El miércoles 8 de abril se ha hecho pública una Sentencia del Tribunal de Justicia de la Unión Europea por la que se declara inválida la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE.
PLANTEAMIENTO DEL SUPUESTO ENJUICIADO
Como es conocido, la Directiva 2006/24/CE se aprueba como consecuencia de los atentados ocurridos en Madrid y en Londres en los años 2004 y 2005 respectivamente, y tiene por objeto, tal como establece su artículo 1, armonizar las disposiciones de todos los Estados de la Unión Europea “relativas a las obligaciones de los proveedores de servicios de comunicaciones electrónicas de acceso público o de una red pública de comunicaciones en relación con la conservación de determinados datos generados o tratados por los mismos, para garantizar que los datos estén disponibles con fines de investigación, detección y enjuiciamiento de delitos graves”.
Para ello, los datos que se deben conservar son:
- Los datos de tráfico y localización sobre personas físicas y jurídicas
- Los datos relacionados necesarios para identificar al abonado o al usuario registrado
Establece además la Directiva que no se debe conservar el contenido de las comunicaciones electrónicas, ni la información consultada utilizando una red de comunicaciones electrónicas.
En este contexto el Tribunal Superior de Irlanda y el Tribunal Constitucional de Austria plantearon una cuestión prejudicial al Tribunal de Justicia de la Unión Europea para que se pronunciase sobre la validez de la Directiva teniendo en cuenta que la Carta Europea de Derechos Fundamentales garantiza el derecho fundamental a la vida privada (art. 7) y el derecho fundamental a la protección de datos (art. 8), y que el art. 52.1 del mismo texto establece que “Sólo se podrán introducir limitaciones [al ejercicio de los derechos fundamentales reconocidos en la Carta], respetando el principio de proporcionalidad, cuando sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás”.
ANÁLISIS REALIZADO POR EL TRIBUNAL DE JUSTICIA DE LA UNIÓN EUROPEA
La Sentencia dictada en el asunto C-293/12 dispone que la conservación de los datos en los términos establecidos en la Directiva supone una injerencia en la vida privada de las personas y en su derecho fundamental a la protección de datos, argumentado que los datos que la Directiva exige que deben conservarse, analizados en su conjunto, puede revelar información como hábitos de vida, lugares de residencia permanentes, desplazamientos, actividades realizadas, relaciones sociales que se mantienen, etc., y que la cesión de esta información a las autoridades nacionales competentes vulnera los derechos fundamentales citados.
Continúa el Tribunal analizando si esta limitación al ejercicio de los derechos fundamentales puede estar amparada en el artículo 52 de la Carta Europea de Derechos Fundamentales y concluye manifestando:
- Que la conservación de los datos y su posible transmisión a las autoridades competentes responde a objetivos de interés general como es velar por la seguridad pública
- Pero que esta limitación no respeta el principio de proporcionalidad
Para justificar este argumento hace un análisis detallado de cada aspecto que rompe el equilibrio entre los derechos confrontados:
– La Directiva abarca de manera generalizada a todas las personas, medios de comunicación electrónica y datos relativos al tráfico sin que se establezca ninguna diferenciación, limitación o excepción en función del objetivo de lucha contra los delitos graves.
– La Directiva no fija ningún criterio objetivo que permita garantizar que las autoridades nacionales competentes puedan acceder únicamente a los datos y puedan utilizarlos para prevenir, detectar o reprimir penalmente delitos que, por la magnitud y la gravedad de la injerencia en los derechos fundamentales en cuestión, puedan considerarse suficientemente graves para justificar tal injerencia, sino que:
- se limita a remitir de manera general a los «delitos graves» definidos por cada Estado miembro en su ordenamiento jurídico interno.
- no define las condiciones materiales y procesales en las que las autoridades nacionales competentes pueden tener acceso a los datos y utilizarlos posteriormente.
- el acceso a los datos no se supedita al control previo de un órgano jurisdiccional o de un organismo administrativo autónomo.
