STS 25-06-2024 Y ARTÍCULO 8 DEL CEDH (DOCTRINA DEL TEDH (y III))

 

Las consideraciones previas sobre el acceso a las comunicaciones electrónicas y los datos contenidos en las mismas (STS 25-06-2024, (II)) resultan avaladas por la doctrina del TEDH referida al artículo 8 del CEDH y aplicable a los mismos derechos protegidos por la Carta de los Derechos Fundamentales de la Unión Europea (artículo 52.3):

543. Technologies also come within the scope of Article 8, in particular data from a smart phone/lap top and/or the mirror image copy of it (Saber v. Norway, 2020, § 48; Särgava v. Estonia, 2021), electronic messages (emails) (Copland v. the United Kingdom, 2007, § 41; Bărbulescu v. Romania [GC], 2017, § 72; Tena Arregui v. Spain, 2024, § 31; for emails exchanged with correspondents on a casual dating site, see M.P. v. Portugal, 2021, § 34), Internet use (Bărbulescu v. Romania [GC], 2017, § 81 andCopland v. the United Kingdom, 2007, §§ 41-42), and data stored on computer servers (Wieser and Bicos Beteiligungen GmbH v. Austria, 2007, § 45), including hard drives (Petri Sallinen and Others v. Finland, 2005, § 71) and floppy disks (Iliya Stefanov v. Bulgaria, 2008, § 42).

 546. All forms of censorship, interception, monitoring, seizure and other hindrances come within the scope of Article 8 (Potoczka and Adamco v. Slovakia, 2023, § 69). The mail and other communications of legal entities are covered by the notion of “correspondence”. Impeding someone from even initiating correspondence constitutes the most far reaching form of “interference” with the exercise of the “right to respect for correspondence” (Golder v. the United Kingdom, 1975, § 43).
 

547. Other forms of interference with the right to respect for “correspondence” may include the following acts attributable to the public authorities:

 screening of correspondence (Campbell v. the United Kingdom, 1992, § 33), the making of copies (Foxley v. the United Kingdom, 2000, § 30) or the deletion of certain passages (Pfeifer and Plankl v. Austria, 1992, § 43);

 interception by various means and recording of personal or business related conversations (Amann v. Switzerland [GC], 2000, § 45), for example by means of telephone tapping (Malone v. the United Kingdom, 1984, § 64, and, as regards metering, §§ 83-84, AzerAhmadov v. Azerbaijan, 2021, § 62; see also P.G. and J.H. v. the United Kingdom, 2001, § 42), even when carried out on the line of a third party (Lambert v. France, 1998, § 21; Potoczka and Adamco v. Slovakia, 2023, and also for the individual not concerned by the criminal proceedings, §§ 1, 46-51);

 copying the full content of the hard drive of the applicant’s laptop on to an external hard drive, the mirror-image copy (Särgava v. Estonia, 2021), or the seizure of a smart phone and the search of its mirror image copy (Saber v. Norway, 2020, § 48);

 storage of intercepted data concerning telephone, email and Internet use (Copland v. the United Kingdom, 2007, § 44). The mere fact that such data may be obtained legitimately, for example from telephone bills, is no bar to finding an “interference”; the fact that the information has not been disclosed to third parties or used in disciplinary or other proceedings against the person concerned is likewise immaterial (ibid., § 43);

556. The Court has emphasised the importance of the relevant international instruments in this field, including the European Prison Rules (Nusret Kaya and Others v. Turkey, 2014, §§ 26-28 and 55).

