CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2009:68

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala)

de 10 de febrero de 2009 (*)

«Recurso de anulación – Directiva 2006/24/CE – Conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas – Elección de la base jurídica»

En el asunto C‑301/06,

que tiene por objeto un recurso de anulación interpuesto, con arreglo al artículo 230 CE, el 6 de julio de 2006,

Irlanda, representada por el Sr. D. O’Hagan, en calidad de agente, asistido por los Sres. E. Fitzsimons, D. Barniville y A. Collins, SC, que designa domicilio en Luxemburgo,

parte demandante,

apoyada por:

República Eslovaca, representada por el Sr. J. Čorba, en calidad de agente,

parte coadyuvante,

contra

Parlamento Europeo, representado inicialmente por el Sr. H. Duintjer Tebbens, la Sra. M. Dean y el Sr. A. Auersperger Matić y, posteriormente, por estos dos últimos y el Sr. K. Bradley, en calidad de agentes, que designa domicilio en Luxemburgo,

Consejo de la Unión Europea, representado por los Sres. J.-C. Piris y J. Schutte y por la Sra. S. Kyriakopoulou, en calidad de agentes,

partes demandadas,

apoyados por:

Reino de España, representado por los Sres. M.A. Sampol Pucurull y J. Rodríguez Cárcamo, en calidad de agentes, que designa domicilio en Luxemburgo,

Reino de los Países Bajos, representado por las Sras. C. ten Dam y C. Wissels, en calidad de agentes,

Comisión de las Comunidades Europeas, representada por los Sres. C. Docksey y R. Troosters y por la Sra. C. O’Reilly, en calidad de agentes, que designa domicilio en Luxemburgo,

Supervisor Europeo de Protección de Datos, representado por el Sr. H. Hijmans, en calidad de agente,

partes coadyuvantes,

EL TRIBUNAL DE JUSTICIA (Gran Sala),

integrado por el Sr. V. Skouris, Presidente, los Sres. P. Jann, C.W.A. Timmermans, A. Rosas y K. Lenaerts, Presidentes de Sala, y los Sres. A. Tizzano y J.N. Cunha Rodrigues (Ponente), la Sra. R. Silva de Lapuerta, los Sres. K. Schiemann, J. Klučka y A. Arabadjiev, la Sra. C. Toader y el Sr. J.‑J. Kasel, Jueces;

Abogado General: Sr. Y. Bot;

Secretaria: Sra. C. Strömholm, administradora;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 1 de julio de 2008;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 14 de octubre de 2008;

dicta la siguiente

Sentencia

1 Mediante su recurso, Irlanda solicita del Tribunal de Justicia que se anule la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE (DO L 105, p. 54), por no haber sido adoptada sobre la debida base jurídica.

Marco jurídico

La Directiva 95/46/CE

2 La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281, p. 31), establece normas relativas al tratamiento de los datos de carácter personal con el fin de proteger los derechos de las personas físicas en este ámbito, a la vez que asegura la libre circulación de esos datos en la Comunidad Europea.

3 El artículo 3, apartado 2, de la Directiva 95/46, establece:

«Las disposiciones de la presente Directiva no se aplicarán al tratamiento de datos personales:

– efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de los títulos V y VI del Tratado de la Unión Europea y, en cualquier caso, al tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal;

– efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.»

La Directiva 2002/58/CE

4 La Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201, p. 37), se adoptó con objeto de completar la Directiva 95/46 mediante disposiciones específicas para el sector de las telecomunicaciones.

5 A tenor del artículo 6, apartado 1, de la Directiva 2002/58:

«Sin perjuicio de lo dispuesto en los apartados 2, 3 y 5 del presente artículo y en el apartado 1 del artículo 15, los datos de tráfico relacionados con abonados y usuarios que sean tratados y almacenados por el proveedor de una red pública de comunicaciones o de un servicio de comunicaciones electrónicas disponible al público deberán eliminarse o hacerse anónimos cuando ya no sea necesario a los efectos de la transmisión de una comunicación.»

6 El artículo 15, apartado 1, de la misma Directiva establece:

«Los Estados miembros podrán adoptar medidas legales para limitar el alcance de los derechos y las obligaciones que se establecen en los artículos 5 y 6, en los apartados 1 a 4 del artículo 8 y en el artículo 9 de la presente Directiva, cuando tal limitación constituya una medida necesaria proporcionada y apropiada en una sociedad democrática para proteger la seguridad nacional (es decir, la seguridad del Estado), la defensa, la seguridad pública, o la prevención, investigación, descubrimiento y persecución de delitos o la utilización no autorizada del sistema de comunicaciones electrónicas a que se hace referencia en el apartado 1 del artículo 13 de la Directiva 95/46/CE. Para ello, los Estados miembros podrán adoptar, entre otras, medidas legislativas en virtud de las cuales los datos se conserven durante un plazo limitado justificado por los motivos establecidos en el presente apartado. Todas las medidas contempladas en el presente apartado deberán ser conformes con los principios generales del Derecho comunitario, incluidos los mencionados en los apartados 1 y 2 del artículo 6 del Tratado de la Unión Europea.»

La Directiva 2006/24

7 Según los considerandos quinto a undécimo de la Directiva 2006/24:

«5) Varios Estados miembros han adoptado legislación que prevé la conservación de datos por los prestadores de servicios para la prevención, investigación, detección y enjuiciamiento de delitos. Estas disposiciones de las normativas nacionales varían considerablemente.

6) Las diferencias legales y técnicas entre disposiciones nacionales sobre conservación de datos con fines de prevención, investigación, detección y enjuiciamiento de delitos crean obstáculos en el mercado interior de las comunicaciones electrónicas; los prestadores de servicios deben cumplir requisitos diferentes en cuanto a los tipos de datos de tráfico y de localización que deben conservarse, así como en cuanto a las condiciones y los períodos de conservación.

