La conservación de metadatos en telecomunicaciones vuelve a primer plano por su relevancia en investigaciones penales, ciberfraudes y diligencias urgentes que requieren atribuir quién se comunicó, cuándo y desde dónde. En España, el marco lo fija la Ley 25/2007, que obliga a los operadores a retener durante un tiempo limitado determinados datos de tráfico y localización (nunca contenidos) y a cederlos exclusivamente con autorización judicial. Para los profesionales del Derecho —penalistas, procesalistas, especializados en protección de datos o compliance— conocer los perímetros de esta obligación es clave para planificar pruebas, preservar evidencias y ejercitar derechos.

Ámbito objetivo y sujetos obligados

La Ley 25/2007 se aplica a datos de tráfico y localización relativos tanto a personas físicas como jurídicas, y a los datos necesarios para identificar al abonado o usuario registrado. Son sujetos obligados los operadores que prestan servicios de comunicaciones electrónicas disponibles al público o explotan redes públicas. El contenido de las comunicaciones queda expresamente excluido: no hay grabaciones de llamadas, ni listado de páginas vistas, ni descifrado de información transmitida. El foco es probatorio y se centra en atribuir comunicaciones a abonados concretos en un intervalo temporal determinado.

Qué datos deben conservarse

La norma enumera exhaustivamente las categorías. En síntesis:

• Telefonía fija y móvil
  • Origen y destino: número llamante y número(s) marcado(s); en su caso, desvíos/transferencias.
  • Fecha, hora y duración de la llamada o del servicio (voz, SMS/MMS, buzón, conferencia, datos).
  • Identificadores en móvil: IMSI (abonado/SIM) e IMEI (equipo) de ambos extremos.
  • Localización: identificador de celda al inicio y datos para situarla geográficamente.
  • Prepago: fecha y hora de la primera activación y celda desde la que se activó.
• Acceso a Internet, correo e Internet-voz (VoIP)
  • Dirección IP asignada (dinámica o estática) y sellos temporales de conexión y desconexión, con huso horario.
  • Identificación del abonado o usuario al que se asignó la IP en el momento de la comunicación.
  • En acceso por marcación, número de teléfono de origen; en banda ancha, la línea DSL u otro punto terminal identificador del autor de la comunicación (p. ej., identificador de puerto/roseta).

La ley incluye, además, las llamadas “infructuosas” (hubo intervención del operador pero no se llegó a contestar) y excluye las “no conectadas” (no hubo intervención del operador).

Plazo de conservación

Con carácter general, los operadores cesan la conservación a los 12 meses desde que se produjo la comunicación. La norma permite que, por vía reglamentaria, ese periodo se module entre 6 y 24 meses por categorías, ponderando costes y utilidad para la investigación de delitos graves. Agotado el plazo, el operador no está obligado (ni habilitado) a seguir conservando estos datos.

Cesión a autoridades: requisitos y plazos

La cesión requiere resolución judicial, que debe delimitar los datos a entregar conforme a necesidad y proporcionalidad. La entrega se realiza en formato electrónico a los agentes facultados (policía judicial, Vigilancia Aduanera, CNI en sus términos legales). Si la resolución no fija un plazo específico, la regla supletoria es clara: 7 días naturales contados desde las 8:00 del día siguiente a la recepción de la orden por el operador. Esta precisión temporal es útil en diligencias urgentes y en control judicial de la ejecución.

Seguridad, sanciones y tarjetas prepago

Los operadores deben aplicar medidas técnicas y organizativas para proteger la información retenida; el incumplimiento de conservación, cesión o seguridad puede derivar en infracciones (con remisión al régimen de la Ley General de Telecomunicaciones) e incluso en ilícito penal si se desobedece una orden judicial.
Para prepago, existe una obligación reforzada de identificación del comprador con registro de identidad, lo que apoya la trazabilidad y dificulta el uso anónimo con fines delictivos.

