Las operadoras españolas están obligadas por ley a conservar, durante un tiempo limitado, una serie de metadatos de las comunicaciones de sus clientes. Se trata de información sobre la comunicación (quién llama a quién, cuándo, desde qué equipo o antena, qué IP se asigna al navegar), nunca del contenido (ni el audio de la llamada ni lo que se transmite por internet). El objetivo es que esos registros estén disponibles exclusivamente bajo autorización judicial para la prevención, investigación, detección y enjuiciamiento de delitos. La norma de referencia es la Ley 25/2007, que transpone a España la directiva europea de conservación de datos y detalla qué se retiene, durante cuánto tiempo y con qué garantías.
La base legal: qué obliga a conservar y con qué límites
La Ley 25/2007 fija dos ideas clave:
- los operadores que prestan servicios de comunicaciones electrónicas al público o explotan redes públicas deben conservar determinados datos generados o tratados por ellos;
- esa información solo puede cederse a agentes facultados con autorización judicial previa y en formato electrónico, limitada a lo imprescindible para la investigación. La norma también atribuye a la AEPD la vigilancia sobre protección y seguridad de esos datos.
Nada de contenidos, solo metadatos
La ley excluye expresamente el contenido de las comunicaciones y cualquier “información consultada utilizando una red de comunicaciones electrónicas”. La conservación se limita a datos de tráfico y localización, así como a los necesarios para identificar al abonado o usuario registrado.
Qué se registra cuando se llama por teléfono
Al cursar una llamada —fija o móvil— el operador debe poder identificar:
- Origen y destino: número que llama, números marcados (incluidos desvíos/transferencias) y datos del titular o usuario registrado de ambos extremos.
- Fecha, hora y duración de la llamada (también en mensajería o servicios multimedia).
- Tipo de comunicación (voz, buzón, conferencia, datos; SMS/MMS).
- Identificadores del equipo y del abonado móvil: IMSI (línea/SIM) y IMEI (terminal) de quien llama y de quien recibe.
- Localización de la celda (antena) al inicio de la comunicación y datos para situarla geográficamente durante el período de conservación.
- Prepago: fecha y hora de primera activación y la celda desde la que se activó.
La ley también contempla las “llamadas infructuosas” (marcación con intervención del operador pero sin respuesta) y deja fuera las no conectadas (intento sin intervención del operador).
Qué se registra cuando se navega por internet
Al usar la conexión de fibra o datos móviles, el operador conserva:
- Dirección IP asignada (dinámica o estática) al abonado/usuario y el intervalo temporal de asignación: fecha y hora de conexión y desconexión del servicio de acceso a internet (con huso horario).
- Identificación del abonado/usuario a quien se le asignó esa IP en ese momento.
- En accesos por marcación, el número de teléfono de origen; en banda ancha, la línea DSL u otro punto terminal que identifique al autor de la comunicación (por ejemplo, el identificador del puerto/roseta en el domicilio).
De nuevo, no se registra qué páginas se consultan ni el contenido del tráfico: el foco está en los atributos técnicos que permiten atribuir quién usó qué IP y cuándo.
Durante cuánto tiempo se guardan los datos
Con carácter general, el plazo es de 12 meses contados desde que se produjo la comunicación. La ley prevé que, reglamentariamente y previa consulta a los operadores, ese período pueda ampliarse hasta 24 meses o reducirse a 6 meses para determinadas categorías, ponderando costes y utilidad para la investigación de delitos graves. Transcurrido el plazo, cesa la obligación de conservación.
Quién puede pedirlos y cómo
Solo pueden solicitar la cesión los agentes facultados (policía judicial, CNI, Vigilancia Aduanera) y siempre con autorización judicial, por el tiempo y los datos estrictamente necesarios. La entrega se realiza en formato electrónico y el operador debe atender la orden en el plazo que fije el juez; si no se establece otro, el estándar son 7 días naturales desde las 8:00 del día siguiente a la recepción de la orden. La AEPD vela por que existan medidas técnicas y organizativas adecuadas para evitar usos indebidos o accesos no autorizados.
Prepago: identificación obligatoria
Para limitar el uso anónimo de tarjetas prepago con fines delictivos, los operadores deben llevar un registro de identidad de los compradores (personas físicas o jurídicas). Esos datos identificativos pueden cederse a los agentes facultados en los supuestos y con las garantías de la ley.
Derecho de acceso del cliente: la IP es dato personal (pero hay ventana temporal)
Como regla general de protección de datos, el cliente tiene derecho de acceso a los datos personales que le conciernen. La AEPD ha reiterado que la dirección IP asignada por el operador es dato personal cuando identifica a un abonado en un tiempo concreto. En resoluciones recientes, la Agencia ha considerado legítimo pedir el histórico de IPs asignadas a una línea para investigar un fraude, pero también ha avalado que el operador no pueda facilitar IPs anteriores a 12 meses si ya han sido purgadas tras expirar la obligación legal de conservación.
Qué no guardan las operadoras (y mitos habituales)
- No conservan el contenido de las comunicaciones: ni grabaciones de llamadas, ni mensajes, ni los datos concretos descargados o consultados en la red.
- No almacenan el listado de páginas vistas o el detalle de navegación; la ley excluye la “información consultada” y se limita a IP, fechas, horas y datos técnicos de identificación.
- Sí pueden conservar, dentro de los límites legales, IMSI/IMEI, números de origen/destino, celdas y IP con timestamp, porque son imprescindibles para atribuir una comunicación a un abonado en una fecha y hora determinadas.
Claves operativas para usuarios y empresas
- Los tiempos importan: si se sospecha de un uso fraudulento de la conexión, conviene solicitar al operador la información cuanto antes; pasado un año, es probable que muchos datos ya no existan.
- Evidencias: guardar correos de alta, facturas y comunicaciones con el operador facilita vincular identidad y períodos de servicio.
- Seguridad: el cifrado de servicios OTT (VoIP, mensajería) hace que los registros del operador sean limitados en esos ámbitos; lo conservado es la actividad en su red, no la de cada plataforma sobre internet.
Preguntas frecuentes
¿Cuánto tiempo guarda mi operadora la IP que me asignó para navegar?
Con carácter general, 12 meses desde la conexión. La ley permite ajustar ese plazo por reglamento entre 6 y 24 meses según categorías y utilidad para investigaciones. Pasado ese tiempo, cesa la obligación de conservar.
¿Qué datos exactos se registran cuando hago una llamada desde el móvil?
Se registran el número de origen y destino, fecha/hora/duración, el tipo de servicio (voz, SMS/MMS), los identificadores IMSI/IMEI de ambos extremos y la celda (antena) al inicio, con datos para fijar su localización. En prepago, además, la primera activación y la celda usada.
¿Puedo pedir a mi operadora el listado de IPs que me asignó para investigar un fraude?
Sí. La IP es dato personal a efectos de acceso; ahora bien, el operador no podrá facilitar IPs fuera de la ventana legal de conservación si ya han sido eliminadas.
¿Puede la policía acceder a mis datos sin orden judicial?
No. La ley exige autorización judicial previa para la cesión a los agentes facultados, y limita la entrega a los datos estrictamente necesarios para la finalidad de la investigación.
Referencias:
