I. La seguridad
La seguridad es un derecho constitucionalmente reconocido, tal y como muestran los artículos 17.1 y 51.1 de la Carta Magna. En relación con tal derecho, la Ley 36/2015, de 28 de septiembre, de Seguridad Nacional, en clara armonía con las Estrategias nacionales de Seguridad y de Ciberseguridad, considera la seguridad como la base sobre la cual una sociedad puede desarrollarse en libertad y prosperar, siendo garantía de estabilidad y buen funcionamiento de sus instituciones.
Y es que el legislador es consciente de que la evolución tecnológica en la que nos encontramos desde hace años, y que ha derivado en un alto grado de dependencia tecnológica, ha puesto en jaque a la seguridad. En este mismo sentido, también preocupa que cualquier tecnología pueda verse afectada por incidentes que, de alguna manera, puedan poner en peligro la seguridad de las comunicaciones electrónicas. Quizás este sea el motivo por el que la Estrategia de Seguridad Nacional llega a afirmar con rotundidad que “en gran medida, la tecnología ha premiado la interconectividad en detrimento de la seguridad”.
Esto nos lleva a afirmar, como primera conclusión, que la seguridad digital es uno de los principales retos a los que se enfrenta la sociedad conectada.
II. Derecho a la seguridad digital
En el ámbito de la protección de datos personales, el artículo 82 de la Ley 3/2018, de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales recoge lo que se denomina “derecho a la seguridad digital”. Este artículo se enmarca dentro del título X de la LOPDGDD, en el que se acomete la tarea de reconocer y garantizar a los ciudadanos un elenco de derechos digitales conforme al mandato establecido en la Constitución.
En particular, el citado artículo reconoce a los usuarios de Internet un derecho a la seguridad de las comunicaciones, a la vez que establece un deber de información a los ISP, en el siguiente sentido:
Los usuarios tienen derecho a la seguridad de las comunicaciones que transmitan y reciban a través de Internet. Los proveedores de servicios de Internet informarán a los usuarios de sus derechos.
En lo que se refiere a la seguridad de las comunicaciones, ya el Considerando 39 del Reglamento General de Protección de Datos afirmaba que el tratamiento que se haga de datos personales debe hacerse de un modo “que garantice una seguridad y confidencialidad adecuadas” de tales datos, lo que incluye cualquier tipo de actuaciones dirigidas a impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento.
En este mismo sentido el Considerando 83, al tratar la evaluación de riesgos en relación con la seguridad de los datos durante su tratamiento, afirma que las medidas que el responsable o el encargado aplique para mitigar dichos riesgos deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad. Y se refiere, a modo de ejemplo, al cifrado de la información como una práctica efectiva a tal fin.
Así pues, podríamos afirmar que el objeto de protección de este derecho a la seguridad digital incluye tres aspectos o dimensiones, como son: la confidencialidad, la integridad y la disponibilidad de las comunicaciones.
a) Confidencialidad
Tratándose de comunicaciones (digitales en este caso que aquí nos ocupa), debemos acudir al artículo 18.3 de la Constitución Española, el cual contempla el secreto de las mismas cuando afirma que se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.
Desde un punto de vista de seguridad de la información, entendemos por confidencialidad la restricción de acceso a la información, de manera que sólo puedan acceder a aquella aquellos que están debidamente autorizados.
b) Integridad
Por integridad entendemos aquel estado en el que la integridad permanece inalterada y tal y como el emisor la originó, esto es, sin manipulaciones externas.
c) Disponibilidad
Por disponibilidad entendemos aquella situación en la que se encuentra la información, de manera que pueda estar accesible cuando así sea requerido por cualquier persona con derecho a acceder a ella.
III. Derecho a la información
Como señalábamos anteriormente, la segunda parte del artículo 82 de la LOPDGDD reconoce un derecho del usuario a recibir información de su ISP en relación con la seguridad de las comunicaciones.
El artículo 12 bis de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de comercio electrónico (LSSI) ya venía regulando una obligación de información similar, haciendo recaer en los prestadores de servicios de acceso a Internet la obligación de informar a sus cliente, de manera fácil, directa y gratuita, de una serie de aspectos técnicos relacionados con la seguridad de las comunicaciones (entre otros, protección frente a virus informáticos, spam y programas espía, control parental…) y con las medidas de seguridad que tiene implementadas.
En relación a esta facultad de información, el artículo 33 de la LSSI ha diseñado un sistema por el cual el destinatario de los servicios digitales podría dirigirse en cualquier momento a los órganos competentes de las Administraciones Públicas en materia de sociedad de la información, circunstancia que se mantiene y que se refuerza con la aplicación del citado artículo 82 de la LOPD.
Asimismo, también la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones incluye este derecho del usuario de recibir información. En particular, en su Capítulo V, donde se recogen una serie de derechos del usuario entre los cuales se encuentra el derecho a recibir información, veraz, suficiente, transparente y comparable sobre los servicios de comunicaciones electrónicas disponibles al público.
Así las cosas, a modo de conclusión podemos afirmar que la inclusión de un derecho a la seguridad digital en la LOPD no supone un aspecto novedoso, aunque sí supone un refuerzo a la tendencia que se viene siguiendo por parte del legislador durante estos últimos años (especialmente en la normativa de protección de datos y en la de protección de las redes y sistemas), donde se exige al intermediario, en este caso al ISP, una obligación de transparencia más intensa en materia de protección de la información para con el usuario, que permita lograr el objetivo de desarrollar una cultura de ciberseguridad con el ciudadano.
Este objetivo ya venía recogido en la antigua estrategia de ciberseguridad de 2013. Y la nueva de 2019 lo incluye en su Objetivo 3 (y más concretamente en su línea de acción 4), donde dice que se promoverá la ciberseguridad para garantizar la privacidad y protección de datos personales dentro del marco de los derechos digitales del ciudadano acorde con el ordenamiento jurídico, promoviendo la protección de la «identidad digital».
Mientras que la medida 5 de esta misma línea de acción contiene un objetivo claramente alineado con el artículo 82 de la LOPDGDD, como es el de promover el compromiso de los Proveedores de Servicios de Internet y de Servicios Digitales para mejorar la ciberseguridad, aspecto crucial para el desarrollo de la sociedad del mañana.
