EN TORNO A LA INTERACCION ENTRE PRIVACIDAD

EN TORNO A LA INTERACCION ENTRE PRIVACIDAD

E INTERNET

JOSE JULIO FERNANDEZ RODRIGUEZ(*)

(*) Profesor de Derecho Constitucional Doctor en Derecho Universidad de Santiago de Compostela



CONTENIDO: I . Introducción.- II. Derecho a la intimidad e informática.- 1. Derecho a la intimidad e informática en la Constitución española.- 2. Otras normas.- 3. La interpretación de la Comisión Especial sobre redes informáticas del Senado español.- 4. Las exigencias de la intimidad/privacidad.- 5. Nuevas formas de agresión.- III . El Correo electrónico.- IV. Criptografía frente a la interceptación.- 1. La criptografía como posibilidad.- 2 . Técnicas de cifrado.- 3. Critografía y seguridad pública.- 4. Firma digital y certificado digital.- V. Otras agresiones.- VI. Medios de protección y poder público.- VII. Reflexiones finales.



I. INTRODUCCIÓN


El progreso técnico de los últimos años ha permitido alcanzar unos logros que resultaban inimaginables no muchas décadas atrás, configurándose, así, un cambio histórico que subvierte realidades sociales y económicas. Estamos en la Sociedad de la Información en donde ésta, la información, se configura como un elemento clave de poder que se demanda, se ofrece, se consume, se procesa, se almacena y se lucha por él, preferentemente en forma digitalizada, o sea, convertida en números (en bits) para ser transmitida. ESCOBAR DE LA SERNA subraya como factores que caracterizan a esta “sociedad” la aparición de una serie de medios técnicos de transmisión y de información, que provocan numerosos efectos sobre el comportamiento individual y colectivo y sobre la formación de hábitos culturales” (ESCOBAR DE LA SERNA, Luis (coord.), Sociedad, Información y Constitución , Universitas, Madrid, 1999, p. 54). El avance de la técnica ha tenido múltiples repercusiones en campos muy diversos que quizá sólo encuentren parangón en las consecuencias que en su día originó la Revolución Industrial. Incluso se ha dicho, siendo un tanto hiperbólicos, que no asistimos ni a una revolución ni a un cambio de era sino a un cambio de estadio de la humanidad (el “infolítico”) en el que no se trabaja con átomos sino con realidades intangibles. En el marco de estos avances adquiere especial protagonismo Internet, la red de redes, el estandarte de este cambio, que trae consigo unas dosis de interactividad, mundialización, conectividad y globalización sin precedentes hasta el momento. El Estado se ve superado por un fenómeno que llega a escapar de su control. Al mismo tiempo, Internet lleva consigo unas sombras todavía sin disipar como la banalización producida por las enormes masas de información que circulan por la red (basadas en el diseño y en la forma antes que en el fondo, y rindiendo tributo a lo cuantitativo, que se impone sobre lo cualitativo), el caos disfuncional, el determinismo técnico, la homogeneización que agrede y empobrece al pluralismo cultural, la dependencia y una tendencia al aislacionismo social que podría tacharse de deshumanizante (un estudio de la Universidad de Stanford, realizado por Norman NIE, indica que los internautas más asiduos tienden a prescindir de amigos y familia; un estudio que está en la línea de otro anterior de la Universidad Carnegie Mellon en el que se señalaba la correlación directa entre horas de Internet e incidencia de cuadros depresivos).

Los rasgos que hacían inteligible el trabajo de la sociedad industrial, o sea, el espacio y el tiempo, pierden importancia en la sociedad de la información, en la que lo relevante será el resultado y no el período temporal que se dedique a ello ni el lugar desde donde se lleve a cabo. El comercio electrónico abre un conjunto de posibilidades con transcendencia en contextos y niveles muy diferentes, construyéndose desde diversas ópticas una mutación cultural de igual o mayor transcendencia que la técnica.

El mundo jurídico no ha sido una excepción en este panorama de transformaciones y cambios. Se ha visto afectado por realidades nuevas a las que se tiene que enfrentar, a veces, con suma dificultad puesto que las viejas y clásicas categorías del Derecho no son plenamente operativas en la Sociedad de la Información o en el Estado postindustrial. A estos retos hay que responder con prontitud y diligencia para seguir cumpliendo con el fin de regular la vida en sociedad con eficacia y justicia, un fin que, pese a todos los cambios, sigue siendo el referente a tener en cuenta. Ello adquiere renovada relevancia en el campo de los derechos fundamentales dada la posición que los mismos ostentan en los actuales sistemas democráticos. Su garantía y tutela exigen mantener plenamente operativos mecanismos eficaces ante los nuevos peligros que los avances técnicos suponen. Entre ellos, el derecho a la intimidad requiere una especial consideración por la intensa amenaza que para el mismo supone Internet. El Estado, como indica ÁLVAREZ-CIENFUEGOS, debe asumir una posición beligerante en la defensa de los derechos de la persona, no permaneciendo ajeno a la “tensión dialéctica entre consumo de información y defensa de la personalidad” (ÁLVAREZ-CIENFUEGOS SUÁREZ, José María, La defensa de la intimidad de los ciudadanos y la tecnología informática , Aranzadi, Pamplona, 1999, p. 14).

Con demasiada habitualidad se perciben distintas disfunciones en las redes informáticas que han provocado cierta intranquilidad al mostrarse más inseguras de lo que algunos pensaban. Sirvan de ejemplos la saturación de ciertos servidores de Estados Unidos (Yahoo, Amazon, eBay o la CNN) por el fenómeno que se conoce como “mail bombing”, el espionaje que Estados Unidos y Gran Bretaña llevan a cabo en Europa a través de la organización “Echelon” (esta red es capaz de acceder a toda la información transmitida vía Internet, correo electrónico, fax y teléfono), el centro de control de correo electrónico que está instalando el servicio de contraespionaje británico del M15, o los problemas de seguridad de alguna empresa de telefonía, al margen de los periódicos cuadros de pánico por mor de un nuevo y presuntamente catastrófico virus (cada mes surgen ochocientos nuevos virus, estando contabilizados más de cuarenta y cinco mil). Varios de estos casos afectan de manera directa al derecho a la intimidad, que se ve agredido en multitud de ocasiones con suma facilidad, lo que prueba, en algunos supuestos, la inoperatividad de los medios de protección establecidos y que habían sido concebido para una realidad bien distinta a la actual. Nuevas respuestas, por lo tanto, parece ser lo que hay que reclamar, sin renunciar a las categorías existentes que pueden seguir siendo operativas con la calificación de principios. Según un informe del Parlamento Europeo conocido en febrero del año 2000, la confidencialidad en Internet es mucho menor de lo que se pensaba ya que todos los correos electrónicos codificados por Microsoft, Netscape y Lotus pueden ser descifrados por un órgano de espionaje norteamericano llamado Agencia de Seguridad Nacional (NSA). Y no sólo eso sino que también el microprocesador de Intel Pentium III tiene un número de serie IPSN que permite identificar al sujeto que haga una transacción en Internet con él, a pesar de que Intel haya asegurado que el usuario puede impedir el acceso, acceso que con ciertas técnicas sigue siendo posible.

Un tema que puede estar relacionado con el de la privacidad en Internet es el de la protección jurídica de las bases de datos. Sin embargo, una base de datos no tiene por qué estar metida en red, por lo que se trata en realidad de una cuestión diferente que hará que no sea ananlizada específicamente en este trabajo, aunque sí de manera colateral.

II. DERECHO A LA INTIMIDAD E INFORMÁTICA

1. Derecho a la intimidad e informática en la Constitución en la Constitución española

La Constitución española de 1978 recoge en su art. 18, entre otras cosas, el derecho a la intimidad, la inviolabilidad del domicilio, el secreto de las comunicaciones y establece, en el apartado 4º, un encargo al legislador consistente en la limitación por ley del “uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. La redacción de este último apartado se partía de la idea de que la generalización de la informática iba a originar crecientes problemas que reclamaban la adopción de medidas específicas para enfrentarlos.

La regulación constitucional ha sido objeto de diversas críticas, como las de PÉREZ LUÑO, que entiende que se parte de “un planteamiento fragmentario e individualista de la compleja serie de cuestiones de matiz personal y social que hoy se debaten y suscitan”, problema que no se resuelve con el complemento del art. 105 b) de la Constitución, antes bien genera un “defecto sistemático” (PÉREZ LUÑO, Antonio Enrique, Derechos humanos, Estado de Derecho y Constitución , Tecnos, 6ª ed., Madrid, 1999, pp. 338 y ss.).

La limitación por ley del uso de la informática se ha interpretado no sólo como la constitucionalización de la “defensa de todos y cada uno de los derechos de los ciudadanos frente al uso indiscriminado de los medios informáticos” (ÁLVAREZ-CIENFUEGOS, La defensa de la intimidad... , op . cit. , p. 15), sino también como el reconocimiento de un nuevo derecho fundamental que va más allá de un mero mecanismo de garantía al verse la intimidad desbordada por el bien jurídico a proteger en este último caso (la genérica defensa de la personalidad). En este último sentido se puede citar la interpretación que se desprende de la Sentencia del Tribunal Constitucional español 254/1993, de 20 de julio, FJ 6º:

“Nuestra Constitución ha incorporado una nueva garantía constitucional, como forma de respuesta a una nueva forma de amenaza concreta a la dignidad y a los derechos de la persona (...) Estamos ante un instituto de garantía de otros derechos, fundamentalmente el honor y la intimidad, pero también de un instituto que es, en sí mismo, un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos, lo que la Constitución llama «la informática».”

Este nuevo derecho suele ser denominado por la doctrina “derecho a la autodeterminación informativa” (LUCAS MURILO DE LA CUEVA, Pablo, El derecho a la autodeterminación informativa , Tecnos, Madrid, 1990).

2. Otras normas

La ley a la que se remite el artículo 18.4 de la Constitución de España es en la actualidad la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que deroga la anterior Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal. En cuanto no se opongan a la ley de protección de datos seguirán en vigor el Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia de Protección de Datos (modificado a su vez por el Real Decreto 156/1996, de 2 de febrero) y el Real Decreto 1332/1994, de 20 de junio, por el se desarrollaban ciertos aspectos de la ya derogada Ley Orgánica 5/1992.

Esta preocupación es compartida en otros muchos instrumentos normativos de ámbitos y latitudes muy diferentes. Así, en el continente europeo hay que nombrar el Convenio 108 del Consejo de Europa, de 28 de enero de 1981, para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal, y las Directivas 95/46/CE, relativa a la Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y a la Libre Circulación de esos Datos, y la 97/66/CE, sobre el Tratamiento de Datos Personales y la Protección de la Intimidad en el Sector de las Telecomunicaciones. Para el estudio de la aplicación de estas directivas el llamado Grupo del Artículo 29 creó un grupo de trabajo llamado “Task Force Internet” que trata de fomentar los productos útiles para proteger la privacidad. En sus reflexiones se aboga porque las directivas citadas se apliquen también a Internet, se anima a que las empresas de software y de hardware elaboren productos que protejan la intimidad y se pretenden establecer unas pautas que se deberían seguir de forma escrupulosa en la interceptación legal de las telecomunicaciones. Más recientemente podemos citar la Decisión 276/1999/CE del Parlamento Europeo y del Consejo, de 25 de enero de 1999, que aprueba un plan plurianual de acción comunitaria para propiciar una mayor seguridad en la utilización de Internet.

3. La interpretación de la Comisión Especial sobre Redes Informáticas del Senado español

La Comisión Especial sobre Redes Informáticas creada en el Senado español el 14 de marzo de 1998 (y cuyo informe fue aprobado por el pleno del Senado el 17 de diciembre de 1999), en la cuarta de sus conclusiones, afirma que “el ordenador personal y el domicilio electrónico son inviolables”. Y prosigue: “Ninguna entrada o registro podrá hacerse sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito. Se garantizará el secreto de las comunicaciones electrónicas y la privacidad de los datos” ( Boletín Oficial de las Cortes Generales , núm. 812, 27 de diciembre de 1999, p. 46). Como se ve, se están parafraseando los párrafos segundo y tercero del art. 18 de la Constitución española para equiparar al domicilio de este último artículo el domicilio electrónico y el ordenador personal, y para incluir en las comunicaciones las de tipo electrónico. Esta última idea ya estaba clara pues la redacción del art. 18.3 de la dicha Constitución da pie a interpretar la noción de comunicación de modo amplio, más allá de las tres formas a las que alude expresamente (postales, telegráficas y telefónicas), alusión que es, en todo caso, ejemplificativa. Partiendo de la idea de intimidad se recogen, por lo tanto, el derecho a la autodeterminación informativa y una lectura en esta clave de la inviolabilidad del domicilio y del secreto de las comunicaciones.