7) Las conclusiones del Consejo de Justicia e Interior de 19 de diciembre de 2002 destacan que, a causa del crecimiento significativo de las posibilidades de las comunicaciones electrónicas, los datos relativos al uso de comunicaciones electrónicas son particularmente importantes y, por tanto, una herramienta valiosa en la prevención, investigación, detección y enjuiciamiento de delitos, en especial contra la delincuencia organizada.

8) La Declaración sobre la lucha contra el terrorismo, adoptada por el Consejo Europeo el 25 de marzo de 2004, encargó al Consejo que examinara medidas para establecer normas sobre la conservación por los prestadores de servicios de datos de tráfico de las comunicaciones.

9) De conformidad con el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales [en lo sucesivo, «CEDH»], toda persona tiene derecho al respeto de su vida privada y de su correspondencia. No podrá haber injerencia de la autoridad pública en el ejercicio de ese derecho salvo cuando esa injerencia esté prevista por la ley y constituya una medida que, en una sociedad democrática, sea necesaria, entre otras cosas, para la seguridad nacional o la seguridad pública, la prevención de desórdenes o delitos, o la protección de los derechos y las libertades de terceros. Dado que la conservación de datos se ha acreditado como una herramienta de investigación necesaria y eficaz para aplicar la ley en diferentes Estados miembros, en particular en asuntos de gravedad como la delincuencia organizada y el terrorismo, es necesario garantizar que los datos conservados se pongan a disposición de las fuerzas y cuerpos de seguridad durante un determinado período de tiempo, con arreglo a las condiciones establecidas en la presente Directiva. Por consiguiente, la adopción de un instrumento de conservación de datos que cumpla los requisitos del artículo 8 del CEDH es una medida necesaria.

10) El 13 de julio de 2005, el Consejo reafirmó en su declaración de condena de los atentados terroristas de Londres la necesidad de adoptar cuanto antes medidas comunes sobre conservación de datos de telecomunicaciones.

11) Dada la importancia de los datos de tráfico y de localización para la investigación, detección y enjuiciamiento de delitos, según demuestran la investigación y la experiencia práctica de varios Estados miembros, existe la necesidad de asegurar a escala europea que los datos generados o tratados, en el marco de la prestación de servicios de comunicaciones, por proveedores de servicios de comunicaciones electrónicas de acceso público o de una red pública de comunicaciones se conservan durante un determinado período de tiempo, con arreglo a las condiciones establecidas en la presente Directiva.»

8 El vigésimo primer considerando de la misma Directiva declara:

«Dado que los objetivos de la presente Directiva, a saber, armonizar las obligaciones de los proveedores de conservar determinados datos y asegurar que éstos estén disponibles con fines de investigación, detección y enjuiciamiento de delitos graves, tal como se definen en la normativa nacional de cada Estado miembro, como el terrorismo y la delincuencia organizada, no pueden ser alcanzados de manera suficiente por los Estados miembros y, debido a la dimensión y los efectos de la presente Directiva, pueden lograrse mejor a nivel comunitario, la Comunidad puede adoptar medidas, de acuerdo con el principio de subsidiariedad consagrado en el artículo 5 del Tratado. De conformidad con el principio de proporcionalidad enunciado en dicho artículo, la presente Directiva no excede de lo necesario para alcanzar dichos objetivos.»

9 El vigésimo quinto considerando de dicha Directiva está redactado en los siguientes términos:

«La presente Directiva se entiende sin perjuicio de la facultad de los Estados miembros para adoptar medidas legislativas relativas al derecho de acceso y de utilización de los datos por parte de las autoridades nacionales tal como determinen los mismos. Las cuestiones relativas al acceso por parte de las autoridades nacionales a datos conservados con arreglo a la presente Directiva para las actividades contempladas en el artículo 3, apartado 2, primer guión, de la Directiva 95/46/CE, quedan fuera del ámbito de aplicación del Derecho comunitario. Sin embargo, pueden estar sometidas a la legislación nacional o a una acción como las previstas por las disposiciones del título VI del Tratado de la Unión Europea. Dichas leyes o acciones deben respetar plenamente los derechos fundamentales que se derivan de tradiciones constitucionales comunes de los Estados miembros y están garantizados por el CEDH. […]»

10 El artículo 1, apartado 1, de la Directiva 2006/24 establece:

«La presente Directiva se propone armonizar las disposiciones de los Estados miembros relativas a las obligaciones de los proveedores de servicios de comunicaciones electrónicas de acceso público o de una red pública de comunicaciones en relación con la conservación de determinados datos generados o tratados por los mismos, para garantizar que los datos estén disponibles con fines de investigación, detección y enjuiciamiento de delitos graves, tal como se definen en la legislación nacional de cada Estado miembro.»

11 El artículo 3, apartado 1, de dicha Directiva dispone:

«Como excepción a los artículos 5, 6 y 9 de la Directiva 2002/58/CE, los Estados miembros adoptarán medidas para garantizar que los datos especificados en el artículo 5 de la presente Directiva se conservan de conformidad con lo dispuesto en ella en la medida en que son generados o tratados por proveedores de servicios de comunicaciones electrónicas de acceso público o de una red pública de comunicaciones que estén bajo su jurisdicción en el marco de la prestación de los servicios de comunicaciones de que se trate.»

12 El artículo 4 de la misma Directiva precisa:

«Los Estados miembros adoptarán medidas para garantizar que los datos conservados de conformidad con la presente Directiva solamente se proporcionen a las autoridades nacionales competentes, en casos específicos y de conformidad con la legislación nacional. Cada Estado miembro definirá en su legislación nacional el procedimiento que deba seguirse y las condiciones que deban cumplirse para tener acceso a los datos conservados de conformidad con los requisitos de necesidad y proporcionalidad, de conformidad con las disposiciones pertinentes del Derecho de la Unión o del Derecho internacional público, y en particular el CEDH en la interpretación del Tribunal Europeo de Derechos Humanos.»

