El informe jurídico 223/2004 de la Agencia Española de Protección de Datos (AEPD) aborda la cuestión de si es conforme a la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, la comunicación del número de teléfono de un abonado a prestadores de servicios de Internet (ISP) para gestionar abusos en Internet. La consulta surge en el contexto de la obligación de los operadores de redes y prestadores de servicios de comunicaciones electrónicas de informar a sus abonados sobre los riesgos de violación de la seguridad de la red pública y las medidas a adoptar.
El informe destaca que, ante un abuso o práctica ilícita por parte de un usuario de comunicaciones electrónicas, los ISP deben poder adoptar medidas para impedir la persistencia del abuso. Para ello, necesitan conocer ciertos datos que permitan identificar al usuario, como su número de teléfono, que no siempre están en sus ficheros. En los contratos entre el operador y los ISP, se contempla la necesidad de que el ISP recabe el consentimiento del cliente para la comunicación de dicho dato, aunque esto puede complicarse cuando el número de implicados es elevado.
La AEPD señala que el suministro de esta información constituye una cesión o comunicación de datos de carácter personal, definida en el artículo 3 i) de la Ley Orgánica 15/1999. Según el artículo 11.1 de dicha ley, los datos solo pueden ser comunicados a un tercero con el previo consentimiento del interesado, salvo en casos específicos. Uno de estos casos, previsto en el artículo 11.2 c), es cuando el tratamiento responde a la libre y legítima aceptación de una relación jurídica cuyo desarrollo implique necesariamente la conexión con ficheros de terceros.
El artículo 34 de la Ley General de Telecomunicaciones establece que los operadores deben garantizar la protección de los datos de carácter personal y adoptar medidas técnicas y de gestión adecuadas para preservar la seguridad en la explotación de su red o en la prestación de sus servicios. La contratación del usuario con el ISP implica la obligación de respetar las condiciones de uso del servicio y las normas aplicables, incluyendo la prohibición de interceptación de comunicaciones electrónicas y el envío de contenidos prohibidos.
El informe concluye que, dado que el dato se facilitaría para el control de la relación contractual entre el ISP y el afectado, la cesión se encontraría amparada en el artículo 11.2 c) de la Ley Orgánica 15/1999. Sin embargo, esta cesión solo debería producirse si el ISP carece de datos que permitan identificar al usuario y los datos únicamente deben ser empleados para la finalidad de control descrita.