4. Las exigencias de la intimidad/privacidad

El derecho a la intimidad, que, junto a una dimensión relacional útil para la existencia colectiva, protege una zona espiritual íntima, o sea, un reducto personal y privado frente a posibles agresiones exteriores y frente al conocimiento de los demás, tiene unas particulares exigencias cuando entran en liza la informática y las redes, llegando incluso a propiciar, según se indicó más arriba, la configuración de un nuevo derecho fundamental. Ese ámbito propio y reservado resulta “necesario, según las pautas de nuestra cultura, para mantener una calidad mínima de la vida humana” (Sentencia del Tribunal Constitucional español 231/1988, de 2 de diciembre, FJ 3º).

Los textos normativos no suelen definir la idea de intimidad sino que se limitan a recoger los casos que agreden a la misma. La doctrina distingue de la intimidad la noción de privacidad (derivada directamente de la inglés “privacy”) concibiendo ésta como más amplia que aquélla al aludir a datos no íntimos pero que la persona quiere que no sean difundidos. Incluso se llegan a establecer otros niveles diferentes (por ejemplo, en la doctrina alemana, aunque más bien con una finalidad pedagógica, se distingue entre “Intimpshäre”, “Privatpshäre” o “Geheimpsphäre” y “Sozialpshäre”). Nosotros no vamos a entrar en esta distinción por considerar que la finalidad de este trabajo así lo aconseja. En el título hemos optado por hablar de privacidad por su mayor amplitud.

Como señala PÉREZ LUÑO, el respeto a la intimidad se ha convertido en “una de las exigencias más acuciantes que hoy gravita sobre la sociedad tecnológicamente avanzada” (PÉREZ LUÑO, Antonio Enrique, Derechos humanos... , op. cit. , p. 317). Más adelante este autor reitera la misma idea al indicar que la “amenaza latente para el ejercicio de las libertades, que obedece a las condiciones en las que se desarrolla la vida colectiva de nuestra época caracterizada por la revolución tecnológica, se ha hecho particularmente acuciante en relación con el derecho a la intimidad” (pp. 345-346). Esta defensa de la intimidad no sólo debe ser vista desde una óptica negativa, como posibilidad de reaccionar frente a una invasión, sino también desde una dimensión positiva que permite controlar las informaciones que atañen a un sujeto (“un derecho fundamental autónomo a controlar el flujo de informaciones que conciernen a cada persona”, Sentencia del Tribunal Constitucional español 44/1999, de 22 de marzo, FJ 2º). Por un lado, entre otras cosas, lleva a que no se utilicen los datos personales para fines no consentidos por la persona a la que hacen referencia tales datos y a que se puedan controlar dichos datos cuando se hallan en un programa informático ( habeas data ). Este control “sobre la publicidad de la información relativa a nuestra persona y familia” (de nuevo una sentencia del Tribunal Constitucional español, la 144/1999, de 22 de julio) supone derecho de información, de acceso, de rectificación y cancelación. Por otro lado, la defensa de la intimidad garantiza la no entrada en el propio ordenador personal sin consentimiento del titular. A su vez, el correo electrónico se conecta de modo directo con el derecho al secreto de las comunicaciones, que hay que interpretar, como acabamos de señalar, de un modo amplio e incluir en su ámbito nuevos tipos de comunicación como es el ahora aludido.

La intimidad, en suma, “garantiza al individuo un poder jurídico sobre la información relativa a una persona o a su familia, pudiendo imponer a terceros, sean éstos simples particulares o poderes públicos, su voluntad de no dar a conocer dicha información o prohibiendo su difusión no consentida” (Sentencia del Tribunal Constitucional 134/1999, de 15 de julio).

5. Nuevas formas de agresión

Los avances técnicos han dado lugar a nuevas formas de agresión de la intimidad y de la vida privada, en un elenco que no está, ni mucho menos, cerrado y con una escala de gravedad diversa. Así, podemos citar:

• la entrada en el disco duro de un ordenador sin consentimiento

• la elaboración de perfiles del navegante (construidos en torno a su vida privada) con fines publicitarios u otros menos confesables

• la simple acumulación o registro de datos sin consentimiento

• la transferencia de datos sin consentimiento

• el empleo de una dirección IP asignada a otro ordenador

• la interceptación de mensajes de correo electrónico

• la suplantación de personalidad

• el hostigamiento electrónico

• el uso indebido de directorios de correo electrónico o listas de usuarios

Los perfiles de esas agresiones resultan en algún caso confusos, superponiéndose y conectándose. A veces el software que se emplea en tales actividades se crea de forma específica para ello. Estas agresiones, algunas de ellas fáciles de realizar, son potencialmente muy graves por la mundialización a la que pueden llegar. Si un aspecto de la vida privada de una persona es conocido por un pirata informático y lo mete en la red, en potencia una enorme cantidad de sujetos puede acceder a él desde cualquier parte del planeta habida cuenta la globalización de la información. El anonimato que es posible buscar en Internet, al que coadyuvan las dimensiones de la Red y las dosis de anarquía que en ella existen, favorece que se produzcan vulneraciones de los derechos que conciernen a la vida privada. Por lo tanto, muchos son los factores que complican tales agresiones. Esta situación ha tratado de ser retratada con afirmaciones que reflejan la peligrosidad de la misma, como la del vicepresidente de Microsoft, Nathan MYRHVOLD, que indica que en la Red no existen ni identidad, ni vida privada, ni propiedad.

Pero así como el mundo digital ha posibilitado estas nuevas agresiones, su tecnología también permite articular mecanismos de defensa, mecanismos impensables desde la tecnología analógica. No obstante, no cabe duda que el desarrollo hace que “cada día sea más difícil conservar intacto el ámbito de la propia vida privada” (FERNÁNDEZ ESTEBAN, María Luisa, Nuevas tecnologías, Internet y derechos fundamentales , McGraw-Hill, Madrid, 1998, p. 137).

