Cecilia Álvarez / Reyes Bermejo
EL TJUE DECLARA INVÁLIDA LA DIRECTIVA DE CONSERVACIÓN DE DATOS
El pasado 8 de abril de 2014, el Tribunal de Justicia de la Unión Europea (“TJUE”) dictó una sentencia por la que declara inválida la Directiva 2006/24/CE sobre la conservación de datos (“Directiva 2006/24/CE”), incorporada al derecho español por la Ley 25/2007 de 18 de octubre. Esta Directiva pretendió que los Estados Miembros impusieran a los proveedores de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones la conservación (durante un determinado plazo) de datos de tráfico y de localización de las comunicaciones de los abonados y usuarios para su acceso por ciertas autoridades, en ambos casos, con la finalidad de luchar contra la delincuencia grave.
La sentencia objeto de análisis trae causa de dos procedimientos prejudiciales incoados, respectivamente, por la High Court of Ireland (Tribunal Superior de Irlanda) y el Verfassunsgerichtshof (Tribunal Constitucional de Austria), en los que se solicita al TJUE (entre otras cosas) que se pronuncie sobre la validez de la Directiva 2006/24/CE a la luz de la protección debida a los derechos fundamentales a la intimidad y a la protección de datos personales establecidos en la Carta de los Derechos Fundamentales de la Unión Europea incorporada al Tratado de Lisboa (la “Carta”). Para ello, el TJUE analiza si la retención y acceso de datos previstos en la Directiva 2006/24/CE constituyen una injerencia en dichos derechos fundamentales y si esa injerencia está justificada por la finalidad alegada vinculada a la seguridad pública.
(i) Sobre la injerencia en los derechos fundamentales:
El TJUE considera que la Directiva, al imponer la conservación durante un plazo máximo de 2 años de los datos de tráfico y localización de todas las comunicaciones electrónicas de todos los usuarios/abonados y permitir que las autoridades nacionales competentes accedan a ellos, interfiere de manera especialmente grave en los derechos fundamentales a la intimidad y a la protección de datos personales. Asimismo, el TJUE entiende que la ausencia de información a los abonados o usuarios registrados puede generar en estos “el sentimiento de que su vida privada es objeto de una vigilancia constante”.
(ii) Sobre la posible justificación de la injerencia:
El TJUE toma como punto de partida el artículo 52(1) de la Carta, el cual establece que cualquier limitación al ejercicio de los derechos y libertades de la Carta deberá estar establecida por ley y sujeta al principio de proporcionalidad, cuya interpretación ha de ser particularmente estricta en este caso dada la magnitud de la injerencia. Estas limitaciones han de entenderse en una sociedad democrática como “necesaria[s] para la seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención de las infracciones penales, la protección de la salud o de la moral, o la protección de los derechos y las libertades de los demás”, en el sentido del art. 9 del Convenio 108.
Según el TJUE, pese a que la obligación de conservación de la Directiva 2006/24/CE podría entenderse lícita atendiendo a los fines legítimos que se persiguen, “no está suficientemente regulada para garantizar que dicha injerencia se límite efectivamente a lo estrictamente necesario” en base a los siguientes motivos:
- abarca de manera generalizada a todas las personas, medios de comunicación electrónica y datos relativos al tráfico sin que se establezca ninguna diferenciación, limitación o excepción en función del objetivo de lucha contra los delitos graves;
- no define las condiciones materiales y procesales en las que las autoridades nacionales competentes pueden tener acceso a los datos y utilizarlos posteriormente (se remite de manera general a “delitos graves” definidos por cada Estado miembro en su ordenamiento jurídico interno);
- no limita los periodos de conservación en función de las personas afectadas o de la posible utilidad de los datos con respecto al objetivo perseguido; y
- no define las medidas de seguridad (que deberían ser particularmente exigentes y no dependientes del coste que suponen para los operadores) necesarias para garantizar la seguridad de los datos ni exige que los datos sean conservados dentro de la UE (lo que podría provocar que el control del cumplimiento de los requisitos de protección y de seguridad no fuese realizado por una autoridad independiente establecida en la UE).
Esta declaración de invalidez por el TJUE no ha sorprendido teniendo en cuenta que las conclusiones emitidas el pasado 12 de diciembre por el abogado general del TJUE establecían expresamente la incompatibilidad de la Directiva 2006/24/CE con la Carta y que recogen parte de los debates encendidos que precedieron la aprobación de la Directiva 2006/24/CE.
volver al inicio