(Directive (EU) 2018/1972 of the European Parliament and of the Council of 11 December 2018 establishing the European Electronic Communications Code)

Lawyers’ correspondence

614. Correspondence between a lawyer and his or her client, whatever its purpose, is protected under Article 8 of the Convention, such protection being enhanced as far as confidentiality is concerned (Michaud v. France, 2012, §§ 117-119). This is justified by the fact that lawyers are assigned afundamental role in a democratic society, that of defending litigants. The content of the documents intercepted is immaterial (Laurent v. France, 2018, § 47). Professional secrecy is “the basis of the relationship of confidence between lawyer and client” (ibid.) and any risk of impingement on it may have repercussions on the proper administration of justice, and hence on the rights guaranteed byArticle 6 of the Convention (Niemietz v. Germany, 1992, § 37; Wieser and Bicos Beteiligungen GmbHv. Austria, 2007, § 65). Indirectly but necessarily dependent on the principle of professional secrecy is the right of everyone to a fair trial, including the right of anyone "charged with a criminal offence” not to incriminate themselves (Michaud v. France, 2012, § 118). While lawyer-client communications may  concern matters which have little or nothing to do with litigation, there is no reason to distinguish between them, since they all concern matters of a private and confidential character; as a result, even though the conversation accidentally intercepted between the applicant and his client, did not consist, strictly speaking, of legal advice, the applicant was still entitled to the strengthened protection of lawyer-client communications (Vasil Vasilev v. Bulgaria, 2021, § 90). See also as regards an exchange between the applicant’s lawyer and a third party (Falzarano v. Italy (dec.), 2021, §§ 5, 24, 32-34).

 617. The term “correspondence” is construed broadly (see for instance, Klaus Müller v. Germany,2020, §§ 37-41 as concerns general business exchanges between a lawyer and the representatives of his law firm’s clients). It also covers lawyers’ written files (Niemietz v. Germany, 1992, §§ 32-33;Roemen and Schmit v. Luxembourg, 2003, § 65), computer hard drives (Petri Sallinen and Othersv. Finland, 2005, § 71), electronic data (Wieser and Bicos Beteiligungen GmbH v. Austria, 2007, §§ 66-68; Robathin v. Austria, 2012, § 39), USB keys (Kırdök and Others v. Turkey, 2019, § 32), computer files and email accounts (Vinci Construction and GTM Génie Civil et Services v. France, 2015, § 69) and a folded piece of paper on which a lawyer had written a message and handed it to his clients (Laurentv. France, 2018, § 36). It also concerns correspondence between an applicant and his lawyers contained in the applicant’s own device (Saber v. Norway, 2020, § 52; see also Versini-Campinchi and Crasnianski v. France, 2016).

 625. In Särgava v. Estonia, 2021, the Court elaborated on the question of sifting and separating privileged and non-privileged files, on mirror-image copy of content, and on the search of the content on the basis of a keyword-based search (§§ 99-109). Against the background of a scarce legislative framework, the Court found that the practical relevance as a safeguard of the presence of the lawyerconcerned or another lawyer during the search – or even during the actual examination of the copied content of data carriers – had been of limited effect.

( 99.  While the question of sifting and separating privileged and non-privileged files is undoubtedly important in the context of hard copy material, it becomes even more relevant in a situation where the privileged content is part of larger batches of digitally stored data. In such a situation, even if the lawyer concerned or his representative is present at the search site, it might prove difficult to distinguish swiftly during the search which exact electronic files are covered by legal professional privilege and which are not.

100.  The question of how to carry out sufficiently targeted sifting is equally pertinent in circumstances where under domestic law or practice such sifting is not carried out at the site of the search, but the data carriers are instead seized in their entirety and/or a mirror-image copy of their content is made. In that regard, the Court is prepared to accept the Government’s argument that making a mirror-image copy can been seen as a procedural guarantee against any possible manipulation of the content of those data carriers (see Wolland, cited above, § 76; compare and contrast Iliya Stefanov v. Bulgaria, no. 65755/01, § 42, 22 May 2008, and Kolesnichenko v. Russia, no. 19856/04, § 43, 9 April 2009). Such a practice would, moreover, allow the authorities to return the seized data carriers relatively promptly to their owners and – should the owners be lawyers or law firms – avoid their work from being unduly inhibited for longer than is absolutely necessary.

101.  The Court emphasises that the lawyer’s obligation under the domestic law (see paragraphs 41-43 above) to separate data carriers used in the provision of legal services and the obligation to use clearly marked catalogue structures for clients’ files – if properly followed – would contribute considerably to carrying out the sifting task.