El mundo de Internet incluso ha creado una jerga particular. Así, las vulneraciones que se producen a través de Internet del derecho a la intimidad han llevado a la aparición de palabras y expresiones para denominar, por ejemplo, a las personas que las llevan a cabo. De este modo, se habla en castellano de “pirata informático”, o en inglés de hacker (sujeto que se dedica a traspasar las barreras de seguridad de los equipos informáticos buscando errores o malas configuraciones sin ánimo de perjudicar) de cracker (sería la versión malvada del anterior al actuar con el fin de causar un perjuicio intentando acceder a un ordenador o a una red sin tener autorización para ello) y de phone phreaker (pirata especializado en compañías telefónicas). Los tribunales españoles ya han tenido que enfrentarse a algún caso sobre acceso ilegal a un sistema informático. El primero parece haber sido el de Hispahack, en donde se definió el fenómeno hacking como un intrusismo informático o interferencia o acceso no autorizado a un sistema informático. Frente a estas intenciones de acceso se interponen “cortafuegos”, o sea, mecanismos de seguridad que protegen los ficheros de ciertos servidores para impedir la incursión de personas no autorizadas. Los programas que se usan para atacar a los ordenadores se denominan “troyanos” (tratan de averiguar con engaños la contraseña de acceso), y los que recogen la información una vez dentro se les llama “gusanos”, que son programas que una vez introducidos en un sistema son capaces de reproducrise por sí solos. A su vez, un “sniffer” es un programa rastreador en busca de usuarios y contraseñas. Igualmente, se habla de galleta o “cookie” para aludir a los dispositivos que se colocan dentro de los ordenadores y que recaban datos del mismo y de su usuario sin que éste detecte que está siendo inspeccionado. Una “cookie” es un fichero, no un programa, que llega al ordenador al consultar una página web y que en principio no tiene malas intenciones sino que busca ser cooperativa al facilitar la navegación, aunque el uso que a veces se hace de ellas resulta, como indicaremos más abajo, inadmisible.

III. EL CORREO ELECTRÓNICO

El correo electrónico es uno de los más destacados avances de la era de la Sociedad de la Información originando algunas de las nuevas formas de agresión a la intimidad que hemos citado. Un fenómeno tan antiguo como la propia especie humana, el de la comunicación, se lleva a cabo a través de un soporte desconocido hasta hace bien poco: el mensaje se digitaliza para enviarse a velocidad luz por la red. De esta forma, se conectan dos ordenadores a través de un servidor. El correo electrónico origina unas necesidades de tratamiento jurídico igualmente novedosas, que poco a poco habrá que ir construyendo y sedimentando. Pero también exige que se tengan en cuenta una serie de cuestiones ya presentes en otros fenómenos comunicativos. En este sentido, hay que subrayar el derecho al secreto de las comunicaciones como proyección de la intimidad y privacidad del individuo. Detrás de él hay una fundamentación y una finalidad que no varían en función del soporte que se emplee para realizar el proceso comunicativo. El art. 18 de la Constitución española protege la comunicación frente a cualquier interceptación llevada a cabo por terceros ajenos (Sentencia del Tribunal Constitucional español 114/1984, de 29 de noviembre, FJ 7º), y la protege desde un punto de vista formal, es decir, independientemente de su contenido (Sentencias del mismo órgano 114/1984, de 29 de noviembre, FJ 7º; 34/1996, de 11 de marzo, FJ 4º; 127/1996, de 9 de julio, FJ 4º). El derecho al secreto de las comunicaciones no deja de ser un instrumento de garantía de la intimidad personal (otra vez Sentencia del Tribunal Constitucional español 34/1996), aunque también juega un importante papel en otros campos, como el de la defensa de la libertad de expresión.

Los mensajes de correo electrónico circulan por la red usando una serie de soportes técnicos, que en su mayor parte son privados. Es importante que los proveedores de servicios se comprometan a mantener la confidencialidad. La propia Ley española 11/1998, de 24 de abril, General de Telecomunicaciones impone el deber de secreto de las comunicaciones a “los operadores que presten servicios de telecomunicaciones al público o exploten redes de telecomunicaciones accesibles al público” (art. 49).

A la complejidad jurídica de las cuestiones ligadas, en general, al mundo digital y, en particular, al correo electrónico hay que sumar, desafortunadamente, un tratamiento en la práctica que en diversas ocasiones no es el más adecuado para la intimidad. El principio interpretativo favor libertatis , que lleva a escoger las soluciones que mejor maximicen los derechos fundamentales, semeja por momentos obviado. El tratamiento judicial que recibe esta problemática aún ofrece muchas dudas y, aunque todavía está en sus primeros momentos, la impresión no es del todo satisfactoria. Supongo que la atención pública respecto a este tipo de fenómenos irá creciendo y que los conflictos jurídicos en torno al correo electrónico se multiplicarán. En el ámbito laboral ya tenemos casos que han transcendido de manera importante a la opinión pública y a los medios de comunicación, como, por citar ahora sólo un ejemplo, los despidos disciplinarios por mal uso del correo electrónico en una conocida entidad bancaria y que fueron analizados por el Tribunal Superior de Justicia de Cataluña en su sentencia de 14 de noviembre de 2000. En ella se afirma que la utilización por parte del trabajador de “los medios informáticos con que cuenta la empresa, en gran número de ocasiones, para fines ajenos a los laborales” hacen procedente la reacción empresarial consistente en el despido disciplinario. El razonamiento llama, cuando menos, la atención dado que el tiempo de trabajo perdido efectivamente fue muy pequeño, por lo que el principio de proporcionalidad se resiente. No obstante, no entra de lleno en la problemática de la intervención del correo electrónico de un trabajador. Por otra parte, todavía parece que no hay líneas jurisprudenciales claras en este sentido, aunque necesariamente se tendrá que entrar de lleno en semejante tema.

Es sabido que el contrato de trabajo conlleva una facultad de control referida al cumplimiento de la obligación contratada. Esto se ha interpretado de una manera en exceso amplia de las facultades de ejercer el control por parte de la empresa. El empleador escoge el medio de control más apto para el logro de la finalidad perseguida. La facilidad con que los medios de comunicación de la empresa pueden ser objeto de un uso no acorde con el fin para el que se han establecido lleva a que se admitan sin apenas dificultad medidas de control con el propósito de comprobar tales extremos.

Pero una cosa es que se analicen los destinatarios de los correos electrónicos que envía un trabajador desde el puesto de trabajo y con los equipos del empleador para determinar el grado de relación de dichos correos con las labores de la empresa, y otra muy distinta es proceder a la apertura de tales correos para averiguar su contenido en concreto. Esto último semeja desproporcionado para el fin perseguido y, por lo tanto, contrario al principio de mínima intervención en las actuaciones restrictivas de derechos fundamentales. Afirmar el carácter limitado del derecho a la intimidad, que debe de recibir un tratamiento que lo haga compatible con otros derechos e intereses legítimos (lo que permitirá una adecuada disciplina del negocio jurídico en el que nos hallemos) no debe permitir pasar a un importante desconocimiento del mismo en una suerte de salto cualitativo de dudoso respeto con los principios constitucionales. Se trataría de una huida hacia delante en favor de los intereses del empleador sin preocuparse de las exigencias de la Carta Magna y de la autorización judicial.

