensa nacional) para apreciar la necesidad de perpetuar este dispositivo. Se ha comunicado un balance detallado a la CNCTR y a la delegación parlamentaria de inteligencia. Corresponde al Parlamento apreciar si los medios tradicionales de vigilancia específica no permiten garantizar de manera satisfactoria la protección de la población contra las amenazas terroristas y si la perennización de esta técnica de vigilancia «por algoritmo» puede ser considerado.

La CNIL destacó también que la extensión de esta técnica a las direcciones de los sitios web, las URL, modifica considerablemente su alcance. La Comisión pidió que esa ampliación se repitiera en una fase experimental, sin que el Gobierno la siguiera.

Observaciones para completar o precisar las garantías previstas

En sus dictámenes, la CNIL señaló que el Gobierno, si bien demostraba la utilidad operacional de las diferentes evoluciones previstas por el proyecto de ley, había enmarcado esos dispositivos de salvaguardias importantes, en la continuidad del marco de las técnicas de inteligencia en 2015.

No obstante, consideró que, para garantizar un equilibrio adecuado entre los imperativos de seguridad y los atentados contra la vida privada de las personas afectadas, debían preverse garantías suplementarias.

Sobre la aplicación de una nueva técnica de inteligencia para la interceptación por satélite

Habida cuenta de la novedad de esta técnica, la CNIL consideró pertinente proceder a una experimentación y pidió que se realizara un balance intermedio. La Comisión también consideró que las finalidades que justifican la aplicación de esta técnica deben limitarse, en un marco experimental, únicamente a los objetivos de interés general más imperiosos y considerarse como los más graves. El Gobierno ha dado curso a esta observación, limitando en el texto la aplicación de esta técnica a determinadas finalidades.

Sobre la conservación de los datos de conexión por los operadores y los proveedores de acceso

En general, la CNIL señaló que el proyecto de ley tenía como principal objetivo tener en cuenta las decisiones del Consejo de Estado y del Tribunal de Justicia de la Unión Europea (TJUE). Al tiempo que recordaba que determinadas modalidades de aplicación se precisarían por vía reglamentaria (y en particular los datos precisamente recogidos), consideró que, no obstante, podrían aportarse precisiones al proyecto de ley para tener en cuenta estas decisiones. El Gobierno la ha seguido en el proyecto de ley corregido:

• los fines para los que se conservarán la dirección IP y los datos de identidad figuran expresamente en el texto;
• disposiciones específicas regulan la conservación y el acceso a los datos de conexión a efectos de la investigación y persecución de infracciones penales.

Sobre el control de la Comisión Nacional de Control de las Técnicas de Inteligencia (CNCTR)

Se trata, para la CNIL, de un componente esencial del equilibrio buscado: la ley debe prever las garantías adecuadas para limitar a lo estrictamente necesario los atentados a los derechos de las personas, pero también debe prever los mecanismos de control que permitan garantizar el respeto de estas garantías. Si bien la CNIL acogió favorablemente la evolución prevista para tener en cuenta las exigencias planteadas por el TJUE y el Consejo de Estado, consideró no obstante:

• que la CNCTR debería ser consultada para emitir dictámenes sobre el principio de conservación de los datos de conexión por los operadores de comunicaciones electrónicas;
• que era necesario instituir un verdadero dictamen conforme de la CNCTR, como prevé el texto, permitir al Primer Ministro autorizar formalmente la aplicación de una técnica de inteligencia contra el dictamen de la CNCTR y confiar en las diligencias de la CCNTR para recurrir al Consejo de Estado.

Sobre el control de la CNIL

Por último, al igual que en 2015, la CNIL recordó su solicitud de que sus poderes de control pudieran aplicarse a los ficheros de información alimentados por estas técnicas de manera adaptada a sus características específicas. Recuerda que los ficheros de los servicios de inteligencia están sometidos a la Ley informática y libertades, pero que sus condiciones de aplicación efectivas no son objeto de ningún control por su parte.