Language of document : ECLI:EU:C:2018:300

CONCLUSIONES DEL ABOGADO GENERAL

SR. HENRIK SAUGMANDSGAARD ØE

presentadas el 3 de mayo de 2018 (1)

Asunto C207/16

Ministerio Fiscal

(Petición de decisión prejudicial planteada por la Audiencia Provincial de Tarragona)

«Procedimiento prejudicial — Comunicaciones electrónicas — Tratamiento de datos personales — Derecho a la vida privada y derecho a la protección de los datos personales — Directiva 2002/58/CE — Artículos 1 y 15, apartado 1 — Carta de los Derechos Fundamentales de la Unión Europea — Artículos 7, 8 y 52, apartado 1 — Datos recogidos en el marco de la prestación de servicios de comunicaciones electrónicas — Solicitud de acceso formulada por una autoridad policial para la investigación de un delito — Principio de proporcionalidad — Concepto de “delito grave” que puede justificar una injerencia en los derechos fundamentales — Criterios para apreciar la existencia de gravedad — Pena impuesta — Umbral mínimo»






I.      Introducción

1.        La presente petición de decisión prejudicial versa, en esencia, sobre la interpretación del concepto de «delitos graves», (2) en el sentido de la jurisprudencia del Tribunal de Justicia derivada de la sentencia Digital Rights Ireland y otros (3) (en lo sucesivo, «sentencia Digital Rights») y posteriormente de la sentencia Tele2 Sverige y Watson y otros (4) (en lo sucesivo, «sentencia Tele2»), en las que este concepto se utilizó como criterio de apreciación de la legitimidad y la proporcionalidad de una injerencia en los derechos consagrados en los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»), a saber, el derecho al respeto de la vida privada y familiar y el derecho a la protección de los datos personales, respectivamente.

2.        La petición de decisión prejudicial se ha planteado en el marco de un recurso contra una resolución judicial que denegó a la Policía Judicial la posibilidad de que se le comunicaran determinados datos personales o de filiación en poder de operadoras de telefonía móvil para identificar a determinadas personas a efectos de la investigación de un delito. La resolución recurrida estaba motivada, en particular, por la consideración de que los hechos que dieron lugar a la investigación no eran constitutivos de delito grave, contrariamente a lo que exige la normativa española aplicable.

3.        El tribunal remitente pregunta al Tribunal de Justicia, sustancialmente, acerca del modo de fijación del umbral de gravedad de los delitos a partir del cual, a la luz de la jurisprudencia antes citada, puede estar justificada la restricción de los derechos fundamentales protegidos por los artículos 7 y 8 de la Carta cuando las autoridades nacionales competentes acceden a datos personales conservados por los proveedores de servicios de comunicaciones electrónicas.

4.        Una vez haya establecido que el Tribunal de Justicia es competente para pronunciarse sobre la petición de decisión prejudicial y que esta es admisible, pasaré a demostrar que el acceso a datos personales en circunstancias como las del caso de autos entraña una injerencia en los derechos fundamentales anteriormente mencionados que no corresponde a los supuestos en los que, con arreglo a la jurisprudencia antes citada, solo la lucha contra los delitos graves puede justificar la restricción de dichos derechos fundamentales.

5.        Con carácter meramente subsidiario, dado que, habida cuenta del objeto específico del litigio principal, no considero necesario que el Tribunal de Justicia responda a las cuestiones prejudiciales según su tenor inicial, aportaré indicaré los criterios que, en su caso, permitan definir el concepto de «delitos graves» en el sentido de esta jurisprudencia, en particular teniendo en cuenta el criterio de la pena impuesta.

II.    Marco jurídico

A.      Derecho de la Unión

6.        La Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas, (5) en su versión modificada por la Directiva 2009/136/CE (6) (en lo sucesivo, «Directiva 2002/58»), enuncia en su preámbulo lo siguiente:

«(2)      La presente Directiva pretende garantizar el respeto de los derechos fundamentales y observa los principios consagrados, en particular, en la [Carta]. Señaladamente, la presente Directiva pretende garantizar el pleno respeto de los derechos enunciados en los artículos 7 y 8 de [esta].

[…]

(11)      Al igual que la Directiva 95/46/CE, [(7)] la presente Directiva no aborda la protección de los derechos y las libertades fundamentales en relación con las actividades no regidas por el Derecho comunitario. Por lo tanto, no altera el equilibrio actual entre el derecho de las personas a la intimidad y la posibilidad de que disponen los Estados miembros, según se indica en el apartado 1 del artículo 15 de la presente Directiva, de tomar las medidas necesarias para la protección de la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando las actividades tengan relación con asuntos de seguridad del Estado) y la aplicación del Derecho penal. En consecuencia, la presente Directiva no afecta a la capacidad de los Estados miembros para interceptar legalmente las comunicaciones electrónicas o tomar otras medidas, cuando sea necesario, para cualquiera de estos fines y de conformidad con el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, según la interpretación que se hace de este en las sentencias del Tribunal Europeo de Derechos Humanos. Dichas medidas deberán ser necesarias en una sociedad democrática y rigurosamente proporcionales al fin que se pretende alcanzar y deben estar sujetas, además, a salvaguardias adecuadas, de conformidad con el [CEDH]. [(8)]»

7.        Conforme al artículo 1 de la Directiva 2002/58, titulado «Ámbito de aplicación y objetivo»:

«1.      La presente Directiva establece la armonización de las disposiciones nacionales necesaria para garantizar un nivel equivalente de protección de las libertades y los derechos fundamentales y, en particular, del derecho a la intimidad y la confidencialidad, en lo que respecta al tratamiento de los datos personales en el sector de las comunicaciones electrónicas […].

[…]

3.      La presente Directiva no se aplicará a las actividades no comprendidas en el ámbito de aplicación del Tratado constitutivo de la Comunidad Europea, como las reguladas por las disposiciones de los títulos V y VI del Tratado de la Unión Europea, ni, en cualquier caso, a las actividades que tengan por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dichas actividades estén relacionadas con la seguridad del mismo) y a las actividades del Estado en materia penal.»

8.        Su artículo 2, titulado «Definiciones», establece lo siguiente:

«Salvo disposición en contrario, serán de aplicación a efectos de la presente Directiva las definiciones que figuran en la Directiva [95/46] y en la Directiva 2002/21/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas (Directiva Marco). [(9)]

Además, a efectos de la presente Directiva se entenderá por:

a)      “usuario”: una persona física que utiliza con fines privados o comerciales un servicio de comunicaciones electrónicas disponible para el público, sin que necesariamente se haya abonado a dicho servicio;

b)      “datos de tráfico”: cualquier dato tratado a efectos de la conducción de una comunicación a través de una red de comunicaciones electrónicas o a efectos de la facturación de la misma;

c)      “datos de localización”: cualquier dato tratado en una red de comunicaciones electrónicas o por un servicio de comunicaciones electrónicas que indique la posición geográfica del equipo terminal de un usuario de un servicio de comunicaciones electrónicas disponible para el público;

d)      “comunicación”: cualquier información intercambiada o conducida entre un número finito de interesados por medio de un servicio de comunicaciones electrónicas disponible para el público. No se incluye en la presente definición la información conducida, como parte de un servicio de radiodifusión al público, a través de una red de comunicaciones electrónicas, excepto en la medida en que la información pueda relacionarse con el abonado o usuario identificable que reciba la información;

[…]».

9.        El artículo 15 de la Directiva 2002/58, titulado «Aplicación de determinadas disposiciones de la Directiva [95/46]», establece en su apartado 1 que «los Estados miembros podrán adoptar medidas legales para limitar el alcance de los derechos y las obligaciones que se establecen en los artículos 5 y 6, en los apartados 1 a 4 del artículo 8 y en el artículo 9 de la presente Directiva, cuando tal limitación constituya una medida necesaria proporcionada y apropiada en una sociedad democrática para proteger la seguridad nacional (es decir, la seguridad del Estado), la defensa, la seguridad pública, o la prevención, investigación, descubrimiento y persecución de delitos o la utilización no autorizada del sistema de comunicaciones electrónicas a que se hace referencia en el apartado 1 del artículo 13 de la Directiva [95/46]. Para ello, los Estados miembros podrán adoptar, entre otras, medidas legislativas en virtud de las cuales los datos se conserven durante un plazo limitado justificado por los motivos establecidos en el presente apartado. Todas las medidas contempladas en el presente apartado deberán ser conformes con los principios generales del Derecho comunitario, incluidos los mencionados en los apartados 1 y 2 del artículo 6 del Tratado de la Unión Europea.»

B.      Derecho español

1.      Ley 25/2007

10.      La Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones (10) (en lo sucesivo, «Ley 25/2007»), transpuso al Derecho español la Directiva 2006/24, (11) que fue declarada inválida por el Tribunal de Justicia en la sentencia Digital Rights.

11.      A tenor del artículo 1 de la Ley 25/2007, en su versión aplicable a los hechos del litigio principal:

«1.      Esta Ley tiene por objeto la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales.

2.      Esta Ley se aplicará a los datos de tráfico y de localización sobre personas físicas y jurídicas y a los datos relacionados necesarios para identificar al abonado o usuario registrado.

[…]»

12.      El artículo 3 de la mencionada Ley enumera los datos que los operadores han de conservar. En virtud del apartado 1, letra a), punto 1, inciso ii), de dicho artículo, se trata, en particular, de los datos necesarios para rastrear e identificar el origen de una comunicación, como, en lo que atañe a la telefonía móvil, el nombre y dirección del abonado o usuario registrado.

2.      Código penal

13.      Con arreglo al artículo 13, apartado 1, del Código penal español en su versión aplicable a los hechos del litigio principal, «son delitos graves las infracciones que la Ley castiga con pena grave».

14.      El artículo 33 del citado Código es del siguiente tenor:

«1.      En función de su naturaleza y duración, las penas se clasifican en graves, menos graves y leves.

2.      Son penas graves:

a)      La prisión permanente revisable

b)      La prisión superior a cinco años.

[…]»

3.      Ley de Enjuiciamiento Criminal

15.      La Ley de Enjuiciamiento Criminal española ha sido modificada por la Ley Orgánica 13/2015, de 5 de octubre, de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica (12) (en lo sucesivo, «Ley Orgánica 13/2015»).

16.      Dicha Ley, que entró en vigor el 6 de diciembre de 2015, introduce en la Ley de Enjuiciamiento Criminal la cuestión del acceso a los datos relativos a las comunicaciones telefónicas y telemáticas conservados por los proveedores de servicios de comunicaciones electrónicas.

17.      Con arreglo al artículo 579, apartado 1, de la Ley de Enjuiciamiento Criminal, en su versión modificada por la Ley Orgánica 13/2015, «el juez podrá acordar la detención de la correspondencia privada, postal y telegráfica, incluidos faxes, burofaxes y giros, que el investigado remita o reciba, así como su apertura o examen, si hubiera indicios de obtener por estos medios el descubrimiento o la comprobación del algún hecho o circunstancia relevante para la causa, siempre que la investigación tenga por objeto alguno de los siguientes delitos:

1.o      Delitos dolosos castigados con pena con límite máximo de, al menos, tres años de prisión.

2.o      Delitos cometidos en el seno de un grupo u organización criminal.

3.o      Delitos de terrorismo.»

18.      El artículo 588 ter j de la misma Ley, titulado «Datos obrantes en archivos automatizados de los prestadores de servicios», establece:

«1.      Los datos electrónicos conservados por los prestadores de servicios o personas que faciliten la comunicación en cumplimiento de la legislación sobre retención de datos relativos a las comunicaciones electrónicas o por propia iniciativa por motivos comerciales o de otra índole y que se encuentren vinculados a procesos de comunicación, solo podrán ser cedidos para su incorporación al proceso con autorización judicial.

2.      Cuando el conocimiento de esos datos resulte indispensable para la investigación, se solicitará del juez competente autorización para recabar la información que conste en los archivos automatizados de los prestadores de servicios, incluida la búsqueda entrecruzada o inteligente de datos, siempre que se precisen la naturaleza de los datos que hayan de ser conocidos y las razones que justifican la cesión.»

III. Procedimiento principal, cuestiones prejudiciales y procedimiento ante el Tribunal de Justicia

19.      El Sr. Hernández Sierra presentó una denuncia ante la Policía por el robo con violencia de su cartera y de su teléfono móvil, ocurrido el 16 de febrero de 2015 y durante el cual resultó herido de gravedad.

20.      Mediante oficio de 27 de febrero de 2015, la Policía Judicial solicitó al Juzgado de Instrucción n.o 3 de Tarragona (en lo sucesivo, «juzgado de instrucción») que se ordenara recabar de diversas operadoras de telefonía, por un lado, los números de teléfono que hubieran sido activados con el código IMEI (13) del teléfono móvil sustraído desde el 16 de febrero al 27 de febrero de 2015 y, por otro, los datos personales de los titulares o usuarios de los números de teléfono correspondientes a las tarjetas SIM activadas con el referido IMEI. (14)

21.      Mediante auto de 5 de mayo de 2015, el juez instructor denegó la solicitud, atendiendo a que la diligencia exigida era escasamente idónea para identificar a los autores del delito y porque, en todo caso, la Ley 25/2007 limitaba la cesión de datos conservados por las operadoras de telefonía a los delitos graves —a saber, según el Código penal español, (15) los sancionados con una pena de prisión superior a cinco años—, mientras que los hechos presuntos no constituían delito grave.