Además, si se quiere ir más lejos, no hay que desconocer que los destinatarios también son un elemento englobado por el secreto de las comunicaciones y por la propia intimidad del sujeto que envía el mensaje, resultando, en este sentido, la titularidad de los medios empleados para la transmisión hasta cierto punto irrelevante. En todo caso, la intervención de las comunicaciones del trabajador debe centrarse en lo relevante para la finalidad empresarial del control (ver si son de naturaleza comercial o no –para lo cual puede ser más que suficiente conocer el destinatario-), debe ser un recurso que dure el tiempo estrictamente necesario para lograr el fin perseguido y, además, tiene que ser el último recurso, por lo que es necesario acudir antes a otros medios de fiscalización. Otra cosa es que medie consentimiento del trabajador, aunque en este punto a veces se alegan consentimientos que se reputan implícitos de una manera harto discutible. ¿El hecho de que el trabajador conozca la política empresarial de control de comunicaciones supone su autorización para proceder a la revelación de su contenido? Creemos que no, máxime cuando por lo general el control resulta en la práctica circunstancial y aleatorio.

IV. CRIPTOGRAFÍA FRENTE A INTERCEPTACIÓN

1. La criptografía como posibilidad

Como defensa frente a los peligros que suponen para la intimidad las redes informáticas muchas veces se aboga por la encriptación, que es un proceso de protección de datos mediante un cifrado de los mismos que evita una manipulación no deseada. Hoy por hoy la encriptación es el remedio por excelencia frente a las agresiones a la intimidad consistentes en la interceptación de los mensajes y datos enviados a través de la Red, aunque no sirve como respuesta frente a otros tipos de agresión. La seguridad del correo electrónico aumenta de manera importantísima aplicando métodos criptográficos. Estos métodos aportan confidencialidad (al evitar la interceptación o, mejor dicho, al hacer inútil el esfuerzo del pirata informático puesto que no comprende lo que intercepta), autenticidad (con el certificado digital) y fiabilidad para el contenido del mensaje (a través de la firma electrónica).

La encriptación se encuentra expresamente admitida en el art. 52 de la Ley General de Telecomunicaciones española de 1998. La Unión Europea también reconoce la utilidad de las técnicas criptográficas habiendo adoptado su Comisión el 8 de octubre de 1997 una Comunicación dirigida al Parlamento Europeo y al Consejo sobre “El fomento de la seguridad y la confianza en la comunicación electrónica. Hacia un marco europeo para la firma digital y el cifrado”.

2. Técnicas de cifrado

Las técnicas clásicas de cifrado de datos utilizaban una única clave secreta, generalmente construida restando una cantidad a los números que representan a las letras. El emisor aplicaba esta clave para cifrar el mensaje, que a continuación era enviado al receptor, el cual debía conocer dicha clave para proceder a su decodificación. Este sistema tenía la ventaja de la rapidez y la simpleza que suponía tener una única clave. En cambio, y como elemento negativo, era necesario un canal de transmisión realmente seguro puesto que una vez interceptado el mensaje no resultaba demasiado complicado descifrarlo.

En la actualidad se usa el llamado sistema de clave pública, en el cual existen dos claves, una pública y otra privada, que sirven tanto para codificar como para decodificar, pero no por sí solas sino que son necesarias las dos puesto que si una codifica la otra es imprescindible para decodificar el mensaje. La complementariedad de ambas se basa en una fórmula compleja que impide que del conocimiento de la clave pública se llegue a la clave privada. En la práctica la que se emplea para codificar es la clave pública, que es la que se conoce porque el que la posee (el destinatario) la remite a quien va a enviar información, y la que se utiliza para decodificar es la clave privada, que es la que permanece oculta. Las dos obran en poder de un mismo sujeto. Si alguien quiere enviarle algo cifrado a ese sujeto le solicita que le comunique su clave pública. Tras ello, el remitente codificará el mensaje con la clave pública del receptor. Éste utilizará la clave privada para decodificarlo. De esta forma, no es necesario que la clave privada salga del dominio del sujeto en cuestión, con lo que el riesgo de ser robada es mucho menor que el que existe en el antiguo sistema de única clave secreta, clave que forzosamente había de transmitirse por un conducto u otro al receptor para que procediera al descifrado. Así las cosas, el sistema de la doble clave no necesita un canal seguro para enviar la información puesto que si se intercepta el descifrado resulta extremadamente difícil, llegando a supuestos en los que en la práctica es inviable dado el tiempo que llevaría. En efecto, el punto de partida hoy recomendado para elaborar las claves son productos de más cien dígitos, con lo que se originan tales problemas de factorización que hacen inviable el proceso de descubrimiento de las claves, incluso para la todopoderosa NSA norteamericana. No obstante, es realmente posible descubrirla si se tienen medios, capacidad y, sobre todo, tiempo para ello (años quizá). Hace un tres años se recomendaban algoritmos de sesenta y cuatro dígitos que hubo que aumentar ante la mejora de los métodos de descifrado. En principio, los dígitos pueden aumentar sin fin si los de menor tamaño se vuelven inseguros, aunque la hipotética realización práctica de “computadoras cuánticas” puede reducir de manera considerable el tiempo de descifrado con lo que habría que replantearse de nuevo toda la cuestión.

Este sistema de doble clave aporta gran lentitud (se dice que es cien veces más lento que el sistema de única clave secreta). Esto hace que dicho sistema se suela utilizar para enviar una de las claves tradicionales, procediéndose, a continuación, al envío de la información cifrada con esta clave tradicional.

3. Criptografía y seguridad pública

La encriptación puede originar un choque de intereses entre la garantía de la privacidad y la seguridad pública, pues podría servir para tapar actividades delictivas y/o contrarias a los intereses del Estado. Por ello, en diversos países está prohibido el uso de programas de encriptación de mensajes de correo electrónico (como el gratuito que se consigue en Internet “Pretty Good Privacy”). Además, existen propuestas, que en alguno de los casos ya se han llevado a la práctica, dirigidas a que las autoridades públicas tengan medios para, cuando sea preciso, proceder al descifrado. Uno de esos medios es el depósito de las claves privadas (“mandatary key recovery system” o “key escrowed system”) que se usan en un lugar custodiado por un ente público. Así, por ejemplo, en Estados Unidos tenemos el proyecto Clipper que impulsa un chip seguro y un sistema de depósito de las claves secretas para que el poder público, llegado el caso, pueda proceder a “abrir” cada chip. Cada clave se divide en dos elementos, cada uno de los cuales se deposita en un órgano administrativo (las denominadas agencias depositarias) diferente para su custodia. Cuando se hace necesario descifrar una comunicación una autorización judicial permitirá juntar los dos elementos de la clave y, así, descifrar.