13 El artículo 5 de la Directiva 2006/24 señala:

«1. Los Estados miembros garantizarán que las siguientes categorías de datos se conserven de conformidad con la presente Directiva:

a) datos necesarios para rastrear e identificar el origen de una comunicación:

[…]

b) datos necesarios para identificar el destino de una comunicación:

[…]

c) datos necesarios para identificar la fecha, hora y duración de una comunicación:

[…]

d) datos necesarios para identificar el tipo de comunicación:

[…]

e) datos necesarios para identificar el equipo de comunicación de los usuarios o lo que se considera ser el equipo de comunicación:

[…]

f) datos necesarios para identificar la localización del equipo de comunicación móvil:

[…]

2. De conformidad con la presente Directiva, no podrá conservarse ningún dato que revele el contenido de la comunicación.»

14 El artículo 6 de dicha Directiva dispone:

«Los Estados miembros garantizarán que las categorías de datos mencionadas en el artículo 5 se conserven por un período de tiempo que no sea inferior a seis meses ni superior a dos años a partir de la fecha de la comunicación.»

15 El artículo 7 de la misma Directiva dispone:

«Sin perjuicio de lo dispuesto en las disposiciones adoptadas de conformidad con las Directivas 95/46/CE y 2002/58/CE, los Estados miembros velarán por que los proveedores de servicios de comunicaciones electrónicas de acceso público o de una red pública de comunicaciones cumplan, en lo que respecta a los datos conservados de conformidad con la presente Directiva, como mínimo los siguientes principios de seguridad de los datos:

[…]»

16 A tenor del artículo 8 de la Directiva 2006/24:

«Los Estados miembros garantizarán que los datos especificados en el artículo 5 se conservan de conformidad con la presente Directiva de manera que los datos conservados y cualquier otra información necesaria con ellos relacionada puedan transmitirse sin demora cuando las autoridades competentes así lo soliciten.»

17 El artículo 11 de la misma Directiva está redactado en los siguientes términos:

«En el artículo 15 de la Directiva 2002/58/CE se inserta el apartado siguiente:

“1 bis. El apartado 1 no se aplicará a los datos que deben conservarse específicamente de conformidad con la Directiva [2006/24] para los fines recogidos en el artículo 1, apartado 1, de dicha Directiva.”»

Antecedentes del litigio

18 El 28 de abril de 2004, la República Francesa, Irlanda, el Reino de Suecia y el Reino Unido de Gran Bretaña y de Irlanda del Norte presentaron al Consejo de la Unión Europea una iniciativa con vistas a la adopción de una decisión marco basada en los artículos 31 UE, apartado 1, letra c), y 34 UE, apartado 2, letra b). Este proyecto tenía por objeto la conservación de los datos tratados y almacenados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o el suministro de datos en redes públicas de comunicaciones, a efectos de la prevención, investigación, descubrimiento y represión de la delincuencia y de las infracciones penales, con inclusión del terrorismo (documento del Consejo 8958/04).

19 La Comisión de las Comunidades Europeas se pronunció en favor de la base jurídica utilizada respecto a una parte de este proyecto de decisión marco. En particular, indicó que el artículo 47 UE no permite que un acto fundado en el Tratado UE afecte al acervo comunitario, en este caso a las Directivas 95/46 y 2002/58. Considerando que la determinación de las categorías de datos que deben conservarse y de la duración de los períodos de conservación es competencia del legislador comunitario, la Comisión se reservó el derecho de presentar una propuesta de directiva.

20 El 21 de septiembre de 2005, la Comisión adoptó, sobre la base del artículo 95 CE, una propuesta de Directiva del Parlamento Europeo y del Consejo sobre la conservación de datos tratados en relación con la prestación de servicios públicos de comunicación electrónica y por la que se modifica la Directiva 2002/58 [COM(2005) 438 final].

21 En su sesión de los días 1 y 2 de diciembre de 2005, el Consejo optó por adoptar una directiva sobre la base jurídica del Tratado CE, en lugar de seguir adelante con la adopción de una decisión marco.

22 El 14 de diciembre de 2005, el Parlamento emitió su dictamen con arreglo al procedimiento de codecisión establecido en el artículo 251 CE.

23 En su sesión de 21 de febrero de 2006, el Consejo aprobó por mayoría cualificada la Directiva 2006/24. Irlanda y la República Eslovaca votaron en contra de su adopción.

Pretensiones de las partes

24 Irlanda solicita al Tribunal de Justicia:

– Que se anule la Directiva 2006/24, por no haber sido adoptada sobre la base jurídica apropiada.

– Que se condene en costas al Consejo y al Parlamento.

25 El Parlamento solicita al Tribunal de Justicia:

– Con carácter principal, que se desestime el recurso por infundado.

– Que se condene a Irlanda a soportar la integridad de las costas causadas en el presente procedimiento.

– Con carácter subsidiario, en caso de que la Directiva 2006/24 sea anulada por el Tribunal de Justicia, que se declare que esta Directiva continuará produciendo efectos hasta la entrada en vigor de un nuevo acto.

26 El Consejo solicita al Tribunal de Justicia:

– Que se desestime el recurso interpuesto por Irlanda.

– Que se condene a dicho Estado miembro al pago de las costas.

27 Mediante auto del Presidente del Tribunal de Justicia de 1 de febrero de 2007 se admitió la intervención de la República Eslovaca en apoyo de las pretensiones de Irlanda, así como la del Reino de España, el Reino de los Países Bajos, la Comisión y el Supervisor Europeo de Protección de Datos en apoyo de las pretensiones del Parlamento y del Consejo.