102.  The Court draws attention to the fact that in addition to safeguards addressing the seizure of data carriers and/or copying of their content as well as the sifting of digitally stored data, it is also important to prevent unwarranted and unrecorded access to the data carriers and/or processing of the data from the moment that it is seized until it is either returned or destroyed in due course.

103. Turning to the circumstances of the instant case, the Court observes that the domestic law does not seem to contain any specific procedure or safeguards to address the examination of electronic data carriers and prevent communication covered by legal professional privilege from being compromised. The Court considers that this lack of a practical procedural scheme and safeguards is, to a lesser or greater extent, also reflected in how, in the instant case, the search was authorised and how the subsequent copying of the seized data carriers and the examination of their content was carried out.

104.  In the case of the applicant, the search warrant issued by the preliminary investigation judge made no provision for safeguarding the possible privileged material protected by professional secrecy (compare Kruglov and Others v. Russia, nos. 11264/04 and 15 others, §§ 128-29, 4 February 2020; Iliya Stefanov, cited above, § 41; and Smirnov v. Russia, no. 71362/01, § 46, 7 June 2007). This was the situation despite the fact that the State Prosecutor’s application for a search warrant had specifically included reference to the possibility that the applicant might be in possession of information related to his professional activities as a lawyer but that would not be of relevance in the context of the ongoing criminal proceedings (see paragraph 9 above).

105.  Although the applicant was later assured that the search of the content of his laptop and mobile telephone would take place on the basis of keywords – and such a search was indeed carried out – this obligation did not seem to derive from domestic legislation. Accordingly, the keyword-based search was not envisaged in the State Prosecutor’s application for authorisation of a search, nor was such an obligation mentioned by the preliminary investigation judge in the search warrants (compare Sérvulo & Associados - Sociedade de Advogados, RL and Others v. Portugal, no. 27013/10, 3 September 2015).

106.  Rather, it appears that the decision of whether to conduct a keyword-based search (or use any other method of sifting) as well as the choice of relevant keywords was left entirely up to the investigative authorities. At this juncture, the Court observes that some of the keywords used for the search (such as “financial year” or “credit line”) were notably broad in scope. The Court has already found above that the domestic law did not grant the applicant any right to be present during the keyword-based search (see paragraph 68 above).

107.  In any event, it remains unclear from the domestic law how any potential disputes between the investigative authorities and the lawyer concerned over the keywords to be used or any other methods of filtering the electronic content would be resolved. Indeed, the domestic law does not seem to have any specific rules about the procedure to be followed in the event that either the lawyer or his representative objects to the seizure or content examination with reference to lawyer-client confidentiality (compare, for example, Robathin v. Austria, no. 30457/06, § 50, 3 July 2012; Wieser and Bicos Beteiligungen GmbH v. Austria, no. 74336/01, §§ 60 and 62, ECHR 2007‑IV; and André and Another, cited above, § 44). The Court notes that the domestic law provides for the possibility to lodge an appeal against investigative activities. However, it does not appear to follow from the domestic law that material in respect of which the applicability of legal professional privilege is disputed would not be made available to the investigative authorities before the domestic courts have had a chance to conduct a specific and detailed analysis of the matter, and – if necessary – order the return or destruction of seized data carriers and/or their copied content (compare Kırdök and Others v. Turkey, no. 14704/12, § 51, 3 December 2019; Vinci Construction and GTM Génie Civil et Services v. France, nos. 63629/10 and 60567/10, § 79, 2 April 2015).

108.  Against the background of a scarce legislative framework, the Court finds that the practical relevance as a safeguard of the presence of the lawyer concerned or another lawyer during the search – or even during the actual examination of the copied content of data carriers – is of limited effect.