22.      El Ministerio Fiscal, única parte en el procedimiento, interpuso recurso contra este auto ante la Audiencia Provincial de Tarragona, alegando que, dada la naturaleza de los hechos y habida cuenta de una sentencia del Tribunal Supremo relativa a un caso similar, debería haberse acordado la comunicación de los datos de que se trata. (16)

23.      Mediante auto de 9 de febrero de 2016, la Audiencia Provincial de Tarragona ordenó a las operadoras de telefonía, como medida cautelar, la prórroga de la conservación de los datos a los que se refiere la solicitud controvertida.

24.      La petición de decisión prejudicial remitida por ese tribunal expone que, tras la adopción de la resolución impugnada, el legislador español introdujo, en virtud de la Ley Orgánica 13/2015, (17) dos criterios alternativos para determinar el umbral de gravedad del hecho delictivo. El primero es un estándar material identificado por conductas típicas de particular y grave relevancia criminógena que incorporan particulares tasas de lesividad para bienes jurídicos individuales y colectivos. (18) El segundo es un estándar normativo-formal que pone el acento solo y exclusivamente en la pena prevista para el delito de que se trate. Ahora bien, el umbral de tres años de prisión que el segundo establece abarca la gran mayoría de los tipos penales. Además, el tribunal remitente observa que el interés que tiene el Estado en proteger a los ciudadanos y en castigar las conductas infractoras no puede legitimar una restricción desproporcionada de los derechos fundamentales de las personas.

25.      En este marco, mediante auto de 6 de abril de 2016, recibido en el Tribunal de Justicia el 14 de abril de 2016, la Audiencia Provincial de Tarragona decidió suspender el procedimiento y plantear al Tribunal de Justicia las cuestiones prejudiciales siguientes:

«1)      ¿La suficiente gravedad de los delitos como criterio que justifica la injerencia en los derechos fundamentales reconocidos en los artículos 7 y 8 de la Carta puede identificarse únicamente en atención a la pena que pueda imponerse al delito que se investiga o es necesario, además, identificar en la conducta delictiva particulares niveles de lesividad para bienes jurídicos individuales y/o colectivos?

2)      ¿En su caso, si se ajustara a los principios constitucionales de la Unión, utilizados por el TJUE en su sentencia [Digital Rights] como estándares de control estricto de la Directiva [declarada inválida por dicha sentencia], la determinación de la gravedad del delito atendiendo solo a la pena imponible cuál debería ser ese umbral mínimo? ¿Sería compatible con una previsión general de límite en tres años de prisión?»

26.      El procedimiento ante el Tribunal de Justicia se suspendió, mediante decisión del Presidente de 23 de mayo de 2016, a la espera de que el Tribunal dictara sentencia en los asuntos acumulados Tele2 Sverige y Watson y otros (C‑203/15 y C‑698/15).

27.      Preguntado por el Tribunal de Justicia tras el pronunciamiento de esta sentencia, el 21 de diciembre de 2016, (19) el tribunal remitente indicó que deseaba mantener su petición de decisión prejudicial. Alegó que las cuestiones prejudiciales que había planteado seguían siendo pertinentes, en la medida en que dicha sentencia proporcionaba ciertamente ejemplos de delitos graves, (20) pero no definía con suficiente claridad el contenido material del concepto de gravedad del delito que pueda servir de criterio de apreciación de la justificación de una medida de injerencia. Pues bien, a su juicio este concepto lleva consigo el riesgo de que los requisitos de conservación de los datos y acceso a ellos se fijen a escala nacional de manera muy amplia, que no respete los derechos fundamentales a los que se refiere la sentencia Tele2. De este modo, tras la adopción de la Ley Orgánica 13/2015, el legislador español, a pesar de los criterios enunciados en la sentencia Digital Rights, (21) redujo muy sensiblemente, en relación con las normas anteriores, derivadas de la Ley 25/2007, el umbral de gravedad de los delitos para cuya investigación se autoriza la conservación y la cesión de los datos personales.

28.      Tras esta respuesta, el procedimiento ante el Tribunal de Justicia se reanudó el 16 de febrero de 2017. Así, los Gobiernos español, checo, estonio, irlandés, francés, letón, húngaro, austriaco y del Reino Unido y la Comisión Europea presentaron observaciones escritas.

29.      Antes de la vista, el Tribunal de Justicia remitió varias preguntas para su respuesta escrita al Gobierno español, a las que este respondió el 9 de enero de 2018, y preguntas para respuesta oral dirigidas a todos los interesados a los que se refiere el artículo 23 del Estatuto del Tribunal de Justicia de la Unión Europea.

30.      En la vista, que tuvo lugar el 29 de enero de 2018, presentaron sus observaciones orales el Ministerio Fiscal, los Gobiernos español, checo, danés, estonio, irlandés, francés, letón, polaco y del Reino Unido y la Comisión.

IV.    Análisis

A.      Consideraciones preliminares

31.      Antes de pasar al examen detallado de las cuestiones que suscita la presente petición de decisión prejudicial, considero necesario formular algunas observaciones relativas al objeto específico de esta.

32.      En primer lugar, vistas las indicaciones que figuran en el auto de remisión y las observaciones complementarias aportadas por el Gobierno español, observo que el litigio principal presenta particularidades notables que le diferencian, en particular, del contexto de los asuntos que dieron lugar a las sentencias Digital Rights y Tele2. (22)

33.      En efecto, la solicitud de la Policía Judicial objeto del presente asunto tiene por finalidad obtener únicamente datos que permitan identificar a los titulares o usuarios de los números de teléfono vinculados a las tarjetas SIM insertadas en el teléfono móvil sustraído. (23) Además, consta que esta petición se refiere a un período claramente definido y reducido en el tiempo, a saber, doce días. (24)

34.      En estas circunstancias, el número de personas que pueden verse afectadas por la medida controvertida no es ilimitado, sino restringido. A mayor abundamiento, estas personas no son cualquier poseedor de una tarjeta SIM, sino personas con un perfil muy concreto, ya que se trata de quienes hayan hecho uso del teléfono tras su sustracción, o que lo tengan aún en su posesión, y que por tanto pueden legítimamente ser consideradas sospechosas de haber cometido el delito o de estar relacionadas con los autores de este.

35.      A fortiori, los datos de que se trata no son cualquier tipo de «datos personales» (25) en posesión de los proveedores de servicios de comunicaciones electrónicas, sino solo los datos personales o de filiación de las personas mencionadas, esto es, su nombre, su apellido y, en su caso, su dirección, (26) datos que pueden llamarse «de contacto». En mi opinión, el resto de información relativa a estas personas que pueda hallarse en los archivos de los citados proveedores (27) está excluido del procedimiento principal.

36.      Por otro lado, la finalidad perseguida en el caso de autos es, a mi juicio, recoger información que no se refiere ni a una localización ni a comunicaciones como tales, (28) sino a personas físicas buscadas por haber podido utilizar un servicio de comunicaciones electrónicas mediante el teléfono sustraído, aunque no hayan realizado una llamada telefónica concreta. En efecto, se desprende de las explicaciones aportadas al Tribunal de Justicia por el Ministerio Fiscal que los datos personales solicitados, que se basan en la asociación entre una tarjeta SIM determinada y el IMEI del apartado sustraído, pueden obtenerse técnicamente gracias a una mera conexión de este con un terminal de telefonía móvil, aunque el poseedor de la tarjeta no haya realizado ninguna llamada de teléfono mediante el teléfono de que se trate y, por tanto, de manera independiente de cualquier comunicación efectiva. (29) Incumbirá al tribunal remitente comprobar este aserto fáctico, que no obstante me parece suficientemente plausible para que resulte razonable considerarlo verídico.

37.      Habida cuenta de todos estos elementos, deseo subrayar ante todo que el litigio principal se refiere a datos personales cuya transmisión no se solicita de manera general e indiferenciada, sino de manera específica en cuanto a las personas y limitada en cuanto a su duración. Además, a primera vista los datos solicitados no son de naturaleza particularmente sensible, aunque los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta pueden verse afectados por el acceso a datos de este tipo. (30)

38.      En segundo lugar, debo poner de manifiesto que se desprende de los fundamentos jurídicos del auto de remisión que las cuestiones prejudiciales planteadas en el presente asunto se caracterizan por no referirse a los requisitos de la conservación de datos personales en el sector de las comunicaciones electrónicas, sino más bien a los procedimientos de acceso de las autoridades nacionales a tales datos que han sido conservados por los proveedores de servicios que operan en este sector. (31)

39.      El tribunal remitente indica, en particular, que en virtud del artículo 588 ter j de la Ley de Enjuiciamiento Criminal, se requiere autorización judicial para la transmisión de los datos electrónicos archivados por los prestadores de servicios a las autoridades competentes a efectos de ser tenidos en cuenta en un procedimiento penal. El apartado 1 de este artículo precisa que los prestadores pueden conservar dichos datos en virtud de la normativa pertinente o por propia iniciativa, por razones comerciales o de otro tipo.

40.      En el caso de autos, las operadoras de telefonía móvil pudieron archivar los datos personales a los que las autoridades policiales solicitaron acceso para la investigación en ejecución de una obligación derivada de la normativa española. (32) El tribunal remitente no ofrece indicaciones a este respecto, debiendo recordarse que su petición de decisión prejudicial se centra en el posible acceso a datos que ya están conservados y sabiendo que la conformidad del almacenamiento de los datos con las exigencias del Derecho de la Unión no se discute en el litigio principal. (33) Por lo tanto, a mi juicio procede partir de la premisa de que los datos que son objeto del procedimiento principal se han conservado con arreglo a la normativa nacional, respetando los requisitos establecidos en el artículo 15, apartado 1, de la Directiva 2002/58, extremo que corresponde verificar exclusivamente al órgano jurisdiccional remitente. (34)

41.      En la exposición que sigue volveré a examinar las implicaciones jurídicas de las consideraciones que he esbozado con carácter preliminar. (35)

B.      Sobre las excepciones procesales formuladas por el Gobierno español

42.      El Gobierno español formula dos categorías de excepciones procesales, relativa una de ellas a la competencia del Tribunal de Justicia y la otra a la admisibilidad de la petición de decisión prejudicial, sobre las que el Tribunal de Justicia deberá pronunciarse antes de que, en su caso, decida sobre el fondo del asunto.

1.      Sobre la competencia del Tribunal de Justicia en relación con el ámbito de aplicación del Derecho de la Unión

43.      De entrada, debo recordar que de jurisprudencia reiterada se desprende que los derechos fundamentales garantizados en el ordenamiento jurídico de la Unión, concretamente los consagrados en artículos 7 y 8 de la Carta, solo se aplican si la situación de que se trata está regulada por el Derecho de la Unión. (36) Además, el artículo 51, apartado 1, de la Carta establece que las disposiciones de esta se dirigen a los Estados miembros únicamente «cuando apliquen el Derecho de la Unión», con arreglo a la jurisprudencia del Tribunal de Justicia relativa a este concepto. (37) Pues bien, cuando una situación jurídica no está comprendida en el ámbito de aplicación del Derecho de la Unión, el Tribunal de Justicia no tiene competencia para conocer de ella y las disposiciones de la Carta eventualmente invocadas no pueden fundar por sí solas tal competencia. (38)

44.      En el caso de autos, las cuestiones prejudiciales planteadas por el tribunal remitente se refieren únicamente a los artículos 7 y 8 de la Carta y a «los principios constitucionales de la Unión, utilizados por el TJUE en su sentencia [Digital Rights]». No obstante, el Tribunal de Justicia considera que las directivas aplicables en materia de protección de datos personales, como la Directiva 95/46 y la Directiva 2002/58, establecen el vínculo de conexión entre el litigio principal y el Derecho de la Unión exigido en virtud del artículo 51, apartado 1, de la Carta.

45.      A este respecto, en primer lugar observo que el Gobierno español sostiene, con carácter principal, que el Tribunal de Justicia carece de competencia para pronunciarse sobre la presente petición de decisión prejudicial, debido a que esta no se refiere a la aplicación del Derecho de la Unión. En particular alega que el litigio principal estará excluido del ámbito de aplicación del Derecho de la Unión, dado quese refiere al acceso de la Policía Judicial a datos que está sometido a una resolución judicial en el marco de la investigación de un delito, lo que constituye una actividad del Estado en materia penal (39)y, por tanto, está incluido en las excepciones previstas en el artículo 1, apartado 3, de la Directiva 2002/58 y en el artículo 3, apartado 2, primer guion, de la Directiva 95/46(40) En la vista, el Gobierno del Reino Unido indicó que compartía el punto de vista del Gobierno español.

46.      Sin embargo, considero que la Directiva 2002/58 es de aplicación a medidas nacionales como las controvertidas en el litigio principal. En efecto, el Tribunal de Justicia ya ha declarado en la sentencia Tele2 que las legislaciones nacionales sobre conservación de datos a efectos de la lucha contra la delincuencia están incluidas en el ámbito de aplicación de esta Directiva, no solo en la medida en que definen las obligaciones de las autoridades nacionales en ese ámbito, sino también en la medida en que regulan el acceso de las autoridades nacionales a los datos conservados en este marco. (41) Al igual que la Comisión, opino que las consideraciones expuestas en esa sentencia son extrapolables a las normas nacionales aplicables al caso de autos, esto es, las que se derivan de la Ley 25/2007 en relación con la Ley de Enjuiciamiento Criminal en su versión modificada por la Ley Orgánica 13/2015, (42) y por tanto extrapolables al objeto del litigio principal.

47.      Deseo añadir que es preciso no confundir, por un lado, los datos personales tratados directamente en el marco de las actividades —de índole regaliana— (43) del Estado en un ámbito incluido en el Derecho penal, (44) y por otro, las tratadas en el marco de actividades —de naturaleza mercantil— de un prestador de servicios de comunicaciones electrónicas que después emplean las autoridades estatales competentes. (45) Por otro lado, he de señalar que se ha planteado recientemente al Tribunal de Justicia una petición de decisión prejudicial relativa, en particular, a la interpretación del artículo 1, apartado 3, de la Directiva 2002/58 en el marco de la utilización, por parte de los servicios de seguridad e información de un Estado miembro, de datos que dichos prestatarios deben transmitirles en masa, (46) problemática que a mi juicio no procede resolver en el presente asunto. (47)

48.      En segundo lugar, observo que se han planteado otros interrogantes en relación con el ámbito de aplicación de la Directiva 2002/58 de los que depende la competencia del Tribunal de Justicia en el presente asunto, habida cuenta del tipo de datos de que se trata en el litigio principal.

49.      Como ya he indicado, (48) se desprende de los documentos obrantes en autos que la solicitud de acceso controvertida tiene por objeto obtener información sobre la identidad de los titulares o usuarios de números de teléfono correspondientes a las tarjetas SIM que se activaron mediante el teléfono móvil sustraído para hallar a las personas que han estado en posesión del aparato, no para obtener información sobre las llamadas en su caso realizadas a partir de él.

50.      En otras palabras, aunque haya podido verse afectada una mayor variedad de datos personales en virtud de la normativa española, (49) el presente litigio principal versa únicamente sobre datos relativos a la identidad de «usuarios», en el sentido del artículo 2, párrafo segundo, letra a), de la Directiva 2002/58, no a una «localización» (50) de tipo alguno, en el sentido del mencionado artículo 2, párrafo segundo, letra c), ni a las «comunicaciones» como tales, en el sentido de ese mismo artículo 2, párrafo segundo, letra d). (51)

51.      Según el Ministerio Fiscal, los Gobiernos español, danés, irlandés, letón y del Reino Unido y la Comisión, la información como la que es objeto del litigio principal, siempre que se considere de manera aislada, es decir, con independencia de las comunicaciones que en su caso se hayan realizado, no debería en principio estar cubierta tampoco por el concepto de «datos de tráfico», en el sentido del mencionado artículo 2, párrafo segundo, letra b), que los define como «cualquier dato tratado a efectos de la conducción de una comunicación a través de una red de comunicaciones electrónicas o a efectos de la facturación de la misma». (52)

52.      Ciertamente, parece que los datos de identificación que en el presente asunto solicita la Policía Judicial no se refieren al «tráfico» de comunicaciones propiamente dicho, en la medida en que resulta que estos datos pueden obtenerse aunque no se haya realizado ninguna llamada con el aparato sustraído, y, por lo tanto, a pesar de que ningún operador de telefonía haya conducido comunicación interpersonal alguna durante el período concreto. (53)

53.      Sin embargo, en mi opinión un litigio como el principal está comprendido en el ámbito de aplicación de la Directiva 2002/58, dado que el tratamiento de la información asociada a las tarjetas SIM y a sus titulares, objeto del caso de autos, es necesario, desde un punto de vista comercial, para la prestación de servicios de comunicaciones electrónicas, (54)o al menos a efectos de facturar el servicio prestado, (55) con independencia de que se hayan realizado llamadas o no en el marco de esta prestación.

54.      En efecto, considerando los artículos 1, apartado 1, y 3 de la Directiva 2002/58, (56) comparto la opinión expresada, en particular, por la Comisión, según la cual esta Directiva pretende regular, de manera global, el tratamiento de datos personales llevado a cabo en el marco de la prestación de servicios de comunicaciones electrónicas, de modo que su ámbito de aplicación incluye los datos relativos a la identidad de los usuarios de estos servicios, como los que son objeto del presente asunto, y no solo los relativos a una comunicación concreta. Habida cuenta también de los objetivos de protección de dicha Directiva, que consisten principalmente en la salvaguardia de los derechos fundamentales garantizados por la Carta, (57) considero por tanto que el concepto de «comunicación», en el sentido de este acto normativo, debe entenderse en sentido lato y que el principio de confidencialidad de las comunicaciones que prevé (58) está claramente en juego en el caso de autos.

55.      En mi opinión, corrobora asimismo esta interpretación una sentencia anterior del Tribunal de Justicia en la que este ya admitió que el ámbito de aplicación de la Directiva 2002/58 incluía un litigio relativo a la transmisión de nombres y direcciones de usuarios de un servicio de comunicación electrónica. (59) Deseo añadir que, a mi juicio, el artículo 12 de esta Directiva, relativo a los anuarios de abonados, se refiere ciertamente a datos de esta naturaleza (60) y que su considerando 15 refleja también una concepción amplia del concepto de «comunicación», que incluye, en particular, las «direcciones facilitad[as] por el remitente de una comunicación o el usuario de una conexión para llevar a cabo la comunicación». (61)

56.      A mayor abundamiento, un enfoque de este tipo es congruente con la jurisprudencia del Tribunal Europeo de Derechos Humanos (TEDH) en la materia, (62) debiendo recordarse que el preámbulo de la Directiva 2002/58 subraya que esta tiene por objeto garantizar la confidencialidad de las comunicaciones y el derecho a la intimidad de los usuarios de conformidad con el CEDH según la interpretación que hace de dicho Convenio ese Tribunal, (63) aunque este acto normativo no está formalmente integrado en el ordenamiento jurídico de la Unión. (64)

57.      Por consiguiente, considero que un litigio como el principal está incluido en el ámbito de aplicación material de la Directiva 2002/58 y que, por tanto, la excepción de incompetencia formulada por el Gobierno español debe desestimarse.

58.      No obstante, en aras de la exhaustividad, deseo precisar que, en el caso de que no se reconozca la aplicabilidad de la Directiva 2002/58 a un supuesto como este, la Directiva 95/46, evocada tanto por el tribunal remitente como por el Gobierno español, no puede constituir al base de la competencia del Tribunal de Justicia para pronunciarse en el presente asunto.

59.      En efecto, como indica la Comisión, la Directiva 95/46 constituye la norma de alcance general en materia de tratamiento de datos personales, (65) pero las cuestiones prejudiciales planteadas por el tribunal remitente carecerían a mi juicio de pertinencia si se examinaran únicamente desde este ángulo, dado que tienen por objeto determinar el umbral a partir del cual los delitos pueden calificarse de «graves» en el sentido de la jurisprudencia derivada de las sentencias Digital Rights y Tele2, que no tenían por objeto la interpretación de esta Directiva. (66)

2.      Sobre la admisibilidad de la petición de decisión prejudicial

60.      Con carácter subsidiario, el Gobierno español sostiene, en caso de que el Tribunal de Justicia declare que es competente para responder a las cuestiones prejudiciales planteadas, que debe declararse que la petición de decisión prejudicial es inadmisible, por dos razones.

61.      En primer lugar, el Gobierno español alega que el tribunal remitente no ha identificado de forma clara el marco normativo de la Unión sobre el que el Tribunal de Justicia debe pronunciarse.

62.      A este respecto, he de recordar la jurisprudencia reiterada según la cual, en el marco de la cooperación establecida por el artículo 267 TFUE, el Tribunal de Justicia solo puede negarse a pronunciarse sobre cuestiones prejudiciales, que disfrutan de una presunción de pertinencia, cuando resulta evidente que la interpretación o la apreciación de validez de una norma de la Unión solicitada no guardan relación alguna con la realidad o con el objeto del litigio principal, cuando el problema es de naturaleza hipotética o cuando el Tribunal de Justicia no dispone de los elementos de hecho o de Derecho necesarios para dar una respuesta útil a las cuestiones planteadas. (67)

63.      Sin embargo, considero que, en el caso de autos, la alegación formulada por el Gobierno español no está fundada. En efecto, vistas las indicaciones aportadas por el tribunal remitente, estimo que este identificó suficientemente las disposiciones del Derecho de la Unión que a su entender son pertinentes. Debo recordar, por un lado, que las cuestiones prejudiciales planteadas tienen por objeto interpretar los artículos 7 y 8 de la Carta, por otro, que dicho tribunal expone que las Directivas 95/46 y 2002/58 constituyen el vínculo de conexión necesario entre la normativa nacional aplicable en el litigio principal y el Derecho de la Unión, (68) y, por último, que la Directiva 2002/58 tiene por objeto, como establece su considerando 2, garantizar, en particular, el pleno respeto de los derechos reconocidos en los artículos 7 y 8 de la Carta. (69)

64.      Deseo añadir que carece de incidencia que una de las normas españolas evocadas en el auto de remisión, a saber, la Ley 25/2007, tuviera por objeto trasponer la Directiva 2006/24, que fue derogada tras haber sido declarada invalidada por la sentencia Digital Rights. (70) Como indica acertadamente el tribunal remitente, sería incorrecto considerar que las cuestiones prejudiciales sometidas al Tribunal de Justicia en el presente asunto carecen de pertinencia debido a esa declaración de invalidez. Sobre este particular, basta señalar que la materia sobre la que tratan estas cuestiones prejudiciales, la protección de datos personales, forma parte del ámbito competencial de la Unión y que el litigio principal está comprendido en el ámbito de aplicación de una norma del Derecho de la Unión, la Directiva 2002/58, (71) que la invalidada Directiva 2006/24 estaba destinada a modificar.

65.      Por otro lado, puede observarse que las partes que han presentado observaciones ante el Tribunal de Justicia parten en su gran mayoría del principio de que la presente petición de decisión prejudicial debe examinarse conforme al artículo 15, apartado 1, de la Directiva 2002/58, leído a la luz de los artículos 7 y 8 de la Carta, y sobre la base de las conclusiones que se derivan de las sentencias Digital Rights y Tele2. Soy también de esta opinión, debiendo precisar que la expresión «delitos», no «delitos graves», figura en la Directiva 2002/58, y únicamente en el mencionado artículo 15, apartado 1. (72)

66.      En segundo lugar, el Gobierno español sostiene que el artículo 7 de la Carta, que constituye el elemento central de la presente petición de decisión prejudicial, no es relevante, debido a que la diligencia de investigación solicitada en el litigio principal no se refiere a la interceptación de las comunicaciones y por tanto, no afecta a su confidencialidad, de modo que las cuestiones planteadas son hipotéticas.

67.      Por mi parte, considero que el artículo 7 de la Carta es ciertamente pertinente en el presente asunto y que, en consecuencia, la petición de decisión prejudicial no es hipotética. Si bien es cierto que en el caso de autos no existe riesgo de que se restrinja el derecho al secreto de las comunicaciones, habida cuenta del objeto de la diligencia controvertida en el litigio principal, (73) no lo es menos que una diligencia de este tipo puede limitar el derecho al respeto de la vida privada garantizado por dicha disposición, aunque la restricción sea a mi juicio de escasa magnitud. (74)

68.      En efecto, como ya ha declarado reiteradamente el Tribunal de Justicia de manera reiterada, la comunicación de datos personales a un tercero, como una autoridad pública, constituye una injerencia en el derecho fundamental consagrado en el artículo 7 de la Carta, cualquiera que sea la utilización posterior de la información comunicada. Lo mismo puede decirse de la conservación de datos personales, en particular por parte de los proveedores de servicios de comunicaciones electrónicas, y del acceso a dichos datos para su uso por parte de las autoridades públicas. (75)

69.      Por consiguiente, considero que debe desestimarse la excepción de inadmisibilidad formulada por el Gobierno español y que, por lo tanto, procede pronunciarse sobre el fondo de la petición de decisión prejudicial.

C.      Sobre los elementos que determinan la gravedad suficiente de una infracción que justifica una injerencia en los derechos fundamentales de que se trata (primera cuestión prejudicial)

70.      Mediante su primera cuestión prejudicial el tribunal remitente pregunta al Tribunal de Justicia, en esencia, cuáles son los elementos que han de tenerse en cuenta para considerar que determinados delitos tienen gravedad suficiente para justificar que se restrinjan los derechos fundamentales garantizados por los artículos 7 y 8 de la Carta, en el marco de la conservación de datos personales y del acceso a tales datos, con arreglo a la jurisprudencia derivada de la sentencia Digital Rights, seguida de la sentencia Tele2.

71.      Sobre este particular, he de señalar que la sentencia Digital Rights empleó el concepto de «delitos graves», (76) a veces en combinación con el concepto de «delincuencia grave», (77) como criterio de verificación de la finalidad y la proporcionalidad de la injerencia en los derechos fundamentales antes mencionados que entrañaban las disposiciones del Derecho de la Unión relativas a los datos personales, a saber, las de la Directiva 2006/24. Deseo precisar que este concepto, que no figura en la Directiva 2002/58, (78) se utilizó en la Directiva 2006/24, (79) cuya invalidez fue objeto de dicha sentencia. Posteriormente, el Tribunal de Justicia hizo uso de estos dos conceptos en la sentencia Tele2, (80) como mismo criterio de apreciación, pero relativo esta vez a la conformidad con el Derecho de Unión (81) de disposiciones adoptadas por los Estados miembros.

72.      Más concretamente, la primera cuestión prejudicial invita al Tribunal de Justicia a que declare si, para apreciar la existencia de un «delito grave» que pueda justificar una injerencia en los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta en materia de datos personales, es preciso considerar únicamente la pena impuesta al delito de que se trata o si debe considerarse además el carácter particularmente lesivo de la conducta delictiva respecto de los bienes jurídicos individuales o colectivos en juego.

73.      No obstante, como la Comisión, considero que, antes de pronunciarse sobre esta cuestión, procede examinar si la injerencia controvertida en un litigio como el principal es de una gravedad lo suficientemente elevada que para poder ser admitida se exija, en virtud del Derecho de la Unión, que esté justificada por la lucha contra un delito grave. En efecto, a mi juicio, si este no es el caso, el Tribunal de Justicia deberá interpretar las disposiciones pertinentes del Derecho de la Unión tras haber reformulado la primera cuestión prejudicial planteada (82) en la medida en que resulte necesario habida cuenta de las circunstancias del litigio principal, y no limitándose a lo solicitado por el tribunal remitente. (83)

1.      Sobre la toma en consideración de la falta de gravedad de la injerencia controvertida

74.      Ante todo, debe señalarse que operaciones como las controvertidas en el litigio principal pueden claramente restringir los derechos fundamentales garantizados por los artículos 7 y 8 de la Carta y, por lo tanto, constituir unainjerencia en estos derechos, en el sentido de la jurisprudencia derivada de las sentencias Digital Rights y Tele2.

75.      Ciertamente, como evocaron los Gobiernos español y danés en sus observaciones orales, (84) y ya he indicado, (85) los datos a los que las autoridades responsables de la investigación del delito de que se trata desean acceder parecen revestir un carácter menos sensible que otras categorías de datos personales, (86) sabiendo que la solicitud de que se trata se refiere únicamente al nombre, los apellidos y, en su caso, la dirección de las personas objeto de dicha investigación, en su condición de usuarios de números de teléfono activados desde el teléfono móvil sustraído que constituye el objeto de la investigación.

76.      Sin embargo, considero que, para determinar si ciertos datos personales deben estar cubiertos por la protección establecida por el Derecho de la Unión, y en particular por la Directiva 2002/58, (87) es indiferente si la información a la que se refiere la petición de conservación o de comunicación tiene o no un determinado carácter sensible. En efecto, como se puso de manifiesto en el marco de los primeros trabajos legislativos en la materia, «según la finalidad a la que esté destinado, todo dato sobre una persona, aun cuando parezca inofensivo, puede tener carácter sensible (por ejemplo, una simple dirección postal)». (88) A mayor abundamiento, el Tribunal de Justicia ya ha declarado que, para caracterizar la existencia de una injerencia en el derecho fundamental consagrado en el artículo 7 de la Carta, «carece de relevancia que la información relativa a la vida privada de que se trate tenga o no carácter sensible o que los interesados hayan sufrido o no inconvenientes en razón de tal injerencia». (89)

77.      Por otro lado, he de recordar que la comunicación de datos de carácter personal a un tercero, incluso a una autoridad pública como la Policía Judicial, constituye una injerencia en el derecho fundamental garantizado en el artículo 7 de la Carta, (90) aun en el caso de que esa información se transmite para investigar un delito, situación que además está expresamente contemplada en el artículo 15, apartado 1, de la Directiva 2002/58. (91) Añadiré que una operación de este tipo también puede constituir una injerencia en la protección de los datos personales garantizada en el artículo 8 de la Carta, en la medida en que supone el tratamiento de datos personales. (92)

78.      Por lo tanto, considero que procede declarar que una diligencia como la controvertida en el litigio principal constituye una injerencia en los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta.

79.      Sin embargo, a mi juicio, en las circunstancias del caso de autos, falta un elemento esencial que el Tribunal de Justicia tuvo en cuenta para exigir que, en la fase de la justificación de la injerencia, exista un «delito grave» —concepto cuya definición solicita el tribunal remitente— para poder establecer una excepción al principio de confidencialidad de las comunicaciones electrónicas. El elemento que a mi juicio falta en el presente asunto para que pueda darse respuesta a la primera cuestión prejudicial en los términos empleados por dicho tribunal es la gravedad de la injerencia controvertida, factor que, si concurriera, haría necesario que existiera una justificación reforzada.

80.      A este respecto, he de señalar que, en la sentencia Digital Rights, el Tribunal de Justicia puso de manifiesto la amplitud y el carácter particularmente grave de la injerencia causada por la normativa de que se trataba, señalando en particular que «la Directiva 2006/24 abarca de manera generalizada a todas las personas, medios de comunicación electrónica y datos relativos al tráfico sin que se establezca ninguna diferenciación, limitación o excepción en función del objetivo de lucha contra los delitos graves». (93)

81.      De modo similar, en la sentencia Tele2 el Tribunal de Justicia declaró que «el artículo 15, apartado 1, de la Directiva 2002/58 […] se opone a una normativa nacional que establece, con la finalidad de luchar contra la delincuencia, la conservación generalizada e indiferenciada de todos los datos de tráfico y de localización de todos los abonados y usuarios registrados en relación con todos los medios de comunicación electrónica». (94) En dicha sentencia se estableció también una correlación entre, por un lado, la particular «gravedad de la injerencia» declarada y, por otro, la necesidad de justificar una restricción de tal alcance de los derechos fundamentales garantizados por los artículos 7 y 8 de la Carta, basándose en una razón de interés general tan primordial como la «lucha contra la delincuencia grave». (95)

82.      Esta relación entre la gravedad de la injerencia observada y la gravedad de la razón que permite justificarla se estableció de acuerdo con el principio de proporcionalidad. (96) A mayor abundamiento, a mi juicio el TEDH ha establecido en su jurisprudencia relativa al artículo 8 del CEDH (97) una relación equivalente a la que en mi opinión se desprende de las sentencias Digital Rights y Tele2.

83.      Pues bien, como he evocado anteriormente (98) y como han subrayado, más concretamente, los Gobiernos francés y del Reino Unido y la Comisión, la naturaleza de la injerencia controvertida en el litigio principal es, en varios aspectos, distinta de las que examinó el Tribunal de Justicia en las dos sentencias anteriores. Por consiguiente, la conformidad con el Derecho de la Unión de una diligencia como la que es objeto del presente asunto debe examinarse de manera diferente.

84.      En el caso de autos, no se trata de una medida relativa a una obligación de conservación generalizada e indiferenciada de los datos de tráfico y de la localización de cualquier abonado o usuario inscrito que afecte a todos los medios de comunicación electrónicos. Se trata de una medida limitada que tiene por objeto la posibilidad de acceso, por parte de las autoridades competentes y para llevar a cabo la investigación de un delito, a datos conservados con fines comerciales por los prestadores de servicios y que se refiere únicamente a la identidad (nombre, apellidos y en su caso la dirección) de una categoría restringida de abonados o usuarios de un medio de comunicación específico, esto es, aquellos cuyo número de teléfono haya sido activado desde el teléfono móvil cuya sustracción es objeto de la investigación, y durante un período limitado, doce días. (99)

85.      Debo añadir que los efectos potencialmente perjudiciales para las personas a las que se refiere la solicitud de acceso controvertida son a la vez moderados y limitados. En efecto, se trata de utilizar tales datos en el marco específico de una diligencia de investigación, no de divulgarlos al público en general. (100) A mayor abundamiento, en virtud del Derecho español la facultad de acceso concedida a la Policía Judicial está acompañada de garantías procesales, ya que lleva consigo un control judicial, que en el litigio principal condujo además a que se denegara la solicitud de la Policía.

86.      A mi juicio, la injerencia en los derechos fundamentales antes mencionados que entraña la comunicación de estos datos personales o de filiación no reviste una carácter particularmente grave, (101) dado que datos de esta naturaleza y de un alcance tan limitado no permiten por sí mismos obtener información diversa o precisa sobre las personas de que se trata (102) y, por lo tanto, en esas circunstancias concretas no afectan directamente y en gran medida a su vida privada. (103)

87.      Por consiguiente, considero, como la Comisión, que, para aportar al tribunal remitente las indicaciones pertinentes para resolver el litigio del que conoce, procede reformular la primera cuestión prejudicial de modo que la respuesta que dé el Tribunal de Justicia verse sobre la interpretación del artículo 15, apartado 1, de la Directiva 2002/58 teniendo en cuenta circunstancias como las del caso de autos, a saber, una injerencia en los derechos fundamentales antes mencionados que carece de gravedad particular y está fundada en la lucha contra un tipo de delitos de cuya gravedad se duda.

88.      A este respecto, debo recordar que, puesto que los objetivos que pueden justificar una normativa nacional que establece una excepción al principio de confidencialidad de las comunicaciones electrónicas se enumeran de manera exhaustiva en el artículo 15, apartado 1, de la Directiva 2002/58, el acceso a los datos conservados debe responder efectiva y estrictamente a uno de estos objetivos. (104) Entre estos últimos figura el objetivo de interés general consistente en «la prevención, investigación, descubrimiento y persecución de delitos», (105) sin realizar precisión alguna en cuanto a su naturaleza.

89.      De la terminología empleada se desprende que no es imperativo que, en virtud del mencionado artículo 15, apartado 1, los delitos que legitiman la medida restrictiva de que se trata puedan calificarse de «graves» en el sentido de la jurisprudencia derivada de las sentencias Digital Rights y Tele2. En mi opinión, solo cuando la injerencia es particularmente grave, como en los asuntos que dieron lugar a las citadas sentencias, las infracciones que pueden justificar una injerencia de este tipo deben ser, a su vez, de una particular gravedad. En cambio, en el supuesto de una injerencia leve, procede volver al principio de base resultante del tenor de esta disposición, a saber, que todo tipo de «delitos» puede justificarla.

90.      A mi juicio, no debe adoptarse una concepción demasiado amplia de los requisitos establecidos por el Tribunal de Justicia en estas dos sentencias, para no obstaculizar, al menos excesivamente, la posibilidad de que los Estados miembros establezcan una excepción al régimen instaurado por la Directiva 2002/58, que les concede el artículo 15, apartado 1, de esta, en los supuestos en los que las intrusiones en la vida privada de que se tratan tengan al mismo tiempo una finalidad legítima y un alcance reducido, como las que supone en el caso de autos la solicitud de la Policía Judicial. Más concretamente, considero que el Derecho de la Unión no se opone a que las autoridades competentes puedan acceder a los datos personales o de filiación en poder de los proveedores de servicios de comunicaciones electrónicas que permitan encontrar a los supuestos autores de un delito que no revista carácter grave.

91.      En consecuencia, propongo al Tribunal de Justicia que responda a la cuestión prejudicial, tal como ha sido reformulada, que el artículo 15, apartado 1, de la Directiva 2002/58, leído a la luz de los artículos 7, 8 y 52, apartado 1, de la Carta, debe interpretarse en el sentido de que una medida que permite a las autoridades nacionales competentes acceder, con fines de lucha contra los delitos, a los datos personales o de filiación de los usuarios de números de teléfono activados desde un teléfono móvil específico y durante un período de tiempo limitado, en circunstancias como las controvertidas en el litigio principal, implica una injerencia en los derechos fundamentales garantizados por dicha Directiva y por la Carta que no alcanza un nivel de gravedad suficiente para que dicho acceso deba reservarse a los casos en los que el delito sea grave.

92.      Habida cuenta de la respuesta que propongo, las observaciones siguientes se presentan únicamente con carácter subsidiario, en aras de la exhaustividad.

2.      Sobre la posibilidad de determinar los criterios pertinentes para caracterizar la gravedad suficiente de un delito

93.      En caso de que, contrariamente a lo que preconizo, el Tribunal de Justicia declarara que, no obstante las circunstancias, muy específicas, del litigio principal, en el presente asunto procede determinar qué debe entenderse por «delito grave» en el sentido de la jurisprudencia derivada de las sentencias Digital Rights y Tele2, (106) habría lugar a preguntarse, en primer lugar, si esta calificación es un concepto autónomo del Derecho de la Unión, que por tanto correspondería definir al Tribunal de Justicia. Ahora bien, no es ésta mi opinión, y coincido con el Gobierno francés y la repuesta que propone con carácter principal.

94.      Ante todo, observo que la Directiva 2006/24 de donde proviene el uso de la expresión «delito grave», (107) no contenía ninguna definición de dicho concepto, sino que se remitía en este punto a los ordenamientos jurídicos de los Estados miembros. (108) He de añadir que las consideraciones pertinentes que figuran en las sentencias Digital Rights y Tele2 no deben entenderse, a mi juicio, en el sentido de que tienen por objeto armonizar las normas vigentes en los Estados miembros que se refieren al contenido de este concepto.

95.      A este respecto, recuerdo que la legislación penal y las normas que rigen el proceso penal son competencia de los Estados miembros, aunque su ordenamiento jurídico pueda no obstante verse afectado por las disposiciones del Derecho de la Unión adoptadas en este ámbito. (109) Con arreglo al artículo 83 TFUE, apartado 2, la Unión solo podrá adoptar directivas al objeto de establecer normas mínimas relativas a la definición de las infracciones penales y de las sanciones en el ámbito de que se trate cuando la aproximación del Derecho penal de los Estados miembros resulte imprescindible para garantizar la ejecución eficaz de una política de la Unión en un ámbito que haya sido objeto de medidas de armonización. Ahora bien, en el estado actual del Derecho de la Unión, no existe una disposición de carácter general que proporcione una definición armonizada del concepto de «delito grave». (110)

96.      En mi opinión la facultad de determinar qué constituye un «delito grave» corresponde en principio a las autoridades competentes de los Estados miembros. Sin embargo, a través de las peticiones de decisión prejudicial que los tribunales de los Estados miembros pueden plantearle, el Tribunal de Justicia es responsable de velar por el respeto de todas las exigencias derivadas del Derecho de la Unión, y, en particular, de garantizar la aplicación coherente de la protección que ofrecen las disposiciones de la Carta.

97.      La calificación jurídica de que se trata no solo puede variar de un Estado miembro a otro, en función de las tradiciones de cada uno y sus prioridades, sino que también cambian en el tiempo, en función de las orientaciones que se dan a la política penal, hacia una mayor o menor severidad, para tener en cuenta la evolución de la criminalidad (111) y, con carácter más general, las transformaciones de la sociedad y las necesidades, normalmente en términos de represión penal, a escala nacional.

98.      Además, subrayo que, sabiendo que existen grandes diferencias entre los baremos de las sanciones que se aplican tradicionalmente en los diversos Estados miembros, (112) la gravedad de un delito no depende únicamente de la importancia de la pena que conlleva. La cuestión de si un delito tiene carácter grave es muy relativa, en el sentido de que depende de la gradación de las sanciones que se aplican en general en el Estado miembro de que se trata. De este modo, que un Estado miembro prevea una pena privativa de libertad de menor duración o una pena alternativa a la prisión no prejuzga sin embargo la gravedad intrínseca del tipo de infracción de que se trata. (113)

99.      En mi opinión, deben respetarse las especificidades del sistema de Derecho penal de cada uno de los Estados miembros, siempre que el Derecho de la Unión no establezca obligaciones que les vinculen de manera estricta, por analogía con lo que el Tribunal de Justicia declaró en relación con la salvaguardia de la seguridad pública, (114) concepto próximo a mi entender al de lucha contra la delincuencia grave, en particular teniendo en cuenta el tenor del artículo 15, apartado 1, primera frase, de la Directiva 2002/58.

100. En consecuencia, con carácter subsidiario soy de la opinión de que el concepto de «delito grave», en el sentido de la jurisprudencia del Tribunal de Justicia derivada de las sentencias Digital Rights y Tele2, no constituye un concepto autónomo del Derecho de la Unión cuyo contenido haya de definir el Tribunal de Justicia, aunque no es menos cierto que los Estados miembros deben aplicar la excepción prevista en el artículo 15, apartado 1, de la Directiva 2002/58 de manera conforme con las obligaciones derivadas del Derecho de la Unión, en particular de los derechos fundamentales garantizados por la Carta, bajo el control del Tribunal de Justicia.

101. Sobre este último particular, debo señalar que se desprende de la jurisprudencia del Tribunal de Justicia, concretamente, que el mencionado artículo 15, apartado 1, en la medida en que permite a los Estados miembros limitar el alcance de determinados derechos y obligaciones previstos por dicha Directiva, debe ser objeto de una interpretación estricta y por tanto no puede llevar a que la excepción a estos derechos y obligaciones de principio se convierta en la regla. (115) Por lo tanto, los Estados miembros no deben entender de manera excesivamente amplia el alcance del mencionado concepto de «delito grave».

102. En segundo lugar, y con carácter todavía más subsidiario, en el supuesto en que el Tribunal de Justicia considerara que dicho concepto es autónomo, debería responder a la cuestión prejudicial tal como la formula el tribunal remitente y, en consecuencia, pronunciarse sobre la determinación de criterios que permitan apreciar, a escala del Derecho de la Unión, si un delito es suficientemente grave para justificar la restricción de los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta.

103. Más concretamente, el Tribunal de Justicia debería determinar si, para demostrar la existencia de un «delito grave» en el sentido de dicha jurisprudencia, basta con basarse en la pena prevista para el delito cuya comisión se imputa o si es preciso además que la conducta delictiva haya sido particularmente lesiva para los bienes jurídicos individuales o colectivos en juego. A este respecto, procede, a mi juicio, como mantienen los Gobiernos español, danés, francés, húngaro, austriaco, polaco y del Reino Unido, no optar por la primera parte de esta disyuntiva, sino por la segunda, privilegiando en esencia una definición basada en una pluralidad de criterios de apreciación. (116)

104. En relación con la gravedad del delito que puede justificar el acceso a los datos, considero, habida cuenta del principio de proporcionalidad, que es imposible determinar la gravedad de los hechos imputados teniendo en cuenta solo la pena que puede imponerse. En efecto, dadas las notables diferencias que siguen existiendo entre los sistemas sancionadores de los Estados miembros, considero que la pena impuesta no puede reflejar por sí misma la gravedad particular de un delito, ni desde el punto de vista cualitativo del tipo de pena, ni desde el punto de vista cuantitativo de la gravedad de la pena.

105. Aunque la pena tiene una importancia considerable, otros factores objetivos deben asimismo tenerse en cuenta, de manera casuística, a este respecto. Concretamente se trata, por un lado, del contexto en el que se inscribe el delito cuya comisión se imputa —si la conducta delictiva es de carácter doloso, concurren circunstancias agravantes o el autor es reincidente—, por otro lado, de la importancia de los bienes jurídicos de la sociedad que han podido resultar lesionados por el autor del delito y la naturaleza o la magnitud de los daños sufridos por la víctima, (117) y, por último, de la gradación de las penas en general en el Estado miembro de que se trate. (118) A mi juicio, procede calificar en su caso un delito de «grave», en el sentido de la jurisprudencia del Tribunal de Justicia, a partir de este conjunto de criterios de apreciación, alternativos y no exhaustivos.

106. He de añadir que la interpretación propuesta es conforme con el enfoque que a mi entender adopta el TEDH en su jurisprudencia relativa a la «prevención del delito», como objetivo que permite justificar una injerencia en el derecho a la vida privada consagrado en el artículo 8 del CEDH, siempre que se cumplan también otros requisitos. (119) A mi juicio, se desprende de esta jurisprudencia que los Estados partes del CEDH pueden invocar válidamente en este marco la lucha contra determinadas categorías de infracciones penales, (120) habida cuenta no solo de la pena impuesta, sino también de diversos factores de evaluación, entre los que figuran, en un lugar destacado, la naturaleza de los delitos de que se trate y los bienes jurídicos públicos y privados en presencia. (121)

107. En consecuencia, a mi juicio, si el Tribunal de Justicia considerara que el concepto de «delito grave», en el sentido de la jurisprudencia derivada de las sentencias Digital Rights y Tele2, es un concepto autónomo del Derecho de la Unión, debería interpretarse en el sentido de que la gravedad de un delito, que puede justificar el acceso de las autoridades nacionales competentes a datos personales en virtud del artículo 15, apartado 1, de la Directiva 2002/58, no debe evaluarse teniendo en cuenta únicamente la pena que puede imponerse, sino tomando en consideración además un conjunto de criterios objetivos de apreciación, como los anteriormente mencionados.

D.      Sobre la definición subsidiaria del umbral mínimo de pena requerido para caracterizar la gravedad suficiente de un delito que justifica una injerencia en los derechos fundamentales de que se trata (segunda cuestión prejudicial)

108. Mediante su segunda cuestión prejudicial el tribunal remitente pide al Tribunal de Justicia, en esencia, por un lado, que identifique el umbral mínimo que la pena impuesta debe alcanzar para que un delito pueda calificarse de «grave», en el sentido de la jurisprudencia derivada de las sentencias Digital Rights y Tele2, así como, por otro lado, que indique si un umbral de tres años de prisión, tal como prevé la Ley de Enjuiciamiento Criminal tras la reforma de 2015, (122) es conforme con las exigencias del Derecho de la Unión.

109. Estos interrogantes se plantean únicamente con carácter subsidiario, para el caso de que el Tribunal de Justicia declare en respuesta a la primera cuestión prejudicial que el carácter grave de un delito, factor que puede justificar una injerencia en los derechos fundamentales con arreglo a dicha jurisprudencia, debe determinarse teniendo en cuenta únicamente la duración de la pena de prisión que se puede infligir.

110. Habida cuenta de la respuesta que propongo dar a la primera cuestión prejudicial, a mi juicio no procede que el Tribunal de Justicia se pronuncie sobre la segunda. No obstante, formularé observaciones sobre este particular en aras de la exhaustividad.

111. En relación con la primera parte de la segunda cuestiónprejudicial considero, como los Gobiernos checo y estonio, que el nivel de pena impuesto que permitiría por sí mismo calificar un delito de «grave» no puede determinarse de manera uniforme para todo el territorio de la Unión, a la luz de las consideraciones anteriormente expuestas en respuesta a la primera cuestión prejudicial planteada por el tribunal remitente. (123)

112. Además, esta variación de la definición de lo que debe entenderse por «delito grave», y más concretamente en cuanto al umbral de la pena a partir del cual se adquiere esta calificación, también está presente en Derecho de la Unión. En efecto, puede apreciarse que las normas del Derecho de la Unión adoptadas sobre la base del artículo 83 TFUE, apartado 1, prevén penas de prisión establecidas en niveles diferentes para delitos que sin embargo se consideran todas incluidas en «ámbitos delictivos […] de especial gravedad», (124) como se desprende, a título de ejemplo, del artículo 3 de la Directiva 2011/92/UE, (125) y del artículo 15 de la Directiva (UE) 2017/541, (126) instrumentos jurídicos relativos a la lucha contra los abusos sexuales cometidos contra menores y a la lucha contra el terrorismo, respectivamente. De este modo, el propio legislador de la Unión no ha optado por una definición uniforme del concepto de «delito grave» a la luz de una duración concreta de la pena impuesta.

113. He de recordar que la libertad de la que gozan los Estados miembros para decidir el umbral mínimo de pena requerido para que los delitos considerados «graves» está enmarcada por las normas que figuran en las disposiciones del Derecho de la Unión en la materia y también por el principio en virtud del cual no se puede conferir a una excepción una amplitud tal que se convierta de hecho en la regla general. (127)

114. En el caso de autos, aunque cada Estado miembro tiene la facultad de apreciar cuál es la pena mínima adecuada para caracterizar una infracción grave, sin embargo tiene el deber de no fijarlo a un nivel tan bajo, en relación con el nivel habitual de las penas aplicables en dicho Estado, (128) que las excepciones a la prohibición de almacenar y explotar datos personales previstas en este artículo 15, apartado 1, se conviertan en principios, como ha señalado correctamente el Gobierno irlandés.

115. A mayor abundamiento, consta que las injerencias en los derechos garantizados por los artículos 7 y 8 de la Carta, que los Estados miembros pueden autorizar en virtud del artículo 15, apartado 1, de la Directiva 2002/58, siguen estando supeditadas al respeto de los requisitos generales que se desprenden del principio de proporcionalidad, tal como se enuncia en el artículo 52, apartado 1, de la Carta. (129)

116. En relación con la última parte de la segunda cuestión prejudicial, el Gobierno estonio y la Comisión indican, por un lado, que un umbral fijado exclusivamente en una pena de al menos tres años de prisión resulta, en términos absolutos, suficiente para calificar una infracción de «grave», en el sentido de la jurisprudencia del Tribunal de Justicia relativa al acceso a datos personales derivada de la sentencias Digital Rights, y, por otro, que tal umbral no es manifiestamente incompatible con el Derecho de la Unión en general, (130) y concretamente con el artículo 15, apartado 1, de la Directiva 2002/58.

117. Sin embargo, a mi juicio es deseable que el Tribunal de Justicia se abstenga de adoptar posición en favor de una duración precisa de la pena impuesta, ya que lo que es adecuado para determinados Estados miembros no lo será forzosamente para otros y lo que es correcto actualmente para un tipo de infracciones no lo será necesariamente de manera irrevocable en el futuro, como ya he señalado. (131) Toda vez que la determinación del umbral en cuestión requiere de una evaluación compleja y potencialmente evolutiva, en mi opinión debe imponerse la prudencia a este respecto y reservar esta operación a la apreciación del legislador de la Unión en la esfera de las competencias que se le han conferido o a la del legislador de cada Estado miembro, dentro de los límites que suponen las exigencias derivadas del Derecho de la Unión.

118. Sobre este último particular he de señalar que, en el caso de autos, el tribunal remitente afirma que existe riesgo de inversión entre la regla general y las excepciones previstas por la Directiva 2002/58, riesgo evocado anteriormente, (132) cuando indica que «el arco punitivo [establecido en 2015 por el legislador español] [(133)] contempl[a] al menos una pena de tres años de prisión […] que abarca a una significativa mayoría de los tipos penales». Dicho de otro modo, según ese tribunal, la lista actual de delitos que pueden justificar en España restricciones a los derechos protegidos en virtud de los artículos 7 y 8 de la Carta, establecida por la reforma de la Ley de Enjuiciamiento Criminal, conduce en la práctica a que la mayor parte de las infracciones previstas en el Código penal estén incluidas en esa lista.

119. Pues bien, aun suponiendo que el Tribunal de Justicia considere que la injerencia de la que se trata en el litigio principal es grave y que se demuestre la realidad del resultado así evocado por el tribunal remitente, en mi opinión este no sería conforme con la obligación de proporcionalidad a la que están sometidas estas restricciones. (134) A mi entender, ello es así a pesar de la existencia de un control judicial, invocado por el Gobierno español, ya que el ejercicio de ese control solo permite impedir que se apliquen medidas que se declaren, en un análisis caso por caso, arbitrarias o demasiado intrusivas, y no frenar, de modo generalizado, el recurso a medidas de este tipo y su aplicación.

120. Por último, deseo subrayar que el enfoque propuesto en la presente sección concuerda a mi juicio con el seguido por el TEDH en su jurisprudencia relativa a la protección de los datos personales. Ciertamente, como evocan el Gobierno irlandés y la Comisión, ese tribunal ha declarado que las normativas nacionales que definen los delitos «graves» que pueden justificar una injerencia en la vida privada remitiéndose a una pena igual o superior a tres años de prisión son suficientemente claras. (135) No obstante, considero que no ha establecido que la duración de la pena sea un criterio absoluto y fijo a efectos de esta definición, sabiendo que su jurisprudencia a mi juicio se centra en el requisito de la previsibilidad y la claridad suficientes para los ciudadanos teniendo en cuenta no tanto la pena impuesta, sino más bien la naturaleza de los delitos que permiten tal injerencia. (136) Por otro lado, si bien el TEDH reconoce a los Estados miembros un cierto margen para apreciar la existencia y el alcance de la necesidad de tal injerencia, somete no obstante este margen de apreciación a un control a escala europea. (137) Concretamente, vela por evitar los riesgos de abusos a los que conducen normativas que remiten a una panoplia de delitos tan amplia que entrañan que la mayoría de ellos permitan justificar medidas intrusivas. (138)

121. En conclusión, considero que en el caso de que el Tribunal de Justicia declarara —contrariamente a lo que preconizo— que procede tener en cuenta solo la pena impuesta para calificar un delito de «grave», en el sentido de su jurisprudencia derivada de la sentencia Digital Rights, procedería entonces responder a la segunda cuestión perjudicial que los Estados miembros tienen libertad para fijar el umbral mínimo de pena a tal fin, siempre que observen los requisitos resultantes del Derecho de la Unión, en particular aquellos con arreglo a los cuales las injerencias en los derechos fundamentales garantizados en los artículos 7 y 8 de la Carta deben ser excepcionales y respetar el principio de proporcionalidad.

V.      Conclusión

122. Vistas las consideraciones precedentes, propongo al Tribunal de Justicia que responda a las cuestiones prejudiciales planteadas por la Audiencia Provincial de Tarragona del siguiente modo:

«El artículo 15, apartado 1, de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), en su versión modificada por la Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, leído a la luz de los artículos 7, 8 y 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea, debe interpretarse en el sentido de que una medida que permite a las autoridades nacionales competentes acceder, con fines de lucha contra los delitos, a los datos personales o de filiación de los usuarios de números de teléfono activado desde un teléfono móvil específico y durante un período de tiempo limitado, en circunstancias como las controvertidas en el litigio principal, implica una injerencia en los derechos fundamentales garantizados por dicha Directiva y por la Carta que no alcanza un nivel de gravedad suficiente para que dicho acceso deba reservarse a los casos en que el delito sea grave.»


1      Lengua original: francés.


2      Nota no relevante a efectos de la versión española.


3      Sentencia de 8 de abril de 2014 (C‑293/12 y C‑594/12, EU:C:2014:238), en la que el Tribunal de Justicia declaró la invalidez de la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE (DO 2006, L 105, p. 54), debido a que «al adoptar la Directiva 2006/24, el legislador de la Unión sobrepasó los límites que exige el respeto del principio de proporcionalidad en relación con los artículos 7, 8 y 52, apartado 1, de la Carta» (apartado 69).


4      Sentencia de 21 de diciembre de 2016 (C‑203/15 y C‑698/15, EU:C:2016:970), en la que el Tribunal de Justicia declaró que el Derecho de la Unión, por una parte, «se opone a una normativa nacional que establece, con la finalidad de luchar contra la delincuencia, la conservación generalizada e indiferenciada de todos los datos de tráfico y de localización de todos los abonados y usuarios registrados en relación con todos los medios de comunicación electrónica» y, por otra, «se opone a una normativa nacional que regula la protección y la seguridad de los datos de tráfico y de localización, en particular el acceso de las autoridades nacionales competentes a los datos conservados, sin limitar dicho acceso, en el marco de la lucha contra la delincuencia, a los casos de delincuencia grave, sin supeditar dicho acceso a un control previo por un órgano jurisdiccional o una autoridad administrativa independiente, y sin exigir que los datos de que se trata se conserven en el territorio de la Unión» (puntos 1 y 2 del fallo).


5      DO 2002, L 201, p. 37.


6      Directiva del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (DO 2009, L 337, p. 11).


7      Directiva del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31).


8      Concretamente, en la observancia del artículo 8 del CEDH, a cuyo tenor:
«1. Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia.
2. No podrá haber injerencia de la autoridad pública en el ejercicio de este derecho, sino en tanto en cuanto esta injerencia esté prevista por la ley y constituya una medida que, en una sociedad democrática, sea necesaria para la seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención del delito, la protección de la salud o de la moral, o la protección de los derechos y las libertades de los demás».


9      DO 2002, L 108, p. 33.


10      BOE n.o 251, de 19 de octubre de 2007, p. 42517.


11      Ello se desprende tanto del preámbulo de dicha Ley como de sus disposiciones esenciales, cuyo tenor es análogo al de las disposiciones correspondientes de la Directiva 2006/24.


12      BOE n.o 239, de 6 de octubre de 2015, p. 90192.


13      IMEI es la abreviatura de la expresión «International Mobile Equipment Identity» (identidad internacional de equipo móvil). El IMEI es un código de identificación único, compuesto de quince cifras, generalmente inscrito en el interior del compartimento de la batería del teléfono móvil y en la caja y la factura que se entregan al adquirir el aparato.


14      El Gobierno español indica que esta solicitud se dirigía a cuatro operadoras de telefonía y precisa que, en caso de que el IMEI hubiera hecho uso de la red de telefonía de una de estas empresas y la gestión de la red correspondiera a una compañía virtual de telefonía móvil, también debían proporcionarse los datos mencionados recogidos por esta última.


15      Véanse las disposiciones mencionadas en los puntos 13 y 14 de las presentes conclusiones.


16      Véase la sentencia de la Sala de lo Penal de 26 de julio de 2010 (n.o 745/2010, ES:TS:2010:4200), disponible en la siguiente dirección de Internet: http://www.poderjudicial.es/search/contenidos.action?action=contentpdf&databasematch=TS&reference=5697924&links=&optimize=20100812&publicinterface=true.


17      Véanse los puntos 15 y ss. de las presentes conclusiones. Según el tribunal remitente, esta reforma es manifiestamente pertinente para la petición de decisión prejudicial. En la vista, el Gobierno español indicó que la nueva normativa era aplicable al caso de autos.


18      A saber, los delitos de terrorismo y los delitos cometidos en el seno de una organización criminal.


19      Véase la nota 4 de las presentes conclusiones.


20      Véase el apartado 103 de la sentencia Tele2, donde se citan «la delincuencia organizada y el terrorismo». Deseo señalar que el mismo ejemplo doble figuraba en los apartados 24 y 51 de la sentencia Digital Rights, en aparente relación con el tenor de los considerandos 7 a 10 de la Directiva 2006/24, invalidada por dicha sentencia.


21      El tribunal remitente menciona, concretamente, el aparatado 60 de la sentencia Digital Rights, donde el Tribunal de Justicia señala que «la Directiva 2006/24 no fija ningún criterio objetivo que permita delimitar el acceso de las autoridades nacionales competentes a los datos y su utilización posterior con fines de prevención, detección o enjuiciamiento de delitos que, debido a la magnitud y la gravedad de la injerencia en los derechos fundamentales reconocidos en los artículos 7 y 8 de la Carta, puedan considerarse suficientemente graves para justificar tal injerencia. Por el contrario, la Directiva 2006/24 se limita a remitir de manera general, en su artículo 1, apartado 1, a los delitos graves tal como se definen en la legislación nacional de cada Estado miembro.»


22      A este respecto, véanse, en particular, las notas 3 y 4 de las presentes conclusiones.


23      En mi opinión, los «titulares o usuarios» a los que se refiere dicha solicitud son necesariamente personas abonadas, registradas o al menos identificables (véase asimismo la nota 25 de las presentes conclusiones), y no personas que han adquirido una tarjeta SIM sin dejar huella.


24      Véase el punto 20 de las presentes conclusiones.


25      Con arreglo a la definición contenida en el artículo 2, letra a), de la Directiva 95/46, a la que remite el artículo 2 de la Directiva 2002/58, el concepto de «datos personales» incluye «toda información sobre una persona física identificada o identificable», precisando que «se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social». El Tribunal de Justicia ya ha declarado que «el respeto del derecho a la vida privada en lo que respecta al tratamiento de los datos personales se aplica a toda información» correspondiente a esta definición (véase, en particular, la sentencia de 17 de octubre de 2013, Schwarz, C‑291/12, EU:C:2013:670, apartado 26) y que su ámbito de aplicación es muy amplio (véase, en particular, la sentencia de 20 de diciembre de 2017, Nowak, C‑434/16, EU:C:2017:994, apartado 33).


26      Según el Gobierno español, no se solicitó expresamente la dirección de los interesados.


27      Información como, por ejemplo, el estado civil de una persona, el número de su documento nacional de identidad, sus datos bancarios o, en su caso, su abono de telefonía.


28      Información que podría incluir los números correspondientes a las llamadas entrantes o salientes, o la fecha, la duración o la frecuencia de las comunicaciones o su contenido. El Gobierno español precisa que, en el presente asunto, los agentes de policía indicaron expresamente que su solicitud no tenía por objeto obtener datos protegidos por el secreto de las comunicaciones.


29      En otras palabras, estos datos podrían obtenerse mediante la mera activación del aparato móvil de que se trata, sea o no posteriormente utilizado por su titular o poseedor en un proceso de comunicación interpersonal preciso.


30      Véanse los puntos 74 y ss. de las presentes conclusiones.


31      He de precisar que el acceso a datos personales, en términos absolutos, no presenta a mi juicio menos riesgos para los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta que la conservación de datos de esta índole. El peligro podría incluso considerarse mayor, en la medida en que el acceso a datos conservados concreta el uso potencialmente dañoso que puede hacerse de ellos.


32      El Gobierno español señala que en España pueden conservarse legalmente el nombre, los apellidos y, en su caso, la dirección del titular de una tarjeta SIM. En efecto, en mi opinión se desprende de los artículos 1 y 3, apartado 1, letra a), punto 1, inciso ii), de la Ley 25/2007 (véanse los puntos 10 y ss. de las presentes conclusiones), que las operadoras de telefonía móvil están obligadas a conservar los datos generados o tratados en el marco de su prestación de servicios, entre otros, el nombre y apellidos y dirección del abonado o usuario registrado, en la medida en que pueden ser necesarios para encontrar e identificar la fuente de una comunicación. He de recordar que en los artículos 3 y 5, apartado 1, letra a), punto 1, inciso ii), de la Directiva 2006/24, que ha sido transpuesta por dicha Ley, figuraban exigencias equivalentes.


33      Circunstancia que ha sido también señalada por el Tribunal de Justicia en la sentencia de 29 de enero de 2008, Promusicae (C‑275/06, EU:C:2008:54), apartado 45 in fine.


34      Véase, en este sentido, la sentencia de 19 de abril de 2012, Bonnier Audio y otros (C‑461/10, EU:C:2012:219), apartado 37.


35      En particular, en relación con la competencia del Tribunal de Justicia y en lo tocante a la respuesta a la primera cuestión prejudicial, véanse los puntos 43 y ss. y 70 y ss. de las presentes conclusiones, respectivamente.


36      Véase, en particular, la sentencia de 16 de mayo de 2017, Berlioz Investment Fund (C‑682/15, EU:C:2017:373), apartado 49 y jurisprudencia citada.


