Sentencia del TJUE declarando inválida la Directiva de conservación de datos
Nota de Prensa del
Tribunal de Justicia de la Unión Europea
El Tribunal de Justicia declara inválida
la Directiva sobre la conservación de datos
La
Directiva constituye una injerencia de gran magnitud y especial gravedad en los
derechos fundamentales al respeto de la vida privada y a la protección de datos
de carácter personal, sin que esta injerencia se limite a lo estrictamente
necesario
El objetivo principal de la Directiva sobre la
conservación de datos es armonizar las disposiciones de los Estados miembros sobre
la conservación de determinados datos generados o tratados por los proveedores
de servicios de comunicaciones electrónicas de acceso público o de redes
públicas de comunicaciones. Con ella se pretende así garantizar la
disponibilidad de esos datos con fines de prevención, investigación, detección
y enjuiciamiento de delitos graves, como la delincuencia organizada y el
terrorismo. Así, la Directiva establece que dichos proveedores deberán
conservar los datos de tráfico y de localización, así como los datos
relacionados necesarios para identificar al abonado o al usuario. En cambio, no
autoriza la conservación del contenido de la comunicación ni de la información
consultada.
La High Court (Tribunal Superior de Irlanda) y el
Verfassungsgerichtshof (Tribunal Constitucional de Austria) solicitan al
Tribunal de Justicia que examine la validez de la Directiva, en particular a la
luz de dos derechos fundamentales garantizados por la Carta de los Derechos
Fundamentales de la Unión Europea: el derecho fundamental al respeto de la vida
privada y el derecho fundamental a la protección de datos de carácter personal.
La High Court debe pronunciarse sobre un litigio entre
la sociedad irlandesa Digital Rights y las autoridades irlandesas relativo a la
legalidad de medidas nacionales sobre la conservación de datos referentes a
comunicaciones electrónicas. El Verfassungsgerichtshof conoce de varios
recursos en materia constitucional interpuestos por el Gobierno del Land de Carintia,
los Sres. Seitlinger y Tschohl y otros 11.128 demandantes. En estos recursos se
solicita la anulación de la disposición nacional que transpone la Directiva en
el Derecho austriaco.
Mediante su sentencia de hoy, el
Tribunal de Justicia declara inválida la Directiva.
El Tribunal de Justicia señala, en primer lugar, que
los datos que han de conservarse permiten saber con qué persona y de qué modo
se ha comunicado un abonado o un usuario registrado, determinar el momento de
la comunicación y el lugar desde el que ésta se ha producido y conocer la
frecuencia de las comunicaciones del abonado o del usuario registrado con
determinadas personas durante un período concreto. Estos datos, considerados en
su conjunto, pueden proporcionar indicaciones muy precisas sobre la vida
privada de las personas cuyos datos se conservan, como los hábitos de la vida
cotidiana, los lugares de residencia permanentes o temporales, los
desplazamientos diarios u otros, las actividades realizadas, las relaciones sociales
y los medios sociales frecuentados.
El Tribunal de Justicia considera que, al imponer
la conservación de estos datos y al permitir el acceso a las autoridades
nacionales competentes, la Directiva se inmiscuye de manera especialmente grave
en los derechos fundamentales al respeto de la vida privada y a la protección
de datos de carácter personal. Además, el hecho de que la conservación y la
utilización posterior de los datos se efectúen sin que el abonado o el usuario
registrado sea informado de ello puede generar en las personas afectadas el
sentimiento de que su vida privada es objeto de una vigilancia constante.
El Tribunal de Justicia examina, a continuación, si
esta injerencia en los derechos fundamentales está justificada.
Afirma que la conservación de datos que impone la
Directiva no puede vulnerar el contenido esencial de los derechos fundamentales
al respeto de la vida privada y a la protección de datos de carácter personal. En
efecto, la Directiva no permite conocer el contenido de las comunicaciones
electrónicas como tal y establece que los proveedores de servicios o de redes
deben respetar ciertos principios de protección y de seguridad de los datos.
Además, la conservación de los datos para su
posible transmisión a las autoridades nacionales competentes responde
efectivamente a un objetivo de interés general, a saber, la lucha contra la
delincuencia grave y, en definitiva, la seguridad pública.