109.  Although the domestic legislation lacked the appropriate procedural safeguards in order to protect data covered by legal professional privilege, the Court has no basis on which to decide whether or not lawyer-client confidentiality was actually compromised in the case at hand. In the Court’s view, however, the lack of procedural guarantees relating specifically to the protection of legal professional privilege already fell short of the requirements flowing from the criterion that the interference must be in accordance with the law within the meaning of Article 8 § 2 of the Convention (see Saber, cited above, § 57). Having drawn that conclusion, it is not necessary for the Court to review compliance with the other requirements under that provision.

110.  In the light of the above, the Court finds that there has been a violation of Article 8 of the Convention.)

STS 25-06-2024: DATOS FISCALES Y ACCESO A COMUNICACIONES ELECTRÓNICAS (II)

 

La doctrina reproducida por la STS de 25-06-2024 en lo que se refiere al acceso a las comunicaciones electrónicas de los contribuyentes en el ámbito de la comprobación inspectora tiene una gran trascendencia:

 C) Sobre el secreto de las comunicaciones.

Tanto el Abogado del Estado como el Ministerio Fiscal ponen de manifiesto que los hechos constatados no muestran la injerencia en las comunicaciones de la empresa --a cuyo secreto también tiene derecho-- sino el acceso por la Inspección de los Tributos a su documentación. En particular, el Ministerio Fiscal insiste en que el artículo 18.3 de la Constitución protege el proceso de comunicación mientras se produce y deja de operar respecto de los documentos en que se plasma una vez terminada, con la única salvedad de los correos electrónicos que no se hubieran abierto.

Ahora bien, no hay constancia de que entre los descargados y copiados figurara alguno o algunos no leídos y, en cambio, sí la hay de que la autorización del Delegado Especial los incluía, al igual que los incluye el artículo 142.1 de la Ley General Tributaria. Tienen razón el Abogado del Estado, el Ministerio Fiscal y la sentencia de instancia: los hechos acreditados indican que no hubo en la actuación inspectora intromisión en las comunicaciones, de modo que no cabe reprochar a esta última la vulneración del derecho fundamental al secreto de las mismas por haber corroborado su conformidad al ordenamiento jurídico. En este punto, es significativo que el representante de la sociedad no hiciera ninguna salvedad o protesta ni advirtiera de que en el ordenador y en su servidor hubiera otra información que no fuera relevante tributariamente

(...)

En consecuencia, sin perjuicio de que el acceso a servidores, bases de datos informatizadas, programas, registros, archivos informáticos o correos electrónicos, aún alojados en la "Nube", no sea una intervención de las comunicaciones que precise de una autorización judicial, independiente y específica, a los efectos del art. 18.3 CE

[...]"

En cualquier caso, cabe traer a colación la sentencia del Tribunal Constitucional 70/2002, de 3 de abril, "BOE" núm. 99 de 25 de abril de 2002, que consideró que "la protección del derecho al secreto de las comunicaciones alcanza al proceso de comunicación mismo, pero finalizado el proceso en que la comunicación consiste, la protección constitucional de lo recibido se realiza en su caso a través de las normas que tutelan la intimidad u otros derechos".

(...)

 No cabe afirmar lesión de la garantía del secreto de las comunicaciones que plantea el escrito de interposición, sin incidir en la circunstancia de que se hubieran interceptado comunicaciones en curso o accedido a correos aún no abierto o leídos, desconociendo, por lo demás, que la referida sentencia (Sección Cuarta) 795/2023 de14 de junio, rca. 6104/2022, ya proclamó que el acceso a correos electrónicos almacenados en el ordenador de la empresa y en su servidor no lesiona el derecho al secreto de las comunicaciones en el curso de una actuación de inspección que se lleva a cabo en el domicilio constitucionalmente protegido de la empresa, cuando la entrada a dicho lugar haya sido autorizada por su titular (o, como acontece aquí, por decisión judicial).

Las definiciones de las "redes de comunicaciones electrónicas" y de las "comunicaciones electrónicas" realizadas sobre las mismas contenidas en la  Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo, de 11 de diciembre de 2018, por la que se establece el Código Europeo de las Comunicaciones Electrónicas (versión refundida)Texto pertinente a efectos del EEE:

Artículo 2

Definiciones

A los efectos de la presente Directiva, se entenderá por:

1)

«red de comunicaciones electrónicas»: los sistemas de transmisión, se basen o no en una infraestructura permanente o en una capacidad de administración centralizada, y, cuando proceda, los equipos de conmutación o encaminamiento y demás recursos, incluidos los elementos de red que no son activos, que permitan el transporte de señales mediante cables, ondas hertzianas, medios ópticos u otros medios electromagnéticos con inclusión de las redes de satélites, redes fijas (de conmutación de circuitos y de paquetes, incluido internet) y móviles, sistemas de tendido eléctrico, en la medida en que se utilicen para la transmisión de señales, redes utilizadas para la radiodifusión sonora y televisiva y redes de televisión por cable, con independencia del tipo de información transportada;

2)

3)

4)

«servicio de comunicaciones electrónicas»: el prestado por lo general a cambio de una remuneración a través de redes de comunicaciones electrónicas, que incluye, con la excepción de los servicios que suministren contenidos transmitidos mediante redes y servicios de comunicaciones electrónicas o ejerzan control editorial sobre ellos, los siguientes tipos de servicios: a) el «servicio de acceso a internet», entendido según la definición del punto 2) del párrafo segundo del artículo 2 del Reglamento (UE) 2015/2120; b) el «servicio de comunicaciones interpersonales», y c) servicios consistentes, en su totalidad o principalmente, en el transporte de señales, como son los servicios de transmisión utilizados para la prestación de servicios máquina a máquina y para la radiodifusión;

5)

«servicio de comunicaciones interpersonales»: el prestado por lo general a cambio de una remuneración que permite un intercambio de información directo, interpersonal e interactivo a través de redes de comunicaciones electrónicas entre un número finito de personas, en el que el iniciador de la comunicación o participante en ella determina el receptor o receptores y no incluye servicios que permiten la comunicación interpersonal e interactiva como una mera posibilidad secundaria que va intrínsecamente unida a otro servicio;

6)

7)

8)

«red pública de comunicaciones electrónicas»: una red de comunicaciones electrónicas que se utiliza, en su totalidad o principalmente, para la prestación de servicios de comunicaciones electrónicas disponibles para el público y que soporta la transferencia de información entre puntos de terminación de la red;

9)

«punto de terminación de la red»: el punto físico en el que el usuario final accede a una red pública de comunicaciones electrónicas; y cuando se trate de redes en las que se produzcan operaciones de conmutación o encaminamiento, el punto de terminación de la red estará identificado mediante una dirección de red específica, la cual podrá estar vinculada a un número o a un nombre de usuario final;

10)

11)

12)

13)	«usuario»: una persona física o jurídica que utiliza o solicita un servicio de comunicaciones electrónicas disponible para el público;

14)	«usuario final»: el usuario que no suministra redes públicas de comunicaciones electrónicas o servicios de comunicaciones electrónicas disponibles para el público;

15)

16)

17)

18)

19)

20)

21)

«seguridad» de las redes o servicios: la capacidad de las redes y servicios de comunicaciones electrónicas de resistir, con un determinado nivel de confianza, cualquier acción que comprometa la disponibilidad, autenticidad, integridad y confidencialidad de dichas redes y servicios, de los datos almacenados, procesados o transmitidos y la seguridad de los servicios conexos que dichas redes y servicios de comunicaciones electrónicas ofrecen o hacen accesibles;

22)

23)

24)

25)

26)

27)

28)

29)

30)

31)

32)

33)

34)

35)

36)

37)

38)

39)

40)

41)	«equipo terminal»: un equipo terminal tal como se define en el artículo 1, punto 1, de la Directiva 2008/63/CE de la Comisión (43);

42)	«incidente de seguridad»: un hecho que tenga efectos adversos reales en la seguridad de las redes o servicios de comunicaciones electrónicas."