37      Véase, en particular, la sentencia de 6 de octubre de 2016, Paoletti y otros (C‑218/15, EU:C:2016:748), apartados 14 y ss.


38      Véase, en particular, la sentencia de 1 de diciembre de 2016, Daouidi, C‑395/15, EU:C:2016:917), apartado 63.


39      Según el Gobierno español, se trata de un ejercicio por parte de las autoridades del Estado de la potestad para castigar (ius puniendi). Véanse, sobre este particular, las conclusiones del Abogado General Campos Sánchez-Bordona presentadas en el asunto Breyer (C‑582/14, EU:C:2016:339), puntos 86 a 92.


40      Los principios enunciados en estas disposiciones se mencionan también en el considerando 11 de la Directiva 2002/58, que remite a su artículo 15, apartado 1 (véanse los puntos 6 y 7 de las presentes conclusiones).


41      Véanse los apartados 72 a 81 de la sentencia Tele2. Sobre este particular, véanse mis conclusiones presentadas en los asuntos acumulados Tele2 Sverige y Watson y otros (C‑203/15 y C‑698/15, EU:C:2016:572), puntos 88 a 97 y 124.


42      Véanse, en particular, el artículo 1, apartado 1, de la Ley 25/2007 y el artículo 579, apartado 1, de la Ley de Enjuiciamiento Criminal, reproducidos en los puntos 11 y 17 de las presentes conclusiones, así como, en relación con la obligación legal que recae sobre estos proveedores, el punto 40 de las presentes conclusiones.


43      Debe precisarse que las actividades denominadas «regalianas» del Estado están vinculadas a las funciones reservadas al Estado y a sus órganos, entre otras las vinculadas a la Administración de justicia, a los Cuerpos y Fuerzas de Seguridad y a las Fuerzas Armadas, que no puede delegar a entidades privadas.


44      Como los datos tratados por las autoridades policiales o judiciales para buscar a los autores de delitos (por ejemplo, los datos recogidos y analizados en una interceptación de conversaciones telefónicas llevada a cabo por la policía a petición de un juez de instrucción).


45      Como los datos relativos a la información de contacto de los usuarios de un servicio de telefonía explotada con ocasión de la investigación de un delito, al igual que en el litigio principal.


46      Véase la resolución de remisión relativa al asunto Privacy International (C‑623/17), pendiente ante el Tribunal de Justicia, que evoca, concretamente, las sentencias de 30 de mayo de 2006, Parlamento/Consejo y Comisión (C‑317/04 y C‑318/04, EU:C:2006:346), apartados 56 a 59, y de 10 de febrero de 2009, Irlanda/Parlamento y Consejo (C‑301/06, EU:C:2009:68), apartados 88 y 91, de donde se desprende supuestamente que no se exigía el tratamiento de los datos relativos a los pasajeros aéreos objeto de la primera sentencia para realizar una prestación de servicios, sino para proteger la seguridad pública, y, por lo tanto, estaba excluido del ámbito de aplicación de la Directiva 95/46.


47      Dado que, por una parte, el litigio principal versa sobre una transmisión de datos restringida, no masiva, y que, por otra parte, las consideraciones seguidas por el Tribunal de Justicia en la sentencia Tele2 pueden a mi juicio extrapolarse al caso de autos, como he indicado en el punto 46 de las presentes conclusiones.


48      Véanse los puntos 33 y ss. de las presentes conclusiones.


49      Véanse, en particular, el artículo 1, apartado 2, de la Ley 25/2007 y el artículo 579, apartado 1, de la Ley de Enjuiciamiento Criminal.


50      En efecto, la solicitud de la Policía Judicial tiene por objeto únicamente obtener la identidad de las personas que hayan estado en posesión del teléfono sustraído, no la localización geográfica del teléfono o la de estas personas.


51      Disposiciones del mencionado artículo 2 reproducidas en el punto 8 de las presentes conclusiones.


52      Datos de tráfico regulados por el artículo 6 de la Directiva 2002/58.


53      Véase el punto 36 de las presentes conclusiones.


54      Servicio de comunicaciones electrónicas definido en el artículo 2, letra c), de la Directiva 2002/21 (que fija el marco normativo común en la materia) como «el prestado por lo general a cambio de una remuneración que consiste, en su totalidad o principalmente, en el transporte de señales a través de redes de comunicaciones electrónicas […]».


55      El hecho de que el tratamiento de datos pueda ser necesario para la facturación del servicio, concretamente en lo que atañe a los abonados, se evoca en varias disposiciones de la Directiva 2002/58 [en particular, los considerandos 26, 27 y 29, el artículo 2, párrafo segundo, letra g), y el artículo 6, apartados 2 y 5]. Sobre este particular, véase también la sentencia Tele2, apartado 86 y jurisprudencia citada.


56      Disposiciones que tienen por objeto, respectivamente, de manera global, el «tratamiento de los datos personales en el sector de las comunicaciones electrónicas» y el «tratamiento de datos personales en relación con la prestación de servicios de comunicaciones electrónicas».


57      Véanse los considerandos 2, 7 y 11 y los artículos 11, apartado 1, y 15, apartado 3, de la Directiva 2002/58.


58      Véanse el considerando 21 y los artículos 1, apartado 1, y 5, que regula específicamente la confidencialidad de las comunicaciones de la Directiva 2002/58.


59      Véase la sentencia del Tribunal de Justicia de 29 de enero de 2008, Promusicae (C‑275/06, EU:C:2008:54), apartados 29 a 31 y 45.


60      Sobre la interpretación de este artículo 12, véase, en particular, la sentencia de 15 de marzo de 2017, Tele2 (Netherlands) y otros (C‑536/15, EU:C:2017:214), apartados 33 y ss. y jurisprudencia citada.


61      Con arreglo a dicho considerando 15, «una comunicación puede incluir cualquier dato relativo a nombres, números o direcciones facilitado por el remitente de una comunicación o el usuario de una conexión para llevar a cabo la comunicación […]».


62      El concepto de datos relativos a la vida privada de una persona en el sentido del artículo 8 del CEDH (reproducido en la nota 8 de las presentes conclusiones) ha sido interpretado por el TEDH de manera extensiva (véase, en particular, TEDH, sentencia de 13 de febrero de 2018, Ivashchenko c. Rusia, CE:ECHR:2018:0213JUD006106410, §§ 63 y ss.), como ya se ha señalado (véase la sentencia de 9 de noviembre de 2010, Volker und Markus Schecke y Eifert, C‑92/09 y C‑93/09, EU:C:2010:662, apartado 59 y la jurisprudencia del TEDH citada).


63      Véanse los considerandos 3, 11 y 24 de la Directiva 2002/58.


64      Véase, en particular, la sentencia Tele2 (apartado 120, en el que se trazó una analogía con la jurisprudencia del TEDH, y apartados 126 y ss., que recuerdan la situación de la Unión respecto del CEDH).


65      Mientras que la Directiva 2002/58 regula, concretamente, el sector de las comunicaciones electrónicas (véanse, en particular, sus considerandos 4 y 10 y su artículo 1, apartados 1 y 2).


66      Debo recordar que el concepto de «delitos graves» fue introducido como criterio limitativo de la acción de los Estados miembros por la Directiva 2006/24, sobre la conservación de datos, que fue declarada inválida por la sentencia Digital Rights, y fue utilizado después por el Tribunal de Justicia a efectos de la interpretación de disposiciones de la Directiva 2002/58, en el marco de normas nacionales relativas a la conservación de datos y al acceso a estos (véanse también las notas 3 y 4 de las presentes conclusiones). A mi juicio, de ello se deriva que, si la Directiva 2002/58 fuera declarada inaplicable en el caso de autos, no cabría interpretar ese concepto, que es lo que solicita el tribunal remitente.


67      Véanse, en particular, las sentencias de 16 de junio de 2015, Gauweiler y otros (C‑62/14, EU:C:2015:400), apartados 24 y 25, y de 22 de febrero de 2018, Porras Guisado (C‑103/16, EU:C:2018:99), apartado 34.


68      Véase también el punto 44 de las presentes conclusiones.


69      Véase igualmente la sentencia Tele2 (apartado 82).


70      Véase también el punto 10 de las presentes conclusiones. He de señalar que existía una situación similar en uno de los asuntos que dieron lugar a la sentencia Tele2 (véanse los apartados 15 y 63).


71      A este último respecto, véanse los puntos 45 y ss. de las presentes conclusiones.


72      Véase también el punto 71 de las presentes conclusiones.


73      Véanse los puntos 36 y 52 de las presentes conclusiones.


74      Sobre la falta de gravedad de la injerencia causada en el caso de autos, véanse los puntos 74 y ss. de las presentes conclusiones.


75      Véanse, en particular, la sentencia Digital Rights (apartados 26 y ss.) y el dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017 (EU:C:2017:592), apartado 124 y jurisprudencia citada.


76      Véanse los apartados 24, 41, 49 y 57 a 61 de la sentencia Digital Rights.


77      Véanse los apartados 41, 42, 51 y 59 de la sentencia Digital Rights.


78      Ha de recordarse que solo la expresión «delitos» figura en la Directiva 2002/58, concretamente en su artículo 15, apartado 1, primera frase.


79      En esencia, en el considerando 9 de la Directiva 2006/24 y, literalmente, en su considerando 21 y su artículo 1, apartado 1.


80      Véanse, en relación con el concepto de «delitos graves», los apartados 105, 106 y 119 y, en relación con el concepto de «delincuencia grave», los apartados 102, 103, 108, 110, 111, 114, 115, 118, 125 y 134 de la sentencia Tele2.


81      A saber, el artículo 15, apartado 1, primera frase, de la Directiva 2002/58, que establece que los Estados miembros podrán adoptar una medida que suponga una excepción al principio de confidencialidad de las comunicaciones y de los datos de tráfico relativos a ellas cuando sea necesaria, proporcionada y apropiada en una sociedad democrática, a la vista de los objetivos que enuncia dicha disposición.


82      Debe observarse que la segunda cuestión prejudicial solo se plantea con carácter subsidiario.


83      Se desprende de reiterada jurisprudencia que, para dar una respuesta útil al tribunal remitente que le permita dirimir el litigio de que conoce, incumbe al Tribunal de Justicia reformular, en su caso, las cuestiones prejudiciales que se le han planteado (véase, en particular, la sentencia de 22 de febrero de 2018, SAKSA, C‑185/17, EU:C:2018:108, apartado 28).


84      El Gobierno español ha subrayado que los datos objeto del litigio principal no permiten, por ejemplo, establecer el perfil de la persona de que se trata.


85      Véanse los puntos 35 a 37 de las presentes conclusiones.


86      He de recordar que el artículo 8 de la Directiva 95/46 establece normas particulares para el tratamiento de «datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, así como el tratamiento de los datos relativos a la salud o a la sexualidad». Sobre el concepto de datos sensibles y su tratamiento, véase el Manual de legislación europea en materia de protección de datos, elaborado bajo los auspicios de la Agencia de los Derechos Fundamentales de la Unión Europea y del Consejo de Europa, 2014, cuya versión actualizada está disponible en la siguiente dirección de Internet: https://www.coe.int/fr/web/data-protection/home, pp. 46 y ss. y pp. 94 y ss.


87      El carácter sensible de determinados datos se menciona únicamente en el considerando 25 de la Directiva 2002/58, sin que pueda deducirse de ello que se trate de una exigencia general.


88      Véase la Comunicación de la Comisión, de 13 de septiembre de 1990, sobre la protección de las personas en lo referente al tratamiento de datos personales en la Comunidad y a la seguridad de los sistemas de información [COM(90) 314 final], p. 20.


89      Véase el dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017 (EU:C:2017:592), apartado 124 y jurisprudencia citada. El TEDH también se ha pronunciado en este sentido (véase TEDH, sentencia de 16 de febrero de 2000, Amann c. Suiza, CE:ECHR:2000:0216JUD002779895, §§ 68 a 70).


90      Véase el punto 68 de las presentes conclusiones. Véase también TEDH, sentencia de 8 de febrero de 2018, Ben Faiza c. Francia (CE:ECHR:2018:0208JUD003144612), §§ 66 a 68, en relación con una autorización judicial para la comunicación de información relativa al uso de un teléfono.


91      En los siguientes términos: «la prevención, investigación, descubrimiento y persecución de delitos».


92      Véase, en este sentido, el dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017 (EU:C:2017:592), apartado 126 y jurisprudencia citada.


93      Apartado 57 de la sentencia Digital Rights. Sobre la particular gravedad de la injerencia controvertida, véanse también los apartados 37, 39, 47, 48, 60 y 65 de esa sentencia.


94      Punto 1 del fallo de la sentencia Tele2.


95      Con arreglo al apartado 102 de la sentencia Tele 2, «habida cuenta de la gravedad de la injerencia en los derechos fundamentales afectados que supone una normativa nacional que prevé, a efectos de la lucha contra la delincuencia, la conservación de datos de tráfico y de localización, solo la lucha contra la delincuencia grave puede justificar una medida de este tipo [véase, por analogía, respecto a la Directiva 2006/24, la sentencia Digital Rights, apartado 60 (donde figuraba la fórmula “debido a la magnitud y la gravedad de la injerencia”)]» (el subrayado es mío). El apartado 115 de la sentencia Tele2 retoma este razonamiento en relación con el acceso a tales datos. Sobre la particular gravedad de la injerencia de que se trata, véanse también los apartados 97 y 100 de esa sentencia.