Sobre el recurso

Alegaciones de las partes

28 Irlanda alega que la elección del artículo 95 CE como base jurídica de la Directiva 2006/24 constituye un error fundamental. Ni este artículo ni ninguna otra de las disposiciones del Tratado CE pueden proporcionar una base jurídica apropiada para esta Directiva. Dicho Estado miembro afirma principalmente que el único objetivo o, al menos, el objetivo principal o predominante de dicha Directiva es facilitar la investigación, detección y enjuiciamiento de infracciones penales, con inclusión del terrorismo. Por lo tanto, sostiene que la única base jurídica que puede proporcionar un fundamento jurídico válido a las medidas que se recogen en la Directiva 2006/24 se encuentra en el título VI del Tratado UE, en particular en los artículos 30 UE, 31 UE, apartado 1, letra c), y 34 UE, apartado 2, letra b).

29 Según Irlanda, el examen de los considerandos, particularmente del séptimo al undécimo y del vigésimo primero, y de las disposiciones fundamentales de la Directiva 2006/24, en particular de su artículo 1, apartado 1, demuestra que la elección del artículo 95 CE como base jurídica de esta Directiva es inapropiada e injustificable, puesto que dicha Directiva está claramente orientada hacia la represión de las infracciones penales.

30 Para este Estado miembro, consta que las medidas fundadas en el artículo 95 CE deben tener por «centro de gravedad» la aproximación de las legislaciones nacionales con objeto de mejorar el funcionamiento del mercado interior (véase, en particular, la sentencia de 30 de mayo de 2006, Parlamento/Consejo y Comisión, C‑317/04 y C‑318/04, Rec. I‑4721). Las disposiciones de la Directiva 2006/24 se refieren a la represión de las infracciones penales y no están destinadas a subsanar las posibles disfunciones del mercado interior.

31 En el caso de que, en contra de la pretensión principal de Irlanda, el Tribunal de Justicia estime que la Directiva 2006/24 tiene por objeto, en particular, la prevención de las distorsiones o de los obstáculos al mercado interior, el mismo Estado miembro sostiene, con carácter subsidiario, que este objetivo debe considerarse meramente secundario respecto del objetivo principal o predominante, que consiste en la represión de la delincuencia.

32 Irlanda añade que la Directiva 2002/58 puede ser modificada por otra Directiva, pero el legislador comunitario no está facultado para adoptar una Directiva modificativa sobre la base del artículo 95 CE con el fin de incorporar a la Directiva 2002/58 disposiciones que quedan fuera de la competencia atribuida a la Comunidad en virtud del primer pilar. Las obligaciones con las que se pretende garantizar la disponibilidad de los datos a efectos de la investigación, detección y enjuiciamiento de infracciones penales sólo pueden ser objeto de un instrumento basado en el título VI del Tratado UE. La adopción de un instrumento legislativo de este tipo no puede afectar a las disposiciones de dicha Directiva en el sentido del artículo 47 UE. Si se interpreta correctamente el verbo «afectar», que se emplea en este artículo, habrá que concluir que este precepto no prohíbe que los actos comunitarios y los actos de la Unión puedan solaparse en la medida en que se trate de materias secundarias y sin importancia.

33 La República Eslovaca apoya las pretensiones de Irlanda. Considera que el artículo 95 CE no puede servir de base jurídica para la Directiva 2006/24, dado que el objetivo principal de ésta no es la eliminación de las barreras y distorsiones en el mercado interior. Esta Directiva tiene por objeto armonizar la conservación de los datos más allá de los objetivos comerciales, con el fin de facilitar la acción de los Estados miembros en materia penal. Por este motivo no podía ser adoptada en el marco de las competencias de la Comunidad.

34 Según dicho Estado miembro, la conservación de los datos de carácter personal en la medida exigida por la Directiva 2006/24 da lugar a una intromisión significativa en el derecho de los particulares al respeto de su vida privada, protegido por el artículo 8 del CEDH. Es dudoso que una intromisión tan importante pueda justificarse por motivos económicos, como, en el caso de autos, por un mejor funcionamiento del mercado interior. La adopción de un acto al margen de las competencias de la Comunidad que tenga por objetivo principal no encubierto la lucha contra la delincuencia y el terrorismo representa una solución más apropiada y ofrece una motivación más adecuada para la injerencia en el derecho al respeto de la vida privada.

35 El Parlamento alega que Irlanda realiza una lectura selectiva de las disposiciones de la Directiva 2006/24. En su opinión, los considerandos quinto y sexto de esta Directiva precisan que su objetivo principal o predominante es eliminar los obstáculos al mercado interior de las comunicaciones electrónicas, al tiempo que su vigésimo quinto considerando confirma que el acceso a los datos conservados y su utilización no son competencia de la Comunidad.

36 Sostiene el Parlamento que, como consecuencia de los atentados terroristas del 11 de septiembre de 2001 en Nueva York, del 11 de marzo de 2004 en Madrid y del 7 de julio de 2005 en Londres, determinados Estados miembros adoptaron reglas diferentes en materia de conservación de datos. Según esta institución, tales diferencias podían obstaculizar la prestación de servicios de comunicaciones electrónicas. El Parlamento considera que la conservación de datos supone un coste importante para los prestadores de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones (en lo sucesivo, «prestadores de servicios») y que la existencia de normas diferentes en la materia puede falsear la competencia en el mercado interior. Añade que la Directiva 2006/24 tiene por objeto principal armonizar las obligaciones impuestas por los Estados miembros a los prestadores de servicios en materia de conservación de datos. De ello resulta que el artículo 95 CE constituye la base jurídica correcta para esta Directiva.

37 El Parlamento alega igualmente que la importancia concedida a la represión de la delincuencia no impide basar dicha Directiva en el artículo 95 CE. Si bien la represión de la delincuencia influyó claramente en las decisiones tomadas en esta Directiva, esta influencia no desvirtúa la elección del artículo 95 CE como base jurídica.