Con arreglo a las anteriores definiciones, en nuestra opinión y a diferencia de lo que sostienen el Ministerio Fiscal y las sentencias citadas por la de 25-06-2024 (especialmente la STC 70/2002), el secreto de las comunicaciones electrónicas no concluye con la "apertura" de las mismas sino que incluye, en el punto de terminación de la red para el usuario final, sin limitación alguna, "cualquier acción que comprometa la disponibilidad, autenticidad, integridad y confidencialidad de dichas redes y servicios, de los datos almacenados, procesados o transmitidos y la seguridad de los servicios conexos que dichas redes y servicios de comunicaciones electrónicas ofrecen o hacen accesibles"

El ámbito de los derechos reconocidos por los artículos 7 y 8 de la CDFUE y por el artículo 18.3 de la CE comprende la confidencialidad antes, durante y después del acceso a la comunicación electrónica y el acceso posterior a la misma está constitucional y legalmente protegido con la misma intensidad antes, durante y después de la comunicación, en el punto de terminación de la red para el usuario final. 

Por ello, en nuestra opinión, su acceso solo podría autorizarse judicialmente de forma excepcional, debidamente motivada, y no por razones meramente ligadas a una comprobación tributaria ordinaria del usuario final de la red de comunicaciones electrónicas.

La doctrina de la STS y del TC aquí consideradas parten del supuesto contrario, una vez la comunicación electrónica  se ha producido, y ello sería contrario, en nuestra opinión, a la regulación del Derecho de la Unión.

La citada regulación está, además, expresamente garantizada por el artículo 100 del CECE:

Artículo 100 

Salvaguardias de derechos fundamentales 

1. Las medidas nacionales relativas al acceso o al uso por parte de los usuarios finales de los servicios y las aplicaciones a través de redes de comunicaciones electrónicas respetarán la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta») y los principios generales del Derecho de la Unión. 

 2. Cualquier medida relativa al acceso o al uso por parte de los usuarios finales de los servicios y las aplicaciones a través de redes de comunicaciones electrónicas, que sea susceptible de limitar el ejercicio de los derechos y libertades reconocidos en la Carta solo podrá imponerse si está prevista por ley y respeta tales derechos o libertades, es proporcionada, necesaria, y responde efectivamente a objetivos de interés general reconocidos por el Derecho de la Unión o a la necesidad de protección de los derechos y libertades de los demás en línea con el artículo 52, apartado 1, de la Carta y con los principios generales del Derecho de la Unión, que incluyen el derecho a la tutela judicial efectiva y a un juicio justo. Por lo tanto, dichas medidas solo podrán ser adoptadas respetando debidamente el principio de presunción de inocencia y el derecho a la intimidad. Se garantizará un procedimiento previo, justo e imparcial, que incluirá el derecho de los interesados a ser oídos, sin perjuicio de que concurran las condiciones y los arreglos procesales adecuados en los casos de urgencia debidamente justificados, de conformidad con la Carta."

Por ello opinamos, en relación con el secreto de las comunicaciones electrónicas en el ámbito tributario, lo siguiente:

1) Dicho secreto o intimidad -sin distinción entre personas físicas y jurídicas- es la regla en cualquier momento de una comunicación realizada sobre la red: antes (pirateo), durante y después de la misma

2) Los datos de las comunicaciones electrónicas están igualmente protegidos en los mismos momentos temporales, incluso aunque se refieran a datos fiscales que consten debidamente en otros soportes (facturas, cuentas, declaraciones, etc)

3) La ley tributaria no excepciona lo anterior en ningún modo, ni por tanto el acceso al domicilio de localización de los terminales justifica el acceso a los datos de las comunicaciones electrónicas incorporadas en los mismos.

La "correspondencia con trascendencia tributaria" (artículo 142.1 de la LGT) no incluye las comunicaciones electrónicas en el punto final de una red y se refiere, fundamentalmente, a la correspondencia no electrónica -aunque haya podido transmitirse por redes de comunicación electrónica- con trascendencia en la ejecución de obligaciones o derechos con trascendencia tributaria, pero no a cualquier "correspondencia" electrónica que la Administración pueda considerar con trascendencia tributaria a efectos probatorios de cualquier índole.