96      De este modo, el apartado 115 de la sentencia Tele2 subraya que «dado que el objetivo perseguido por [una normativa nacional que establece una excepción al principio de confidencialidad de las comunicaciones electrónicas] debe guardar una relación con la gravedad de la injerencia en los derechos fundamentales que supone este acceso, de ello se deriva que, en materia de prevención, investigación, descubrimiento y persecución de delitos, solo la lucha contra la delincuencia grave puede justificar dicho acceso a los datos conservados» (el subrayado es añadido).


97      En efecto, ese tribunal ha subrayado iterativamente la necesidad de establecer un equilibrio entre, por un lado, el interés de un Estado en proteger su seguridad nacional mediante medidas que afectan a los datos personales y, por otro, la gravedad de la restricción del derecho de un individuo al respeto de su vida privada, dos factores de los que dependen el margen de apreciación del Estado, en particular, cuando este tiene la intención de prevenir o perseguir delitos graves (véase TEDH, sentencias de 26 de marzo de 1987, Leander c. Suecia, CE:ECHR:1987:0326JUD000924881, § 59;de 26 de junio de 2006, Weber y Saravia c. Alemania, CE:ECHR:2006:0629DEC005493400, §§ 106, 125 y 126, y de 4 de diciembre de 2015, Roman Zakharov c. Rusia, CE:ECHR:2015:1204JUD004714306, §§ 232 y 244).


98      Véanse los puntos 32 y ss. de las presentes conclusiones.


99      He de señalar que en el dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017 (EU:C:2017:592), en particular apartados 194 y 207 a 209, el Tribunal de Justicia evaluó también el carácter necesario de las injerencias que suponía el Acuerdo previsto examinando las modalidades de uso y de conservación de los datos que estaban previstas bajo el prisma del contexto particular de estas medidas, de su especificación y de su duración.


100      Como podría ser el caso, por ejemplo, de la publicación de la identidad de las personas en un artículo de prensa o en un sitio de Internet.


101      En este sentido, véase el Convenio sobre la Ciberdelincuencia, celebrado bajo los auspicios del Consejo de Europea, hecho en Budapest el 23 de noviembre de 2001 y firmado por todos los Estados miembros de la Unión (disponible en el siguiente sitio de Internet: https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/185?_coeconventions_
WAR_coeconventionsportlet_languageId=fr_FR), cuyo artículo 18 impone la adopción de medidas legislativas que faculten a sus autoridades competentes a ordenar a un proveedor de servicios que les comunique los datos relativos a los abonados, como «la identidad, la dirección […] y el número de teléfono», que posean.


102      Como señala acertadamente el Gobierno danés, cuando la Policía Judicial obtiene, como en el caso de autos, información sobre el nombre y la dirección del propietario de una tarjeta SIM utilizada en el marco de un delito, ello no difiere fundamentalmente, por ejemplo, de la obtención de información relativa al propietario de un vehículo utilizado para cometer un delito.


103      Contrariamente a la información particularmente intrusiva, en particular en cuanto al rastreo de las comunicaciones y al perfil de las personas afectadas, que estaba en juego en los asuntos que dieron lugar a las sentencias Digital Rights (véanse los apartados 26 a 29 y 37) y Tele2 (véanse los apartados 97 a 100).


104      Véanse, en particular, los apartados 90 y 115 de la sentencia Tele2.


105      El subrayado es mío.


106      A saber, en caso de que el Tribunal de Justicia considerara que la injerencia objeto del litigio principal es lo suficientemente grave para que se responda a la primera cuestión prejudicial tal como la plantea el tribunal remitente o que a este respecto es indiferente que la mencionada injerencia no sea grave.


107      Véase el punto 71 de las presentes conclusiones.


108      El artículo 1, apartado 1, de la Directiva 2006/24 establecía que esta se proponía «armonizar las disposiciones de los Estados miembros relativas a las obligaciones de los proveedores de servicios de comunicaciones electrónicas […], para garantizar que los datos estén disponibles con fines de investigación, detección y enjuiciamiento de delitos graves, tal como se definen en la legislación nacional de cada Estado miembro» (el subrayado es mío). Véase también el considerando 21 de dicha Directiva.


109      Véanse, en particular, las sentencias de 15 de septiembre de 2011, Dickinger y Ömer (C‑347/09, EU:C:2011:582), apartado 31, y de 6 de diciembre de 2011, Achughbabian (C‑329/11, EU:C:2011:807), apartado 33.


110      A este respecto, véase también el punto 112 de las presentes conclusiones.


111      Sobre el carácter dinámico de la delincuencia grave, véanse también mis conclusiones presentadas en los asuntos acumulados Tele2 Sverige y Watson y otros (C‑203/15 y C‑698/15, EU:C:2016:572), apartado 214.


112      A título de ejemplo, en materia de lucha contra la delincuencia organizada, un informe de la Comisión de 7 de julio de 2016 indica que las penas previstas por los Estados miembros difieren considerablemente entre sí (de tres meses a 17 años de prisión) para el delito grave que supone la participación en una organización delictiva [véase el Informe al Parlamento Europeo y al Consejo basado en el artículo 10 de la Decisión Marco 2008/841/JAI del Consejo, de 24 de octubre de 2008, relativa a la lucha contra la delincuencia organizada, COM(2016) 448 final, p. 7, apartado 2.1.4.1].


113      Como ha indicado el Gobierno danés, en Dinamarca se aplican penas menos severas que en otros Estados miembros, sin que ello signifique que se considere que la infracción carezca de una gravedad particular. Por ejemplo, la sanción prevista por la posesión de pornografía infantil es de un año de prisión, mientras que en otros Estados miembros podría ascender a diez años por los mismos hechos, pero ello no pone en entredicho la afirmación de que esta infracción es particularmente grave por naturaleza.


114      Véase, en particular, la sentencia de 22 de mayo de 2012, I (C‑348/09, EU:C:2012:300), apartados 21 a 23, a cuyo tenor «el Derecho de la Unión no impone a los Estados miembros una escala uniforme de valores para la apreciación de aquellos comportamientos que puedan considerarse contrarios a la seguridad pública» y «los Estados miembros disponen de libertad para definir, con arreglo a sus necesidades nacionales, que pueden variar de un Estado miembro a otro y de una época a otra, las exigencias de orden público y de seguridad pública», mas «tales exigencias, en particular como justificación de una excepción al principio fundamental de la libre circulación de las personas, deben interpretarse en sentido estricto, de manera que su alcance no puede ser determinado unilateralmente por cada Estado miembro sin control de las instituciones de la Unión Europea».


115      Véanse, en este sentido, los apartados 89 y ss. de la sentencia Tele2, en relación con la obligación de principio de garantizar la confidencialidad de las comunicaciones y los datos de tráfico relacionados con ellas.


116      Debo precisar que los Gobiernos checo y estonio proponen responder, en esencia, que es posible determinar la gravedad suficiente de los delitos, como criterio que justifica la restricción de los derechos fundamentales reconocidos en los artículos 7 y 8 de la Carta, basándose únicamente en la pena impuesta, pero dichos Gobiernos consideran, no obstante, que cada Estado miembro debe tener libertad, si lo considera necesario, para emplear también otros criterios que reflejen la especificidad de su ordenamiento jurídico.


117      Comparto el punto de vista del Gobierno francés, según el cual es obvio que los perjuicios causados a los intereses fundamentales de la nación, a las instituciones o a la integridad del territorio nacional están incluidos, por su propia naturaleza en la «delincuencia grave», pero en esa categoría deben también estar incluidos otros tipos de perjuicios, como los causados a la vida, a la integridad física o psíquica y a la dignidad de las personas, al igual que los perjuicios causados al derecho de propiedad que entrañen un perjuicio patrimonial importante para la víctima o los delitos que se inscriben en un fenómeno de delincuencia en serie, que implican una alteración reiterada del orden público. Sobre este último aspecto, el Gobierno húngaro evoca también la posibilidad de tener en cuenta la multiplicación excepcional de determinados delitos en la criminalidad a escala nacional.


118      A este respecto, véase también el punto 98 de las presentes conclusiones.


119      Con arreglo al artículo 8, apartado 2, del CEDH, esta injerencia solo puede estar justificada si está prevista por la ley, tiene por objeto uno o varios de los objetivos legítimos enumerados en ese apartado y es necesaria, en una sociedad democrática, para alcanzar estos objetivos.


120      El TEDH ha declarado que los delitos de que se trata deben poder ser identificados fácilmente por los ciudadanos, sin que este requisito de previsibilidad requiera que los Estados enumeren de manera exhaustiva los que dan lugar a tal medida (véase, en particular, TEDH, sentencia de 4 de diciembre de 2015, Roman Zakharov c. Rusia, CE:ECHR:2015:1204JUD004714306, § 244).


121      Véanse, en particular, TEDH, sentencias de 26 de junio de 2006, Weber y Saravia c. Alemania (CE:ECHR:2006:0629DEC005493400), §§ 106 y 115; de 4 de diciembre de 2008, Marper c. Reino Unido (CE:ECHR:2008:1204JUD003056204), §§ 104 y 119, y de 30 de mayo de 2017, Trabajo Rueda c. España (CE:ECHR:2017:0530JUD003260012), §§ 39 y 40.


122      Véanse los puntos 15 y ss. de las presentes conclusiones.


123      Véanse los puntos 93 y ss. de las presentes conclusiones.


124      Debe recordarse que el artículo 83 TFUE, apartado 1, permite la adopción de «normas mínimas relativas a la definición de las infracciones penales y de las sanciones en ámbitos delictivos que sean de especial gravedad y tengan una dimensión transfronteriza», enumeradas en esa disposición.


125      Directiva del Parlamento Europeo y del Consejo, de 13 de diciembre de 2011, relativa a la lucha contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil y por la que se sustituye la Decisión Marco 2004/68/JAI del Consejo (DO 2011, L 335, p. 1), cuyo artículo 3 prevé penas escalonadas de entre al menos un año hasta al menos diez años de privación de libertad para los diversos tipos de «infracciones relacionadas con los abusos sexuales» mencionados en ese artículo.


126      Directiva del Parlamento Europeo y del Consejo, de 15 de marzo de 2017, relativa a la lucha contra el terrorismo y por la que se sustituye la Decisión Marco 2002/475/JAI del Consejo y se modifica la Decisión 2005/671/JAI del Consejo (DO 2017, L 88, p. 6), cuyo artículo 15, apartado 3, prevé penas privativas de libertad que no pueden ser inferiores a ocho o a quince años según los diversos tipos de «delitos relacionados con un grupo terrorista», mencionados en el artículo 4 de esta misma Directiva.


127      Véase también el punto 101 de las presentes conclusiones.


128      A este respecto, véase el punto 98 de las presentes conclusiones.


129      Véanse, en particular, el considerando 11 y el artículo 15, apartado 1, de la Directiva 2002/58 y los apartados 94 a 96 y 116 de la sentencia Tele2.


130      Véase, en particular, además de las disposiciones mencionadas en las notas 125 y 126 de las presentes conclusiones, la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave (DO 2016, L 119, p. 132), cuyo artículo 3, punto 9, define los «delitos graves» como los «delitos incluidos en el anexo II que son punibles con una pena privativa de libertad o un auto de internamiento de una duración máxima no inferior a tres años con arreglo al derecho nacional de un Estado miembro».


131      Véase el punto 97 de las presentes conclusiones.


132      Véase el punto 101 de las presentes conclusiones.


133      Reforma mencionada en los puntos 15 y ss. de las presentes conclusiones.


134      Véase también el punto 115 de las presentes conclusiones.


135      Véase, en este sentido, TEDH, sentencias de 18 de mayo de 2010, Kennedy c. Reino Unido (CE:ECHR:2010:0518JUD002683905), §§ 34 y 159, y de 4 de diciembre de 2015, Roman Zakharov c. Rusia (CE:ECHR:2015:1204JUD004714306), § 244.


136      Véase el punto 106 de las presentes conclusiones.


137      Véanse TEDH, sentencias de 6 de septiembre de 1978, Klass y otros c. Alemania (CE:ECHR:1978:0906JUD000502971), § 49, y de 18 de mayo de 2010, Kennedy c. Reino Unido (CE:ECHR:2010:0518JUD002683905), §§ 153 y 154.


138      Véase TEDH, sentencia de 10 de febrero de 2009, Iordachi y otros c. Moldavia (CE:ECHR:2009:0210JUD002519802), § 44, donde se consideró que la normativa moldava carecía de claridad, concretamente, debido a que más de la mitad de los delitos tipificados en el Código Penal estaba incluida en la categoría de delitos que podían dar lugar a una medida de interceptación de las comunicaciones telefónicas. Véase también, TEDH, sentencia de 4 de diciembre de 2015, Roman Zakharov c. Rusia (CE:ECHR:2015:1204JUD004714306), § 248.