38 Por otra parte, el artículo 4 de la Directiva 2006/24 dispone, en consonancia con su vigésimo quinto considerando, que las condiciones de acceso y tratamiento de los datos conservados deben ser definidas por los Estados miembros, sin perjuicio de las disposiciones del Derecho de la Unión y del Derecho internacional, en particular, del CEDH. Este enfoque es diferente del adoptado para las medidas controvertidas en el asunto que dio lugar a la sentencia Parlamento/Consejo y Comisión, antes citada, por las que se obligaba a las compañías aéreas a permitir a las autoridades policiales de un tercer Estado el acceso a los datos de los pasajeros. De este modo, dicha Directiva respeta el reparto de competencias entre el primer y el tercer pilar.

39 Según el Parlamento, aunque es cierto que el almacenamiento de datos personales de un particular puede en principio constituir una injerencia en el sentido del artículo 8 del CEDH, esta injerencia puede estar justificada al amparo de dicha disposición por razones de seguridad pública y de prevención de las infracciones penales. Procede pues distinguir la cuestión de la justificación de tal injerencia y la de la elección de la base jurídica correcta dentro del ordenamiento jurídico de la Unión, que no tienen relación alguna entre sí.

40 El Consejo alega que, en los años posteriores a la adopción de la Directiva 2002/58, creció la inquietud de las autoridades policiales nacionales por la utilización de las innovaciones de los servicios de comunicaciones electrónicas para cometer actos delictivos. Según el Consejo, esta inquietud llevó a los Estados miembros a adoptar medidas para impedir la supresión de los datos relativos a estas comunicaciones y garantizar a las autoridades policiales su disponibilidad. Dicha institución alega que la divergencia de las medidas había comenzado a perturbar el buen funcionamiento del mercado interior. En este sentido, resultan explícitos los considerandos quinto y sexto de la Directiva 2006/24.

41 Según afirma el Consejo, esta situación ha obligado al legislador comunitario a asegurarse de que se impongan reglas uniformes a los prestadores de servicios en lo que se refiere a los requisitos de ejercicio de sus actividades.

42 Por estas razones, durante el año 2006, el legislador comunitario consideró necesario poner fin a la obligación de suprimir los datos impuesta por los artículos 5, 6 y 9 de la Directiva 2002/58 y prever que, en lo sucesivo, los datos a que se refiere el artículo 5 de la Directiva 2006/24 deberían conservarse obligatoriamente durante un período de tiempo determinado. Esta modificación obliga a los Estados miembros a garantizar la conservación de dichos datos durante un plazo mínimo de seis meses y máximo de dos años, computados desde la fecha de la comunicación. El objetivo de esta modificación es establecer requisitos precisos y armonizados que los prestadores de servicios deben respetar en lo que se refiere a la supresión o conservación de los datos de carácter personal indicados en el artículo 5 de la Directiva 2006/24, con lo que se establecen reglas comunes en la Comunidad a fin de asegurar la unidad del mercado interior.

43 El Consejo concluye que, aun cuando la necesidad de reprimir la delincuencia, incluido el terrorismo, fue un factor determinante en la decisión de modificar el alcance de los derechos y obligaciones establecidos en los artículos 5, 6 y 9 de la Directiva 2002/58, esta circunstancia no excluye que la Directiva 2006/24 debiera adoptarse sobre la base del artículo 95 CE.

44 Señala que ni los artículos 30 UE, 31 UE y 34 UE, ni ningún otro artículo del Tratado UE pueden servir de fundamento a un acto que tenga por objeto esencial modificar los requisitos de ejercicio de las actividades de los prestadores de servicios o no aplicarles el régimen establecido por la Directiva 2002/58.

45 El Consejo precisa que no puede basarse en el título VI del Tratado UE una normativa que, en relación con las categorías de datos que han de conservarse por los prestadores de servicios y el período de conservación de estos datos, modifique las obligaciones impuestas a dichos prestadores por la Directiva 2002/58. De hecho, la adopción de una normativa de este tipo afectaría a las disposiciones de esta Directiva, con la consiguiente vulneración del artículo 47 UE.

46 Según el Consejo, los derechos protegidos por el artículo 8 del CEDH no son absolutos y pueden ser objeto de restricciones en las condiciones que establece su apartado 2. Tal como dispone la Directiva 2006/24, la conservación de datos sirve a un interés general legítimo, reconocido por el artículo 8, apartado 2, del CEDH, y constituye un medio adecuado para proteger dicho interés.

47 El Reino de España y el Reino de los Países Bajos sostienen que, como se desprende de los considerandos primero, segundo, quinto y sexto de la Directiva 2006/24, el objeto principal de ésta es eliminar los obstáculos al mercado interior que generan las diferencias legales y técnicas existentes entre las disposiciones nacionales de los Estados miembros. Según estos dos Estados, dicha Directiva regula la conservación de datos con el fin de eliminar ese tipo de obstáculos, por una parte, armonizando la obligación de conservación de los datos y, por otra, concretando los aspectos a que se refiere esta obligación, tales como las categorías de datos que deben conservarse y su período de conservación.

48 Cuestión distinta es el que, a tenor de su artículo 1, la Directiva 2006/24 realice esta armonización «para garantizar que los datos estén disponibles con fines de investigación, detección y enjuiciamiento de delitos graves, tal como se definen en la legislación nacional de cada Estado miembro». Esta Directiva no regula el tratamiento de datos por las autoridades públicas o policiales de los Estados miembros. Por el contrario, la armonización se refiere únicamente a los aspectos de la conservación de los datos que afectan directamente a las actividades comerciales de los prestadores de servicios.