IP como dato personal y derecho de acceso del cliente

La dirección IP se considera dato personal cuando permite identificar al abonado en un tiempo concreto. Por ello, el cliente puede ejercitar derecho de acceso (RGPD y LOPDGDD) para obtener el histórico de IPs asignadas a su línea, por ejemplo, si investiga un fraude cometido desde su conexión. No obstante, el operador puede no disponer de IPs más allá de 12 meses porque la obligación legal de conservación ya ha expirado, siempre que motive adecuadamente su respuesta. La autoridad de control ha desestimado reclamaciones cuando el operador acreditó esa imposibilidad material por expiración de plazos.

Implicaciones prácticas para despachos

• Diligencias previas y atestados: si hay indicios de delito con soporte digital, solicitar pronto la orden de cesión de datos al operador (p. ej., IP con timestamps, celda, IMSI/IMEI). El reloj de los 12 meses corre desde la comunicación.
• Auto de autorización: interesar una delimitación fina (intervalos, números, equipos, celdas) vinculada al hecho investigado, para superar el test de proporcionalidad.
• Conservación ad hoc (“preservation”): si hay riesgo de pérdida inminente, es prudente comunicar al operador la existencia de diligencias (vía judicial) para asegurar evidencias en tanto llega el mandamiento.
• Parte civil y compliance: para empresas víctimas de fraude, activar forense interna y cursar solicitud de acceso al operador sobre asignaciones de IP dentro del año; documentar la trazabilidad y bloquear evidencias propias (logs, firewalls, SIEM).

Mitos frecuentes (y cómo rebatirlos en estrados)

• “La operadora sabe qué webs vio el usuario” → No: solo conserva IP asignada, tiempos y datos técnicos; no el contenido ni las URLs.
• “Si no contestan, vulneran el derecho de acceso” → Depende: si han explicado y acreditado que no conservan por haber expirado los 12 meses, el derecho puede considerarse atendido en lo posible.
• “Con el IMEI sé dónde estuvo el teléfono” → La atribución geográfica se hace por celda (identificador y su ubicación), no por el IMEI per se; el IMEI identifica equipo, no posición.

Checklist rápido para letrados

1. Hecho investigado: fecha(s) y franja(s) concreta(s).
2. Objeto de la petición: IP y sellos temporales, IMSI/IMEI, celda(s), números origen/destino.
3. Proporcionalidad: acotar intervalos, servicios y sujetos.
4. Plazos: recordar los 12 meses de retención y el plazo supletorio de 7 días para la cesión si el mandamiento no fija otro.
5. Derecho de acceso: si actúa por la víctima, pedir al operador el histórico de IPs antes de que caduque.

Preguntas frecuentes para abogados

¿Puedo pedir al operador un “listado de webs” visitadas?
No. La ley no permite conservar ni ceder contenidos ni información consultada. Sí puede obtenerse la IP asignada y los sellos temporales de conexión.

¿Qué ocurre si la policía pide datos sin mandamiento?
La cesión requiere autorización judicial, delimitada por necesidad y proporcionalidad. Sin resolución, el operador no puede ceder los datos.

¿Y si el operador se retrasa o no entrega?
El auto debe fijar plazo; si no, rige el supletorio de 7 días naturales desde las 8:00 del día siguiente a la recepción. El incumplimiento puede tener consecuencias administrativas y, en su caso, penales si se desobedece el mandato judicial.

¿Puede el cliente obtener sus IPs asignadas para investigar un fraude?
Sí, como dato personal. Si han pasado más de 12 meses y el operador no conserva ya esa información, debe motivar la denegación parcial, aportando lo que sí obre en sus sistemas.

Fuentes:

• Ley 25/2007, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones (texto consolidado).
• Resolución AEPD R/00310/2023 (Exp. EXP202213280) sobre derecho de acceso a IPs asignadas y limitación por plazos de conservación.

vía: bandaancha