Efectivamente, el día 8 de abril de 2014 el Tribunal de Justicia de la Unión Europea (en adelante, «TJUE») -EDJ 2014/68463 dictó una sentencia declarando inválida la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 marzo 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE -EDL 2006/29035-.
Entre otras cosas, se le pedía al Tribunal que analizara si la indicada Directiva. podía ser contraria a los derechos de libertad de expresión, de privacidad (respeto a la vida privada y familiar) y de protección de datos personales contemplados en la Carta de los Derechos Fundamentales de la Unión Europea (art. 11, 7 y 8 respectivamente) -EDL 2000/94313-. El Tribunal llegó a la conclusión de que efectivamente podría afectar a tales derechos y suponer una injerencia respecto a los mismos, principalmente en relación con la privacidad y la protección de los datos de carácter personal, llegando incluso a decir que podría ocasionar en los afectados el sentimiento de que sus vidas privadas eran objeto de una constante vigilancia.
Sentado lo anterior, analiza la sentencia, cuál es la finalidad u objetivo perseguido por la Directiva sobre Conservación de Datos -EDL 2006/29035-, entendiendo que lo es la lucha contra delitos graves, en particular contra el terrorismo y el crimen organizado, lo cual debe ser considerado de interés general y procede, por tanto, realizar una ponderación entre dicho interés general y los derechos afectados. Para ello examina si la conservación de los datos tal cual viene contemplada en la Directiva es una medida proporcional o no, en definitiva si se prevé mediante unas determinadas disposiciones y acciones que no excedan los límites necesarios para conseguir la finalidad perseguida.
Y es aquí donde la Sentencia -EDJ 2014/68463 da un verdadero repaso a la Directiva -EDL 2006/29035-, pues mantiene que no se da la necesaria proporcionalidad y que la finalidad perseguida por la Directiva no justifica por sí misma, sin más criterios, la intromisión en los indicados derechos fundamentales de privacidad y protección de datos personales. A lo que añade, en apoyo a tal estimación, entre otras cosas, que:
1. La Directiva -EDL 2006/29035 no exige que exista nexo relacional entre los datos que se han de conservar y una amenaza a la seguridad pública en función, bien del momento o zona geográfica en que se produzcan las comunicaciones, bien de las personas que las realicen.
2. La Directiva -EDL 2006/29035 adolece de unos criterios objetivos que pudieran insuflar proporcionalidad en la conservación de datos, sino que al contrario:
· Habla de u0022delitos gravesu0022 dejando al criterio de cada estado miembro de la UE lo que ha de entenderse por tal
· No establece los procedimientos y condiciones en que las autoridades nacionales competentes puedan tener acceso a los datos almacenados.
· No determina si tal acceso debe estar condicionado a la existencia de una previa investigación o procedimiento judicial.
· Tampoco hace distinción entre las distintas categorías de datos en relación con el período en que deban ser conservados (entre 6 y 24 meses).
3. Supone, la Directiva -EDL 2006/29035-, una gran injerencia a los derechos fundamentales antes dichos, si que se condicione a disposiciones que aseguren que tal injerencia estará limitada a lo estrictamente necesario.
4. Además la Directiva -EDL 2006/29035 no contempla medidas que garanticen la protección efectiva de los datos personales contra los riesgos de abuso (por parte de quien deba conservarlos) y de acceso ilegal (por parte de terceros), y tampoco asegura la destrucción de los datos al finalizar el plazo de conservación de los mismos.
Por todo ello termina declarando a la Directiva sobre Conservación de Datos -EDL 2006/29035 inválida. La L 25/2007 -EDL 2007/159198 es la norma mediante la cual España transpuso a su ordenamiento jurídico la Directiva 2006/24/CE. En este sentido, la sentencia del TJUE no extiende la invalidez a Ley 25/2007, por lo que deberán ser los tribunales españoles quienes, caso por caso, determinen si se respeta o no el principio de proporcionalidad de conformidad con lo dictado por el TJUE. En todo caso, el art. 1, relativo al objeto de la Ley establece:
«Esta Ley tiene por objeto la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales.»
Y el art.5 de la citada Ley -EDL 2007/159198 establece:
«1. La obligación de conservación de datos impuesta cesa a los doce meses computados desde la fecha en que se haya producido la comunicación. Reglamentariamente, previa consulta a los operadores, se podrá ampliar o reducir el plazo de conservación para determinados datos o una categoría de datos hasta un máximo de dos años o un mínimo de seis meses, tomando en consideración el coste del almacenamiento y conservación de los datos, así como el interés de los mismos para los fines de investigación, detección y enjuiciamiento de un delito grave, previa consulta a los operadores.».