49 En la medida en que dicha Directiva modifica la Directiva 2002/58 y está relacionada con la Directiva 95/46, las modificaciones que comporta sólo pueden efectuarse debidamente mediante un acto comunitario, y no mediante un acto basado en el Tratado UE.

50 La Comisión recuerda que antes de la adopción de la Directiva 2006/24 varios Estados miembros habían adoptado, con arreglo al artículo 15, apartado 1, de la Directiva 2002/58, medidas nacionales relativas a la conservación de datos, y señala las importantes diferencias que existían entre estas medidas. Por ejemplo, los períodos de conservación variaban de tres meses, en los Países Bajos, a cuatro años, en Irlanda. Según la Comisión, las obligaciones relativas a la conservación de los datos tienen repercusiones económicas importantes para los prestadores de servicios. Las divergencias entre estas obligaciones pueden producir distorsiones en el mercado interior. En este contexto, era legítimo adoptar la Directiva 2006/24 sobre la base del artículo 95 CE.

51 Por otra parte, esta Directiva limita, de forma armonizada en el ámbito comunitario, las obligaciones establecidas por la Directiva 2002/58. Puesto que esta última se basa en el artículo 95 CE, la base jurídica de la Directiva 2006/24 no puede ser distinta.

52 La mención de la investigación, la detección y el enjuiciamiento de delitos graves, que figura en el artículo 1, apartado 1, de la Directiva 2006/24, encaja en el ámbito del Derecho comunitario por cuanto indica el objetivo legítimo de las restricciones impuestas por esta Directiva a los derechos de los particulares en materia de protección de datos. Semejante indicación es necesaria tanto para respetar las exigencias de las Directivas 95/46 y 2002/58 como para cumplir el artículo 8 del CEDH.

53 El Supervisor Europeo de Protección de Datos alega que el objeto de la Directiva 2006/24 pertenece al ámbito del artículo 95 CE porque, por una parte, esta Directiva tiene una incidencia directa sobre las actividades económicas de los prestadores de servicios y puede, por tanto, contribuir al establecimiento y funcionamiento del mercado interior, y porque, por otra parte, si el legislador comunitario no hubiera intervenido podría haberse producido una distorsión de la competencia en ese mercado interior. El objetivo de la represión de las infracciones penales no es ni el único objetivo de dicha Directiva ni tan siquiera su objetivo preponderante. Por el contrario, ésta pretende en primer lugar contribuir al establecimiento y funcionamiento del mercado interior, así como a la supresión de las distorsiones de la competencia. Esta Directiva armoniza las disposiciones nacionales relativas a la conservación de ciertos datos por las empresas privadas, en el ámbito de su actividad económica ordinaria.

54 Además, la Directiva 2006/24 modifica la Directiva 2002/58, que se adoptó sobre la base del artículo 95 CE, por lo que debe adoptarse sobre la misma base jurídica. En virtud del artículo 47 UE, sólo el legislador comunitario es competente para modificar las obligaciones impuestas por una Directiva basada en el Tratado CE.

55 Según el Supervisor Europeo de Protección de Datos, si el Tratado CE no pudiese servir de base a la Directiva 2006/24, las disposiciones de Derecho comunitario sobre la protección de datos no protegerían a los ciudadanos en los supuestos en los que el tratamiento de sus datos de carácter personal facilita la represión de la delincuencia. En tales casos, el régimen general de protección de datos del Derecho comunitario sería aplicable al tratamiento de los datos con fines comerciales, pero no al tratamiento de esos mismos datos con fines policiales. Como consecuencia de lo anterior, los proveedores de servicios se verían confrontados a difíciles distinciones, al tiempo que disminuiría el nivel de protección para la persona afectada. Es necesario evitar semejante situación. Esta necesidad de coherencia justifica la adopción de la Directiva 2006/24 con arreglo al Tratado CE.

Apreciación del Tribunal de Justicia

56 Con carácter preliminar, procede destacar que la cuestión de las competencias de la Unión Europea se presenta de forma diferente en función de si la competencia en cuestión ya ha sido reconocida a la Unión Europea en sentido lato o no lo ha sido todavía. En la primera hipótesis, es necesario pronunciarse sobre la distribución de competencias en el seno de la Unión Europea y, en particular, sobre la cuestión de si debe procederse mediante una directiva basada en el Tratado CE o mediante una decisión marco basada en el Tratado UE. En cambio, en la segunda hipótesis, se trata de resolver sobre la distribución de competencias entre la Unión y los Estados miembros y, en particular, sobre la cuestión de si la Unión ha invadido las competencias de estos últimos. El presente asunto se encuadra en la primera de estas dos hipótesis.

57 También debe precisarse que el recurso interpuesto por Irlanda se refiere únicamente a la elección de la base jurídica y no a una posible violación de los derechos fundamentales resultante de las injerencias que implica la Directiva 2006/24 en el derecho al respeto de la vida privada.

58 Irlanda, con el apoyo de la República Eslovaca, alega que la Directiva 2006/24 no puede fundarse en el artículo 95 CE, puesto que el «centro de gravedad» de ésta no se refiere al funcionamiento del mercado interior. Esta Directiva tiene como único objetivo, o al menos como objetivo principal, la investigación, la detección y el enjuiciamiento de infracciones penales.

59 Esta postura no puede acogerse.

60 Según jurisprudencia reiterada del Tribunal de Justicia, la elección de la base jurídica de un acto comunitario debe basarse en elementos objetivos susceptibles de control jurisdiccional, entre los que figuran, en especial, la finalidad y el contenido del acto (véase la sentencia de 23 de octubre de 2007, Comisión/Consejo, C‑440/05, Rec. p. I‑9097, apartado 61 y jurisprudencia citada).

61 La Directiva 2006/24 se adoptó sobre la base del Tratado CE y, en particular, de su artículo 95.

62 El artículo 95 CE, apartado 1, establece que el Consejo adoptará las medidas relativas a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros que tengan por objeto el establecimiento y el funcionamiento del mercado interior.

