En la madrugada del 18 a 19 de septiembre pasado se detonaron dos bombas en los Estados norteamericanos de Nueva York y Nueva Jersey. Apenas transcurridas unas horas, a las 8 de la mañana del día 19 de septiembre, las autoridades adoptaron una decisión sin precedentes en el ámbito de la lucha antiterrorista: enviar un SMS a todos los usuarios de teléfonos móviles ubicados en el área de Manhattan (ciudad de Nueva York) desvelando quién era el principal sospechoso y solicitando la colaboración ciudadana para su búsqueda y captura.

El mensaje en cuestión, redactado en un estilo propio de un western, era claro y directo: “SE BUSCA: Ahmad Khan Rahami, varón de 28 años. Consulte los medios para ver su foto. Llame al 9-1-1 si le ve”.

Más allá de cuestiones menores relativas a su conveniencia o idoneidad, lo cierto es que la medida adoptada por las autoridades norteamericanas tiene múltiples implicaciones regulatorias, especialmente en lo que atañe a la protección de datos de carácter personal. Entre otras, se plantean dudas como sobre qué base jurídica puede la administración pública requerir la colaboración de los operadores de telecomunicaciones, si es legítimo que la puedan geolocalizarse a los usuarios de redes móviles de una determinada área para detener a un sospechoso, o, de modo más general, qué tipo de sucesos justifican el uso de esta medida invasiva.

A nivel español, estas cuestiones fueron tratadas por la Agencia Española de Protección de Datos (AEPD) en un informe de su Gabinete Jurídico del año 2013 (nº 71/2013). La postura que mantiene la AEPD es que no existiría cobertura legal que legitimara el envío de SMS geolocalizados por parte de la administración pública, por lo que se debería obtener con carácter previo y expreso el consentimiento de los destinatarios. Si bien se reconoce el deber de los ciudadanos de colaborar con las fuerzas públicas y la obligación de éstas de prevenir situaciones de grave riesgo por aplicación de la legislación sobre protección civil, se señala que no habría ninguna norma con rango legal que diese cobertura a este mecanismo de alertas. A juicio de la AEPD, la normativa vigente cuando se emitió el informe no ofrecería base suficiente para que las operadoras cedieran datos a la administración pública o, subsidiariamente, para que aquéllas estuvieran legalmente obligadas a satisfacer un interés legal de los afectados.

Con todo, el régimen jurídico vigente al tiempo de emisión del informe de la AEPD se ha visto alterado sustancialmente. En este sentido, el año pasado se aprobó una nueva ley de protección civil (Ley 17/2015, de 9 de julio, del Sistema Nacional de Protección Civil), cuyo artículo 6, bajo la rúbrica de derecho a la información, reconoce el derecho de la ciudadanía a ser alertada de situaciones colectivas que impliquen riesgos colectivos importantes. Más en particular, se consagra el derecho a ser informado no sólo sobre los citados riesgos, sino también acerca de “las medidas previstas y adoptadas para hacerles frente y las conductas que deban seguir para prevenirlos” con carácter previo, “antes de que las situaciones de peligro lleguen a estar presentes”.

Este nuevo marco legislativo genera una cierta incertidumbre sobre la validez del análisis efectuado por la AEPD y, dependiendo de su interpretación, puede abrir la puerta a que las fuerzas y cuerpos de seguridad del Estado decidan implementar mecanismos similares al utilizado en Manhattan. Dicho posibilidad no sería más que una muestra de uno de los rasgos definidores de la sociedad del siglo XXI: la interconectividad existente a todos los niveles.