– Establece un período de conservación de los datos que oscila entre seis y veinticuatro meses, sin que se establezca una distinción entre las categorías de datos en función de las personas afectadas o de la posible utilidad de los datos con respecto al objetivo perseguido.
– La Directiva no contiene garantías suficientes que permitan asegurar una protección eficaz de los datos contra los riesgos de abuso y contra cualquier acceso y utilización ilícitos de los datos.
– Por último, la Directiva no obliga a que los datos se conserven en el territorio de la Unión, por lo que no se garantiza plenamente el control del cumplimiento de los requisitos de protección y de seguridad por una autoridad independiente.
Por todos estos motivos la Sentencia declara inválida la Directiva 2006/24/CE.
¿CÓMO AFECTA LA INVALIDEZ DE LA DIRECTIVA A LAS LEYES NACIONALES QUE SE DICTARON PARA SU TRANSPOSICIÓN?
Para hacernos una idea de la trascendencia de los efectos de la declaración de invalidez de la Directiva debe recordarse que en las Conclusiones presentadas en este asunto, el propio Sr. Cruz Villalón, Abogado General, propuso que, en su caso, se procediera a suspender los efectos de la declaración de invalidez de la Directiva para que el legislador de la Unión pudiera adoptar, en un plazo razonable, las medidas necesarias para subsanar la invalidez declarada. Sin embargo, la sentencia, como se ha visto se ha limitado a declarar la invalidez de la misma con la incertidumbre que ello genera.
Antes esta situación… ¿se debe considerar que todas las leyes que han emanado de la Directiva de conservación de datos son nulas?, ¿debemos volver a la regulación prevista en la anterior Directiva 2002/58/CE?, ¿deben los Estados mantener su regulación hasta que se dicte una nueva Directiva que regule este aspecto?, ¿deben hacer nuestros jueces y tribunales una valoración caso por caso?, ¿deben seguir las operadoras conservando los datos de tráfico?
En un primer momento se podría pensar que si la Directiva de la que emanan las leyes nacionales se ha declarado inválida, esta invalidez debería trasladarse a todas las normas que han visto la luz como consecuencia de su transposición. Sin embargo, debe señalarse que este aspecto no está previsto en el Derecho Comunitario, y en tanto no se dicte otra Directiva que regule esta materia, parece que habrán de ser los jueces y tribunales de cada Estado los que tengan que valorar caso por caso la aplicación de laLey 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.
En este sentido, cabe considerar que:
– La obligación de retención de los datos que recae sobre las operadoras se mantendrá vigente, en tanto que en la Sentencia no se manifiesta en ningún momento que la conservación de datos sea contraria al Derecho Comunitario, sino que la conculcación del derecho se produce en la forma en la que se realiza y en la utilización de los datos, y
– Serán los jueces los que en el momento de emitir una autorización para que la autoridad competente pueda acceder a esta información deban valorar -siguiendo la descripción tan detallada que hace el Tribunal de Justicia de los aspectos en los que la Directiva no respeta el principio de proporcionalidad- si el acceso a los datos de tráfico se hace respetando este principio, clave para lograr un equilibrio entre los derechos en juego (seguridad vs intimidad) y para respetar la Carta de Derechos Fundamentales de la Unión Europea.
CONCLUSIONES
Cabe concluir recordando que las consecuencias de esta Sentencia no conllevarán que se deje de investigar delitos graves contemplados en el Código Penal u otras leyes penales especiales como pueden ser el terrorismo o la pederastia. Lo que sí supone es que todas las investigaciones que se realicen deberán respetar el derecho fundamental a la protección de datos y a la vida privada de las personas, lo que implica que los datos no se utilicen para otras finalidades distintas, como, por ejemplo, la investigación de delitos menos graves o ilícitos civiles, prevista en la Reforma de la Ley de Propiedad Intelectual.
Marta Escudero, Asociada Senior del Área de Governance, Risks & Compliance de ECIX