63 El legislador comunitario puede recurrir al artículo 95 CE en especial en caso de existencia de disparidades entre las regulaciones nacionales cuando tales disparidades puedan obstaculizar el ejercicio de las libertades fundamentales o crear distorsiones de la competencia, afectando por ello directamente al funcionamiento del mercado interior (véase, en este sentido, la sentencia de 12 de diciembre de 2006, Alemania/Parlamento y Consejo, C‑380/03, Rec. p. I‑11573, apartado 37 y jurisprudencia citada).

64 Además, aunque cabe recurrir al artículo 95 CE como base jurídica para evitar la aparición de futuros obstáculos a los intercambios comerciales derivados de la evolución heterogénea de las legislaciones nacionales, la aparición de tales obstáculos debe ser probable y la medida de que se trate debe tener por objeto su prevención (sentencia Alemania/Parlamento y Consejo, antes citada, apartado 38 y jurisprudencia citada).

65 Procede pues comprobar si la situación que condujo a la adopción de la Directiva 2006/24 cumplía los requisitos descritos en los dos apartados precedentes.

66 Como se desprende de los considerandos quinto y sexto de la referida Directiva, el legislador comunitario partió de la constatación de que existen diferencias legales y técnicas entre las disposiciones nacionales sobre conservación de datos por los prestadores de servicios.

67 A este respecto, los elementos presentados ante el Tribunal de Justicia confirman que, a consecuencia de los atentados terroristas mencionados en el apartado 36 de la presente sentencia, varios Estados miembros, entendiendo que los datos sobre las comunicaciones electrónicas son un medio eficaz para detectar y reprimir las infracciones penales, incluido el terrorismo, adoptaron medidas en aplicación del artículo 15, apartado 1, de la Directiva 2002/58, para imponer a los prestadores de servicios obligaciones relativas a la conservación de tales datos.

68 También se desprende de los autos que las obligaciones relativas a la conservación de los datos tienen implicaciones económicas sustanciales para los prestadores de servicios, en la medida en que pueden conllevar importantes inversiones y costes de explotación.

69 Los elementos presentados ante el Tribunal de Justicia confirman, por otra parte, que las medidas nacionales adoptadas hasta 2005 en aplicación del artículo 15, apartado 1, de la Directiva 2002/58 presentaban diferencias importantes, especialmente en lo que se refiere a la naturaleza de los datos conservados y a su período de conservación.

70 En definitiva, era de todo punto previsible que los Estados miembros que todavía no habían adoptado una normativa en materia de conservación de datos introdujeran en esta materia normas que podrían incrementar aún más las disparidades entre las distintas medidas nacionales existentes.

71 A la vista de estos elementos, se evidencia que las diferencias entre las distintas legislaciones nacionales adoptadas en materia de conservación de los datos relativos a las comunicaciones electrónicas podían afectar directamente al funcionamiento del mercado interior, y que era previsible que esta situación se fuera agravando.

72 Dicha situación justificaba que el legislador comunitario adoptase normas armonizadas con objeto de proteger el buen funcionamiento del mercado interior.

73 Por otra parte, procede destacar que, al prever un nivel armonizado de conservación de los datos relativos a las comunicaciones electrónicas, la Directiva 2006/24 modificó las disposiciones de la Directiva 2002/58.

74 Esta última Directiva se basa en el artículo 95 CE.

75 En virtud del artículo 47 UE, ninguna disposición del Tratado CE se verá afectada por una disposición del Tratado UE. Esta exigencia figura en el párrafo primero del artículo 29 UE, que introduce el título VI de este último Tratado, con el epígrafe «Disposiciones relativas a la cooperación policial y judicial en materia penal» (sentencia Comisión/Consejo, antes citada, apartado 52).

76 Al establecer que ninguna disposición del Tratado UE afectará a los Tratados constitutivos de la Comunidad Europea ni a los Tratados y actos subsiguientes que los hayan modificado o completado, el artículo 47 UE pretende, conforme a lo dispuesto en los artículos 2 UE, quinto guión, y 3 UE, párrafo primero, mantener y desarrollar el acervo comunitario (sentencia de 20 de mayo de 2008, Comisión/Consejo, C‑91/05, Rec. p. I‑0000, apartado 59).

77 Corresponde al Tribunal de Justicia velar por que los actos que, según una de las partes, están comprendidos en el ámbito de aplicación del título VI del Tratado UE y que, por su naturaleza, pueden producir efectos jurídicos no invadan las competencias que las disposiciones del Tratado CE atribuyen a la Comunidad (sentencia de 20 de mayo de 2008, Comisión/Consejo, antes citada, apartado 33 y jurisprudencia citada).

78 Puesto que la modificación de la Directiva 2002/58, que llevó a cabo la Directiva 2006/24, es competencia de la Comunidad, esta última Directiva no podía basarse en una disposición del Tratado UE sin vulnerar el artículo 47 del mismo.

79 Con el fin de determinar si el legislador ha escogido la base jurídica apropiada para adoptar la Directiva 2006/24, procede además, como resulta del apartado 60 de la presente sentencia, examinar el contenido material de sus disposiciones.

80 A este respecto, hay que constatar que las disposiciones de esta Directiva se limitan en esencia a las actividades de los prestadores de servicios y no regulan el acceso a los datos ni la explotación de éstos por las autoridades policiales o judiciales de los Estados miembros.

81 Concretamente, las disposiciones de la Directiva 2006/24 tienden a la aproximación de las legislaciones nacionales respecto a la obligación de conservar datos (artículo 3), las categorías de datos que deben conservarse (artículo 5), los períodos de conservación de los datos (artículo 6), la protección y seguridad de los datos (artículo 7), y los requisitos de almacenamiento de éstos (artículo 8).

