Hechos. SpaceNet y Telekom Deutschland prestan, en Alemania, servicios de acceso a Internet disponibles al público y la segunda de ellas, además, servicios telefónicos disponibles al público. Ambas impugnaron ante el Tribunal de lo Contencioso-Administrativo de Colonia (Alemania) la obligación del artículo 113a, apartado 1, en relación con el artículo 113b de su Ley de Telecomunicaciones (TKG), de conservar datos de tráfico y de localización relativos a las telecomunicaciones de sus clientes durante un período de conservación de cuatro y diez semanas respectivamente.
El Tribunal de lo Contencioso-Administrativo de Colonia dio la razón a SpaceNet y Telekom considerando que, tras la sentencia de 21 de diciembre de 2016, Tele2 Sverige y Watson y otros (C-203/15 y C-698/15), esta obligación de conservación era contraria al Derecho de la Unión. La República Federal de Alemania recurrió ante el Tribunal Supremo de lo Contencioso-Administrativo de Alemania, que acaba remitiendo la cuestión al TJ.
El TJ ya ha declarado con carácter definitivo, en la sentencia Tele2 Sverige y Watson y otros (C-203/15 y C-698/15), que las normativas relativas a la conservación de los datos de tráfico y de localización, así como al acceso a esos datos por las autoridades nacionales, están comprendidas en el ámbito de aplicación de la Directiva 2002/58/CE y que la obligación de conservación controvertida solo puede justificarse sobre la base del artículo 15.1 de dicha Directiva. Es decir, que la normativa nacional no puede establecer una conservación generalizada e indiferenciada de todos los datos de tráfico y de localización de todos los abonados y usuarios registrados en relación con todos los medios de comunicación electrónica.
La TKG no exige ningún motivo para la conservación de los datos ni ninguna relación entre los datos conservados y una infracción penal o un riesgo para la seguridad pública. Pero el tribunal remitente plantea la cuestión porque la TKG, a su vez, introduce diferencias respecto a los casos Tele2 Sverige y Watson y otros, al menos en cuanto al tipo de datos sobre los que recae la obligación de conservación, el plazo de conservación (4 o 10 semanas frente al plazo anterior de entre 6 meses y 2 años) y la finalidad para la que pueden utilizarse los datos (sólo para luchar contra delitos graves o prevenir un riesgo concreto para la integridad física, la vida o la libertad de una persona o para la existencia del Estado federal o de un Land).
- Pronunciamientos. El TJ declara que el artículo 15.1 de la Directiva 2002/58/CE no se opone a medidas legislativas nacionales que, a efectos de luchar contra una amenaza grave y real, actual o previsible, para la seguridad nacional, recurran a un requerimiento a proveedores de servicios de comunicaciones electrónicas para que procedan a una conservación de datos de tráfico y localización de sus usuarios, cuando:
- se limite el plazo de conservación a lo estrictamente necesario (aunque podrá ampliarse si persiste la amenaza) y puedan ser objeto de un control efectivo por un órgano jurisdiccional o una entidad administrativa independiente, cuya decisión tenga carácter vinculante,
- prevean una conservación selectiva de los datos de tráfico y de localización delimitada, sobre elementos objetivos y no discriminatorios, en función de las categorías de personas afectadas o mediante un criterio geográfico,
- prevean una conservación generalizada e indiferenciada de las direcciones IP atribuidas al origen de una conexión, para un período temporalmente limitado a lo estrictamente necesario,
- prevean una conservación generalizada e indiferenciada de los datos relativos a la identidad civil de los usuarios de medios de comunicaciones electrónicas, y
- permitan el requerimiento a los proveedores de servicios de comunicaciones electrónicas mediante una decisión de la autoridad competente sujeta a un control jurisdiccional efectivo, para que procedan, durante un período determinado, a la conservación rápida de los datos de tráfico y de localización,
siempre que dichas medidas garanticen, mediante normas claras y precisas, que la conservación de los datos en cuestión está supeditada al respeto de las condiciones materiales y procesales correspondientes y que las personas afectadas disponen de garantías efectivas contra los riesgos de abuso.
- Comentario. Con esta decisión, el TJ complementa la posición fijada en la sentencia de 21 de diciembre de 2016, Tele2 Sverige y Watson y otros (C-203/15 y C-698/15), perfilando los criterios que debe tener en cuenta el legislador de cualquier Estado miembro para poder establecer medidas de requerimiento de datos de tráfico y localización a los proveedores de comunicaciones electrónicas.
