Cuando un ISP (Proveedor de Servicios de Internet) proporciona el módem o router que actúa como puerta de entrada a todos los servicios web, por extensión, gestiona la totalidad del tráfico de internet de un hogar. Empresas como Movistar, Digi, Orange o Vodafone se convierten así en testigos privilegiados de la vida digital de sus clientes. Este acceso otorga, tanto a las corporaciones como al Estado, un poder que puede ser explotado con fines comerciales y políticos de cualquier clase.
Un claro ejemplo de explotación comercial a gran escala se materializó en 2023. Cuatro de los principales operadores de telecomunicaciones europeos —Deutsche Telekom AG (Alemania), Orange SA (Francia), Telefónica, S.A. (España) y Vodafone Group plc (Reino Unido)— lanzaron el proyecto TrustPid, también conocido como la «Supercookie Europea». El objetivo declarado era «mejorar la experiencia del usuario» y ofrecer publicidad personalizada mediante el rastreo de la actividad de navegación de sus usuarios de internet móvil. Actualmente, este sistema opera bajo el nombre de Utiq.
A diferencia de las cookies convencionales, estas etiquetas son inyectadas directamente por la operadora en el tráfico de datos, lo que las hace mucho más difíciles de detectar y eliminar por parte del usuario. Este proyecto no hizo sino confirmar un secreto a voces: los proveedores de servicios de internet tienen la capacidad técnica y operativa para inspeccionar y controlar todo el tráfico de cada conexión, ya sea por fibra o por red móvil.
La clave de todo esto reside en que además los ISP se han convertido en los grandes almacenes de la información personal de sus usuarios. Estos datos, de un valor excepcional, están a disposición de quien tenga la autoridad o la capacidad para solicitarlos, permitiendo a quien los posee un conocimiento privilegiado para, en cierto modo, «adelantarse» a los acontecimientos.
En el ámbito institucional, la regulación también ha ido moldeando este acceso. En 2021, el gobierno de coalición (PSOE y Unidas Podemos), inmerso en la etapa post-confinamiento y centrado en «prevenir amenazas» que apuntaban a una posible explosión social derivada del malestar acumulado con los Estados de Alarma, promulgó la Ley 7/2021. Su rimbombante título completo es «de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales». A pesar de su nombre, esta norma vino a otorgar un marco legal a una práctica policial que ya venía de lejos: el acceso, en ocasiones masivo y sin control, a los datos que los ISP almacenan.
Formalmente, y de acuerdo a su título, la norma pretendía regular la información exclusivamente en el marco de procesos penales, y por tanto, sometida a control judicial. Sin embargo, la ley ya prevenía en su artículo 2 que su ámbito se extiende al tratamiento de datos con fines «de protección y prevención frente a las amenazas contra la seguridad pública». Esta ambigüedad es la que abre la puerta a interpretaciones extensivas que han apuntalado el «modelo español» de vigilancia masiva.
Por ejemplo, si la llamada «Estrategia de Seguridad Nacional» (dictada por un organismo que no se sabe para qué sirve, el Departamento de Seguridad Nacional) determinara, por poner un ejemplo, que el uso de determinados modelos de teléfonos móviles (como los antiguos Nokia) constituye un indicador de riesgo para la seguridad, esta directriz podría servir de base para que las fuerzas de seguridad realicen los requerimientos pertinentes a los ISP.
Las empresas, obligadas por ley a almacenar los datos de los dispositivos utilizados para conectarse a la red, se verían compelidas a informar sobre qué usuarios emplean esos terminales.
Históricamente, las empresas de telecomunicaciones no han sido especialmente exigentes con los requerimientos gubernamentales que reciben; más bien al contrario, su colaboración ha sido la norma y siempre se ha dado cauce a cualquier requerimiento que viniera con membrete de la Policía o la Guardia Civil.
Esta nueva normativa abre una ventana tan grande que permite a las autoridades solicitar información sobre prácticamente cualquier aspecto de la vida digital de los ciudadanos, sin límite alguno. La clave de la eficacia de esta vigilancia es, precisamente, los ISP.