82 En cambio, las medidas previstas por la Directiva 2006/24 no implican, por sí mismas, una intervención represiva de las autoridades de los Estados miembros. Como se desprende en particular del artículo 3 de esta Directiva, se prevé que los prestadores de servicios sólo deben conservar los datos generados o tratados durante la prestación de los servicios de comunicación de que se trate. Estos datos son tan sólo los que están estrechamente ligados al ejercicio de la actividad comercial de estos prestadores.

83 Por tanto, la Directiva 2006/24 regula operaciones que son independientes de la aplicación de toda posible acción de cooperación policial y judicial en materia penal. No armoniza ni la cuestión del acceso a los datos por parte de las autoridades nacionales competentes en materia represiva ni la relativa a la utilización y al intercambio de estos datos entre dichas autoridades. Estas cuestiones, que están comprendidas, en principio, en el ámbito de aplicación del título VI del Tratado UE, han quedado excluidas de las disposiciones de esta Directiva, como se indica en particular en el vigésimo quinto considerando y en el artículo 4 de ésta.

84 De ello resulta que el contenido material de la Directiva 2006/24 se refiere esencialmente a las actividades de los prestadores de servicios en el sector afectado del mercado interior, con exclusión de las actividades estatales consideradas en el título VI del Tratado UE.

85 A la vista de este contenido material, procede concluir que la Directiva 2006/24 afecta de manera preponderante al funcionamiento del mercado interior.

86 En contra de esta conclusión, Irlanda alega que, mediante la sentencia Parlamento/Consejo y Comisión, antes citada, el Tribunal de Justicia anuló la Decisión 2004/496/CE del Consejo, de 17 de mayo de 2004, relativa a la celebración de un Acuerdo entre la Comunidad Europea y los Estados Unidos de América sobre el tratamiento y la transferencia de los datos de los expedientes de los pasajeros por las compañías aéreas al Departamento de seguridad nacional, Oficina de aduanas y protección de fronteras, de los Estados Unidos (DO L 183, p. 83; texto corregido en DO 2005, L 255, p. 168).

87 En el apartado 68 de la citada sentencia Parlamento/Consejo y Comisión, el Tribunal de Justicia consideró que dicho Acuerdo se refería a la misma transferencia de datos que la Decisión 2004/535/CE de la Comisión, de 14 de mayo de 2004, relativa al carácter adecuado de la protección de los datos personales incluidos en los registros de nombres de los pasajeros que se transfieren al Servicio de aduanas y protección de fronteras de los Estados Unidos (DO L 235, p. 11).

88 Esta última Decisión versaba sobre la transferencia de información sobre los pasajeros, procedente de los sistemas de reserva de compañías aéreas situadas en el territorio de los Estados miembros, a la Oficina de aduanas y protección de fronteras del Departamento de seguridad nacional de los Estados Unidos. El Tribunal de Justicia constató que esta Decisión tenía por objeto un tratamiento de los datos que no era necesario para realizar una prestación de servicios por parte de las compañías aéreas, pero que sí se consideraba necesario para proteger la seguridad pública y para fines represivos. En los apartados 57 a 59 de la sentencia Parlamento/Consejo y Comisión, antes citada, el Tribunal consideró que tal tratamiento de datos estaba previsto en el artículo 3, apartado 2, de la Directiva 95/46, según el cual esta Directiva no se aplica, en particular, al tratamiento de datos personales que tengan por objeto la seguridad pública y las actividades del Estado en materia penal. En consecuencia, el Tribunal de Justicia concluyó que la Decisión 2004/535 no estaba comprendida en el ámbito de aplicación de la Directiva 95/46.

89 Puesto que el Acuerdo que era objeto de la Decisión 2004/496 se refería, al igual que la Decisión 2004/535, a un tratamiento de datos que estaba excluido del ámbito de aplicación de la Directiva 95/46, el Tribunal de Justicia consideró que la Decisión 2004/496 no había podido adoptarse válidamente sobre la base del artículo 95 CE (sentencia Parlamento/Consejo y Comisión, antes citada, apartados 68 y 69).

90 Tales consideraciones no pueden trasladarse a la Directiva 2006/24.

91 En efecto, a diferencia de la Decisión 2004/496, que se refería a la transferencia de datos personales en un marco establecido por los poderes públicos para garantizar la seguridad pública, la Directiva 2006/24 se refiere a las actividades de los prestadores de servicios en el mercado interior y no incluye ninguna regulación de las actividades de los poderes públicos con fines represivos.

92 De ello resulta que no pueden acogerse las alegaciones que Irlanda basa en la anulación de la Decisión 2004/496 por la sentencia Parlamento/Consejo y Comisión, antes citada.

93 Habida cuenta de todas las consideraciones precedentes, cabe concluir que la adopción de la Directiva 2006/24 debía basarse en el artículo 95 CE.

94 Por lo tanto, procede desestimar el presente recurso.

Costas

95 A tenor del artículo 69, apartado 2, del Reglamento de Procedimiento, la parte que pierda el proceso será condenada en costas, si así lo hubiera solicitado la otra parte. Por haber solicitado el Parlamento y el Consejo que se condene en costas a Irlanda, y al haber sido desestimados los motivos formulados por ésta, procede condenarla en costas. En aplicación del apartado 4, párrafo primero, del mismo artículo, los coadyuvantes en el litigio soportarán sus propias costas.

En virtud de todo lo expuesto, el Tribunal de Justicia (Gran Sala) decide:

1) Desestimar el recurso.

2) Condenar en costas a Irlanda.

3) El Reino de España, el Reino de los Países Bajos, la República Eslovaca, la Comisión de las Comunidades Europeas y el Supervisor Europeo de Protección de Datos soportarán sus propias costas.

Firmas

* Lengua de procedimiento: inglés.