CONCLUSIONES DEL ABOGADO GENERAL
SR. HENRIK SAUGMANDSGAARD ØE
presentadas el 3 de mayo de 2018 (1)
Asunto C‑207/16
Ministerio Fiscal
(Petición de decisión prejudicial planteada por la Audiencia Provincial de Tarragona)
«Procedimiento prejudicial — Comunicaciones electrónicas — Tratamiento de datos personales — Derecho a la vida privada y derecho a la protección de los datos personales — Directiva 2002/58/CE — Artículos 1 y 15, apartado 1 — Carta de los Derechos Fundamentales de la Unión Europea — Artículos 7, 8 y 52, apartado 1 — Datos recogidos en el marco de la prestación de servicios de comunicaciones electrónicas — Solicitud de acceso formulada por una autoridad policial para la investigación de un delito — Principio de proporcionalidad — Concepto de “delito grave” que puede justificar una injerencia en los derechos fundamentales — Criterios para apreciar la existencia de gravedad — Pena impuesta — Umbral mínimo»
I. Introducción
1. La presente petición de decisión prejudicial versa, en esencia, sobre la interpretación del concepto de «delitos graves», (2) en el sentido de la jurisprudencia del Tribunal de Justicia derivada de la sentencia Digital Rights Ireland y otros (3) (en lo sucesivo, «sentencia Digital Rights») y posteriormente de la sentencia Tele2 Sverige y Watson y otros (4) (en lo sucesivo, «sentencia Tele2»), en las que este concepto se utilizó como criterio de apreciación de la legitimidad y la proporcionalidad de una injerencia en los derechos consagrados en los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»), a saber, el derecho al respeto de la vida privada y familiar y el derecho a la protección de los datos personales, respectivamente.
2. La petición de decisión prejudicial se ha planteado en el marco de un recurso contra una resolución judicial que denegó a la Policía Judicial la posibilidad de que se le comunicaran determinados datos personales o de filiación en poder de operadoras de telefonía móvil para identificar a determinadas personas a efectos de la investigación de un delito. La resolución recurrida estaba motivada, en particular, por la consideración de que los hechos que dieron lugar a la investigación no eran constitutivos de delito grave, contrariamente a lo que exige la normativa española aplicable.
3. El tribunal remitente pregunta al Tribunal de Justicia, sustancialmente, acerca del modo de fijación del umbral de gravedad de los delitos a partir del cual, a la luz de la jurisprudencia antes citada, puede estar justificada la restricción de los derechos fundamentales protegidos por los artículos 7 y 8 de la Carta cuando las autoridades nacionales competentes acceden a datos personales conservados por los proveedores de servicios de comunicaciones electrónicas.
4. Una vez haya establecido que el Tribunal de Justicia es competente para pronunciarse sobre la petición de decisión prejudicial y que esta es admisible, pasaré a demostrar que el acceso a datos personales en circunstancias como las del caso de autos entraña una injerencia en los derechos fundamentales anteriormente mencionados que no corresponde a los supuestos en los que, con arreglo a la jurisprudencia antes citada, solo la lucha contra los delitos graves puede justificar la restricción de dichos derechos fundamentales.
5. Con carácter meramente subsidiario, dado que, habida cuenta del objeto específico del litigio principal, no considero necesario que el Tribunal de Justicia responda a las cuestiones prejudiciales según su tenor inicial, aportaré indicaré los criterios que, en su caso, permitan definir el concepto de «delitos graves» en el sentido de esta jurisprudencia, en particular teniendo en cuenta el criterio de la pena impuesta.
II. Marco jurídico
A. Derecho de la Unión
6. La Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas, (5) en su versión modificada por la Directiva 2009/136/CE (6) (en lo sucesivo, «Directiva 2002/58»), enuncia en su preámbulo lo siguiente:
«(2) La presente Directiva pretende garantizar el respeto de los derechos fundamentales y observa los principios consagrados, en particular, en la [Carta]. Señaladamente, la presente Directiva pretende garantizar el pleno respeto de los derechos enunciados en los artículos 7 y 8 de [esta].
[…]
(11) Al igual que la Directiva 95/46/CE, [(7)] la presente Directiva no aborda la protección de los derechos y las libertades fundamentales en relación con las actividades no regidas por el Derecho comunitario. Por lo tanto, no altera el equilibrio actual entre el derecho de las personas a la intimidad y la posibilidad de que disponen los Estados miembros, según se indica en el apartado 1 del artículo 15 de la presente Directiva, de tomar las medidas necesarias para la protección de la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando las actividades tengan relación con asuntos de seguridad del Estado) y la aplicación del Derecho penal. En consecuencia, la presente Directiva no afecta a la capacidad de los Estados miembros para interceptar legalmente las comunicaciones electrónicas o tomar otras medidas, cuando sea necesario, para cualquiera de estos fines y de conformidad con el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, según la interpretación que se hace de este en las sentencias del Tribunal Europeo de Derechos Humanos. Dichas medidas deberán ser necesarias en una sociedad democrática y rigurosamente proporcionales al fin que se pretende alcanzar y deben estar sujetas, además, a salvaguardias adecuadas, de conformidad con el [CEDH]. [(8)]»
7. Conforme al artículo 1 de la Directiva 2002/58, titulado «Ámbito de aplicación y objetivo»:
«1. La presente Directiva establece la armonización de las disposiciones nacionales necesaria para garantizar un nivel equivalente de protección de las libertades y los derechos fundamentales y, en particular, del derecho a la intimidad y la confidencialidad, en lo que respecta al tratamiento de los datos personales en el sector de las comunicaciones electrónicas […].
[…]
3. La presente Directiva no se aplicará a las actividades no comprendidas en el ámbito de aplicación del Tratado constitutivo de la Comunidad Europea, como las reguladas por las disposiciones de los títulos V y VI del Tratado de la Unión Europea, ni, en cualquier caso, a las actividades que tengan por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dichas actividades estén relacionadas con la seguridad del mismo) y a las actividades del Estado en materia penal.»
8. Su artículo 2, titulado «Definiciones», establece lo siguiente:
«Salvo disposición en contrario, serán de aplicación a efectos de la presente Directiva las definiciones que figuran en la Directiva [95/46] y en la Directiva 2002/21/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas (Directiva Marco). [(9)]
Además, a efectos de la presente Directiva se entenderá por:
a) “usuario”: una persona física que utiliza con fines privados o comerciales un servicio de comunicaciones electrónicas disponible para el público, sin que necesariamente se haya abonado a dicho servicio;
b) “datos de tráfico”: cualquier dato tratado a efectos de la conducción de una comunicación a través de una red de comunicaciones electrónicas o a efectos de la facturación de la misma;
c) “datos de localización”: cualquier dato tratado en una red de comunicaciones electrónicas o por un servicio de comunicaciones electrónicas que indique la posición geográfica del equipo terminal de un usuario de un servicio de comunicaciones electrónicas disponible para el público;
d) “comunicación”: cualquier información intercambiada o conducida entre un número finito de interesados por medio de un servicio de comunicaciones electrónicas disponible para el público. No se incluye en la presente definición la información conducida, como parte de un servicio de radiodifusión al público, a través de una red de comunicaciones electrónicas, excepto en la medida en que la información pueda relacionarse con el abonado o usuario identificable que reciba la información;
[…]».
9. El artículo 15 de la Directiva 2002/58, titulado «Aplicación de determinadas disposiciones de la Directiva [95/46]», establece en su apartado 1 que «los Estados miembros podrán adoptar medidas legales para limitar el alcance de los derechos y las obligaciones que se establecen en los artículos 5 y 6, en los apartados 1 a 4 del artículo 8 y en el artículo 9 de la presente Directiva, cuando tal limitación constituya una medida necesaria proporcionada y apropiada en una sociedad democrática para proteger la seguridad nacional (es decir, la seguridad del Estado), la defensa, la seguridad pública, o la prevención, investigación, descubrimiento y persecución de delitos o la utilización no autorizada del sistema de comunicaciones electrónicas a que se hace referencia en el apartado 1 del artículo 13 de la Directiva [95/46]. Para ello, los Estados miembros podrán adoptar, entre otras, medidas legislativas en virtud de las cuales los datos se conserven durante un plazo limitado justificado por los motivos establecidos en el presente apartado. Todas las medidas contempladas en el presente apartado deberán ser conformes con los principios generales del Derecho comunitario, incluidos los mencionados en los apartados 1 y 2 del artículo 6 del Tratado de la Unión Europea.»
B. Derecho español
1. Ley 25/2007
10. La Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones (10) (en lo sucesivo, «Ley 25/2007»), transpuso al Derecho español la Directiva 2006/24, (11) que fue declarada inválida por el Tribunal de Justicia en la sentencia Digital Rights.
11. A tenor del artículo 1 de la Ley 25/2007, en su versión aplicable a los hechos del litigio principal:
«1. Esta Ley tiene por objeto la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales.
2. Esta Ley se aplicará a los datos de tráfico y de localización sobre personas físicas y jurídicas y a los datos relacionados necesarios para identificar al abonado o usuario registrado.
[…]»
12. El artículo 3 de la mencionada Ley enumera los datos que los operadores han de conservar. En virtud del apartado 1, letra a), punto 1, inciso ii), de dicho artículo, se trata, en particular, de los datos necesarios para rastrear e identificar el origen de una comunicación, como, en lo que atañe a la telefonía móvil, el nombre y dirección del abonado o usuario registrado.
2. Código penal
13. Con arreglo al artículo 13, apartado 1, del Código penal español en su versión aplicable a los hechos del litigio principal, «son delitos graves las infracciones que la Ley castiga con pena grave».
14. El artículo 33 del citado Código es del siguiente tenor:
«1. En función de su naturaleza y duración, las penas se clasifican en graves, menos graves y leves.
2. Son penas graves:
a) La prisión permanente revisable
b) La prisión superior a cinco años.
[…]»
3. Ley de Enjuiciamiento Criminal
15. La Ley de Enjuiciamiento Criminal española ha sido modificada por la Ley Orgánica 13/2015, de 5 de octubre, de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica (12) (en lo sucesivo, «Ley Orgánica 13/2015»).
16. Dicha Ley, que entró en vigor el 6 de diciembre de 2015, introduce en la Ley de Enjuiciamiento Criminal la cuestión del acceso a los datos relativos a las comunicaciones telefónicas y telemáticas conservados por los proveedores de servicios de comunicaciones electrónicas.
17. Con arreglo al artículo 579, apartado 1, de la Ley de Enjuiciamiento Criminal, en su versión modificada por la Ley Orgánica 13/2015, «el juez podrá acordar la detención de la correspondencia privada, postal y telegráfica, incluidos faxes, burofaxes y giros, que el investigado remita o reciba, así como su apertura o examen, si hubiera indicios de obtener por estos medios el descubrimiento o la comprobación del algún hecho o circunstancia relevante para la causa, siempre que la investigación tenga por objeto alguno de los siguientes delitos:
1.o Delitos dolosos castigados con pena con límite máximo de, al menos, tres años de prisión.
2.o Delitos cometidos en el seno de un grupo u organización criminal.
3.o Delitos de terrorismo.»
18. El artículo 588 ter j de la misma Ley, titulado «Datos obrantes en archivos automatizados de los prestadores de servicios», establece:
«1. Los datos electrónicos conservados por los prestadores de servicios o personas que faciliten la comunicación en cumplimiento de la legislación sobre retención de datos relativos a las comunicaciones electrónicas o por propia iniciativa por motivos comerciales o de otra índole y que se encuentren vinculados a procesos de comunicación, solo podrán ser cedidos para su incorporación al proceso con autorización judicial.
2. Cuando el conocimiento de esos datos resulte indispensable para la investigación, se solicitará del juez competente autorización para recabar la información que conste en los archivos automatizados de los prestadores de servicios, incluida la búsqueda entrecruzada o inteligente de datos, siempre que se precisen la naturaleza de los datos que hayan de ser conocidos y las razones que justifican la cesión.»
III. Procedimiento principal, cuestiones prejudiciales y procedimiento ante el Tribunal de Justicia
19. El Sr. Hernández Sierra presentó una denuncia ante la Policía por el robo con violencia de su cartera y de su teléfono móvil, ocurrido el 16 de febrero de 2015 y durante el cual resultó herido de gravedad.
20. Mediante oficio de 27 de febrero de 2015, la Policía Judicial solicitó al Juzgado de Instrucción n.o 3 de Tarragona (en lo sucesivo, «juzgado de instrucción») que se ordenara recabar de diversas operadoras de telefonía, por un lado, los números de teléfono que hubieran sido activados con el código IMEI (13) del teléfono móvil sustraído desde el 16 de febrero al 27 de febrero de 2015 y, por otro, los datos personales de los titulares o usuarios de los números de teléfono correspondientes a las tarjetas SIM activadas con el referido IMEI. (14)
21. Mediante auto de 5 de mayo de 2015, el juez instructor denegó la solicitud, atendiendo a que la diligencia exigida era escasamente idónea para identificar a los autores del delito y porque, en todo caso, la Ley 25/2007 limitaba la cesión de datos conservados por las operadoras de telefonía a los delitos graves —a saber, según el Código penal español, (15) los sancionados con una pena de prisión superior a cinco años—, mientras que los hechos presuntos no constituían delito grave.
22. El Ministerio Fiscal, única parte en el procedimiento, interpuso recurso contra este auto ante la Audiencia Provincial de Tarragona, alegando que, dada la naturaleza de los hechos y habida cuenta de una sentencia del Tribunal Supremo relativa a un caso similar, debería haberse acordado la comunicación de los datos de que se trata. (16)
23. Mediante auto de 9 de febrero de 2016, la Audiencia Provincial de Tarragona ordenó a las operadoras de telefonía, como medida cautelar, la prórroga de la conservación de los datos a los que se refiere la solicitud controvertida.
24. La petición de decisión prejudicial remitida por ese tribunal expone que, tras la adopción de la resolución impugnada, el legislador español introdujo, en virtud de la Ley Orgánica 13/2015, (17) dos criterios alternativos para determinar el umbral de gravedad del hecho delictivo. El primero es un estándar material identificado por conductas típicas de particular y grave relevancia criminógena que incorporan particulares tasas de lesividad para bienes jurídicos individuales y colectivos. (18) El segundo es un estándar normativo-formal que pone el acento solo y exclusivamente en la pena prevista para el delito de que se trate. Ahora bien, el umbral de tres años de prisión que el segundo establece abarca la gran mayoría de los tipos penales. Además, el tribunal remitente observa que el interés que tiene el Estado en proteger a los ciudadanos y en castigar las conductas infractoras no puede legitimar una restricción desproporcionada de los derechos fundamentales de las personas.
25. En este marco, mediante auto de 6 de abril de 2016, recibido en el Tribunal de Justicia el 14 de abril de 2016, la Audiencia Provincial de Tarragona decidió suspender el procedimiento y plantear al Tribunal de Justicia las cuestiones prejudiciales siguientes:
«1) ¿La suficiente gravedad de los delitos como criterio que justifica la injerencia en los derechos fundamentales reconocidos en los artículos 7 y 8 de la Carta puede identificarse únicamente en atención a la pena que pueda imponerse al delito que se investiga o es necesario, además, identificar en la conducta delictiva particulares niveles de lesividad para bienes jurídicos individuales y/o colectivos?
2) ¿En su caso, si se ajustara a los principios constitucionales de la Unión, utilizados por el TJUE en su sentencia [Digital Rights] como estándares de control estricto de la Directiva [declarada inválida por dicha sentencia], la determinación de la gravedad del delito atendiendo solo a la pena imponible cuál debería ser ese umbral mínimo? ¿Sería compatible con una previsión general de límite en tres años de prisión?»
26. El procedimiento ante el Tribunal de Justicia se suspendió, mediante decisión del Presidente de 23 de mayo de 2016, a la espera de que el Tribunal dictara sentencia en los asuntos acumulados Tele2 Sverige y Watson y otros (C‑203/15 y C‑698/15).
27. Preguntado por el Tribunal de Justicia tras el pronunciamiento de esta sentencia, el 21 de diciembre de 2016, (19) el tribunal remitente indicó que deseaba mantener su petición de decisión prejudicial. Alegó que las cuestiones prejudiciales que había planteado seguían siendo pertinentes, en la medida en que dicha sentencia proporcionaba ciertamente ejemplos de delitos graves, (20) pero no definía con suficiente claridad el contenido material del concepto de gravedad del delito que pueda servir de criterio de apreciación de la justificación de una medida de injerencia. Pues bien, a su juicio este concepto lleva consigo el riesgo de que los requisitos de conservación de los datos y acceso a ellos se fijen a escala nacional de manera muy amplia, que no respete los derechos fundamentales a los que se refiere la sentencia Tele2. De este modo, tras la adopción de la Ley Orgánica 13/2015, el legislador español, a pesar de los criterios enunciados en la sentencia Digital Rights, (21) redujo muy sensiblemente, en relación con las normas anteriores, derivadas de la Ley 25/2007, el umbral de gravedad de los delitos para cuya investigación se autoriza la conservación y la cesión de los datos personales.
28. Tras esta respuesta, el procedimiento ante el Tribunal de Justicia se reanudó el 16 de febrero de 2017. Así, los Gobiernos español, checo, estonio, irlandés, francés, letón, húngaro, austriaco y del Reino Unido y la Comisión Europea presentaron observaciones escritas.
29. Antes de la vista, el Tribunal de Justicia remitió varias preguntas para su respuesta escrita al Gobierno español, a las que este respondió el 9 de enero de 2018, y preguntas para respuesta oral dirigidas a todos los interesados a los que se refiere el artículo 23 del Estatuto del Tribunal de Justicia de la Unión Europea.
30. En la vista, que tuvo lugar el 29 de enero de 2018, presentaron sus observaciones orales el Ministerio Fiscal, los Gobiernos español, checo, danés, estonio, irlandés, francés, letón, polaco y del Reino Unido y la Comisión.
IV. Análisis
A. Consideraciones preliminares
31. Antes de pasar al examen detallado de las cuestiones que suscita la presente petición de decisión prejudicial, considero necesario formular algunas observaciones relativas al objeto específico de esta.
32. En primer lugar, vistas las indicaciones que figuran en el auto de remisión y las observaciones complementarias aportadas por el Gobierno español, observo que el litigio principal presenta particularidades notables que le diferencian, en particular, del contexto de los asuntos que dieron lugar a las sentencias Digital Rights y Tele2. (22)
33. En efecto, la solicitud de la Policía Judicial objeto del presente asunto tiene por finalidad obtener únicamente datos que permitan identificar a los titulares o usuarios de los números de teléfono vinculados a las tarjetas SIM insertadas en el teléfono móvil sustraído. (23) Además, consta que esta petición se refiere a un período claramente definido y reducido en el tiempo, a saber, doce días. (24)
34. En estas circunstancias, el número de personas que pueden verse afectadas por la medida controvertida no es ilimitado, sino restringido. A mayor abundamiento, estas personas no son cualquier poseedor de una tarjeta SIM, sino personas con un perfil muy concreto, ya que se trata de quienes hayan hecho uso del teléfono tras su sustracción, o que lo tengan aún en su posesión, y que por tanto pueden legítimamente ser consideradas sospechosas de haber cometido el delito o de estar relacionadas con los autores de este.
35. A fortiori, los datos de que se trata no son cualquier tipo de «datos personales» (25) en posesión de los proveedores de servicios de comunicaciones electrónicas, sino solo los datos personales o de filiación de las personas mencionadas, esto es, su nombre, su apellido y, en su caso, su dirección, (26) datos que pueden llamarse «de contacto». En mi opinión, el resto de información relativa a estas personas que pueda hallarse en los archivos de los citados proveedores (27) está excluido del procedimiento principal.
36. Por otro lado, la finalidad perseguida en el caso de autos es, a mi juicio, recoger información que no se refiere ni a una localización ni a comunicaciones como tales, (28) sino a personas físicas buscadas por haber podido utilizar un servicio de comunicaciones electrónicas mediante el teléfono sustraído, aunque no hayan realizado una llamada telefónica concreta. En efecto, se desprende de las explicaciones aportadas al Tribunal de Justicia por el Ministerio Fiscal que los datos personales solicitados, que se basan en la asociación entre una tarjeta SIM determinada y el IMEI del apartado sustraído, pueden obtenerse técnicamente gracias a una mera conexión de este con un terminal de telefonía móvil, aunque el poseedor de la tarjeta no haya realizado ninguna llamada de teléfono mediante el teléfono de que se trate y, por tanto, de manera independiente de cualquier comunicación efectiva. (29) Incumbirá al tribunal remitente comprobar este aserto fáctico, que no obstante me parece suficientemente plausible para que resulte razonable considerarlo verídico.
37. Habida cuenta de todos estos elementos, deseo subrayar ante todo que el litigio principal se refiere a datos personales cuya transmisión no se solicita de manera general e indiferenciada, sino de manera específica en cuanto a las personas y limitada en cuanto a su duración. Además, a primera vista los datos solicitados no son de naturaleza particularmente sensible, aunque los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta pueden verse afectados por el acceso a datos de este tipo. (30)
38. En segundo lugar, debo poner de manifiesto que se desprende de los fundamentos jurídicos del auto de remisión que las cuestiones prejudiciales planteadas en el presente asunto se caracterizan por no referirse a los requisitos de la conservación de datos personales en el sector de las comunicaciones electrónicas, sino más bien a los procedimientos de acceso de las autoridades nacionales a tales datos que han sido conservados por los proveedores de servicios que operan en este sector. (31)
39. El tribunal remitente indica, en particular, que en virtud del artículo 588 ter j de la Ley de Enjuiciamiento Criminal, se requiere autorización judicial para la transmisión de los datos electrónicos archivados por los prestadores de servicios a las autoridades competentes a efectos de ser tenidos en cuenta en un procedimiento penal. El apartado 1 de este artículo precisa que los prestadores pueden conservar dichos datos en virtud de la normativa pertinente o por propia iniciativa, por razones comerciales o de otro tipo.
40. En el caso de autos, las operadoras de telefonía móvil pudieron archivar los datos personales a los que las autoridades policiales solicitaron acceso para la investigación en ejecución de una obligación derivada de la normativa española. (32) El tribunal remitente no ofrece indicaciones a este respecto, debiendo recordarse que su petición de decisión prejudicial se centra en el posible acceso a datos que ya están conservados y sabiendo que la conformidad del almacenamiento de los datos con las exigencias del Derecho de la Unión no se discute en el litigio principal. (33) Por lo tanto, a mi juicio procede partir de la premisa de que los datos que son objeto del procedimiento principal se han conservado con arreglo a la normativa nacional, respetando los requisitos establecidos en el artículo 15, apartado 1, de la Directiva 2002/58, extremo que corresponde verificar exclusivamente al órgano jurisdiccional remitente. (34)
41. En la exposición que sigue volveré a examinar las implicaciones jurídicas de las consideraciones que he esbozado con carácter preliminar. (35)
B. Sobre las excepciones procesales formuladas por el Gobierno español
42. El Gobierno español formula dos categorías de excepciones procesales, relativa una de ellas a la competencia del Tribunal de Justicia y la otra a la admisibilidad de la petición de decisión prejudicial, sobre las que el Tribunal de Justicia deberá pronunciarse antes de que, en su caso, decida sobre el fondo del asunto.
1. Sobre la competencia del Tribunal de Justicia en relación con el ámbito de aplicación del Derecho de la Unión
43. De entrada, debo recordar que de jurisprudencia reiterada se desprende que los derechos fundamentales garantizados en el ordenamiento jurídico de la Unión, concretamente los consagrados en artículos 7 y 8 de la Carta, solo se aplican si la situación de que se trata está regulada por el Derecho de la Unión. (36) Además, el artículo 51, apartado 1, de la Carta establece que las disposiciones de esta se dirigen a los Estados miembros únicamente «cuando apliquen el Derecho de la Unión», con arreglo a la jurisprudencia del Tribunal de Justicia relativa a este concepto. (37) Pues bien, cuando una situación jurídica no está comprendida en el ámbito de aplicación del Derecho de la Unión, el Tribunal de Justicia no tiene competencia para conocer de ella y las disposiciones de la Carta eventualmente invocadas no pueden fundar por sí solas tal competencia. (38)
44. En el caso de autos, las cuestiones prejudiciales planteadas por el tribunal remitente se refieren únicamente a los artículos 7 y 8 de la Carta y a «los principios constitucionales de la Unión, utilizados por el TJUE en su sentencia [Digital Rights]». No obstante, el Tribunal de Justicia considera que las directivas aplicables en materia de protección de datos personales, como la Directiva 95/46 y la Directiva 2002/58, establecen el vínculo de conexión entre el litigio principal y el Derecho de la Unión exigido en virtud del artículo 51, apartado 1, de la Carta.
45. A este respecto, en primer lugar observo que el Gobierno español sostiene, con carácter principal, que el Tribunal de Justicia carece de competencia para pronunciarse sobre la presente petición de decisión prejudicial, debido a que esta no se refiere a la aplicación del Derecho de la Unión. En particular alega que el litigio principal estará excluido del ámbito de aplicación del Derecho de la Unión, dado quese refiere al acceso de la Policía Judicial a datos que está sometido a una resolución judicial en el marco de la investigación de un delito, lo que constituye una actividad del Estado en materia penal (39)y, por tanto, está incluido en las excepciones previstas en el artículo 1, apartado 3, de la Directiva 2002/58 y en el artículo 3, apartado 2, primer guion, de la Directiva 95/46. (40) En la vista, el Gobierno del Reino Unido indicó que compartía el punto de vista del Gobierno español.
46. Sin embargo, considero que la Directiva 2002/58 es de aplicación a medidas nacionales como las controvertidas en el litigio principal. En efecto, el Tribunal de Justicia ya ha declarado en la sentencia Tele2 que las legislaciones nacionales sobre conservación de datos a efectos de la lucha contra la delincuencia están incluidas en el ámbito de aplicación de esta Directiva, no solo en la medida en que definen las obligaciones de las autoridades nacionales en ese ámbito, sino también en la medida en que regulan el acceso de las autoridades nacionales a los datos conservados en este marco. (41) Al igual que la Comisión, opino que las consideraciones expuestas en esa sentencia son extrapolables a las normas nacionales aplicables al caso de autos, esto es, las que se derivan de la Ley 25/2007 en relación con la Ley de Enjuiciamiento Criminal en su versión modificada por la Ley Orgánica 13/2015, (42) y por tanto extrapolables al objeto del litigio principal.
47. Deseo añadir que es preciso no confundir, por un lado, los datos personales tratados directamente en el marco de las actividades —de índole regaliana— (43) del Estado en un ámbito incluido en el Derecho penal, (44) y por otro, las tratadas en el marco de actividades —de naturaleza mercantil— de un prestador de servicios de comunicaciones electrónicas que después emplean las autoridades estatales competentes. (45) Por otro lado, he de señalar que se ha planteado recientemente al Tribunal de Justicia una petición de decisión prejudicial relativa, en particular, a la interpretación del artículo 1, apartado 3, de la Directiva 2002/58 en el marco de la utilización, por parte de los servicios de seguridad e información de un Estado miembro, de datos que dichos prestatarios deben transmitirles en masa, (46) problemática que a mi juicio no procede resolver en el presente asunto. (47)
48. En segundo lugar, observo que se han planteado otros interrogantes en relación con el ámbito de aplicación de la Directiva 2002/58 de los que depende la competencia del Tribunal de Justicia en el presente asunto, habida cuenta del tipo de datos de que se trata en el litigio principal.
49. Como ya he indicado, (48) se desprende de los documentos obrantes en autos que la solicitud de acceso controvertida tiene por objeto obtener información sobre la identidad de los titulares o usuarios de números de teléfono correspondientes a las tarjetas SIM que se activaron mediante el teléfono móvil sustraído para hallar a las personas que han estado en posesión del aparato, no para obtener información sobre las llamadas en su caso realizadas a partir de él.
50. En otras palabras, aunque haya podido verse afectada una mayor variedad de datos personales en virtud de la normativa española, (49) el presente litigio principal versa únicamente sobre datos relativos a la identidad de «usuarios», en el sentido del artículo 2, párrafo segundo, letra a), de la Directiva 2002/58, no a una «localización» (50) de tipo alguno, en el sentido del mencionado artículo 2, párrafo segundo, letra c), ni a las «comunicaciones» como tales, en el sentido de ese mismo artículo 2, párrafo segundo, letra d). (51)
51. Según el Ministerio Fiscal, los Gobiernos español, danés, irlandés, letón y del Reino Unido y la Comisión, la información como la que es objeto del litigio principal, siempre que se considere de manera aislada, es decir, con independencia de las comunicaciones que en su caso se hayan realizado, no debería en principio estar cubierta tampoco por el concepto de «datos de tráfico», en el sentido del mencionado artículo 2, párrafo segundo, letra b), que los define como «cualquier dato tratado a efectos de la conducción de una comunicación a través de una red de comunicaciones electrónicas o a efectos de la facturación de la misma». (52)
52. Ciertamente, parece que los datos de identificación que en el presente asunto solicita la Policía Judicial no se refieren al «tráfico» de comunicaciones propiamente dicho, en la medida en que resulta que estos datos pueden obtenerse aunque no se haya realizado ninguna llamada con el aparato sustraído, y, por lo tanto, a pesar de que ningún operador de telefonía haya conducido comunicación interpersonal alguna durante el período concreto. (53)
53. Sin embargo, en mi opinión un litigio como el principal está comprendido en el ámbito de aplicación de la Directiva 2002/58, dado que el tratamiento de la información asociada a las tarjetas SIM y a sus titulares, objeto del caso de autos, es necesario, desde un punto de vista comercial, para la prestación de servicios de comunicaciones electrónicas, (54)o al menos a efectos de facturar el servicio prestado, (55) con independencia de que se hayan realizado llamadas o no en el marco de esta prestación.
54. En efecto, considerando los artículos 1, apartado 1, y 3 de la Directiva 2002/58, (56) comparto la opinión expresada, en particular, por la Comisión, según la cual esta Directiva pretende regular, de manera global, el tratamiento de datos personales llevado a cabo en el marco de la prestación de servicios de comunicaciones electrónicas, de modo que su ámbito de aplicación incluye los datos relativos a la identidad de los usuarios de estos servicios, como los que son objeto del presente asunto, y no solo los relativos a una comunicación concreta. Habida cuenta también de los objetivos de protección de dicha Directiva, que consisten principalmente en la salvaguardia de los derechos fundamentales garantizados por la Carta, (57) considero por tanto que el concepto de «comunicación», en el sentido de este acto normativo, debe entenderse en sentido lato y que el principio de confidencialidad de las comunicaciones que prevé (58) está claramente en juego en el caso de autos.
55. En mi opinión, corrobora asimismo esta interpretación una sentencia anterior del Tribunal de Justicia en la que este ya admitió que el ámbito de aplicación de la Directiva 2002/58 incluía un litigio relativo a la transmisión de nombres y direcciones de usuarios de un servicio de comunicación electrónica. (59) Deseo añadir que, a mi juicio, el artículo 12 de esta Directiva, relativo a los anuarios de abonados, se refiere ciertamente a datos de esta naturaleza (60) y que su considerando 15 refleja también una concepción amplia del concepto de «comunicación», que incluye, en particular, las «direcciones facilitad[as] por el remitente de una comunicación o el usuario de una conexión para llevar a cabo la comunicación». (61)
56. A mayor abundamiento, un enfoque de este tipo es congruente con la jurisprudencia del Tribunal Europeo de Derechos Humanos (TEDH) en la materia, (62) debiendo recordarse que el preámbulo de la Directiva 2002/58 subraya que esta tiene por objeto garantizar la confidencialidad de las comunicaciones y el derecho a la intimidad de los usuarios de conformidad con el CEDH según la interpretación que hace de dicho Convenio ese Tribunal, (63) aunque este acto normativo no está formalmente integrado en el ordenamiento jurídico de la Unión. (64)
57. Por consiguiente, considero que un litigio como el principal está incluido en el ámbito de aplicación material de la Directiva 2002/58 y que, por tanto, la excepción de incompetencia formulada por el Gobierno español debe desestimarse.
58. No obstante, en aras de la exhaustividad, deseo precisar que, en el caso de que no se reconozca la aplicabilidad de la Directiva 2002/58 a un supuesto como este, la Directiva 95/46, evocada tanto por el tribunal remitente como por el Gobierno español, no puede constituir al base de la competencia del Tribunal de Justicia para pronunciarse en el presente asunto.
59. En efecto, como indica la Comisión, la Directiva 95/46 constituye la norma de alcance general en materia de tratamiento de datos personales, (65) pero las cuestiones prejudiciales planteadas por el tribunal remitente carecerían a mi juicio de pertinencia si se examinaran únicamente desde este ángulo, dado que tienen por objeto determinar el umbral a partir del cual los delitos pueden calificarse de «graves» en el sentido de la jurisprudencia derivada de las sentencias Digital Rights y Tele2, que no tenían por objeto la interpretación de esta Directiva. (66)
2. Sobre la admisibilidad de la petición de decisión prejudicial
60. Con carácter subsidiario, el Gobierno español sostiene, en caso de que el Tribunal de Justicia declare que es competente para responder a las cuestiones prejudiciales planteadas, que debe declararse que la petición de decisión prejudicial es inadmisible, por dos razones.
61. En primer lugar, el Gobierno español alega que el tribunal remitente no ha identificado de forma clara el marco normativo de la Unión sobre el que el Tribunal de Justicia debe pronunciarse.
62. A este respecto, he de recordar la jurisprudencia reiterada según la cual, en el marco de la cooperación establecida por el artículo 267 TFUE, el Tribunal de Justicia solo puede negarse a pronunciarse sobre cuestiones prejudiciales, que disfrutan de una presunción de pertinencia, cuando resulta evidente que la interpretación o la apreciación de validez de una norma de la Unión solicitada no guardan relación alguna con la realidad o con el objeto del litigio principal, cuando el problema es de naturaleza hipotética o cuando el Tribunal de Justicia no dispone de los elementos de hecho o de Derecho necesarios para dar una respuesta útil a las cuestiones planteadas. (67)
63. Sin embargo, considero que, en el caso de autos, la alegación formulada por el Gobierno español no está fundada. En efecto, vistas las indicaciones aportadas por el tribunal remitente, estimo que este identificó suficientemente las disposiciones del Derecho de la Unión que a su entender son pertinentes. Debo recordar, por un lado, que las cuestiones prejudiciales planteadas tienen por objeto interpretar los artículos 7 y 8 de la Carta, por otro, que dicho tribunal expone que las Directivas 95/46 y 2002/58 constituyen el vínculo de conexión necesario entre la normativa nacional aplicable en el litigio principal y el Derecho de la Unión, (68) y, por último, que la Directiva 2002/58 tiene por objeto, como establece su considerando 2, garantizar, en particular, el pleno respeto de los derechos reconocidos en los artículos 7 y 8 de la Carta. (69)
64. Deseo añadir que carece de incidencia que una de las normas españolas evocadas en el auto de remisión, a saber, la Ley 25/2007, tuviera por objeto trasponer la Directiva 2006/24, que fue derogada tras haber sido declarada invalidada por la sentencia Digital Rights. (70) Como indica acertadamente el tribunal remitente, sería incorrecto considerar que las cuestiones prejudiciales sometidas al Tribunal de Justicia en el presente asunto carecen de pertinencia debido a esa declaración de invalidez. Sobre este particular, basta señalar que la materia sobre la que tratan estas cuestiones prejudiciales, la protección de datos personales, forma parte del ámbito competencial de la Unión y que el litigio principal está comprendido en el ámbito de aplicación de una norma del Derecho de la Unión, la Directiva 2002/58, (71) que la invalidada Directiva 2006/24 estaba destinada a modificar.
65. Por otro lado, puede observarse que las partes que han presentado observaciones ante el Tribunal de Justicia parten en su gran mayoría del principio de que la presente petición de decisión prejudicial debe examinarse conforme al artículo 15, apartado 1, de la Directiva 2002/58, leído a la luz de los artículos 7 y 8 de la Carta, y sobre la base de las conclusiones que se derivan de las sentencias Digital Rights y Tele2. Soy también de esta opinión, debiendo precisar que la expresión «delitos», no «delitos graves», figura en la Directiva 2002/58, y únicamente en el mencionado artículo 15, apartado 1. (72)
66. En segundo lugar, el Gobierno español sostiene que el artículo 7 de la Carta, que constituye el elemento central de la presente petición de decisión prejudicial, no es relevante, debido a que la diligencia de investigación solicitada en el litigio principal no se refiere a la interceptación de las comunicaciones y por tanto, no afecta a su confidencialidad, de modo que las cuestiones planteadas son hipotéticas.
67. Por mi parte, considero que el artículo 7 de la Carta es ciertamente pertinente en el presente asunto y que, en consecuencia, la petición de decisión prejudicial no es hipotética. Si bien es cierto que en el caso de autos no existe riesgo de que se restrinja el derecho al secreto de las comunicaciones, habida cuenta del objeto de la diligencia controvertida en el litigio principal, (73) no lo es menos que una diligencia de este tipo puede limitar el derecho al respeto de la vida privada garantizado por dicha disposición, aunque la restricción sea a mi juicio de escasa magnitud. (74)
68. En efecto, como ya ha declarado reiteradamente el Tribunal de Justicia de manera reiterada, la comunicación de datos personales a un tercero, como una autoridad pública, constituye una injerencia en el derecho fundamental consagrado en el artículo 7 de la Carta, cualquiera que sea la utilización posterior de la información comunicada. Lo mismo puede decirse de la conservación de datos personales, en particular por parte de los proveedores de servicios de comunicaciones electrónicas, y del acceso a dichos datos para su uso por parte de las autoridades públicas. (75)
69. Por consiguiente, considero que debe desestimarse la excepción de inadmisibilidad formulada por el Gobierno español y que, por lo tanto, procede pronunciarse sobre el fondo de la petición de decisión prejudicial.
C. Sobre los elementos que determinan la gravedad suficiente de una infracción que justifica una injerencia en los derechos fundamentales de que se trata (primera cuestión prejudicial)
70. Mediante su primera cuestión prejudicial el tribunal remitente pregunta al Tribunal de Justicia, en esencia, cuáles son los elementos que han de tenerse en cuenta para considerar que determinados delitos tienen gravedad suficiente para justificar que se restrinjan los derechos fundamentales garantizados por los artículos 7 y 8 de la Carta, en el marco de la conservación de datos personales y del acceso a tales datos, con arreglo a la jurisprudencia derivada de la sentencia Digital Rights, seguida de la sentencia Tele2.
71. Sobre este particular, he de señalar que la sentencia Digital Rights empleó el concepto de «delitos graves», (76) a veces en combinación con el concepto de «delincuencia grave», (77) como criterio de verificación de la finalidad y la proporcionalidad de la injerencia en los derechos fundamentales antes mencionados que entrañaban las disposiciones del Derecho de la Unión relativas a los datos personales, a saber, las de la Directiva 2006/24. Deseo precisar que este concepto, que no figura en la Directiva 2002/58, (78) se utilizó en la Directiva 2006/24, (79) cuya invalidez fue objeto de dicha sentencia. Posteriormente, el Tribunal de Justicia hizo uso de estos dos conceptos en la sentencia Tele2, (80) como mismo criterio de apreciación, pero relativo esta vez a la conformidad con el Derecho de Unión (81) de disposiciones adoptadas por los Estados miembros.
72. Más concretamente, la primera cuestión prejudicial invita al Tribunal de Justicia a que declare si, para apreciar la existencia de un «delito grave» que pueda justificar una injerencia en los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta en materia de datos personales, es preciso considerar únicamente la pena impuesta al delito de que se trata o si debe considerarse además el carácter particularmente lesivo de la conducta delictiva respecto de los bienes jurídicos individuales o colectivos en juego.
73. No obstante, como la Comisión, considero que, antes de pronunciarse sobre esta cuestión, procede examinar si la injerencia controvertida en un litigio como el principal es de una gravedad lo suficientemente elevada que para poder ser admitida se exija, en virtud del Derecho de la Unión, que esté justificada por la lucha contra un delito grave. En efecto, a mi juicio, si este no es el caso, el Tribunal de Justicia deberá interpretar las disposiciones pertinentes del Derecho de la Unión tras haber reformulado la primera cuestión prejudicial planteada (82) en la medida en que resulte necesario habida cuenta de las circunstancias del litigio principal, y no limitándose a lo solicitado por el tribunal remitente. (83)
1. Sobre la toma en consideración de la falta de gravedad de la injerencia controvertida
74. Ante todo, debe señalarse que operaciones como las controvertidas en el litigio principal pueden claramente restringir los derechos fundamentales garantizados por los artículos 7 y 8 de la Carta y, por lo tanto, constituir unainjerencia en estos derechos, en el sentido de la jurisprudencia derivada de las sentencias Digital Rights y Tele2.
75. Ciertamente, como evocaron los Gobiernos español y danés en sus observaciones orales, (84) y ya he indicado, (85) los datos a los que las autoridades responsables de la investigación del delito de que se trata desean acceder parecen revestir un carácter menos sensible que otras categorías de datos personales, (86) sabiendo que la solicitud de que se trata se refiere únicamente al nombre, los apellidos y, en su caso, la dirección de las personas objeto de dicha investigación, en su condición de usuarios de números de teléfono activados desde el teléfono móvil sustraído que constituye el objeto de la investigación.
76. Sin embargo, considero que, para determinar si ciertos datos personales deben estar cubiertos por la protección establecida por el Derecho de la Unión, y en particular por la Directiva 2002/58, (87) es indiferente si la información a la que se refiere la petición de conservación o de comunicación tiene o no un determinado carácter sensible. En efecto, como se puso de manifiesto en el marco de los primeros trabajos legislativos en la materia, «según la finalidad a la que esté destinado, todo dato sobre una persona, aun cuando parezca inofensivo, puede tener carácter sensible (por ejemplo, una simple dirección postal)». (88) A mayor abundamiento, el Tribunal de Justicia ya ha declarado que, para caracterizar la existencia de una injerencia en el derecho fundamental consagrado en el artículo 7 de la Carta, «carece de relevancia que la información relativa a la vida privada de que se trate tenga o no carácter sensible o que los interesados hayan sufrido o no inconvenientes en razón de tal injerencia». (89)
77. Por otro lado, he de recordar que la comunicación de datos de carácter personal a un tercero, incluso a una autoridad pública como la Policía Judicial, constituye una injerencia en el derecho fundamental garantizado en el artículo 7 de la Carta, (90) aun en el caso de que esa información se transmite para investigar un delito, situación que además está expresamente contemplada en el artículo 15, apartado 1, de la Directiva 2002/58. (91) Añadiré que una operación de este tipo también puede constituir una injerencia en la protección de los datos personales garantizada en el artículo 8 de la Carta, en la medida en que supone el tratamiento de datos personales. (92)
78. Por lo tanto, considero que procede declarar que una diligencia como la controvertida en el litigio principal constituye una injerencia en los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta.
79. Sin embargo, a mi juicio, en las circunstancias del caso de autos, falta un elemento esencial que el Tribunal de Justicia tuvo en cuenta para exigir que, en la fase de la justificación de la injerencia, exista un «delito grave» —concepto cuya definición solicita el tribunal remitente— para poder establecer una excepción al principio de confidencialidad de las comunicaciones electrónicas. El elemento que a mi juicio falta en el presente asunto para que pueda darse respuesta a la primera cuestión prejudicial en los términos empleados por dicho tribunal es la gravedad de la injerencia controvertida, factor que, si concurriera, haría necesario que existiera una justificación reforzada.
80. A este respecto, he de señalar que, en la sentencia Digital Rights, el Tribunal de Justicia puso de manifiesto la amplitud y el carácter particularmente grave de la injerencia causada por la normativa de que se trataba, señalando en particular que «la Directiva 2006/24 abarca de manera generalizada a todas las personas, medios de comunicación electrónica y datos relativos al tráfico sin que se establezca ninguna diferenciación, limitación o excepción en función del objetivo de lucha contra los delitos graves». (93)
81. De modo similar, en la sentencia Tele2 el Tribunal de Justicia declaró que «el artículo 15, apartado 1, de la Directiva 2002/58 […] se opone a una normativa nacional que establece, con la finalidad de luchar contra la delincuencia, la conservación generalizada e indiferenciada de todos los datos de tráfico y de localización de todos los abonados y usuarios registrados en relación con todos los medios de comunicación electrónica». (94) En dicha sentencia se estableció también una correlación entre, por un lado, la particular «gravedad de la injerencia» declarada y, por otro, la necesidad de justificar una restricción de tal alcance de los derechos fundamentales garantizados por los artículos 7 y 8 de la Carta, basándose en una razón de interés general tan primordial como la «lucha contra la delincuencia grave». (95)
82. Esta relación entre la gravedad de la injerencia observada y la gravedad de la razón que permite justificarla se estableció de acuerdo con el principio de proporcionalidad. (96) A mayor abundamiento, a mi juicio el TEDH ha establecido en su jurisprudencia relativa al artículo 8 del CEDH (97) una relación equivalente a la que en mi opinión se desprende de las sentencias Digital Rights y Tele2.
83. Pues bien, como he evocado anteriormente (98) y como han subrayado, más concretamente, los Gobiernos francés y del Reino Unido y la Comisión, la naturaleza de la injerencia controvertida en el litigio principal es, en varios aspectos, distinta de las que examinó el Tribunal de Justicia en las dos sentencias anteriores. Por consiguiente, la conformidad con el Derecho de la Unión de una diligencia como la que es objeto del presente asunto debe examinarse de manera diferente.
84. En el caso de autos, no se trata de una medida relativa a una obligación de conservación generalizada e indiferenciada de los datos de tráfico y de la localización de cualquier abonado o usuario inscrito que afecte a todos los medios de comunicación electrónicos. Se trata de una medida limitada que tiene por objeto la posibilidad de acceso, por parte de las autoridades competentes y para llevar a cabo la investigación de un delito, a datos conservados con fines comerciales por los prestadores de servicios y que se refiere únicamente a la identidad (nombre, apellidos y en su caso la dirección) de una categoría restringida de abonados o usuarios de un medio de comunicación específico, esto es, aquellos cuyo número de teléfono haya sido activado desde el teléfono móvil cuya sustracción es objeto de la investigación, y durante un período limitado, doce días. (99)
85. Debo añadir que los efectos potencialmente perjudiciales para las personas a las que se refiere la solicitud de acceso controvertida son a la vez moderados y limitados. En efecto, se trata de utilizar tales datos en el marco específico de una diligencia de investigación, no de divulgarlos al público en general. (100) A mayor abundamiento, en virtud del Derecho español la facultad de acceso concedida a la Policía Judicial está acompañada de garantías procesales, ya que lleva consigo un control judicial, que en el litigio principal condujo además a que se denegara la solicitud de la Policía.
86. A mi juicio, la injerencia en los derechos fundamentales antes mencionados que entraña la comunicación de estos datos personales o de filiación no reviste una carácter particularmente grave, (101) dado que datos de esta naturaleza y de un alcance tan limitado no permiten por sí mismos obtener información diversa o precisa sobre las personas de que se trata (102) y, por lo tanto, en esas circunstancias concretas no afectan directamente y en gran medida a su vida privada. (103)
87. Por consiguiente, considero, como la Comisión, que, para aportar al tribunal remitente las indicaciones pertinentes para resolver el litigio del que conoce, procede reformular la primera cuestión prejudicial de modo que la respuesta que dé el Tribunal de Justicia verse sobre la interpretación del artículo 15, apartado 1, de la Directiva 2002/58 teniendo en cuenta circunstancias como las del caso de autos, a saber, una injerencia en los derechos fundamentales antes mencionados que carece de gravedad particular y está fundada en la lucha contra un tipo de delitos de cuya gravedad se duda.
88. A este respecto, debo recordar que, puesto que los objetivos que pueden justificar una normativa nacional que establece una excepción al principio de confidencialidad de las comunicaciones electrónicas se enumeran de manera exhaustiva en el artículo 15, apartado 1, de la Directiva 2002/58, el acceso a los datos conservados debe responder efectiva y estrictamente a uno de estos objetivos. (104) Entre estos últimos figura el objetivo de interés general consistente en «la prevención, investigación, descubrimiento y persecución de delitos», (105) sin realizar precisión alguna en cuanto a su naturaleza.
89. De la terminología empleada se desprende que no es imperativo que, en virtud del mencionado artículo 15, apartado 1, los delitos que legitiman la medida restrictiva de que se trata puedan calificarse de «graves» en el sentido de la jurisprudencia derivada de las sentencias Digital Rights y Tele2. En mi opinión, solo cuando la injerencia es particularmente grave, como en los asuntos que dieron lugar a las citadas sentencias, las infracciones que pueden justificar una injerencia de este tipo deben ser, a su vez, de una particular gravedad. En cambio, en el supuesto de una injerencia leve, procede volver al principio de base resultante del tenor de esta disposición, a saber, que todo tipo de «delitos» puede justificarla.
90. A mi juicio, no debe adoptarse una concepción demasiado amplia de los requisitos establecidos por el Tribunal de Justicia en estas dos sentencias, para no obstaculizar, al menos excesivamente, la posibilidad de que los Estados miembros establezcan una excepción al régimen instaurado por la Directiva 2002/58, que les concede el artículo 15, apartado 1, de esta, en los supuestos en los que las intrusiones en la vida privada de que se tratan tengan al mismo tiempo una finalidad legítima y un alcance reducido, como las que supone en el caso de autos la solicitud de la Policía Judicial. Más concretamente, considero que el Derecho de la Unión no se opone a que las autoridades competentes puedan acceder a los datos personales o de filiación en poder de los proveedores de servicios de comunicaciones electrónicas que permitan encontrar a los supuestos autores de un delito que no revista carácter grave.
91. En consecuencia, propongo al Tribunal de Justicia que responda a la cuestión prejudicial, tal como ha sido reformulada, que el artículo 15, apartado 1, de la Directiva 2002/58, leído a la luz de los artículos 7, 8 y 52, apartado 1, de la Carta, debe interpretarse en el sentido de que una medida que permite a las autoridades nacionales competentes acceder, con fines de lucha contra los delitos, a los datos personales o de filiación de los usuarios de números de teléfono activados desde un teléfono móvil específico y durante un período de tiempo limitado, en circunstancias como las controvertidas en el litigio principal, implica una injerencia en los derechos fundamentales garantizados por dicha Directiva y por la Carta que no alcanza un nivel de gravedad suficiente para que dicho acceso deba reservarse a los casos en los que el delito sea grave.
92. Habida cuenta de la respuesta que propongo, las observaciones siguientes se presentan únicamente con carácter subsidiario, en aras de la exhaustividad.
2. Sobre la posibilidad de determinar los criterios pertinentes para caracterizar la gravedad suficiente de un delito
93. En caso de que, contrariamente a lo que preconizo, el Tribunal de Justicia declarara que, no obstante las circunstancias, muy específicas, del litigio principal, en el presente asunto procede determinar qué debe entenderse por «delito grave» en el sentido de la jurisprudencia derivada de las sentencias Digital Rights y Tele2, (106) habría lugar a preguntarse, en primer lugar, si esta calificación es un concepto autónomo del Derecho de la Unión, que por tanto correspondería definir al Tribunal de Justicia. Ahora bien, no es ésta mi opinión, y coincido con el Gobierno francés y la repuesta que propone con carácter principal.
94. Ante todo, observo que la Directiva 2006/24 de donde proviene el uso de la expresión «delito grave», (107) no contenía ninguna definición de dicho concepto, sino que se remitía en este punto a los ordenamientos jurídicos de los Estados miembros. (108) He de añadir que las consideraciones pertinentes que figuran en las sentencias Digital Rights y Tele2 no deben entenderse, a mi juicio, en el sentido de que tienen por objeto armonizar las normas vigentes en los Estados miembros que se refieren al contenido de este concepto.
95. A este respecto, recuerdo que la legislación penal y las normas que rigen el proceso penal son competencia de los Estados miembros, aunque su ordenamiento jurídico pueda no obstante verse afectado por las disposiciones del Derecho de la Unión adoptadas en este ámbito. (109) Con arreglo al artículo 83 TFUE, apartado 2, la Unión solo podrá adoptar directivas al objeto de establecer normas mínimas relativas a la definición de las infracciones penales y de las sanciones en el ámbito de que se trate cuando la aproximación del Derecho penal de los Estados miembros resulte imprescindible para garantizar la ejecución eficaz de una política de la Unión en un ámbito que haya sido objeto de medidas de armonización. Ahora bien, en el estado actual del Derecho de la Unión, no existe una disposición de carácter general que proporcione una definición armonizada del concepto de «delito grave». (110)
96. En mi opinión la facultad de determinar qué constituye un «delito grave» corresponde en principio a las autoridades competentes de los Estados miembros. Sin embargo, a través de las peticiones de decisión prejudicial que los tribunales de los Estados miembros pueden plantearle, el Tribunal de Justicia es responsable de velar por el respeto de todas las exigencias derivadas del Derecho de la Unión, y, en particular, de garantizar la aplicación coherente de la protección que ofrecen las disposiciones de la Carta.
97. La calificación jurídica de que se trata no solo puede variar de un Estado miembro a otro, en función de las tradiciones de cada uno y sus prioridades, sino que también cambian en el tiempo, en función de las orientaciones que se dan a la política penal, hacia una mayor o menor severidad, para tener en cuenta la evolución de la criminalidad (111) y, con carácter más general, las transformaciones de la sociedad y las necesidades, normalmente en términos de represión penal, a escala nacional.
98. Además, subrayo que, sabiendo que existen grandes diferencias entre los baremos de las sanciones que se aplican tradicionalmente en los diversos Estados miembros, (112) la gravedad de un delito no depende únicamente de la importancia de la pena que conlleva. La cuestión de si un delito tiene carácter grave es muy relativa, en el sentido de que depende de la gradación de las sanciones que se aplican en general en el Estado miembro de que se trata. De este modo, que un Estado miembro prevea una pena privativa de libertad de menor duración o una pena alternativa a la prisión no prejuzga sin embargo la gravedad intrínseca del tipo de infracción de que se trata. (113)
99. En mi opinión, deben respetarse las especificidades del sistema de Derecho penal de cada uno de los Estados miembros, siempre que el Derecho de la Unión no establezca obligaciones que les vinculen de manera estricta, por analogía con lo que el Tribunal de Justicia declaró en relación con la salvaguardia de la seguridad pública, (114) concepto próximo a mi entender al de lucha contra la delincuencia grave, en particular teniendo en cuenta el tenor del artículo 15, apartado 1, primera frase, de la Directiva 2002/58.
100. En consecuencia, con carácter subsidiario soy de la opinión de que el concepto de «delito grave», en el sentido de la jurisprudencia del Tribunal de Justicia derivada de las sentencias Digital Rights y Tele2, no constituye un concepto autónomo del Derecho de la Unión cuyo contenido haya de definir el Tribunal de Justicia, aunque no es menos cierto que los Estados miembros deben aplicar la excepción prevista en el artículo 15, apartado 1, de la Directiva 2002/58 de manera conforme con las obligaciones derivadas del Derecho de la Unión, en particular de los derechos fundamentales garantizados por la Carta, bajo el control del Tribunal de Justicia.
101. Sobre este último particular, debo señalar que se desprende de la jurisprudencia del Tribunal de Justicia, concretamente, que el mencionado artículo 15, apartado 1, en la medida en que permite a los Estados miembros limitar el alcance de determinados derechos y obligaciones previstos por dicha Directiva, debe ser objeto de una interpretación estricta y por tanto no puede llevar a que la excepción a estos derechos y obligaciones de principio se convierta en la regla. (115) Por lo tanto, los Estados miembros no deben entender de manera excesivamente amplia el alcance del mencionado concepto de «delito grave».
102. En segundo lugar, y con carácter todavía más subsidiario, en el supuesto en que el Tribunal de Justicia considerara que dicho concepto es autónomo, debería responder a la cuestión prejudicial tal como la formula el tribunal remitente y, en consecuencia, pronunciarse sobre la determinación de criterios que permitan apreciar, a escala del Derecho de la Unión, si un delito es suficientemente grave para justificar la restricción de los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta.
103. Más concretamente, el Tribunal de Justicia debería determinar si, para demostrar la existencia de un «delito grave» en el sentido de dicha jurisprudencia, basta con basarse en la pena prevista para el delito cuya comisión se imputa o si es preciso además que la conducta delictiva haya sido particularmente lesiva para los bienes jurídicos individuales o colectivos en juego. A este respecto, procede, a mi juicio, como mantienen los Gobiernos español, danés, francés, húngaro, austriaco, polaco y del Reino Unido, no optar por la primera parte de esta disyuntiva, sino por la segunda, privilegiando en esencia una definición basada en una pluralidad de criterios de apreciación. (116)
104. En relación con la gravedad del delito que puede justificar el acceso a los datos, considero, habida cuenta del principio de proporcionalidad, que es imposible determinar la gravedad de los hechos imputados teniendo en cuenta solo la pena que puede imponerse. En efecto, dadas las notables diferencias que siguen existiendo entre los sistemas sancionadores de los Estados miembros, considero que la pena impuesta no puede reflejar por sí misma la gravedad particular de un delito, ni desde el punto de vista cualitativo del tipo de pena, ni desde el punto de vista cuantitativo de la gravedad de la pena.
105. Aunque la pena tiene una importancia considerable, otros factores objetivos deben asimismo tenerse en cuenta, de manera casuística, a este respecto. Concretamente se trata, por un lado, del contexto en el que se inscribe el delito cuya comisión se imputa —si la conducta delictiva es de carácter doloso, concurren circunstancias agravantes o el autor es reincidente—, por otro lado, de la importancia de los bienes jurídicos de la sociedad que han podido resultar lesionados por el autor del delito y la naturaleza o la magnitud de los daños sufridos por la víctima, (117) y, por último, de la gradación de las penas en general en el Estado miembro de que se trate. (118) A mi juicio, procede calificar en su caso un delito de «grave», en el sentido de la jurisprudencia del Tribunal de Justicia, a partir de este conjunto de criterios de apreciación, alternativos y no exhaustivos.
106. He de añadir que la interpretación propuesta es conforme con el enfoque que a mi entender adopta el TEDH en su jurisprudencia relativa a la «prevención del delito», como objetivo que permite justificar una injerencia en el derecho a la vida privada consagrado en el artículo 8 del CEDH, siempre que se cumplan también otros requisitos. (119) A mi juicio, se desprende de esta jurisprudencia que los Estados partes del CEDH pueden invocar válidamente en este marco la lucha contra determinadas categorías de infracciones penales, (120) habida cuenta no solo de la pena impuesta, sino también de diversos factores de evaluación, entre los que figuran, en un lugar destacado, la naturaleza de los delitos de que se trate y los bienes jurídicos públicos y privados en presencia. (121)
107. En consecuencia, a mi juicio, si el Tribunal de Justicia considerara que el concepto de «delito grave», en el sentido de la jurisprudencia derivada de las sentencias Digital Rights y Tele2, es un concepto autónomo del Derecho de la Unión, debería interpretarse en el sentido de que la gravedad de un delito, que puede justificar el acceso de las autoridades nacionales competentes a datos personales en virtud del artículo 15, apartado 1, de la Directiva 2002/58, no debe evaluarse teniendo en cuenta únicamente la pena que puede imponerse, sino tomando en consideración además un conjunto de criterios objetivos de apreciación, como los anteriormente mencionados.
D. Sobre la definición subsidiaria del umbral mínimo de pena requerido para caracterizar la gravedad suficiente de un delito que justifica una injerencia en los derechos fundamentales de que se trata (segunda cuestión prejudicial)
108. Mediante su segunda cuestión prejudicial el tribunal remitente pide al Tribunal de Justicia, en esencia, por un lado, que identifique el umbral mínimo que la pena impuesta debe alcanzar para que un delito pueda calificarse de «grave», en el sentido de la jurisprudencia derivada de las sentencias Digital Rights y Tele2, así como, por otro lado, que indique si un umbral de tres años de prisión, tal como prevé la Ley de Enjuiciamiento Criminal tras la reforma de 2015, (122) es conforme con las exigencias del Derecho de la Unión.
109. Estos interrogantes se plantean únicamente con carácter subsidiario, para el caso de que el Tribunal de Justicia declare en respuesta a la primera cuestión prejudicial que el carácter grave de un delito, factor que puede justificar una injerencia en los derechos fundamentales con arreglo a dicha jurisprudencia, debe determinarse teniendo en cuenta únicamente la duración de la pena de prisión que se puede infligir.
110. Habida cuenta de la respuesta que propongo dar a la primera cuestión prejudicial, a mi juicio no procede que el Tribunal de Justicia se pronuncie sobre la segunda. No obstante, formularé observaciones sobre este particular en aras de la exhaustividad.
111. En relación con la primera parte de la segunda cuestiónprejudicial considero, como los Gobiernos checo y estonio, que el nivel de pena impuesto que permitiría por sí mismo calificar un delito de «grave» no puede determinarse de manera uniforme para todo el territorio de la Unión, a la luz de las consideraciones anteriormente expuestas en respuesta a la primera cuestión prejudicial planteada por el tribunal remitente. (123)
112. Además, esta variación de la definición de lo que debe entenderse por «delito grave», y más concretamente en cuanto al umbral de la pena a partir del cual se adquiere esta calificación, también está presente en Derecho de la Unión. En efecto, puede apreciarse que las normas del Derecho de la Unión adoptadas sobre la base del artículo 83 TFUE, apartado 1, prevén penas de prisión establecidas en niveles diferentes para delitos que sin embargo se consideran todas incluidas en «ámbitos delictivos […] de especial gravedad», (124) como se desprende, a título de ejemplo, del artículo 3 de la Directiva 2011/92/UE, (125) y del artículo 15 de la Directiva (UE) 2017/541, (126) instrumentos jurídicos relativos a la lucha contra los abusos sexuales cometidos contra menores y a la lucha contra el terrorismo, respectivamente. De este modo, el propio legislador de la Unión no ha optado por una definición uniforme del concepto de «delito grave» a la luz de una duración concreta de la pena impuesta.
113. He de recordar que la libertad de la que gozan los Estados miembros para decidir el umbral mínimo de pena requerido para que los delitos considerados «graves» está enmarcada por las normas que figuran en las disposiciones del Derecho de la Unión en la materia y también por el principio en virtud del cual no se puede conferir a una excepción una amplitud tal que se convierta de hecho en la regla general. (127)
114. En el caso de autos, aunque cada Estado miembro tiene la facultad de apreciar cuál es la pena mínima adecuada para caracterizar una infracción grave, sin embargo tiene el deber de no fijarlo a un nivel tan bajo, en relación con el nivel habitual de las penas aplicables en dicho Estado, (128) que las excepciones a la prohibición de almacenar y explotar datos personales previstas en este artículo 15, apartado 1, se conviertan en principios, como ha señalado correctamente el Gobierno irlandés.
115. A mayor abundamiento, consta que las injerencias en los derechos garantizados por los artículos 7 y 8 de la Carta, que los Estados miembros pueden autorizar en virtud del artículo 15, apartado 1, de la Directiva 2002/58, siguen estando supeditadas al respeto de los requisitos generales que se desprenden del principio de proporcionalidad, tal como se enuncia en el artículo 52, apartado 1, de la Carta. (129)
116. En relación con la última parte de la segunda cuestión prejudicial, el Gobierno estonio y la Comisión indican, por un lado, que un umbral fijado exclusivamente en una pena de al menos tres años de prisión resulta, en términos absolutos, suficiente para calificar una infracción de «grave», en el sentido de la jurisprudencia del Tribunal de Justicia relativa al acceso a datos personales derivada de la sentencias Digital Rights, y, por otro, que tal umbral no es manifiestamente incompatible con el Derecho de la Unión en general, (130) y concretamente con el artículo 15, apartado 1, de la Directiva 2002/58.
117. Sin embargo, a mi juicio es deseable que el Tribunal de Justicia se abstenga de adoptar posición en favor de una duración precisa de la pena impuesta, ya que lo que es adecuado para determinados Estados miembros no lo será forzosamente para otros y lo que es correcto actualmente para un tipo de infracciones no lo será necesariamente de manera irrevocable en el futuro, como ya he señalado. (131) Toda vez que la determinación del umbral en cuestión requiere de una evaluación compleja y potencialmente evolutiva, en mi opinión debe imponerse la prudencia a este respecto y reservar esta operación a la apreciación del legislador de la Unión en la esfera de las competencias que se le han conferido o a la del legislador de cada Estado miembro, dentro de los límites que suponen las exigencias derivadas del Derecho de la Unión.
118. Sobre este último particular he de señalar que, en el caso de autos, el tribunal remitente afirma que existe riesgo de inversión entre la regla general y las excepciones previstas por la Directiva 2002/58, riesgo evocado anteriormente, (132) cuando indica que «el arco punitivo [establecido en 2015 por el legislador español] [(133)] contempl[a] al menos una pena de tres años de prisión […] que abarca a una significativa mayoría de los tipos penales». Dicho de otro modo, según ese tribunal, la lista actual de delitos que pueden justificar en España restricciones a los derechos protegidos en virtud de los artículos 7 y 8 de la Carta, establecida por la reforma de la Ley de Enjuiciamiento Criminal, conduce en la práctica a que la mayor parte de las infracciones previstas en el Código penal estén incluidas en esa lista.
119. Pues bien, aun suponiendo que el Tribunal de Justicia considere que la injerencia de la que se trata en el litigio principal es grave y que se demuestre la realidad del resultado así evocado por el tribunal remitente, en mi opinión este no sería conforme con la obligación de proporcionalidad a la que están sometidas estas restricciones. (134) A mi entender, ello es así a pesar de la existencia de un control judicial, invocado por el Gobierno español, ya que el ejercicio de ese control solo permite impedir que se apliquen medidas que se declaren, en un análisis caso por caso, arbitrarias o demasiado intrusivas, y no frenar, de modo generalizado, el recurso a medidas de este tipo y su aplicación.
120. Por último, deseo subrayar que el enfoque propuesto en la presente sección concuerda a mi juicio con el seguido por el TEDH en su jurisprudencia relativa a la protección de los datos personales. Ciertamente, como evocan el Gobierno irlandés y la Comisión, ese tribunal ha declarado que las normativas nacionales que definen los delitos «graves» que pueden justificar una injerencia en la vida privada remitiéndose a una pena igual o superior a tres años de prisión son suficientemente claras. (135) No obstante, considero que no ha establecido que la duración de la pena sea un criterio absoluto y fijo a efectos de esta definición, sabiendo que su jurisprudencia a mi juicio se centra en el requisito de la previsibilidad y la claridad suficientes para los ciudadanos teniendo en cuenta no tanto la pena impuesta, sino más bien la naturaleza de los delitos que permiten tal injerencia. (136) Por otro lado, si bien el TEDH reconoce a los Estados miembros un cierto margen para apreciar la existencia y el alcance de la necesidad de tal injerencia, somete no obstante este margen de apreciación a un control a escala europea. (137) Concretamente, vela por evitar los riesgos de abusos a los que conducen normativas que remiten a una panoplia de delitos tan amplia que entrañan que la mayoría de ellos permitan justificar medidas intrusivas. (138)
121. En conclusión, considero que en el caso de que el Tribunal de Justicia declarara —contrariamente a lo que preconizo— que procede tener en cuenta solo la pena impuesta para calificar un delito de «grave», en el sentido de su jurisprudencia derivada de la sentencia Digital Rights, procedería entonces responder a la segunda cuestión perjudicial que los Estados miembros tienen libertad para fijar el umbral mínimo de pena a tal fin, siempre que observen los requisitos resultantes del Derecho de la Unión, en particular aquellos con arreglo a los cuales las injerencias en los derechos fundamentales garantizados en los artículos 7 y 8 de la Carta deben ser excepcionales y respetar el principio de proporcionalidad.
V. Conclusión
122. Vistas las consideraciones precedentes, propongo al Tribunal de Justicia que responda a las cuestiones prejudiciales planteadas por la Audiencia Provincial de Tarragona del siguiente modo:
«El artículo 15, apartado 1, de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), en su versión modificada por la Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, leído a la luz de los artículos 7, 8 y 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea, debe interpretarse en el sentido de que una medida que permite a las autoridades nacionales competentes acceder, con fines de lucha contra los delitos, a los datos personales o de filiación de los usuarios de números de teléfono activado desde un teléfono móvil específico y durante un período de tiempo limitado, en circunstancias como las controvertidas en el litigio principal, implica una injerencia en los derechos fundamentales garantizados por dicha Directiva y por la Carta que no alcanza un nivel de gravedad suficiente para que dicho acceso deba reservarse a los casos en que el delito sea grave.»