La definición de la misma en el Diccionario es inequívoca

3. f. correo (‖ conjunto de cartas que se despachan o reciben).

Sin.:

correo1, carta, postal, certificado, telegrama, giro1, valija.

El artículo 99.2 de la LGT establece: 

Los obligados tributarios pueden rehusar la presentación de los documentos que no resulten exigibles por la normativa tributaria y de aquellos que hayan sido previamente presentados por ellos mismos y que se encuentren en poder de la Administración tributaria actuante. Se podrá, en todo caso, requerir al interesado la ratificación de datos específicos propios o de terceros, previamente aportados

4)  El acceso no consentido a correos electrónicos almacenados en el ordenador de la empresa y en su servidor sí lesionaría el derecho al secreto de las comunicaciones en el curso de una actuación de inspección que se lleva a cabo en el domicilio constitucionalmente protegido de la empresa, incluso cuando la entrada a dicho lugar haya sido autorizada por su titular sin consentir expresamente el acceso a dichos correos electrónicos, o por decisión judicial cuando la ley tributaria no contempla expresamente dicho acceso -y autorización a efectos tributarios- y su confidencialidad está protegida  en términos inequívocos e indisponibles por el artículo 100 del Código Europeo de las Comunicaciones Electrónicas.

Su utilización como prueba estaría por ello afectada por la falta de validez de los medios de prueba obtenidos con infracción de las normas aplicables

CIFRADO DE LOS MENSAJES DE WHATSAPP (ESPAÑA Y EL ARTICULO 100 DEL CODIGO DE LAS COMUNICACIONES ELECTRÓNICAS)

 SPAIN

(E2EE, END TO END ENCRYPTION)

1. To what extent can encrypted CSA material be affected by a detection order? Are you in
favour of including some wording in the Regulation excluding the weakening of E2EE (see, for
example, recital 25 of Regulation (EU) 2021/1232)?

If a detection order is issued in connection with the use of encrypted CSA material, the encrypted
material may be significantly affected. First, in many cases, the ISP will be able to access encrypted data. This means that the provider may have the ability to decrypt the encrypted CSA material.

Secondly, the Law Enforcement Authority (LEA) could request access to the encrypted material
and, if the internet service provider refuses to provide it, the LEA could present a judicial order to
obtain access to the encrypted data. If the judicial order is issued, then the encrypted material could
be decrypted.

Ideally, in our view, it would be desirable to legislatively prevent EU-based service providers from
implementing end-to-end encryption.

 
This is highly controversial, proposing as a solution that encryption with automatic decryption be
carried out at some intermediate server of the communication. Obviously, this endpoint should be
informed to the user, being an automatic detection not accessible to the user, being an automatic
detection not accessible to any human operator.

There is no specific wording in Regulation (EU) 2021/1232 that explicitly refers to E2EE
weakening. However, recital 25 of Regulation (EU) 2021/1232 concerns the protection of personal
data through the adoption of appropriate technical and organisational measures, including
information security. Therefore, language excluding E2EE weakening could be discouraged to
ensure an adequate level of protection of other personal data, even to the detriment of early
detection of CSA. However, the exact level of E2EE weakening that would be excluded should be
determined by EU Member States according to their national regulations.

Law enforcement authorities must have the means to be able to continue to fulfil their legal
obligations now that many criminals have moved to the virtual world.

It is imperative that we have access to the data - for which they must be retained - and it is equally
imperative that we have the capacity to analyse them, no matter how large the volume.

It is our obligation, this is not an option: we must have the necessary technical, human, innovation
and training resources. And among those resources we need to, at least, maintain our current levels
of effectiveness against crime, as well as an advanced, flexible and balanced legal framework that
encourages innovation while fully respecting the citizens' rights and freedoms.

2. Are you in favour of exploring if voluntary detection should be continued? If so, would you
rather prolong the Temporary Regulation (EU) 2021/1232, or include its content in the CSA
proposal?