¿Qué hemos de entender por delito grave? Nada dice la Exposición de Motivos de la citada Ley 25/2007 -EDL 2007/159198 a cerca de este extremo, aunque en el artículo 1 los refiere al Código Penal -EDL 1995/16398-, entiendo que la interpretación que debería hacerse desde el punto de vista de la seguridad jurídica es el que establece el artículo 13 y su correlativo artículo 33, puesto que la indeterminación de delito grave recogida en la Directiva -EDL 2006/29035-, ya fue objeto de crítica por la citada Sentencia del TJEU -EDJ 2014/68463-.
La interpretación de equiparar «delito grave» a la «gravedad de los hechos de que se trate», es cierto que podría ampliar (o restringir) el ámbito de aplicación de la norma, pero dejaría al albur de los juzgados y Tribunales la interpretación de términos difusos susceptibles de ser dilucidados de muy diferentes maneras; por ello parece más adecuado atenerse al sentido literal de la norma remitiéndonos a la definición que se establece en el art.13 CP -EDL 1995/16398 y su correlativo art.33.
En cuanto a la cuestión a plantear
En mi opinión, es necesario regular la conservación de ciertos datos relativos a las comunicaciones electrónicas y el acceso a los mismos, no sólo para la investigación de delitos graves, sino de cualquier delito, pues la inmensa mayoría de delitos cometidos a través de la red son difícilmente perseguibles sin tal información. Pero efectivamente, y aunque sea sumamente complejo, tal conservación de datos debe llevarse a cabo con el mayor respeto a la intimidad de las personas. Afortunadamente, aunque es pronto para valorarla con mesura, es posible que la propia sentencia nos de unas pautas que vayan indicando un poco el camino para ello.
El Tribunal de Justicia señala, en primer lugar, que los datos que han de conservarse permiten saber con qué persona y de qué modo se ha comunicado un abonado o un usuario registrado, determinar el momento de la comunicación y el lugar desde el que ésta se ha producido y conocer la frecuencia de las comunicaciones del abonado o del usuario registrado con determinadas personas durante un período concreto.
«Estos datos, considerados en su conjunto, pueden proporcionar indicaciones muy precisas sobre la vida privada de las personas cuyos datos se conservan, como los hábitos de la vida cotidiana, los lugares de residencia permanentes o temporales, los desplazamientos diarios u otros, las actividades realizadas, las relaciones sociales y los medios sociales frecuentados», denuncia el fallo.
«Al imponer la conservación de estos datos y al permitir el acceso a las autoridades nacionales competentes -prosigue el Tribunal-, la directiva se inmiscuye de manera especialmente grave en los derechos fundamentales al respeto de la vida privada y a la protección de datos de carácter personal».
«Además, el hecho de que la conservación y la utilización posterior de los datos se efectúen sin que el abonado o el usuario registrado sea informado de ello puede generar en las personas afectadas el sentimiento de que su vida privada es objeto de una vigilancia constante», resalta la sentencia.
El Tribunal de Justicia admite que la conservación de los datos «responde efectivamente a un objetivo de interés general, a saber, la lucha contra la delincuencia grave y, en definitiva, la seguridad pública». Sin embargo, estima que se han sobrepasado los límites que exige el respeto del principio de proporcionalidad.
«La injerencia amplia y especialmente grave de la directiva en los derechos fundamentales de que se trata no está suficientemente regulada para garantizar que dicha injerencia se límite efectivamente a lo estrictamente necesario», apunta la sentencia. Así, la directiva «abarca de manera generalizada a todas las personas, medios de comunicación electrónica y datos relativos al tráfico sin que se establezca ninguna diferenciación, limitación o excepción en función del objetivo de lucha contra los delitos graves».
En segundo lugar, la directiva «no fija ningún criterio objetivo que permita garantizar que las autoridades nacionales competentes únicamente tendrán acceso a los datos y podrán utilizarlos para prevenir, detectar o reprimir penalmente delitos que, por la magnitud y la gravedad de la injerencia en los derechos fundamentales en cuestión, puedan considerarse suficientemente graves para justificar tal injerencia». En particular, el acceso a los datos no se supedita al control previo de un órgano jurisdiccional o de un organismo administrativo autónomo.
En tercer lugar, en lo que atañe al período de conservación de los datos, la norma prescribe un período de entre seis y dos años sin precisar «los criterios objetivos con arreglo a los que debe determinarse el período de conservación para garantizar que se limite a lo estrictamente necesario».
El Tribunal de Justicia considera asimismo que la directiva no contiene garantías suficientes que permitan asegurar una protección eficaz de los datos contra los riesgos de abuso y contra cualquier acceso y utilización ilícitos de los datos. «En particular, autoriza a los proveedores de servicios a tener en cuenta consideraciones económicas al determinar el nivel de seguridad que aplican (especialmente en lo que respecta a los costes de aplicación de las medidas de seguridad) y no garantiza la destrucción definitiva de los datos al término de su período de conservación», señala el fallo.
Finalmente, la sentencia censura que la directiva no obliga a que los datos se conserven en el territorio de la Unión. (Europa Press).