Estas propuestas originan la lógica reacción de las personas interesadas y defensoras del comercio electrónico y las que hacen prevalecer a toda costa la defensa de la privacidad, dando lugar a polémicas que tienen amplia repercusión en los medios de comunicación (como la que en 1998 enfrentó al presidente de Microsoft y al Gobierno de los Estados Unidos). La respuesta a esta dialéctica es ciertamente difícil y no vemos que sea posible situarse en una posición intermedia sino necesariamente en uno de los dos polos porque si se articula un sistema como el mencionado del depósito, que, llegado el caso, permita al ente estatal descifrar el mensaje o los datos, se hace prevalecer la idea de seguridad general, y si no se construye tal sistema lo que prevalecerá será la vida privada. En todo caso, nos inclinamos por la segunda opción. Un sistema de depósito puede hacer a la criptografía insegura, con lo que dejaría de tener sentido. Además, los criminales tratarán de emplear claves que nunca registrarán.

En España la opción parece ser el depósito pues el art. 52.2 de la ya citada Ley General de Telecomunicaciones posibilita “imponer la obligación de notificar bien a la Administración del Estado o a un organismo público los algoritmos o cualquier procedeimiento de cifrado utilizado”, y el art. 52.3 establece que los operadores de redes que “utilicen cualquier procedimiento de cifrado deberán facilitar a la Administración General del Estado, sin coste alguno para ésta y a los efectos de la oportuna inspección los aparatos decodificadores que empleen”. Estas previsiones podrían dar lugar a una eventual apertura del mensaje sin intervención judicial, lo que sería inconstitucional, aunque esta interpretación la estimamos ciertamente errónea, máxime cuando en el propio precepto se dice que todo ello se hará “de acuerdo con la normativa vigente”. La intervención de las comunicaciones sólo puede hacerse por autorización judicial, motivada y basada en la legalidad y proporcionalidad (Sentencias del Tribunal Constitucional 37/1989, de 15 de febrero, FJ 8º; 86/1995, de 6 de junio, FJ 3º; 49/1996, de 26 de marzo, FJ 3º).

4. Firma digital y certificado digital

Existen, además, otros problemas de importancia que afectan a la intimidad en Internet y que también se conectan con la encriptación. Aludimos a cuestiones tales como la firma digital y el certificado digital. Con la firma digital se persigue garantizar el contenido de un mensaje en el sentido de que el receptor sepa que el mensaje no ha sido alterado en la Red, es decir, asegurar su integridad. Para realizar una firma digital se aplica al resumen del contenido del documento o hash (una especie de “extracto digital” que se hace derivar del mensaje, del que se extrae por un algoritmo) la clave privada del emisor surgiendo, así, la firma digital, que se envía con el mensaje. Cada comunicación que se realice con un mensaje diferente tendrá su propia firma digital. El receptor, con la clave pública que usa el emisor, decodifica la firma digital y obtiene el hash , tras lo cual comprobará si dicho hash se deriva realmente del mensaje transmitido. Si así es, el mensaje será el que en verdad ha enviado el emisor. Si el mensaje se hubiera alterado en el camino el hash no se corresponderá con el contenido del mensaje, por lo que el receptor sabrá que se ha llevado a cabo tal alteración. La vinculación de la firma con los datos permite detectar las hipotéticas alteraciones de los mismos. Otra opción es que el emisor cifre el documento y su firma con la clave pública del destinatario, con lo que sólo éste, aplicando su clave privada, podrá acceder al mensaje. También se pueden combinar las claves pública y privada de emisor y receptor.

Con el certificado digital, en cambio, lo que se pretende es garantizar la identidad del origen, es decir, la autenticidad de los agentes implicados. Con él se sabrá quien es realmente el que hace la comunicación. Para obtener un certificado digital hay que acudir a una autoridad certificadora (por ejemplo, en España, la Fábrica Nacional de Moneda y Timbre, en virtud de la Ley de Medidas Fiscales, Administrativas y del Orden Social de 30 de diciembre de 1997) que, en función de las características y referencias del sujeto que quiere obtener el certificado digital, le asigna un número. A continuación, esa autoridad certificadora codifica este número con su clave privada, obteniéndose, de este modo, el certificado digital del sujeto que lo ha solicitado. En las comunicaciones este sujeto enviará dicho certificado digital. El destinatario utiliza la clave pública de la autoridad certificadora para decodificar el certificado y obtener los rasgos del emisor, que permiten corroborar que la comunicación procedía en realidad de ese determinado emisor.

V. OTRAS AGRESIONES

Las agresiones a la intimidad distintas de la interceptación de mensajes tienen, a veces, más difícil respuesta. Así, ante la elaboración de perfiles de los navegantes un usuario “medio”, o sea, no experto, poco puede hacer salvo acudir a un ordenador diferente al suyo. Un gran número de empresas tiene sumo interés en conocer los hábitos de navegación del internauta. La navegación por la Red origina un rastro perfectamente detectable, rastro que se traduce en ciertos datos que sirven de base para la construcción del perfil. A veces los datos que se extraen de los ordenadores personales son necesarios, como los datos técnicos que un suministrador obtiene del ordenador que le está solicitando bajar un programa y que son precisos para bajar dicho programa ajustado a una configuración determinada. En cambio, en la mayoría de las ocasiones la justificación no existe. Antes de la elaboración de perfiles pudieron haber actuado programas rastreadores o “sniffers” en busca de direcciones IP violables. Teniendo este dato se tiene localizado al usuario que será detectado cuando entre en una página web determinada, aunque la cosa se complica si la dirección IP que se usa es móvil y no fija. Igualmente, las ya comentadas “cookies” permiten recabar datos para construir los perfiles, del mismo modo que acceder a través del correo electrónico a boletines de información o a grupos de discusión. Si el internauta no adopta ninguna medida de bloqueo las “cookies” se irán almacenando en el directorio respectivo de su disco duro sin parar. Llegará un momento en que en dicho directorio existirá una información cabal de sus preferencias de navegación. Incluso hay sitios cuya publicidad correrá a cargo de centrales interactivas que con bastante probabilidad realizarán procesos de agregación de datos de los usuarios. Para enfrentarse a los problemas de las “cookies” de nuevo resulta en algún caso de suma utilidad acudir al cifrado y a las firmas encriptadas. Aunque una ayuda más cómoda y muy efectiva es usar programas que bloquean la entrada de “cookies” en el ordenador, además de avisar cuando se producen intentos de seguimiento de rastros de navegación. Hablamos, por ejemplo, del gratuito IDcide Privacy Companion. El internauta, de esta forma, puede tomar diversas precauciones con base en la información que proporcionan cierto tipo de programas que le transmiten las huellas electrónicas que va dejando su navegación. Igualmente, para enfrentarse a estas agresiones el usuario puede emplear el anonimato (o un seudónimo).

Otra forma de realizar un perfil de una persona es averiguar su dirección de correo electrónico, que por si sola proporciona datos como el de la empresa o institución en la que trabaja o la de su país. Incluso, puede ofrecer datos sobre el nombre o apellido de esa persona. El perfil puede ir mucho más allá cuando se analizan los usuarios que pertenecen a uno o a otro grupo de discusión o, incluso, por las visitas a los chats.

Igualmente, los datos de conexión, que recaban los proveedores de acceso, son también útiles para estos fines pues ofrecen datos del emisor y destinatario, fechas y horas, el uso concreto de la red (página web, correo), etc.

Por su parte, las entradas al disco duro se llevan a cabo con programas denominados en la jerga al uso “troyanos” y “gusanos”, también aludidos más arriba y que se ven precedidos por la actuación de un “sniffer”. En estas entradas, que quizá sean la agresión más importante en una escala de gravedad a pesar del escaso eco que tuvieron en la Comisión, son muchas las variables que influyen facilitándolas o entorpeciéndolas. Los medios de prevención pueden ser contraseñas y códigos de acceso cuya eficacia dependerá del grado de conocimientos, del tiempo y de los medios a disposición del intruso, y también de lo precavido y de los conocimientos informáticos del titular del ordenador agredido. De igual manera, el sistema operativo del ordenador atacado también influye pues no es lo mismo la seguridad de un UNIX o de un Windows NT que la seguridad (o inseguridad más bien) de un Windows 95 o 98. En todo caso, las entradas al disco duro tienen que hacerse desde la red local en la que se halla el ordenador atacado. Igualmente, se hace necesario recordar que los avances futuros pueden cambiar la fisonomía de este tipo de agresión ya que el disco duro quizá desaparezca para ser sustituido por una memoria “viva” en la Red.

La suplantación de personalidad es un fenómeno que se puede dar con relativa facilidad en la Red, viéndose agredida la intimidad del suplantado por el simple hecho de suplantarla aunque no se persiga nada perjudicial. Esto ocurre cuando se envía un correo electrónico usando la cuenta de un tercero o cuando se usa la dirección IP que tiene asignado otro ordenador.

Asimismo, otro de los problemas que están a la orden del día es la posibilidad de captar datos sin consentimiento del afectado, datos que pueden ser objeto de tratamiento automatizado para configurar los citados perfiles personales vinculados a una dirección electrónica.

De igual forma, no hay que olvidarse de que los datos personales no son sólo acumulados y registrados sino que también se procede a su transferencia , que puede ser incluso vente, entre empresas sin autorización de los afectados. Este es otro problema grave que ocurre con demasiada habitualidad (las empresas norteamericanas DoubleClick y Yahoo están siendo investigadas por tales hechos). Empresas de publicidad y de marketing directo cruzan en más ocasiones de las que se supone sus bases de datos personales construidas gracias a los perfiles de navegación que elaboran. Del mismo modo, esas empresas realizan en ocasiones un uso indebido de los directorios de correo electrónico y/o de las listas de usuario .

En España tiene una creciente importancia el acceso no autorizado a sistemas informáticos, la alteración de los mismos, el apoderamiento de ficheros, la interceptación ilegal de correo electrónico y el intrusismo informático, que pueden entrar dentro del tipo penal de descubrimiento y revelación de secretos. Los medios informáticos y tecnológicos, incluida la encriptación, son cada vez más habituales en la delincuencia organizada, manifestándose esta tendencia también en actividades terroristas. VI. MEDIOS DE PROTECCIÓN Y PODER PÚBLICO

La Recomendación que el Comité de Ministros de la Unión Europea dictó el 19 de febrero de 1999 para proteger la intimidad de los usuarios de Internet aconseja que se usen todos los medios disponibles de protección, como la criptografía, los códigos de acceso al ordenador personal, programas que informen de las huellas electrónicas que un navegante deja como rastro, dar preferencia a los dominios que acumulen pocos datos o a los que se pueda acceder anónimamente, buscar medios técnicos que proporcionen el anonimato, si éste no es posible emplear un seudónimo, dar al servidor sólo los datos estrictamente necesarios, o preguntar al servidor qué datos obtiene y con qué finalidad. Está claro que de las garantías de seguridad que ofrezcan las entidades presentes en la Red dependerá en gran parte la fiabilidad en las relaciones que implican intercambio de datos.

Los poderes públicos, como consecuencia de la cualidad de garantes que se les predica, deben llevar a cabo campañas de información para que los ciudadanos conozcan las opciones técnicas de seguridad informática y promover que los productos de hardware y de software para Internet faciliten a los usuarios información sobre los datos que pretenden almacenar o transmitir y con qué finalidad lo harían. Esto sería un paso importante habida cuenta la parcial analfabetización digital todavía existente en España, aunque inicialmente poco podría hacerse frente a ciertas agresiones, como los intentos camuflados de acceso no consentido a los datos personales y de interceptación no detectada de las comunicaciones. En un momento posterior, cuando la concienciación de los usuarios ya los haya convertido en precavidos, la labor de los agresores de la intimidad se vería obstaculizada hasta el punto de ser desaconsejable. No obstante, estas afirmaciones hay que recubrirlas con dosis de relatividad dadas las diversas variables que intervienen en esta cuestión, teniendo en cuenta, sobre todo, que los hipotéticos avances futuros en el campo de la informática y de la matemática, ahora desconocidos, podrían convertir en mucho más vulnerables las medidas de protección existentes. En España ya se han publicado en fechas recientes estudios que revelan la inseguridad de un altísimo porcentaje de páginas dedicadas, por ejemplo, al comercio electrónico.

En este orden de cosas, sería conveniente arrojar luz sobre los mecanismos que estarían autorizados para proceder a la interceptación y recogida de comunicaciones y datos personales que sólo podrá hacerse con autorización judicial, cosa que no siempre sucede en el Derecho Comparado y que incluso, como ya vimos más arriba, nuestra Ley General de Telecomunicaciones parece obviar. La interpretación de los medios lícitos para tales operaciones y de los supuestos en los que procedería debe ser restrictiva como exigencia del principio de mayor valor de los derechos.

Las medidas de índole normativa que puedan impulsar los poderes públicos pueden resultar ineficaces por la mundialización de la red. Como indica MUÑOZ MACHADO “el problema, en este punto, vuelve a ser universal porque nada se resolvería con aplicaciones locales que no fueran secundadas en todos los puntos en que se pueden conectar servicios a la red universal” (MUÑOZ MACHADO, Santiago, La regulación de la Red , Taurus, Madrid, 2000, p. 175). Por ello, se impone una complicada coordinación a nivel internacional. La Unión Europea ha buscado armonizar las legislaciones de los países miembros en el tema de la protección de datos. Se busca un nivel de protección similar en los distintos estados. Para ello se han dictado las dos directivas citadas anteriormente (la 95/46/CE y la 97/66/CE). Con ellas se trata no sólo de proteger la intimidad sino también de crear un marco de protección común que facilite el mercado ya que se entiende que las diferencias de protección serían un obstáculo en ese sentido y falsearían la competencia. Estas directivas han sido incorporadas por la también citada Ley Orgánica de Protección de Datos de Carácter Personal de 1999.



Pero los intentos unificadores en Europa no son suficientes ya que la Red es mundial. Por eso se han buscado, también para la transferencia de datos, acuerdos con Estados Unidos con el fin de garantizar un estándar de protección adecuado. Son los que se han venido en llamar “principios de puerto seguro”. A diferencia de lo que sucede en Europa la tradición estadounidense en este sentido descansa sobre la autorregulación. Por ello, a lo que se comprometen las autoridades estadounidenses es a elaborar una lista de empresas que cumplen con los requisitos de seguridad establecidos al efecto. Las empresas autocertifican anualmente el cumplimiento de tales medidas, lo que origina el riesgo de que a esas empresas se les transmitan datos desde Europa porque alegan cumplir los requisitos cuando en realidad no los cumplen tal y como se refleja en una verificación a posteriori .





VIII. REFLEXIONES FINALES


Es innegable la enorme trascendencia que el fenómeno de Internet tiene y, sobre todo, va a tener en el futuro. Pero aún queda mucho camino que recorrer en la construcción de una adecuada respuesta jurídica a los desafíos del correo electrónico, una respuesta que debe venir desde diversos campos y niveles. Puede resulta útil una reubicación y redifinición de ciertos conceptos, como el propio de intimidad y/o privacidad, aunque este nuevo análisis conceptual se debe articular para perfeccionar su defensa y no para proclamar su inexistencia en la Red. Además, hay que tener presentes unos principios programáticos y políticos, entre los que aparece con nitidez la necesidad de garantizar el acceso de todos los ciudadanos a la Red, que se logrará con el concurso de variables económicas, culturales, técnicas, sociales y jurídicas. Los poderes públicos están llamados a jugar un papel esencial en esta labor de universalización del acceso, que debe verse acompañada por dosis de calidad que jueguen a favor de la conectividad y de la capacidad de proceso. La antes citada Comisión Especial del Senado Español sobre redes informáticas, en las conclusiones de su Informe, califica la universalización del acceso como “una necesidad, un servicio y un derecho que los poderes públicos deben garantizar, auspiciar y proteger”, por lo que es obligación del legislador español “diseñar los mecanismos para poner al servicio de la inmensa mayoría de los ciudadanos y ciudadanas las ventajas, los avances y los progresos que las nuevas tecnologías de la información ofrecen” ( Boletín Oficial de las Cortes Generales , núm. 812, 27 de diciembre de 1999, pp. 45 y 46).

La realidad actual nos ofrece una especial vulnerabilidad en Internet de la intimidad y de la vida privada, lo cual se conecta con el gran aumento de la inseguridad informática en la Red. En la práctica parece particularmente útil el propósito de fomentar la divulgación entre los usuarios y ciudadanos de las medidas de seguridad existentes para la protección de la intimidad. Serían medidas de precaución, “camuflaje” y encriptación que, dadas las dificultades para superarlas si están bien construidas, garantizarían una seguridad muy importante ante algunos de los tipos de ataques que sufre la intimidad. Tales campañas de divulgación hay que conectarlas con los encargos constitucionales de promoción de las condiciones para que la libertad y la igualdad sean reales y efectivas, y de remoción de los obstáculos que impidan o dificulten su plenitud (art. 9.2 Const.), y con la búsqueda de la igualdad de oportunidades y de acceso a los bienes de la información (art. 19 de la Declaración Universal de Derechos Humanos). Hay que tratar no sólo que no exista una fractura social entre los que acceden a la información y los que no, procurando que éstos entren en el grupo de aquéllos, sino también que la capacidad de garantizar la intimidad no sea cosa de pocos. En este orden de cosas, la educación es un factor a tener muy en cuenta, educación que tiene que abarcar todas las edades en un proceso continuo de actualización, que, aunque a algunos les suene a utópico, hay que considerar posible si se construye con la corrección necesaria. De poco sirve contar con poderosos medios de protección si son infrautilizados por desconocimiento. Además, la adecuada percepción de los problemas señalados en este trabajo hará más eficaces los principios éticos que desde diversas instancias se quieren introducir en Internet. España parece haber sido el primer país de la Unión Europea que elabora, en el seno de la Asociación Española de Comercio Electrónico, un código ético de protección de datos, en cuya difusión también están involucradas asociaciones de consumidores y la Asociación de Autocontrol de la Publicidad. La Agencia de Protección de Datos tiene especial interés en medidas de este tipo.

En definitiva, y como se está viendo, los problemas actuales del fantástico fenómeno de Internet son muchos. Y no sólo eso sino que con toda seguridad seguirán apareciendo en el futuro nuevas y controvertidas cuestiones. Ante ello resulta necesario afrontar los desafiantes aspectos que presenta, no soslayarlos. La construcción de un sistema jurídico que dé eficaz y justa respuesta a la compleja realidad actual exige asumir nuevos retos. Uno de estos retos es, sin duda, Internet. El ordenamiento jurídico aún tiene mucho que decir, y de manera ineluctable en el terreno de los derechos fundamentales, clave de bóveda del Estado de Derecho.