Yes, we are in favour of continuing voluntary screening by service providers. It is interesting to
extend the Temporary Regulation (EU) 2021/1232 to give companies and organisations more time
to adapt to the requirements of CFS detection. This would allow for a gradual transition and allow agencies to adapt to the new requirements without undue pressure.

 
Regarding this question, we support the Czech delegation's statement. The idea of developing this
new proposal is due to the weaknesses presented by the voluntary content of the temporary
regulation.

 3. Are you in favour of including audio communications in the scope of the CSA proposal, or
would you rather exclude it as in Regulation (EU) 2021/1232?

We do agree on including audio communications in the scope of the CSA proposal. We believe that,
as proposed by the Hungarian Delegation, the Proposal should delete the concrete references to the
different kind of materials (images, texts, videos or audios) and be more general so the proposal
tackles any kind of CSA-related material online.

We would like to highlight that Article 3(1) of the 1989 UN Convention on the Rights of the Child
and Article 24(2) of the EU Charter of Fundamental Rights states that in all actions related to
children, whether undertaken by public authorities or private institutions, the best interests of the
child shall be a primary consideration. It is also noted that the definition of child pornography was
already outlined by the Council of Europe in 1989 as "any audio or visual material in which a child
is used in a sexual context" (Recommendation (91) 11). This debate is something that should have
been resolved, bearing in mind the latest technological developments.

4. With a view to detecting CSA, do you wish that detection be performed on interpersonal
communications and publicly accessible content, or be limited to publicly accessible content?

As it is done by major service providers in the US, automatic content detection in interpersonal
communications is the key. Automatic detection informed to the user in the terms of use of the
services, so as not to infringe the user's right to privacy.

It is recommended that detection is carried out both in interpersonal communications and in
publicly accessible content. This would help to ensure that any CSA-related content is identified
and appropriate assistance is provided to victims. We reiterate what was reported in Question 1.

https://s3.documentcloud.org/documents/23819681/law-enforcement-working-party-document-encryption.pdf

 

 

Cualquier medida que sea susceptible de limitar el ejercicio de los derechos y libertades reconocidos en la Carta solo podrá imponerse si está prevista por ley y respeta tales derechos o libertades https://t.co/J2BZCug9t9

— Guillermo Ruiz Zapatero (@ruiz_zapatero) September 10, 2023

Artículo 100 

Salvaguardias de derechos fundamentales 

1. Las medidas nacionales relativas al acceso o al uso por parte de los usuarios finales de los servicios y las aplicaciones a través de redes de comunicaciones electrónicas respetarán la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta») y los principios generales del Derecho de la Unión. 

 2. Cualquier medida relativa al acceso o al uso por parte de los usuarios finales de los servicios y las aplicaciones a través de redes de comunicaciones electrónicas, que sea susceptible de limitar el ejercicio de los derechos y libertades reconocidos en la Carta solo podrá imponerse si está prevista por ley y respeta tales derechos o libertades, es proporcionada, necesaria, y responde efectivamente a objetivos de interés general reconocidos por el Derecho de la Unión o a la necesidad de protección de los derechos y libertades de los demás en línea con el artículo 52, apartado 1, de la Carta y con los principios generales del Derecho de la Unión, que incluyen el derecho a la tutela judicial efectiva y a un juicio justo. Por lo tanto, dichas medidas solo podrán ser adoptadas respetando debidamente el principio de presunción de inocencia y el derecho a la intimidad. Se garantizará un procedimiento previo, justo e imparcial, que incluirá el derecho de los interesados a ser oídos, sin perjuicio de que concurran las condiciones y los arreglos procesales adecuados en los casos de urgencia debidamente justificados, de conformidad con la Carta. 

https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=celex%3A32018L1972

 

 

 

Stevi y The New York Times/Comisión Asunto T-36/23 https://t.co/MqW7Q3cxHr

The New York Times is taking the #EuropeanCommission to court over the executive institution’s failure to release #textmessages between its president Ursula #vonderLeyen and Pfizer CEO Albert #Bourla

— Guillermo Ruiz Zapatero (@ruiz_zapatero) September 10, 2023