Sin embargo, el Tribunal de Justicia
estima que, al adoptar la Directiva sobre la conservación de datos, el
legislador de la Unión sobrepasó los límites que exige el respeto del principio
de proporcionalidad.
A este respecto, el Tribunal de Justicia indica que,
debido, por una parte, al importante papel que desempeña la protección de los
datos de carácter personal en lo que respecta al derecho fundamental al respeto
de la vida privada y, por otra parte, a la magnitud y gravedad de la injerencia
en este derecho que supone la Directiva, la facultad de apreciación de
legislador de la Unión resulta reducida, por lo que el control de dicha
facultad debe ser estricto.
Si bien la conservación de datos que impone la
Directiva puede considerarse adecuada para conseguir el objetivo que ésta
persigue, la injerencia amplia y especialmente grave de la Directiva en los
derechos fundamentales de que se trata no está suficientemente regulada para
garantizar que dicha injerencia se límite efectivamente a lo estrictamente
necesario.
En efecto, en primer lugar, la Directiva abarca de
manera generalizada a todas las personas, medios de comunicación electrónica y
datos relativos al tráfico sin que se establezca ninguna diferenciación,
limitación o excepción en función del objetivo de lucha contra los delitos
graves.
En segundo lugar, la Directiva no fija ningún criterio
objetivo que permita garantizar que las autoridades nacionales competentes
únicamente tendrán acceso a los datos y podrán utilizarlos para
prevenir, detectar o reprimir penalmente delitos que, por la magnitud y la
gravedad de la injerencia en los derechos fundamentales en cuestión, puedan
considerarse suficientemente graves para justificar tal injerencia. Por el
contrario, la Directiva se limita a remitir de manera general a los «delitos
graves» definidos por cada Estado miembro en su ordenamiento jurídico interno.
Además, la Directiva no define las condiciones materiales y procesales en las
que las autoridades nacionales competentes pueden tener acceso a los datos y
utilizarlos posteriormente. En particular, el acceso a los datos no se supedita
al control previo de un órgano jurisdiccional o de un organismo administrativo
autónomo.
En tercer lugar, en lo que atañe al período de
conservación de los datos, la Directiva prescribe un período mínimo de seis
meses sin establecer ninguna distinción entre las categorías de datos en
función de las personas afectadas o de la posible utilidad de los datos con
respecto al objetivo perseguido. Además, este período oscila entre seis meses
como mínimo y veinticuatro meses como máximo, sin que la Directiva precise los
criterios objetivos con arreglo a los que debe determinarse el período de
conservación para garantizar que se limite a lo estrictamente necesario.
El Tribunal de Justicia considera asimismo que la
Directiva no contiene garantías suficientes que permitan asegurar una
protección eficaz de los datos contra los riesgos de abuso y contra
cualquier acceso y utilización ilícitos de los datos. En particular, señala que
la Directiva autoriza a los proveedores de servicios a tener en cuenta
consideraciones económicas al determinar el nivel de seguridad que aplican
(especialmente en lo que respecta a los costes de aplicación de las medidas de
seguridad) y que no garantiza la destrucción definitiva de los datos al término
de su período de conservación.
Por
último, el Tribunal de Justicia censura que la Directiva no obliga a que los
datos se conserven en el territorio de la Unión. Por lo tanto, la Directiva
no garantiza plenamente el control del cumplimiento de los requisitos de
protección y de seguridad por una autoridad independiente, como se exige
expresamente en la Carta. Dicho control, efectuado sobre la base del Derecho de
la Unión, constituye un elemento esencial del respeto a la protección de las
personas en lo que respecta al tratamiento de datos personales.
Se puede acceder al texto íntegro de la sentencia en este enlace http://bit.ly/1k9dLXz
Se puede acceder a las conclusiones del Abogado General en este enlace http://bit.ly/1iAH6qZ
¿Cómo afectará la invalidación de la Directiva a la normativa de protección de datos personales? ¿Cómo afectará a los ciber-cafés? ¿Cómo afectará a la Ley de Seguridad Privada?
En próximas fechas intentaremos analizar la sentencia para dar un poco de luz a éstas y otras cuestiones que parece que traerán más de un debate.