Dichos criterios, en esencia, tratan de equilibrar los dos intereses en juego en estas situaciones: de un lado la seguridad nacional de los Estados miembros y, de otro, los derechos y libertades de los usuarios y muy concretamente el derecho a la protección de sus datos personales. Ruth BENITO
Nota: Estimado lector este comentario jurisprudencial procede del Anuario Elzaburu. Usted podrá acceder al resto de comentarios del Anuario que se hallan publicados en el portal de Elzaburu (https://elzaburu.com/) para lo cual solo tendrá que incluir en el apartado Buscar 🔍 del portal el término Anuario Elzaburu para así poder acceder a los contenidos ya publicados.
Versión en inglés:
Background. SpaceNet and Telekom Deutschland provide publicly available internet access services in Germany and Telekom Deutschland also provides publicly available telephone services. Both challenged, before the Administrative Court of Cologne (Germany), the obligation under Article 113a(1) in conjunction with Article 113b of the German Telecommunications Act (GTA) to retain traffic and location data relating to the telecommunications of their customers for a retention period of four and ten weeks respectively.
The Administrative Court of Cologne ruled in favour of SpaceNet and Telekom, holding that following the judgment of 21 December 2016, Tele2 Sverige and Watson and Others (C-203/15 and C-698/15), this retention obligation was contrary to EU law. The Federal Republic of Germany appealed to the German Federal Administrative Court, which ultimately referred the matter to the CJ.
The CJ has already definitively established, in the ruling in Tele2 Sverige and Watson and Others (C-203/15 and C-698/15), that the rules relating to the retention of traffic and location data and access to such data by national authorities fall within the scope of Directive 2002/58/EC and that the retention obligation at issue can only be justified on the basis of Article 15(1) of that Directive. That is to say, that national legislation cannot provide for the general and indiscriminate retention of all traffic and location data of all subscribers and registered users in connection with all means of electronic communication.
The GTA does not require any reason for the retention of the data or any link between the data retained and a criminal offence or a risk to public security. But the referring court raises the question because the GTA, in turn, presents differences with respect to the Tele2 Sverige and Watson and Others cases, at least with regard to the type of data that is subject to the retention obligation, the retention period (4 or 10 weeks as opposed to the previous period of between 6 months and 2 years) and the purpose for which the data may be used (only to combat serious crime or to prevent a specific risk to a person’s physical integrity, life or freedom or to the existence of the Federal Republic or a Land).
- Findings. The CJ declares that Article 15(1) of Directive 2002/58/EC does not preclude national legislative measures which, for the purposes of combating a serious and present or foreseeable threat to national security, require providers of electronic communications services to retain their users’ traffic and location data, where:
- the retention period is limited to what is strictly necessary (although it may be extended if the threat persists) and can be subject to effective review by a court or an independent administrative body, whose decision is binding,
- the measures provide for the targeted retention of traffic and location data which is limited, on the basis of objective and non-discriminatory factors, according to the categories of persons concerned or using geographical criteria,
- the measures provide for the general and indiscriminate retention of IP addresses attributed to the source of an internet connection, for a period of time limited to what is strictly necessary,
- the measures provide for the general and indiscriminate retention of data relating to the civil identity of users of electronic communications systems, and
- the measures provide for an instruction that requires providers of electronic communications services, by means of a decision of the competent authority that is subject to effective judicial review, to carry out, for a specified time period, expedited retention of traffic and location data,
provided that such measures ensure, by means of clear and precise rules, that the retention of data concerned is subject to compliance with the relevant substantive and procedural conditions and that the persons concerned have effective safeguards against the risks of abuse.
- Remarks. This decision by the CJ complements the position set out in the judgment of 21 December 2016, Tele2 Sverige and Watson and Others (C-203/15 and C-698/15), outlining the criteria that lawmakers of any Member State must take into account in order to be able to establish measures requiring traffic and location data from electronic communications providers. Those criteria, in essence, seek to balance the two interests at stake in these situations: on the one hand, the national security of the Member States and, on the other, the rights and freedoms of users and, very specifically, the right to protection of their personal data. Ruth BENITO
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación