CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2020:7

CONCLUSIONES DEL ABOGADO GENERAL

M. CAMPOS SÁNCHEZ-BORDONA

presentadas el 15 de enero de 2020 (1)

Asunto C‑520/18

Ordre des barreaux francophones et germanophone,

Académie Fiscale ASBL,

UA,

Liga voor Mensenrechten ASBL,

Ligue des Droits de l’Homme ASBL,

VZ,

WY,

contra

Conseil des ministres,

con intervención de:

Child Focus

[Petición de decisión prejudicial planteada por la Cour constitutionnelle (Tribunal Constitucional, Bélgica)

«Cuestión prejudicial — Tratamiento de datos de carácter personal y protección de la vida privada en el sector de las comunicaciones electrónicas — Directiva 2002/58/CE — Ámbito de aplicación — Artículo 1, apartado 3 — Artículo 15, apartado 1 — Artículo 4, apartado 2, TUE — Carta de los Derechos Fundamentales de la Unión Europea — Artículos 4, 6, 7, 8, 11 y 52, apartado 1 — Obligación de conservación generalizada e indiferenciada de los datos relativos al tráfico y de localización — Efectividad de las investigaciones penales y otros objetivos de interés público»

1. El Tribunal de Justicia ha mantenido en los últimos años una línea jurisprudencial constante sobre la conservación y el acceso a los datos personales, de la que son hitos destacados:

– La sentencia de 8 de abril de 2014, Digital Rights Ireland y otros, (2) en la que declaró la invalidez de la Directiva 2006/24/CE (3) porque permitía una injerencia desproporcionada en los derechos reconocidos por los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea.

– La sentencia de 21 de diciembre de 2016, Tele2 Sverige y Watson y otros, (4) en la que interpretó el artículo 15, apartado 1, de la Directiva 2002/58/CE. (5)

– La sentencia de 2 de octubre de 2018, Ministerio Fiscal, (6) en la que confirmó la interpretación de ese mismo precepto de la Directiva 2002/58.

2. Esas sentencias (en particular, la segunda) preocupan a las autoridades de algunos Estados miembros, pues, a su entender, tienen como consecuencia despojarlos de un instrumento que reputan necesario para la salvaguarda de la seguridad nacional y para la lucha contra la criminalidad y el terrorismo. De ahí que algunos de esos Estados miembros aboguen por la revocación o la matización de aquella jurisprudencia.

3. Determinados órganos jurisdiccionales de los Estados miembros han puesto de relieve esa misma preocupación en cuatro reenvíos prejudiciales, (7) respecto de los que, con esta misma fecha, presento mis conclusiones.

4. Los cuatro asuntos plantean, ante todo, el problema de la aplicación de la Directiva 2002/58 a actividades relacionadas con la seguridad nacional y la lucha contra el terrorismo. Si aquella Directiva rigiese en ese contexto, habría de dilucidarse, acto seguido, en qué medida pueden los Estados miembros restringir los derechos de privacidad que protege. En último lugar, se deberá analizar hasta qué punto las diferentes normativas nacionales (la británica, (8) la belga (9) y la francesa (10)) sobre esta materia se atienen al derecho de la Unión, tal como ha sido interpretado por el Tribunal de Justicia.

5. Una vez conocida la sentencia Digital Rights, la Cour constitutionnelle (Tribunal Constitucional, Bélgica) anuló la normativa nacional que había transpuesto parcialmente al derecho interno la Directiva 2006/24, declarada inválida en aquella sentencia. El legislador belga adoptó, entonces, una nueva regulación, cuya compatibilidad con el derecho de la Unión ha vuelto a ponerse en duda a raíz de la sentencia Tele2 Sverige y Watson.

6. Una especificidad del presente reenvío es que suscita la posibilidad de prorrogar provisionalmente los efectos de una norma nacional cuya anulación por los tribunales nacionales se imponga a causa de su incompatibilidad con el derecho de la Unión.

I. Marco normativo

A. Derecho de la Unión

7. Me remito al apartado correspondiente de mis conclusiones en los asuntos C‑511/18 y C‑512/18.

B. Derecho nacional. Loi du 29 mai 2016 relative à la collecte et à la conservation des données dans le secteur des communications électroniques (11)

8. El artículo 4 dispone que el artículo 126 de la loi du 13 juin 2005 relative aux communications électroniques (12) tendrá esta redacción:

«1. Sin perjuicio de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel [Ley de 8 de diciembre de 1992 sobre protección de la vida privada con respecto al tratamiento de los datos de carácter personal], los proveedores que presten al público servicios de telefonía, incluso a través de internet, de acceso a internet, de correo electrónico por internet, así como los operadores que proporcionen redes públicas de comunicación electrónica y los operadores que presten cualquiera de los servicios anteriores deberán conservar los datos indicados en el apartado 3 que generen o traten en el marco de la prestación de los servicios de comunicaciones de que se trate.

Este artículo no se refiere al contenido de las comunicaciones.

[...]

2. Las autoridades enunciadas a continuación serán las únicas que, a su solicitud, podrán obtener de los proveedores y operadores indicados en el apartado 1, párrafo primero, los datos que se conserven con arreglo al presente artículo, para las finalidades y en las condiciones enumeradas a continuación:

1.º las autoridades judiciales, con fines de investigación, instrucción y persecución de delitos, a efectos de la ejecución de las medidas previstas en los artículos 46 bis y 88 bis del Code d’instruction criminelle (Código de enjuiciamiento criminal) y en las condiciones previstas en los citados artículos;

2.º los servicios de inteligencia y seguridad, con el fin de cumplir misiones de inteligencia recurriendo a los métodos de recogida de datos previstos en los artículos 16/2, 18/7 y 18/8 de la loi du 30 novembre 1998 organique des services de renseignement et de Sécurité ^[(13)^]y en las condiciones establecidas en la presente ley;

3.º cualquier agente de la policía judicial del Institut [belge des services postaux et des télécommunications (Instituto belga de servicios postales y telecomunicaciones)], con fines de investigación, instrucción y persecución de infracciones de [las normas de seguridad de las redes] y del presente artículo;

4.º los servicios de emergencias que presten asistencia in situ, cuando, tras haber recibido una llamada de auxilio, no obtengan del proveedor o del operador en cuestión los datos de identificación de la persona que realizó la llamada […] u obtengan datos incompletos o incorrectos. Solo podrán solicitarse los datos identificativos de la persona que realizó la llamada y, a más tardar, dentro de las 24 horas siguientes a su realización;

5.º cualquier agente de la policía judicial de la unidad de personas desaparecidas de la Policía Federal, en el marco de sus funciones de asistencia a personas en peligro, de búsqueda de personas cuya desaparición resulta sospechosa y cuando quepa presumir o existan indicios serios de que la integridad física de la persona desaparecida se encuentra en peligro inminente. Únicamente podrán solicitarse al operador o al proveedor de que se trate, a través de un servicio de policía designado por el Rey, los datos indicados en el apartado 3, párrafos primero y segundo, relativos a la persona desaparecida conservados durante las 48 horas anteriores a la solicitud de obtención de los datos;

6.º el Servicio de mediación para las telecomunicaciones, a efectos de identificar a la persona que haya hecho un uso indebido de una red o de un servicio de comunicaciones electrónicas [...]. Solo podrán solicitarse los datos identificativos.

Los proveedores y operadores mencionados en el apartado 1, párrafo primero, dispondrán lo necesario para que los datos a que se refiere el apartado 3 sean accesibles sin límites desde Bélgica y para que tales datos y cualquier otra información necesaria relativa a ellos puedan transmitirse sin demora exclusivamente a las autoridades indicadas en este apartado.

Sin perjuicio de lo dispuesto en otras disposiciones legales, los proveedores y operadores a que se refiere el apartado 1, párrafo primero, no podrán utilizar los datos que conserven en cumplimiento de lo dispuesto en el apartado 3 para otros fines.

3. Los datos que permiten identificar al usuario o abonado y los medios de comunicación, a excepción de los datos específicamente previstos en los párrafos segundo y tercero, se conservarán durante los doce meses siguientes a la fecha en la que hubiera podido efectuarse por última vez una comunicación a través del servicio utilizado.

Los datos sobre acceso y conexión de los terminales a la red y al servicio, y de ubicación de esos equipos, incluido el punto de terminación de la red, se conservarán durante los doce meses siguientes a la fecha de la comunicación.

Los datos de comunicaciones, con exclusión de su contenido, incluidos los relativos a su origen y destino, se conservarán durante los doce meses siguientes a la fecha de la comunicación.

Mediante decreto adoptado por el Consejo de ministros, a propuesta del ministro de Justicia y del ministro, y previo dictamen de la Comisión para la protección de la intimidad y del Instituto, el Rey establecerá los datos que han de conservarse por cada una de las categorías indicadas en los párrafos primero a tercero y los requisitos que esos datos deben reunir.

4. A efectos de la conservación de los datos mencionados en el apartado 3, los proveedores y operadores indicados en el apartado 1, párrafo primero, deberán:

1.º garantizar que los datos conservados son de la misma calidad y están sometidos a las mismas normas de seguridad y protección que los datos existentes en la red;

2.º velar por que los datos conservados estén sujetos a medidas técnicas y organizativas adecuadas para protegerlos de la destrucción accidental o ilícita, la pérdida o la alteración accidental, así como el almacenamiento, el tratamiento, el acceso o la comunicación no autorizados o ilícitos;

3.º garantizar que únicamente uno o varios miembros de la unidad de coordinación a que hace referencia el artículo 126/1, apartado primero, puedan acceder a los datos conservados para atender las solicitudes de las autoridades a que alude el apartado 2;

4.º conservar los datos en el territorio de la Unión Europea;

5.º adoptar medidas de protección tecnológica en virtud de las cuales, desde el momento de su grabación, los datos conservados sean ilegibles e inutilizables para cualquier persona que no esté autorizada a acceder a ellos;

6.º eliminar los datos conservados de cualquier soporte cuando haya expirado el período de conservación aplicable a tales datos, previsto en el apartado 3, sin perjuicio de lo dispuesto en los artículos 122 y 123;

7.º garantizar la trazabilidad del uso de los datos conservados con respecto a cada solicitud de obtención que reciban de una de las autoridades mencionadas en el apartado 2.

La trazabilidad a que se refiere el punto 7 se llevará a cabo a través de un registro. El Instituto y la Comisión para la protección de la intimidad podrán consultar ese registro o solicitar una copia de la totalidad o parte de él. El Instituto y la Comisión para la protección de la intimidad suscribirán un protocolo de colaboración relativo a la toma de conocimiento y al control del contenido del registro.

5. El ministro y el ministro de Justicia transmitirán anualmente a la Cámara de representantes estadísticas sobre la conservación de datos generados o tratados en el marco del suministro de servicios o redes de comunicación accesibles al público.

Estas estadísticas comprenderán en particular:

1º los casos en los que se han transmitido datos a las autoridades competentes de conformidad con las disposiciones legales aplicables;

2º el lapso de tiempo transcurrido entre la fecha a partir de la cual los datos han sido conservados y la fecha en la que las autoridades competentes han solicitado su transmisión;

3º los casos en los que las solicitudes de datos no han podido satisfacerse.

Estas estadísticas no pueden comprender datos de carácter personal.

[…]»

9. El artículo 5 prescribe la inserción de un artículo 126/1 en la Ley de 2005, con la siguiente redacción:

«1. En el seno de cada operador y de cada proveedor mencionado en el artículo 126, apartado 1, párrafo primero, se constituirá una unidad de coordinación encargada de facilitar a las autoridades belgas legalmente habilitadas, a su solicitud, los datos conservados en virtud de los artículos 122, 123 y 126, los datos identificativos de la persona que realiza la llamada con arreglo al artículo 107, apartado 2, párrafo primero, o los datos que pudieran exigirse de conformidad con los artículos 46 bis, 88 bis y 90 ter del Código de enjuiciamiento criminal y de los artículos 18/7, 18/8, 18/16 y 18/17 de la [Ley de 1998].

[...]

2. Los operadores y proveedores a que se refiere el artículo 126, apartado 1, párrafo primero, establecerán un procedimiento interno que les permita responder a las solicitudes de las autoridades de acceder a los datos de carácter personal de los usuarios. Previa solicitud, pondrán a disposición del Instituto información sobre tales procedimientos, sobre el número de solicitudes recibidas, sobre la base jurídica invocada y sobre la respuesta proporcionada.

[...]

3. Los operadores y proveedores a que se refiere el artículo 126, apartado 1, párrafo primero, deberán designar a una o varias personas encargadas de la protección de los datos de carácter personal, que deberán cumplir los requisitos acumulativos relacionados en el apartado 1, párrafo tercero.

[...]

En el marco del desempeño de sus funciones, el encargado de la protección de datos de carácter personal actuará con plena independencia y tendrá acceso a todos los datos personales transmitidos a las autoridades y a todos los locales pertinentes del proveedor o del operador.

[…]

4. Mediante decreto adoptado por el Consejo de ministros, previo dictamen de la Comisión para la protección de la intimidad y del Instituto, el Rey fijará:

[...]

2.º los requisitos que deberá cumplir la unidad de coordinación, teniendo en cuenta la situación de los operadores y proveedores que reciban pocas solicitudes de las autoridades judiciales, que no dispongan de un establecimiento en Bélgica o que operen principalmente desde el extranjero;

3.º la información que habrá de facilitarse al Instituto y a la Comisión para la protección de la intimidad de conformidad con los apartados 1 y 3 y las autoridades que tendrán acceso a esa información;

4.º las demás reglas que regulan la colaboración de los operadores y de los proveedores a que hace referencia el artículo 126, apartado 1, párrafo primero, con las autoridades belgas o con algunas de ellas, para el suministro de los datos indicados en el apartado 1, incluidos, en caso necesario y con respecto a cada autoridad interesada, la forma y contenido de la solicitud.

[…]»

10. El artículo 8 preceptúa que el artículo 46 bis, apartado 1, del Código de enjuiciamiento criminal quedará como se recoge a continuación:

«1. Al investigar delitos, mediante decisión motivada y escrita, si fuera necesario solicitando la asistencia del operador de una red de comunicaciones electrónicas, de un proveedor de un servicio de comunicación electrónica o de un servicio policial designado por el Rey, el Fiscal podrá, sobre la base de toda la información de que disponga o accediendo a los ficheros de los clientes de los operadores o proveedores de servicio, proceder u ordenar que se proceda a:

1º identificar al abonado o al usuario habitual de uno de los servicios de comunicación electrónica o del medio de comunicación electrónica utilizado;

2º identificar los servicios de comunicación electrónica a los que esté abonada una determinada persona o que esta utilice habitualmente.

Deberá acreditarse que la medida adoptada es proporcionada, a la luz del respeto de la vida privada, y subsidiaria a cualquier otra obligación de investigación.

En caso de extrema urgencia, cualquier agente de la policía judicial, con el consentimiento verbal y previo del Fiscal, y mediante decisión motivada por escrito, podrá requerir que se le faciliten dichos datos. El agente de la policía judicial remitirá esta decisión motivada por escrito, así como la información que recabe, al Fiscal en las 24 horas siguientes, y motivará la extrema urgencia.

En lo que respecta a los delitos que no llevan aparejada una pena de prisión principal de un año o una pena más grave, el Fiscal o, en caso de extrema urgencia, el agente de la policía judicial, únicamente podrán solicitar los datos indicados en el apartado 1 correspondientes a los seis meses anteriores a su decisión.

2. El operador de redes de comunicaciones electrónicas y el proveedor de servicios de comunicación electrónica al que se requiera los datos indicados en el apartado 1, facilitarán al Fiscal o al agente de la policía judicial los datos solicitados dentro del plazo que fije el Rey [...].

[...]

Todo aquel que, en el ejercicio de sus funciones, tenga conocimiento de la medida o asista en la misma, estará obligado a guardar secreto. Cualquier vulneración de este secreto se castigará conforme a lo previsto en el artículo 458 del Código penal.

Se castigará con multa de 26 a 10 000 euros la negativa a facilitar los datos».

11. El artículo 9 otorga esta redacción al artículo 88 bis del Código de enjuiciamiento criminal:

«1. Si existieran indicios serios de que los delitos pueden llevar aparejada una pena de prisión principal de un año o una pena más grave, y cuando el juez de instrucción considere que concurren circunstancias que hacen necesario que se rastreen comunicaciones electrónicas o se localice el origen o destino de comunicaciones electrónicas para esclarecer la verdad, podrá acordar, solicitando, en su caso, directamente o a través de un servicio de policía designado por el Rey, la asistencia técnica del operador de red de comunicaciones electrónicas o del proveedor del servicio de comunicación electrónica:

1.º que se rastreen los datos de tráfico de los medios de comunicación electrónica desde o hacia los cuales se dirijan o se hayan dirigido comunicaciones electrónicas;

2.º que se localice el origen o destino de comunicaciones electrónicas.

En los supuestos previstos en el párrafo primero, se indicarán y consignarán en un acta el día, la hora, la duración y, en su caso, el lugar de la comunicación electrónica cuyo origen o destino sea localizado o con respecto a cada medio de comunicación electrónica cuya información de llamada sea recabada.

En un auto motivado, el juez de instrucción expondrá las circunstancias de hecho del procedimiento que justifican la medida, su carácter proporcionado a la luz del respeto de la intimidad y su carácter subsidiario a cualquier otra obligación de investigación.

Precisará además el período durante el cual la correspondiente medida podrá aplicarse a futuro, que no podrá exceder de dos meses a contar desde la fecha del auto, sin perjuicio de su renovación y, en su caso, el período pasado que abarque la medida con arreglo al apartado 2.

[...]

2. En cuanto a la aplicación de la medida indicada en el apartado 1, párrafo primero, a los datos de tráfico o de localización conservados con arreglo al artículo 126 de la Ley de […] de 2005 […], serán de aplicación las siguientes disposiciones:

– para los delitos recogidos en el libro II, título I ter, del Código penal, el juez de instrucción podrá solicitar en su auto los datos correspondientes al período de doce meses anterior a la fecha del auto;

– para otros delitos mencionados en el artículo 90 ter, apartados 2 a 4, no incluidos en el primer guion, los cometidos en el marco de una organización criminal referidos en el artículo 324 bis del Código penal, o los que lleven aparejadas penas de prisión principal de cinco años o penas más graves, el juez de instrucción podrá solicitar en su auto los datos correspondientes al período de nueve meses anterior a la fecha del auto;

– para los demás delitos, el juez de instrucción únicamente podrá solicitar en su auto los datos correspondientes al período de seis meses anterior a la fecha del auto.

3. Dicha medida únicamente podrá tener por objeto los medios de comunicación electrónica de un abogado o de un médico cuando se sospeche que ha cometido o participado en la comisión de uno de los delitos mencionados en el apartado 1, o si existen hechos concretos que hagan presuponer que terceros sospechosos de haber cometido esos delitos han utilizado sus medios de comunicación electrónica.

Esa medida no podrá adoptarse sin comunicárselo al decano del colegio de abogados o, en su caso, al representante del colegio de médicos de la provincia. El juez de instrucción informará a dichas personas de los elementos que considera amparados por el secreto profesional. Tales elementos no se harán constar en el acta.

4. [...]

[...]»

12. Con arreglo al artículo 12, el artículo 13 de la Ley de 1998 tiene la siguiente redacción:

«Los servicios de inteligencia y seguridad podrán localizar, recabar, recibir y tratar información y datos personales que puedan ser útiles para la consecución de sus cometidos y mantener actualizada documentación sobre acontecimientos, agrupaciones y personas que sean de interés para la ejecución de sus funciones.

La información contenida en esa documentación debe guardar algún tipo de relación con la finalidad del archivo y limitarse a las exigencias que se deriven de él.

Los servicios de inteligencia y seguridad velarán por la seguridad de los datos concernientes a sus fuentes y de la información y datos personales facilitados por dichas fuentes.

Los agentes de los servicios de inteligencia y seguridad podrán acceder a la información, informes y datos personales recabados y tratados por su servicio siempre que sean útiles para el ejercicio de su función o el cumplimiento de su cometido.»

13. El artículo 14 confiere una nueva redacción al artículo 18/3, que dispone ahora:

«1. Podrán aplicarse los métodos específicos de recogida de datos previstos en el artículo 18/2, apartado 1, ante la amenaza potencial a que alude el artículo 18/1, en caso de que los métodos ordinarios de recogida de datos se consideren insuficientes para poder recabar la información necesaria para llevar a término una misión de inteligencia. El método específico se seleccionará en función de la gravedad de la amenaza potencial contra la cual se aplique.

El método específico no podrá aplicarse hasta que el director del servicio haya adoptado una decisión motivada por escrito y esta haya sido comunicada a la comisión.

2. En su decisión, el director del servicio deberá hacer constar:

1.º la naturaleza del método específico;

2.º en su caso, las personas físicas o jurídicas, las asociaciones o agrupaciones, los objetos, lugares y acontecimientos o la información que se sometan al método específico;

3.º la amenaza potencial que justifica el recurso al método específico;

4.º las circunstancias fácticas que justifican el recurso a ese método y la motivación de su carácter subsidiario y proporcionado, incluida la relación entre los puntos 2.º y 3.º;

5.º el período durante el que podrá aplicarse el método específico a contar desde la decisión de la comisión;

[...]

9.º en su caso, los indicios serios que apuntan a que el abogado, médico o periodista participa o ha participado a título personal de forma activa en la creación o en el desarrollo de la amenaza potencial;

10.º cuando resulte aplicable el artículo 18/8, los motivos de la duración del período a que se refiere la recogida de los datos;

[...]

8. El director del servicio pondrá fin al método específico cuando la amenaza potencial que lo justifique haya desaparecido, dicho método haya dejado de ser útil para el fin para el que se aplicó o cuando compruebe que se ha cometido una ilegalidad. Comunicará su decisión a la comisión a la mayor brevedad.»

14. El artículo 18/8 de la Ley de 1988 queda de esta forma:

«1. En aras del cumplimiento de su misión y, cuando sea necesario, solicitando la colaboración técnica del operador de una red de comunicaciones electrónicas o de un proveedor de un servicio de comunicaciones electrónicas, los servicios de inteligencia y seguridad podrán disponer:

1.º que se rastreen los datos de tráfico de los medios de comunicación electrónica desde o hacia los cuales se dirijan o se hayan dirigido comunicaciones electrónicas;

2.º que se localice el origen o destino de comunicaciones electrónicas.

[...]

2. En cuanto a la aplicación del método indicado en el apartado 1 a los datos conservados con arreglo al artículo 126 de la Ley de […] de 2005 […], serán de aplicación las siguientes disposiciones:

1.º para una amenaza potencial vinculada a una actividad que guarde relación con organizaciones criminales u organizaciones sectarias destructivas, el director del servicio únicamente podrá solicitar en su decisión datos correspondientes al período de seis meses anterior a su decisión;

2.º para una amenaza potencial distinta de las previstas en los puntos 1.º y 3.º, el director del servicio podrá solicitar en su decisión datos correspondientes al período de nueve meses anterior a su decisión;

3.º para una amenaza potencial vinculada a una actividad que guarde relación con el terrorismo o con el extremismo, el director del servicio únicamente podrá solicitar en su decisión datos correspondientes al período de doce meses anterior a su decisión. [...]».

II. Hechos y cuestiones prejudiciales planteadas

15. En su sentencia de 11 de junio de 2015, (14) la Cour constitutionnelle (Tribunal Constitucional) anuló la nueva versión del artículo 126 de la Ley de 2005, por los mismos motivos que habían llevado al Tribunal de Justicia a declarar inválida la Directiva 2006/24 en la sentencia Digital Rights.

16. El legislador nacional, a la vista de esa anulación, aprobó (antes de que se dictase la sentencia Tele 2 Sverige y Watson) la Ley de 29 de mayo de 2016.

17. VZ y otros, la Ordre des barreaux francophones et germanophone («Ordre des barreaux»), la Liga voor Mensenrechten ASBL («LMR»), la Ligue des Droits de l’Homme ASBL («LDH») y la Académie Fiscale ASBL («Académie Fiscale») interpusieron ante el tribunal de reenvío diversos recursos de inconstitucionalidad contra la referida ley, alegando, en síntesis, que iba más allá de lo estrictamente necesario y no establecía garantías suficientes de protección.

18. En este contexto, la Cour constitutionnelle (Tribunal Constitucional) ha elevado al Tribunal de Justicia las siguientes preguntas:

«1) ¿Debe interpretarse el artículo 15, apartado 1, de la Directiva 2002/58/CE, en relación con el derecho a la seguridad, consagrado en el artículo 6 de la Carta de los Derechos Fundamentales de la Unión Europea [«Carta»], y el derecho al respeto de los datos personales, garantizado por los artículos 7, 8 y 52, apartado 1, de la Carta […], en el sentido de que se opone a una normativa nacional, como la controvertida, que impone a los operadores y proveedores de servicios de comunicaciones electrónicas la obligación general de conservar los datos de tráfico y de localización, en el sentido de la Directiva 2002/58/CE, que generan o someten a tratamiento en el marco de la prestación de esos servicios, y cuyo objetivo no es únicamente la investigación, descubrimiento y persecución de delitos graves, sino también la seguridad nacional, la defensa del territorio, la seguridad pública, la investigación, descubrimiento y persecución de delitos no graves o la prevención de la utilización no autorizada del sistema de comunicaciones electrónicas, o la consecución de otro objetivo previsto en el artículo 23, apartado 1, del Reglamento (UE) 2016/679 [del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1)] y que, además, está sujeta a garantías reguladas de forma precisa en dicha normativa atinentes a la conservación de los datos y al acceso a ellos?

2) ¿Debe interpretarse el artículo 15, apartado 1, de la Directiva 2002/58/CE, en relación con los artículos 4, 7, 8, 11 y 52, apartado 1, de la Carta […], en el sentido de que se opone a una normativa nacional, como la controvertida, que impone a los operadores y proveedores de servicios de comunicaciones electrónicas la obligación general de conservar los datos de tráfico y de localización, en el sentido de la Directiva 2002/58/CE, que generan o someten a tratamiento en el marco de la prestación de esos servicios, cuando dicha normativa tiene fundamentalmente por objeto cumplir las obligaciones positivas que incumben a la autoridad en virtud de los artículos 4 y 8 de la Carta, consistentes en establecer un marco jurídico que permita que se investiguen y sancionen en el ámbito penal de forma efectiva los abusos sexuales a menores y se identifique al autor de esos delitos, también cuando haga uso de medios de comunicación electrónicos?

3) Si, sobre la base de las respuestas a las cuestiones prejudiciales primera y segunda, la Cour constitutionnelle [Tribunal Constitucional] llegase a la conclusión de que la Ley impugnada infringe una o varias de las obligaciones que se derivan de las disposiciones mencionadas en dichas cuestiones, ¿podría mantener con carácter provisional los efectos de la Ley [litigiosa] para evitar la inseguridad jurídica y permitir que los datos recabados y conservados con anterioridad puedan seguir utilizándose para los fines previstos en la Ley?»

III. Procedimiento ante el Tribunal de Justicia

19. El reenvío prejudicial se registró en el Tribunal de Justicia el 2 de agosto de 2018.

20. Han presentado observaciones escritas VZ y otros, Académie Fiscale, LMR, LDH, Ordre des barreaux, la Fondation pour Enfants Disparus et Sexuellement Exploités (Child Focus), los Gobiernos alemán, belga, británico, checo, chipriota, danés, español, estonio, francés, húngaro, irlandés, neerlandés, polaco y sueco, así como la Comisión.

21. El 9 de septiembre de 2019 tuvo lugar una vista pública, celebrada conjuntamente con las de los asuntos C‑511/18, C‑512/18 y C‑623/17, en la que comparecieron las partes de los cuatro reenvíos prejudiciales, los Gobiernos antes citados y el de Noruega, así como la Comisión y el Supervisor europeo para la protección de datos personales.

IV. Análisis

22. La primera pregunta de este reenvío coincide, sustancialmente, con las que se dirimen en los asuntos C‑511/18 y C‑512/28. Difiere, sin embargo, de estas últimas en cuanto a los objetivos a los que sirve la normativa nacional: no son únicamente la lucha contra el terrorismo y contra las formas más graves de criminalidad, o la salvaguarda de la seguridad nacional, sino también «la defensa del territorio, la seguridad pública, investigación, descubrimiento y persecución de delitos no graves» y, con carácter general, cualquiera de los previstos en el artículo 23, apartado 1, del Reglamento n.º 2016/679.

23. La segunda pregunta enlaza con la primera, pero la completa en el sentido de demandar si las obligaciones positivas que incumben al poder público en cuanto a la investigación y la sanción de los abusos sexuales a menores justificarían las medidas controvertidas.

24. La tercera pregunta se formula para la hipótesis de que la norma nacional fuera incompatible con el derecho de la Unión. El tribunal de remisión quiere saber si, en esa hipótesis, podría mantener provisionalmente los efectos de la Ley de 29 de mayo de 2016.

25. Abordaré estas cuestiones analizando, en primer lugar, la aplicabilidad de la Directiva 2002/58, para lo que remitiré a mis conclusiones en otros de estos reenvíos prejudiciales. En segundo lugar, reseñaré las principales orientaciones de la jurisprudencia del Tribunal de Justicia en esta materia y sus posibilidades de desarrollo. En último lugar, afrontaré la solución para cada una de las preguntas prejudiciales.

A. La aplicabilidad de la Directiva 2002/58

26. Como en los otros tres reenvíos prejudiciales, también en este se ha puesto en duda que la Directiva 2002/58 sea aplicable. Dada la identidad de los planteamientos defendidos por los Estados miembros al respecto, me remito sobre este extremo a las conclusiones de los asuntos C‑511/18 y C‑512/18. (15)

B. La jurisprudencia del Tribunal de Justicia sobre la conservación y el acceso de las autoridades públicas a los datos personales, en el marco de la Directiva 2002/58

1. El principio de confidencialidad de las comunicaciones y de los datos conexos

27. Las disposiciones de la Directiva 2002/58 «especifican y completan» la Directiva 95/46/CE, (16) con el fin de lograr un alto nivel de protección de los datos personales, en el contexto de la prestación de servicios de comunicaciones electrónicas. (17)

28. El artículo 5, apartado 1, de la Directiva 2002/58 indica que los Estados miembros deben garantizar, en su legislación nacional, la confidencialidad de las comunicaciones realizadas a través de una red pública de comunicaciones y de los servicios de comunicaciones electrónicas disponibles al público, así como la confidencialidad de los datos de tráfico correspondientes.

29. La confidencialidad de las comunicaciones implica, entre otras (artículo 5, apartado 1, segunda frase, de la Directiva 2002/58), la prohibición de que cualquier persona distinta de los usuarios almacene, sin su consentimiento, datos de tráfico relativos a las comunicaciones electrónicas. Se exceptúan «las personas legalmente autorizadas […] y el almacenamiento técnico necesario para la conducción de una comunicación». (18)

30. Los artículos 5, 6 y 9, apartado 1, de la Directiva 2002/58 tienen por objeto preservar la confidencialidad de las comunicaciones y de los datos conexos y reducir al mínimo el riesgo de abuso. Su alcance ha de apreciarse a la luz del considerando trigésimo de dicha Directiva, según el que «[l]os sistemas para el suministro de redes y servicios de comunicaciones electrónicas deben diseñarse de modo que se limite la cantidad de datos personales al mínimo estrictamente necesario». (19)

31. En cuanto a esos datos, pueden distinguirse:

– Los datos de tráfico, cuyo tratamiento y almacenamiento solo está autorizado en la medida y durante el tiempo indispensables para la facturación y la comercialización de los servicios y la prestación de servicios de valor añadido (artículo 6 de la Directiva 2002/58). Una vez transcurrido ese plazo, los datos procesados y almacenados deben borrarse o hacerse anónimos. (20)

– Los datos de localización distintos de los datos de tráfico, que solo podrán tratarse en determinadas condiciones y después de que se hayan anonimizado o se haya obtenido el consentimiento de los usuarios o abonados (artículo 9, apartado 1, de la Directiva 2002/58). (21)

2. La cláusula de limitación prevista en el artículo 15, apartado 1, de la Directiva 2002/58

32. El artículo 15, apartado 1, de la Directiva 2002/58 permite a los Estados miembros «adoptar medidas legales para limitar el alcance de los derechos y de las obligaciones que se establecen en los artículos 5 y 6, en los apartados 1 a 4 del artículo 8 y en el artículo 9» de esa Directiva.

33. Cualquier limitación debe constituir «una medida necesaria proporcionada y apropiada en una sociedad democrática para proteger la seguridad nacional (es decir, la seguridad del Estado), la defensa, la seguridad pública, o la prevención, investigación, descubrimiento y persecución de delitos o la utilización no autorizada del sistema de comunicaciones electrónicas a que se hace referencia en el apartado 1 del artículo 13 de la Directiva [95/46]».

34. Esa enumeración de objetivos tiene un carácter exhaustivo: (22) a título de ejemplo («entre otras»), se admiten «las medidas legislativas en virtud de las cuales los datos se conserven durante un plazo limitado justificado por los motivos establecidos en el presente apartado».

35. En cualquier caso, «todas las medidas contempladas en el presente apartado deberán ser conformes con los principios generales del derecho comunitario, incluidos los mencionados en los apartados 1 y 2 del artículo 6 del Tratado de la Unión Europea». Por consiguiente, el artículo 15, apartado 1, de la Directiva 2002/58 ha de interpretarse a la luz de los derechos fundamentales garantizados por la Carta. (23)

36. De esos derechos reconocidos en la Carta, el Tribunal de Justicia ha mencionado, en lo que ahora importa, el derecho a la intimidad (artículo 7), el derecho a la protección de los datos personales (artículo 8) y el derecho a la libertad de expresión (artículo 11). (24)

37. El Tribunal de Justicia ha subrayado, asimismo, como pauta de su interpretación del artículo 15, apartado 1, de la Directiva 2002/58, que las limitaciones a la obligación de garantizar la confidencialidad de las comunicaciones y de los datos de tráfico relacionados con ellas deben interpretarse estrictamente.

38. En concreto, ha rechazado «que la excepción a esta obligación de principio y, en particular, a la prohibición de almacenar datos, prevista en el artículo 5 de dicha Directiva, se convierta en la regla, si no se quiere privar en gran medida a esta última disposición de su alcance». (25)

39. Esta doble observación me parece decisiva para comprender por qué el Tribunal de Justicia ha reputado incompatible con la Directiva 2002/58 la retención generalizada e indiferenciada de los datos de tráfico y de localización relativos a las comunicaciones electrónicas.

40. Con esta declaración, el Tribunal de Justicia no ha hecho sino aplicar «rigurosamente» (26) el criterio de proporcionalidad que ya había empleado antes: (27) «la protección del derecho fundamental al respeto de la vida privada a nivel de la Unión exige que las excepciones a la protección de los datos personales y las limitaciones de esa protección no excedan de lo estrictamente necesario». (28)

3. La proporcionalidad en la conservación de los datos

a) El carácter desproporcionado de una conservación generalizada e indiferenciada

41. El Tribunal de Justicia reconoció que la lucha contra la delincuencia grave, singularmente, contra la delincuencia organizada y el terrorismo, reviste una importancia primordial para garantizar la seguridad pública, y que su eficacia puede depender en gran medida de la utilización de técnicas modernas de investigación. Añadió que, «sin embargo, este objetivo de interés general, por fundamental que sea, no puede por sí solo justificar que una medida de conservación como la establecida por la Directiva 2006/24 se considere necesaria a los efectos de dicha lucha». (29)

42. Para discernir si una medida de este tipo se circunscribía a lo estrictamente indispensable, el Tribunal de Justicia subrayó, ante todo, la especial gravedad de su injerencia en los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta. (30) Especial gravedad derivada, justamente, de que la legislación nacional preveía «una conservación generalizada e indiferenciada de todos los datos de tráfico y de localización de todos los abonados y usuarios registrados en relación con todos los medios de comunicación electrónica, y obliga a los proveedores de servicios de comunicaciones electrónicas a conservar esos datos de manera sistemática y continuada, sin ninguna excepción». (31)

43. La injerencia que esa medida implicaba en la vida de los ciudadanos se refleja en estas apreciaciones del Tribunal de Justicia sobre los efectos de la conservación de los datos.

Esos datos (32)

– «permiten rastrear e identificar el origen de una comunicación y su destino, determinar la fecha, la hora, la duración y la naturaleza de una comunicación, así como el equipo de comunicación de los usuarios, y localizar el equipo de comunicación móvil»; (33)

– «permiten, en concreto, saber con qué persona se ha comunicado un abonado o un usuario registrado y de qué modo, así como determinar el momento de la comunicación y el lugar desde el que se ha realizado. Además, permiten conocer la frecuencia de las comunicaciones del abonado o del usuario registrado con determinadas personas durante un período concreto»; (34)

– «permiten extraer conclusiones muy precisas sobre la vida privada de las personas cuyos datos se han conservado, como los hábitos de la vida cotidiana, los lugares de residencia permanentes o temporales, los desplazamientos diarios u otros, las actividades realizadas, sus relaciones sociales y los círculos sociales que frecuentan»; (35)

– «proporcionan medios para determinar […] el perfil de las personas afectadas, información tan sensible, a la luz del respeto de la vida privada, como el propio contenido de las comunicaciones». (36)

44. La injerencia puede provocar, además, «en las personas afectadas el sentimiento de que su vida privada es objeto de una vigilancia constante», pues «la conservación de los datos se efectú[a] sin que los usuarios de los servicios de comunicaciones electrónicas hayan sido informados de ello». (37)

45. Habida cuenta de la magnitud de la injerencia, solo la lucha contra los delitos graves podría justificar una medida de conservación de datos con estas características. (38) Dicha medida no puede convertirse, sin embargo, en la regla general, pues «el sistema creado por la Directiva 2002/58 exige que esa conservación de datos sea excepcional». (39)

46. Concurrían, además, dos rasgos derivados de que la medida enjuiciada no establecía «ninguna diferenciación, limitación o excepción en función del objetivo que se pretende lograr» (40) y «no exige ninguna relación entre los datos cuya conservación se establece y una amenaza para la seguridad pública»: (41)

– Por un lado, la medida afectaba «globalmente a todas las personas que hacen uso de servicios de comunicaciones electrónicas, aunque no se encuentren, ni siquiera indirectamente, en una situación que justifique una acción penal […] Además, no establece ninguna excepción, por lo que se aplica también a personas cuyas comunicaciones están sujetas a secreto profesional conforme al derecho nacional». (42)

– Por otro lado, «[…] no está limitada a una conservación de datos referentes a un período temporal, una zona geográfica o un círculo de personas que puedan estar implicadas de una manera u otra en un delito grave, ni a personas que por otros motivos podrían contribuir, mediante la conservación de sus datos, a la lucha contra la delincuencia». (43)

47. En estas condiciones, la legislación nacional analizada superaba los límites de lo estrictamente necesario. Por lo tanto, no podía considerarse justificada en una sociedad democrática, como exige el artículo 15, apartado 1, de la Directiva 2002/58, a la luz de los artículos 7, 8 y 11 y del artículo 52, apartado 1, de la Carta. (44)

b) La viabilidad de una conservación selectiva de los datos

48. El Tribunal de Justicia ha admitido la adecuación al derecho de la Unión de una legislación nacional que «permita, con carácter preventivo, la conservación selectiva de datos de tráfico y de localización a efectos de la lucha contra la delincuencia grave». (45)

49. La validez de esa conservación selectiva de los datos se condiciona a que «esté limitada a lo estrictamente necesario en relación con las categorías de datos que deban conservarse, los medios de comunicación a que se refieran, las personas afectadas y el período de conservación establecido».

50. Las pautas que la sentencia Tele 2 Sverige y Watson proporciona para discernir cuándo se cumplen esas condiciones no son (quizá no podían serlo) exhaustivas y se formulan en términos más bien generales. Para respetarlas, los Estados miembros:

– han de implantar normas claras y precisas que regulen el alcance y la aplicación de una medida de conservación de datos de este tipo; (46)

– han de fijar unos «criterios objetivos y debe existir una relación entre los datos que deban conservarse y el objetivo que se pretende lograr»; (47) y

– han de «basarse en elementos objetivos que permitan dirigirse a un público cuyos datos puedan presentar una relación, por lo menos indirecta, con delitos graves, contribuir de un modo u otro a la lucha contra la delincuencia grave o prevenir un riesgo grave para la seguridad pública». (48)

51. En relación con esos elementos objetivos, el Tribunal de Justicia pone, como ejemplo, la posibilidad de utilizar un criterio geográfico para delimitar el público y las situaciones potencialmente afectadas. La invocación de ese criterio, al que se han referido en términos críticos algunos Estados miembros, no tiene por finalidad, a mi juicio, circunscribir solo a él el elenco de factores de selectividad admisibles.

4. La proporcionalidad en el acceso a los datos

a) La sentencia Tele2 Sverige y Watson

52. El Tribunal de Justicia aborda el acceso de las autoridades nacionales a los datos con independencia del alcance de la obligación de conservación impuesta a los proveedores de servicios de comunicaciones electrónicas y, en particular, del carácter generalizado o específico de la conservación de esos datos. (49)

53. En efecto, aunque la lógica de la conservación es facilitar el ulterior acceso a los datos, una y otro pueden provocar infracciones distintas de los derechos fundamentales protegidos por la Carta. Esa diferenciación no implica, sin embargo, que algunas de las consideraciones relativas a la conservación no sean también aplicables al acceso a los datos conservados.

54. En esa línea, el acceso:

– «Debe responder efectiva y estrictamente a uno de esos objetivos» recogidos en el artículo 15, apartado 1, primera frase, de la Directiva 2002/58. También ha de existir una concordancia entre la gravedad de la interferencia y el objetivo perseguido. Si la interferencia se califica de grave, únicamente puede justificarse por la lucha contra la delincuencia grave. (50)

– Solo podrá autorizarse dentro de los límites de lo estrictamente necesario. (51) Además, las medidas legislativas tienen que establecer «normas claras y precisas que indiquen en qué circunstancias y con arreglo a qué requisitos los proveedores de servicios de comunicaciones electrónicas deben conceder a las autoridades nacionales competentes acceso a los datos. Del mismo modo, una medida de esta naturaleza debe ser legalmente imperativa en derecho interno». (52)

– Más en concreto, las reglamentaciones nacionales han de fijar «los requisitos materiales y procedimentales que regulen el acceso de las autoridades nacionales competentes a los datos conservados». (53)

55. Puede deducirse de lo anterior que «un acceso general a todos los datos conservados, con independencia de la existencia de una relación, por lo menos indirecta, con el fin perseguido, no puede considerarse limitado a lo estrictamente necesario». (54)

56. Según el Tribunal de Justicia, «la normativa nacional de que se trate debe basarse en criterios objetivos para definir las circunstancias y los requisitos conforme a los cuales debe concederse a las autoridades nacionales competentes el acceso a los datos de los abonados o usuarios registrados». (55) A este respecto, «en principio, solo podrá concederse un acceso en relación con el objetivo de la lucha contra la delincuencia a los datos de personas de las que se sospeche que planean, van a cometer o han cometido un delito grave o que puedan estar implicadas de un modo u otro en un delito grave». (56)

57. En otras palabras, las normas nacionales que conceden a las autoridades nacionales competentes el acceso a los datos conservados deben tener un alcance suficientemente limitado. Ha de haber un vínculo entre las personas afectadas y el objetivo perseguido, de manera que el acceso no abarque a un número significativo de personas, o incluso a todas las personas, a todos los medios de comunicación electrónica y a todos los datos almacenados.

58. Estas reglas pueden, sin embargo, atemperarse en ciertas circunstancias. El Tribunal de Justicia contempla «situaciones particulares, como aquellas en las que intereses vitales de la seguridad nacional, la defensa o la seguridad pública están amenazados por actividades terroristas». En tales situaciones, «podría igualmente concederse el acceso a los datos de otras personas cuando existan elementos objetivos que permitan considerar que esos datos podrían, en un caso concreto, contribuir de modo efectivo a la lucha contra dichas actividades». (57)

59. Esta aclaración del Tribunal de Justicia permite que los Estados miembros instauren un régimen específico de acceso a los datos más amplio, cuando sea excepcionalmente necesario para combatir las amenazas a los intereses primordiales del Estado (la seguridad nacional, la defensa y la seguridad pública), (58) de forma que comprenda incluso a personas solo indirectamente vinculadas con dichos riesgos.

60. El acceso de las autoridades nacionales a los datos almacenados ha de estar, sea cual sea su tipo, sujeto a tres condiciones:

– Ha de someterse, «en principio, salvo en casos de urgencia debidamente justificados, a un control previo de un órgano jurisdiccional o de una entidad administrativa independiente». La decisión de dicho órgano jurisdiccional o entidad debe adoptarse «a raíz de una solicitud motivada de esas autoridades, presentada, en particular, en el marco de procedimientos de prevención, descubrimiento o acciones penales». (59)

– «Las autoridades nacionales competentes a las que se conceda el acceso a los datos conservados informen de ello a las personas afectadas, en el marco de los procedimientos nacionales aplicables, siempre que esa comunicación no pueda comprometer las investigaciones que llevan a cabo esas autoridades». (60)

– Los Estados miembros han de adoptar normas sobre la seguridad y protección de los datos que obran en poder de los proveedores de servicios de comunicaciones electrónicas, a fin de evitar el uso indebido y el acceso ilícito a los datos. (61)

b) La sentencia Ministerio Fiscal

61. En ese asunto se planteó si era compatible con el artículo 15, apartado 1, de la Directiva 2002/58, interpretado a la luz de los artículos 7 y 8 de la Carta, una norma nacional que prevé el acceso de las autoridades competentes a los datos relativos a la identidad civil de los titulares de ciertas tarjetas SIM.

62. El Tribunal de Justicia declaró que el artículo 15, apartado 1, primera frase, de la Directiva 2002/58 no limita el objetivo de prevenir, investigar, detectar y perseguir los delitos únicamente a la lucha contra los delitos graves, sino que hace referencia a los «delitos penales» en general. (62)

63. Añadió que, para justificar el acceso a los datos por parte de las autoridades nacionales competentes, debe existir una correspondencia entre la gravedad de la interferencia y la gravedad de los delitos en cuestión. En consecuencia:

– Solo «puede justificar una injerencia grave el objetivo de luchar contra la delincuencia que a su vez esté también calificada de “grave”». (63)

– En cambio, «cuando la injerencia que implica dicho acceso no es grave, puede estar justificada por el objetivo de prevenir, investigar, descubrir y perseguir “delitos” en general». (64)

64. A partir de esta premisa, y a diferencia de lo que ocurría en la sentencia Tele2 Sverige y Watson, el Tribunal de Justicia no calificó de «grave» la injerencia en los derechos protegidos en los artículos 7 y 8 de la Carta, pues la solicitud de acceso tenía «por único objeto identificar a los titulares de las tarjetas SIM activadas durante un período de doce días con el número IMEI del teléfono móvil sustraído». (65)

65. Para poner de relieve la menor gravedad de la injerencia, explicó que «los datos a que se refiere la solicitud de acceso controvertida en el litigio principal solo permiten vincular, durante un período determinado, la tarjeta o tarjetas SIM activadas con el teléfono móvil sustraído y los datos personales o de filiación de los titulares de estas tarjetas SIM. Sin un cotejo con los datos relativos a las comunicaciones realizadas con esas tarjetas SIM y de localización, estos datos no permiten conocer la fecha, la hora, la duración o los destinatarios de las comunicaciones efectuadas con las tarjetas SIM en cuestión, ni los lugares en que estas comunicaciones tuvieron lugar, ni la frecuencia de estas con determinadas personas durante un período concreto. Por tanto, dichos datos no permiten extraer conclusiones precisas sobre la vida privada de las personas cuyos datos se ven afectados». (66)

66. En el asunto zanjado por la sentencia Ministerio Fiscal no se planteaba si los datos personales objeto de acceso habían sido conservados por los proveedores de comunicaciones electrónicas de conformidad con las condiciones contempladas en el artículo 15, apartado 1, de la Directiva 2002/58, interpretadas a la luz de los artículos 7 y 8 de la Carta. (67) Tampoco se abordó la cuestión de si se cumplían o no las demás condiciones de acceso derivadas de aquel artículo.

67. De ahí que la lectura de la sentencia Ministerio Fiscal no permita deducir ningún cambio en la doctrina del Tribunal de Justicia sobre la incompatibilidad con el derecho de la Unión de un régimen nacional que autoriza el almacenamiento generalizado e indiferenciado de datos, en el sentido de la sentencia Tele2 Sverige y Watson.

68. Opino, sin embargo, que, al reconocer el Tribunal de Justicia la validez del régimen de acceso circunscrito a ciertos datos personales (los relativos a la identidad civil de los titulares de tarjetas SIM), acepta implícitamente la conservación de esos mismos datos por los proveedores del servicio.

C. Las principales críticas a la jurisprudencia del Tribunal de Justicia

69. Tanto el órgano jurisdiccional remitente como la mayoría de los Estados miembros que han presentado observaciones invitan al Tribunal de Justicia a aclarar, matizar o incluso reconsiderar varios aspectos de su jurisprudencia en esta materia, sobre la que vierten sus críticas.

70. La mayor parte de esas críticas, veladas o frontales, ya se expresaron con motivo de la sentencia Digital Rights y fueron rechazadas en la sentencia Tele 2 Sverige y Watson. Vuelven a aparecer ahora para poner de relieve, en síntesis, que bastarían unas normas rigurosas sobre el acceso a los datos en manos de los proveedores de servicios de comunicaciones electrónicas, que pudieran compensar, de algún modo, la gravedad de la interferencia que supone la retención generalizada e indiferenciada de esos mismos datos.

71. En varias de esas críticas se subraya también la necesidad de adoptar medidas realmente eficaces en la lucha contra las amenazas graves a la seguridad, y contra la delincuencia en general, y se pide al Tribunal que tenga en cuenta el derecho a la seguridad (artículo 6 de la Carta), así como el margen de apreciación de los Estados miembros para salvaguardar la seguridad nacional. En algún caso, se añade que el Tribunal de Justicia no ha sopesado el carácter preventivo de la intervención de los servicios de seguridad e inteligencia.

D. Mi apreciación sobre esas críticas y sobre los matices que podrían introducirse en la jurisprudencia del Tribunal de Justicia

72. A mi juicio, el Tribunal de Justicia debería mantener la posición de principio que ha alcanzado en sus sentencias precedentes: una obligación generalizada e indiferenciada de conservar todos los datos de tráfico y de localización de todos los abonados y usuarios registrados infringe desproporcionadamente los derechos fundamentales protegidos por los artículos 7, 8 y 11 de la Carta.

73. A sensu contrario, una legislación nacional que estableciera restricciones adecuadas a la conservación de algunos de esos datos, generados en el contexto de la prestación de servicios de comunicaciones electrónicas, podría ser compatible con el derecho de la Unión. La clave reside, pues, en la conservación limitada, de esos datos.

74. Por lo que a continuación expondré, esa conservación limitada no debería ser solo la que tiene por objeto una zona geográfica o una categoría de personas concretas: los debates sobre esos criterios de conservación revelan que bien podrían ser irrealizables, o ineficaces para los fines que se buscan, o bien incluso convertirse en una fuente de discriminación.

75. De entrada, no comparto el argumento crítico que propugna el binomio «conservación más extendida a cambio de acceso más restringido». El razonamiento del Tribunal de Justicia, con el que estoy de acuerdo, es que la conservación y el acceso a los datos constituyen dos tipos distintos de interferencia. Aun cuando la conservación de datos tiene sentido con vistas a un posible acceso posterior de las autoridades competentes, cada una de esas injerencias debe justificarse por separado, mediante un examen específico a la luz del objetivo perseguido.

76. Así pues, un sistema nacional que prevea el almacenamiento generalizado e indiferenciado de datos no puede justificarse sobre la base de que, a la vez, las normas respectivas instauran requisitos rigurosos, materiales y procesales, para el acceso a dichos datos.

77. Debe haber, pues, unas normas específicamente relacionadas con la conservación de datos que la sujeten a algunas condiciones para impedir su carácter generalizado e indiferenciado. Solo así se garantizará su compatibilidad con el artículo 15, apartado 1, de la Directiva 2002/58, a la luz de los artículos 7, 8, 11 y 52, apartado 1, de la Carta.

78. Este es, por lo demás, el enfoque adoptado por los grupos de trabajo reunidos en el seno del Consejo para definir normas de conservación y acceso compatibles con la jurisprudencia del Tribunal de Justicia, examinando en paralelo los dos tipos de interferencia. (68)

79. Al aplicar limitaciones a cada uno de esos dos tipos de interferencias, podrá evaluarse si su eventual efecto acumulativo, combinado con sólidas salvaguardas, es tal que mitiga el impacto de la conservación de datos en los derechos fundamentales protegidos por los artículos 7, 8 y 11 de la Carta, al tiempo que garantiza la eficacia de las investigaciones.

80. Para proteger esos derechos, el sistema ha de:

– Prever una conservación de datos que contenga ciertas limitaciones y diferencias en función del objetivo perseguido.

– Regular el acceso a esos datos solo en la medida estrictamente necesaria para el fin perseguido y bajo el control de un tribunal o de una autoridad administrativa independiente.

81. La justificación de que los proveedores de servicios de comunicaciones electrónicas conserven ciertos datos, y no únicamente para la gestión de sus obligaciones contractuales con los usuarios, se incrementa en paralelo a los avances tecnológicos. Admitiendo que esa conservación resulte útil para prevenir y combatir la delincuencia (lo que es difícilmente rebatible (69)) no parecería lógico circunscribir su alcance a la mera explotación de los datos que los operadores conserven para llevar a cabo sus actividades comerciales y solo durante el tiempo imprescindible para dichas actividades.

82. Una vez que se reconoce la utilidad de una obligación de conservación de datos para salvaguardar la seguridad nacional y luchar contra la delincuencia, más allá de la que los operadores pueden llevar a cabo para sus necesidades técnicas y comerciales, es indispensable definir los contornos de esta obligación.

83. Cada régimen de conservación ha de estar estrictamente adaptado al propósito perseguido, de modo que no pueda transformarse en una conservación indiferenciada. (70) Debe, asimismo, descartar que la suma de esos datos propicie un retrato de la persona afectada (esto es, de sus actividades habituales y de sus relaciones sociales) próximo o similar al que se obtendría conociendo el contenido de las comunicaciones.

84. Para aclarar algunos malentendidos y ciertas incomprensiones, es importante tener en cuenta lo que el Tribunal de Justicia no declaró en sus sentencias Digital Rigths y Tele2 Sverige y Watson. En ellas, no se condenó la existencia, en cuanto tal, de un régimen de retención de datos como instrumento útil de lucha contra la delincuencia. Por el contrario, se reconoció la legitimidad del objetivo de prevenir y reprimir los actos delictivos, así como la utilidad de un régimen de conservación de datos para lograr ese objetivo.

85. Lo que, repito, se rechazó entonces, y firmemente, es que la Unión o sus Estados miembros pudieran, invocando este objetivo, imponer la conservación indiferenciada de todos los datos generados en el marco de la prestación de servicios de comunicaciones electrónicas y el acceso general a dichos datos.

86. Por lo tanto, es preciso encontrar formas de conservación de los datos que la alejen de los calificativos («generalizada e indiferenciada») incompatibles con la protección exigida por los artículos 7, 8 y 11 de la Carta.

87. Una de esas modalidades sería la conservación selectiva de datos, referidos bien a un público específico (en teoría, el que presentase ciertos vínculos, más o menos directos, con las amenazas más graves) o bien a una zona geográfica determinada.

88. Ese planteamiento, sin embargo, presenta algunas dificultades:

– La identificación de un grupo de potenciales agresores sería, probablemente, insuficiente si estos utilizan técnicas de anonimización o falsean sus identidades. La elección de esos grupos podría abocar, además, a instaurar un régimen de sospecha general sobre algunos segmentos de la población y catalogarse de discriminatoria, en función del algoritmo empleado.

– La selección por criterios geográficos (que, para ser eficaz, requeriría afectar a áreas no muy reducidas) suscita esos mismos problemas y añade otros, como indicó en la vista el Supervisor europeo para la protección de datos, en cuanto podría estigmatizar ciertas zonas.

89. Además, podría haber alguna contradicción entre el carácter preventivo de la conservación dirigida a un público específico o a una zona geográfica y que los autores de los delitos no se conozcan de antemano, ni tampoco el lugar y el momento de su comisión.

90. De cualquier manera, no hay que excluir que se hallen fórmulas de conservación selectiva basadas en esos criterios, que sean útiles para alcanzar los objetivos ya expuestos. Corresponde al poder legislativo, en cada Estado miembro o para toda la Unión, diseñar esas fórmulas, respetuosas con la protección de los derechos fundamentales que el Tribunal de Justicia salvaguarda.

91. Sería un error creer que la conservación selectiva de datos pertenecientes a un público específico o a una zona geográfica determinada es la única fórmula que el Tribunal de Justicia encuentra compatible con el artículo 15, apartado 1, de la Directiva 2002/58, leído a la luz de los artículos 7 y 8 de la Carta.

92. Es posible, insisto, hallar otras modalidades de conservación selectiva de datos, más allá de las centradas en grupos específicos de personas o áreas geográficas. De hecho, así lo han entendido los grupos de trabajo del Consejo a los que me he referido anteriormente: han reputado, en especial, como vías de exploración, la limitación de las categorías de datos conservados; (71) la pseudonimización de los datos; (72) la implantación de períodos de conservación limitados; (73) la exclusión de algunas categorías de proveedores de servicios de comunicaciones electrónicas; (74) las autorizaciones de almacenamiento renovables; (75) la obligación de conservar los datos almacenados dentro de la Unión o el control sistemático y regular por parte de una autoridad administrativa independiente de las garantías ofrecidas por los prestadores de servicios de comunicaciones electrónicas contra el uso indebido de los datos.

93. En mi opinión, para ser compatible con la jurisprudencia del Tribunal de Justicia, debería preferirse una conservación temporal de algunas categorías de datos de tráfico y de localización, limitadas en función de las necesidades estrictas de seguridad, que no permitieran, en su conjunto, obtener una imagen precisa y detallada de la vida de las personas afectadas.

94. En la práctica, esto significa que, sobre las dos categorías principales (datos de tráfico y datos de localización) deben solo conservarse, mediante los filtros oportunos, los datos mínimos que se reputen absolutamente imprescindibles para la prevención y el control eficaces de la delincuencia y para salvaguardar la seguridad nacional.

95. Corresponde a los Estados miembros o a las instituciones de la Unión realizar, por vía legislativa (con la ayuda de sus propios expertos), este ejercicio de selección, abandonando cualquier tentativa de imponer un almacenamiento generalizado e indiferenciado de todos los datos de tráfico y de localización.

96. Además de esta limitación por categorías, los datos retenidos solo podrán serlo durante un período de almacenamiento, para que no permitan proporcionar una imagen detallada de la vida de las personas afectadas. Ese período de conservación debe, además, adaptarse en función de la naturaleza de los datos, para que los que proporcionen información más precisa sobre los estilos de vida y los hábitos de esas personas se almacenen durante un período de tiempo más corto. (76)

97. En otras palabras, la diferenciación del período de conservación de cada categoría de datos, en función de su utilidad para alcanzar los objetivos de seguridad, es una vía que se debe explorar. Al circunscribir el tiempo durante el que unas y otras categorías de datos se almacenan simultáneamente (y, por lo tanto, pueden utilizarse para hallar correlaciones que revelen el estilo de vida de las personas afectadas) se amplía la protección del derecho que preserva el artículo 8 de la Carta.

98. En esta dirección se pronunció el Supervisor europeo de protección de datos durante la vista: cuantas más sean las categorías de metadatos almacenados y más largo el período de almacenamiento, más fácil será definir el perfil detallado de una persona, y a la inversa. (77)

99. Por lo demás, como también se puso de manifiesto en la vista, la frontera entre determinados metadatos de las comunicaciones electrónicas y el contenido de esas mismas comunicaciones es difícil de trazar. Algunos metadatos pueden ser tan reveladores o más que el propio contenido de esas comunicaciones: así podría ocurrir con las direcciones (URL) de las páginas webs visitadas. (78) De ahí que a ese género de datos y a otros similares se les debería prestar una especial atención, para circunscribir al máximo la necesidad de su conservación y la duración de esta.

100. Encontrar una solución equilibrada no es fácil, ya que la técnica de cruzar y correlacionar los datos almacenados permite a los servicios de investigación y vigilancia identificar a un sospechoso o una amenaza, según sea el caso. Aun así, hay una diferencia de grado entre la retención de datos para detectar a ese sospechoso o esa amenaza y la que tiene como resultado ofrecer un retrato pormenorizado de la vida de una persona.

101. A la espera de una regulación común para toda la Unión en esta específica materia, no creo que se pueda pedir al Tribunal de Justicia que asuma funciones regulatorias y puntualice, minuciosamente, qué categorías de datos pueden conservarse y durante cuánto tiempo. Corresponde a las instituciones de la Unión y a los Estados miembros, una vez fijados los límites que, según el Tribunal de Justicia, derivan de la Carta, colocar el cursor en el lugar correcto para lograr un equilibrio entre la preservación de la seguridad y los derechos fundamentales protegidos por la Carta.

102. Es cierto que prescindir de las informaciones deducibles de un mayor número de datos conservados podría hacer más difícil, en algunos casos, la lucha contra las amenazas potenciales. Pero ese es un tributo, como otros, que los poderes públicos han de pagar cuando se imponen a sí mismos la obligación de salvaguardar los derechos fundamentales.

103. De igual manera que nadie auspiciaría una obligación ex ante de conservación generalizada e indiferenciada de los contenidos de las comunicaciones electrónicas privadas (ni siquiera cuando las leyes garantizasen el ulterior acceso restringido a dichos contenidos), tampoco los metadatos de esas comunicaciones, que pueden reflejar informaciones tan sensibles como los propios contenidos, han de poder ser objeto de almacenamiento indiferenciado y generalizado.

104. La dificultad legislativa —que reconozco— de configurar con precisión los casos y las condiciones en las que cabe realizar una conservación selectiva no justifica que los Estados miembros, haciendo de la excepción una norma, conviertan la conservación generalizada de datos personales en el principio medular de sus legislaciones. Si así fuera, se admitiría la vigencia indefinida de un menoscabo relevante del derecho a la protección de los datos personales.

105. Debo añadir que nada impide que, en situaciones propiamente excepcionales, caracterizadas por una amenaza inminente o por un riesgo extraordinario que justifiquen la declaración oficial de la situación de emergencia en un Estado miembro, la legislación nacional contemple, por un tiempo limitado, la posibilidad de imponer una obligación de conservación de datos tan amplia y general como se considere imprescindible.

106. En esa tesitura, podría promulgarse una normativa que específicamente admita la conservación de datos (y el acceso a ellos) más amplia, con arreglo a condiciones y procedimientos que aseguren para esas medidas un carácter extraordinario, en cuanto a su alcance material y a su extensión en el tiempo, así como las correspondientes garantías jurisdiccionales.

107. El examen comparado de los regímenes normativos que disciplinan las situaciones constitucionales de emergencia pone de relieve que no es imposible acotar supuestos de hecho susceptibles de desencadenar la aplicación de un régimen normativo particular, disponiendo qué autoridad puede adoptar esa decisión, en qué condiciones y bajo qué supervisión. (79)

E. Las respuestas específicas a las tres preguntas prejudiciales

1. Consideración preliminar

108. El tribunal de remisión demanda una interpretación del artículo 15, apartado 1, de la Directiva 2002/58 en relación con varios derechos garantizados por la Carta: el derecho al respeto de la vida privada y familiar (artículo 7), el derecho a la protección de datos de carácter personal (artículo 8) y el derecho a la libertad de expresión y de información (artículo 11).

109. Como expongo en las conclusiones de los asuntos C‑511/18 y C‑512/18, esos son, en efecto, los derechos que, según el Tribunal de Justicia, podrían resultar afectados en estos casos.

110. Sin embargo, la Cour constitutionnelle (Tribunal Constitucional) trae igualmente a colación los artículos 4 y 6 de la Carta, a los que se refieren, respectivamente, la segunda y la primera preguntas prejudiciales.

111. En lo que atañe al artículo 6 de la Carta, que garantiza el derecho a la libertad y a la seguridad, se ha invocado también en los asuntos C‑511/18 y C‑512/18 y sobre su pertinencia me he pronunciado en las conclusiones correlativas, a las que me remito. (80)

112. En cuanto al artículo 4 de la Carta, puesto que la respuesta no depende tanto del análisis de la legislación interna, para contrastarla con el derecho de la Unión, cuanto de la interpretación de ese precepto, me parece oportuno contestarla en primer lugar.

2. La segunda pregunta prejudicial

113. La referencia a la prohibición de la tortura y de las penas o los tratos inhumanos o degradantes, garantizada por el artículo 4 de la Carta, es, en realidad, exclusiva de este reenvío prejudicial, lo que me obliga a prestarle atención.

114. Al recurrir al artículo 4 de la Carta, el tribunal de remisión quiere poner de manifiesto que la norma nacional tiene también por objeto cumplir la obligación positiva que pesa sobre el poder público de establecer «un marco jurídico que permita que se investiguen y sancionen en el ámbito penal de forma efectiva los abusos sexuales a menores y se identifique al autor de esos delitos, también cuando haga uso de medios de comunicación electrónicos». (81)

115. En mi opinión, esa concreta obligación positiva no es muy distinta de cada uno de los deberes específicos en los que se traduce, para el Estado, la proclamación de un catálogo de derechos fundamentales. Los derechos a la vida (artículo 2 de la Carta), a la integridad física (artículo 3 de la Carta) o a la protección de datos (artículo 8 de la Carta), al igual que las libertades de expresión (artículo 11 de la Carta) o de pensamiento, de conciencia y de religión (artículo 10 de la Carta), comportan para el Estado la obligación de instaurar un marco normativo en el que su disfrute efectivo esté garantizado, llegado el caso mediante la administración de la fuerza monopolizada por el poder público, frente a cualquiera que pretenda impedirlo o dificultarlo. (82)

116. En cuanto a los abusos sexuales a menores, el TEDH entiende que los niños y otras personas vulnerables tienen un derecho cualificado a la protección del Estado, mediante la adopción de normas de orden penal que sancionen de manera eficaz y con efectos disuasorios la comisión de esos delitos. (83)

117. Ese derecho cualificado a la protección encuentra su encaje no solo en el artículo 4 de la Carta, pues con naturalidad podría invocarse el artículo 1 (dignidad humana) o el artículo 3 (derecho a la integridad física y psíquica).

118. Aunque la obligación positiva de los poderes públicos para garantizar la protección a los niños y a otras personas vulnerables no puede dejarse de lado al ponderar los bienes jurídicos afectados por la normativa nacional, (84) tampoco puede traducirse en «cargas excesivas» para el poder público (85) ni satisfacerse al margen de la legalidad o del respeto al resto de los derechos fundamentales. (86)

3. La primera cuestión prejudicial

119. El tribunal de reenvío quiere saber, en síntesis, si el derecho de la Unión se opone a la ley nacional sobre la que está llamado a pronunciarse en el marco de un recurso de inconstitucionalidad.

120. Como el Tribunal de Justicia ya ha facilitado la interpretación de la Directiva 2002/58 que se ajusta a los correlativos preceptos de la Carta, la contestación a la cuestión prejudicial deberá tener en cuenta la doctrina sentada en la sentencia Tele2 Sverige y Watson, en su caso con los matices que se añadan ahora.

121. A partir de esa premisa, las pautas interpretativas que se pueden brindar a la Cour constitutionnelle (Tribunal Constitucional) para que, por sí misma, lleve a cabo el contraste de la adecuación de la norma interna al derecho la Unión han de versar, por separado, sobre la conservación y sobre el acceso a los datos, tal como se regulan en esa norma nacional.

a) Las condiciones de la conservación de los datos

122. El Gobierno belga subraya que deseaba establecer un marco jurídico claro, que incluyera las garantías necesarias para la protección de la vida privada, en lugar de basarse en la práctica de los operadores de servicios de comunicaciones electrónicas sobre la retención de los datos con vistas a la facturación y el tratamiento de las solicitudes de información de los clientes.

123. Para ese Gobierno, la obligación general y preventiva de conservación de los datos no solo tiene como propósito la instrucción, la investigación y la persecución de los actos de delincuencia grave, sino también la salvaguarda de la seguridad nacional, la defensa del territorio y la seguridad pública, la investigación, la detección y la persecución de actos distintos de los de delincuencia grave o la prevención de la utilización prohibida de los sistemas de comunicaciones electrónicas, (87) o cualquier otro objetivo identificado en el artículo 23, párrafo 1, del Reglamento 2016/679.

124. Según el Gobierno belga:

– La conservación de datos, como tal, no permite extraer conclusiones muy precisas sobre la vida privada de las personas afectadas: la posibilidad de extraer tales conclusiones solo se plantearía en la medida en que también se facilitara el acceso a los datos conservados.

– La ley contiene cautelas destinadas a proteger la privacidad; entre otras, la conservación de datos no afecta al contenido de las comunicaciones; las garantías en cuanto a la justificación de la conservación, el derecho de acceso, el derecho de rectificación y otros son plenamente aplicables; los proveedores y operadores han de someter los datos guardados a las mismas obligaciones y medidas de seguridad y protección aplicables a los datos en la red, impidiendo su destrucción accidental o ilícita, su pérdida o su alteración accidentales.

– Los datos pueden almacenarse durante doce meses (a cuyo término deben ser destruidos) y solo en el territorio de la Unión.

– Los proveedores y operadores han de aplicar medidas de protección tecnológica que hagan que los datos conservados, tan pronto como se registren, sean ilegibles e inutilizables para cualquier persona no autorizada a acceder a ellos.

– En todo caso, estas operaciones se realizan bajo la supervisión del regulador belga de los sectores postal y de telecomunicaciones y de la Autoridad de protección de datos.

125. A pesar de estas garantías, lo cierto es que la legislación belga impone a los operadores y proveedores de servicios de comunicaciones electrónicas la obligación, general e indiferenciada, de conservar los datos de tráfico y de localización, en el sentido de la Directiva 2002/58, tratados en el contexto de la prestación de estos servicios. El período de conservación es, como ya se ha dicho, de doce meses, en general: no se contempla ninguna limitación temporal en función de las categorías de datos conservados.

126. Esa obligación de conservación general e indiferenciada rige de manera permanente y continuada. Aun cuando su objetivo sea la prevención, la investigación y la persecución de todo tipo de delitos (desde los que tienen relación con la seguridad nacional, la defensa o los particularmente graves, hasta los que llevan aparejada una pena de prisión inferior a un año), una obligación de estas características no se ajusta a la jurisprudencia del Tribunal de Justicia, de manera que no puede reputarse compatible con la Carta.

127. Para adaptarse a esa jurisprudencia, el legislador belga habrá de explorar otras vías (como las que anteriormente he mencionado) que instauren fórmulas de conservación limitada. Esas fórmulas, variables según las categorías de datos, han de atenerse al principio de que solo se ha de guardar el mínimo de datos imprescindible, en función del riesgo o de la amenaza, y por un tiempo limitado, que dependerá de la naturaleza de la información almacenada. En todo caso, la conservación no puede ofrecer una cartografía precisa de la vida privada, los hábitos, el comportamiento o las relaciones sociales de los afectados.

b) Las condiciones del acceso de las autoridades públicas a los datos conservados

128. A mi juicio, las condiciones señaladas en la sentencia Tele2 Sverige y Watson (88) siguen siendo pertinentes también en cuanto al acceso: la normativa nacional ha de establecer los requisitos materiales y procedimentales que regulen el acceso de las autoridades competentes a los datos conservados. (89)

129. El Gobierno belga especifica que el artículo 126, apartado 2, de la Ley de 2005 (sobre comunicaciones electrónicas) (90) enumera de manera restrictiva las autoridades nacionales que pueden recibir los datos almacenados con arreglo al apartado 1 del mismo artículo.

130. Entre esas autoridades se hallan las propiamente judiciales y el Ministerio Fiscal; las fuerzas de seguridad del Estado; el Servicio general de inteligencia y seguridad, bajo el control de sendas comisiones independientes; los funcionarios de la policía judicial del Instituto belga de correos y telecomunicaciones; los servicios de emergencia; los funcionarios de la policía judicial de la Unidad de personas desaparecidas de la policía federal; el Servicio de mediación de las telecomunicaciones y el órgano de supervisión del sector financiero.

131. En general, el Gobierno belga afirma que la legislación interna no permite que los diversos servicios tengan acceso a los datos para perseguir activamente las amenazas no identificadas o sin indicaciones concretas. Las autoridades nacionales no podrían, pues, acceder sin más a los datos de comunicación brutos y tratarlos automáticamente para obtener información y prevenir activamente los peligros para la seguridad.

132. Según el mismo Gobierno, el acceso a los datos está sujeto a condiciones estrictas, en función del estatuto de cada una de las autoridades nacionales competentes.

133. La respuesta a la primera pregunta prejudicial no precisa, en mi opinión, que el Tribunal de Justicia lleve a cabo un análisis exhaustivo de las condiciones que rigen para que cada una de esas autoridades pueda obtener los datos conservados. Esa tarea compete, más bien, al órgano jurisdiccional de reenvío, que deberá ejecutarla a la luz de las orientaciones de la jurisprudencia Tele2 Sverige y Wtason y Ministerio Fiscal.

134. Por lo demás, según la información facilitada por el Gobierno belga, hay notables diferencias entre las condiciones de acceso que afectan a las autoridades judiciales o al Ministerio Fiscal, (91) con fines de investigación, de instrucción y de persecución de los delitos, a tenor de los artículos 46 bis (92) y 88 bis (93) del Código de enjuiciamiento criminal, y los que rigen para otras autoridades.

135. En cuanto a los servicios de inteligencia y de seguridad, a tenor de la Ley de 1998, la solicitud de acceso a los datos de tráfico y de localización en poder de los operadores debe fundarse en criterios objetivos para garantizar que se limita a lo estrictamente necesario, sobre la base de una amenaza identificada con antelación. (94) Se prevén diversos plazos de acceso (seis, nueve o doce meses) en función de la amenaza potencial y el requerimiento ha de respetar los principios de proporcionalidad y de subsidiariedad. Se ha instaurado, asimismo, un mecanismo de control a cargo de una autoridad independiente. (95)

136. En cuanto a los funcionarios de la policía judicial del Instituto belga de correos y telecomunicaciones (BIPT), su acceso a los datos en poder de los operadores de telecomunicaciones es posible, bajo la supervisión del Ministerio Fiscal, en casos concretos muy limitados, (96) sin que, según el Gobierno belga, su actividad alcance a las personas cuyos datos se conservan.

137. En cuanto a los servicios de emergencia que ofrezcan asistencia in situ, podrán pedir los datos del autor de una llamada de emergencia cuando, tras recibir esta, no obtengan del proveedor o del operador los datos de identificación de dicha persona o cuando estos sean incompletos o incorrectos.

138. En cuanto a los agentes de la policía judicial adscritos a la Unidad de personas desaparecidas de la Policía Federal, podrán demandar del operador los datos necesarios para encontrar a un desaparecido cuya integridad física esté en peligro inminente. El acceso, sujeto a condiciones estrictas, se reduce a los datos que permitan identificar al usuario y los relativos al acceso y conexión de los terminales a la red y al servicio, así como a la ubicación de esos equipos, y se circunscribe a los almacenados durante 48 horas antes de la solicitud.

139. En cuanto al Servicio de mediación para las telecomunicaciones, solo puede solicitar los datos de identificación de la persona que haya usado indebidamente una red o servicio de comunicaciones electrónicas. No existe, en este caso, un control previo por una autoridad judicial o administrativa independiente (distinta del propio Servicio).

140. En fin, con el objetivo de luchar contra la delincuencia financiera, el órgano de supervisión del sector financiero puede recabar el acceso a los datos de tráfico y de localización, sujeto a la autorización previa del juez de instrucción.

141. La exposición de estas modalidades y condiciones de acceso a los datos conservados, que rigen para cada una de las autoridades autorizadas a obtenerlos, pone de relieve una variedad de supuestos y salvaguardas cuya adecuación pormenorizada a los criterios empleados por el Tribunal de Justicia en su jurisprudencia (97) corresponde al órgano judicial de reenvío.

142. Observo, por ejemplo, que, en el contexto de la legislación controvertida, no aparece que las autoridades nacionales competentes tengan sistemáticamente el deber de informar a las personas afectadas (salvo que esa información comprometa las investigaciones en curso) de que sus datos han sido consultados. Tampoco parece que se establezcan, al menos en algunos casos, como los relativos a las infracciones financieras, unas reglas predeterminadas sobre la gravedad de estas, para justificar el acceso a los datos correspondientes. La relación entre la intensidad de la injerencia y la gravedad del delito investigado, en el sentido de la sentencia Ministerio Fiscal, no queda de manifiesto en todos los supuestos.

143. De cualquier forma, opino que las consideraciones ligadas al acceso de las autoridades a los datos pasan a un segundo plano cuando, por lo ya expuesto, es la propia conservación generalizada e indiferenciada de esos datos la razón principal por la que la legislación nacional sobre la que versa este reenvío no se atiene al derecho de la Unión.

4. La tercera pregunta prejudicial

144. La Cour constitutionnelle (Tribunal Constitucional) desea saber si, en la hipótesis de que, a la luz de la respuesta del Tribunal de Justicia, se declarara que la legislación nacional es incompatible con el derecho de la Unión, podría mantener provisionalmente los efectos de dicha normativa. Se evitaría así la inseguridad jurídica y se permitiría que los datos recabados y conservados pudieran continuar siendo utilizados al servicio de los objetivos perseguidos.

145. Es doctrina reiterada que «solo el Tribunal de Justicia puede, con carácter excepcional y en atención a consideraciones imperiosas de seguridad jurídica, suspender provisionalmente el efecto de exclusión que ejerce una norma de la Unión sobre el derecho nacional contrario a ella». Si «los órganos jurisdiccionales estuvieran facultados para otorgar primacía a las normas nacionales contrarias al derecho de la Unión, aunque fuera con carácter provisional, se estaría actuando en menoscabo de la aplicación uniforme de este último ordenamiento». (98)

146. Entiende la Comisión que, como el Tribunal de Justicia no ha limitado los efectos en el tiempo de la interpretación del artículo 15, apartado 1, de la Directiva 2002/58, la respuesta a esta pregunta del tribunal de reenvío debería ser negativa. (99)

147. Sin embargo, en la sentencia de 28 de febrero de 2012, Inter-Environnement Wallonie y Terre wallonne, (100) el Tribunal de Justicia afirmó que, ante la existencia de una consideración imperiosa relacionada con la protección del medio ambiente, podía autorizarse excepcionalmente a un órgano jurisdiccional nacional que aplicara la disposición nacional que lo habilitaba para mantener algunos efectos de un acto nacional anulado como consecuencia de la infracción de una norma de la Unión. (101)

148. Esta línea jurisprudencial ha sido confirmada por la sentencia de 29 de julio de 2019, Inter-Environnement Wallonie y Bond Beter Leefmilieu Vlaanderen. (102) Adoptada en el ámbito de la protección del medio ambiente o fundada en la seguridad del suministro de electricidad, no encuentro razones para descartar su aplicación en otros dominios del derecho de la Unión, particularmente en el que aquí nos ocupa.

149. Si una «consideración imperiosa relacionada con la protección del medio ambiente» puede justificar que, excepcionalmente, los tribunales nacionales preserven ciertos efectos de una disposición interna incompatible con el derecho de la Unión, se debe a que la protección del medio ambiente representa «uno de los objetivos esenciales de la Unión y reviste un carácter tanto transversal como fundamental». (103)

150. Pues bien, entre las finalidades de la Unión se cuenta también la constitución de un espacio de seguridad (artículo 3 TUE), que incluye el respeto a las funciones esenciales del Estado, especialmente, las que tienen por objeto asegurar el orden público y salvaguardar la seguridad nacional (artículo 4 TUE, apartado 2). Es un objetivo no menos «transversal y fundamental» que la protección del medio ambiente, pues su realización es la condición necesaria para la instauración de un marco normativo capaz de garantizar el disfrute efectivo de los derechos y libertades fundamentales.

151. A mi juicio, razones imperiosas relacionadas con la protección de la seguridad nacional podrían justificar, en este asunto, que el Tribunal de Justicia autorizase, excepcionalmente, al tribunal de reenvío a mantener, al menos, algunos de los efectos de la ley controvertida.

152. Ese mantenimiento requeriría que el órgano judicial de reenvío, a la luz del pronunciamiento del Tribunal de Justicia, reputase incompatible la norma interna con el derecho de la Unión y juzgase sumamente perturbadoras las repercusiones que, para la seguridad pública o la seguridad del Estado, pudiera tener su anulación inmediata (si la anulación fuese, en derecho interno, la consecuencia de aquella incompatibilidad) o su inaplicación.

153. La subsistencia provisional (de la totalidad o de parte) de los efectos de la norma nacional precisaría, además, que:

– el propósito de esa prórroga fuera evitar un vacío normativo de efectos tan perniciosos como los derivados de aplicar la normativa controvertida, vacío imposible de afrontar por otros medios y que supondría desposeer a las autoridades nacionales de un instrumento valioso para la garantía de la seguridad del Estado; y

– alcanzara solo al tiempo estrictamente necesario para adoptar las medidas que permitan subsanar la incompatibilidad advertida con el derecho de la Unión. (104)

154. Abogan por esta solución, además, la dificultad que comporta adecuar las normativas nacionales a la doctrina establecida en el asunto Tele2 Sverige y Watson (105) y que la voluntad del legislador belga de conformarse a la sentencia Digital Rights se pusiera de manifiesto al modificar su propia legislación. Ese precedente hace pensar que procederá igualmente al ajuste de la Ley de 29 de mayo de 2016 (dictada antes de conocerse la sentencia Tele2 Sverige y Watson) a la doctrina sentada en esta última.

V. Conclusión

155. En virtud de lo expuesto, sugiero al Tribunal de Justicia responder a la Cour constitutionnelle (Tribunal Constitucional, Bélgica) en los siguientes términos:

«1) El artículo 15, apartado 1, de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), en relación con los artículos 7, 8, 11 y 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea, debe interpretarse en el sentido de que:

– Se opone a una normativa nacional que impone a los operadores y proveedores de servicios de comunicaciones electrónicas la obligación de conservar, de modo general e indiferenciado, los datos de tráfico y de localización de todos los abonados y usuarios, en relación con todos los medios de comunicación electrónica.

– No obsta a lo anterior que esa normativa nacional tenga como objetivos no solo la investigación, el descubrimiento y la persecución de delitos, graves o no graves, sino también la seguridad nacional, la defensa del territorio, la seguridad pública, la prevención de la utilización no autorizada del sistema de comunicaciones electrónicas, o cualquier otro previsto en el artículo 23, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

– Tampoco obsta a lo anterior que el acceso a los datos conservados esté sujeto a garantías reguladas de forma precisa. Corresponde a la jurisdicción de reenvío verificar si la normativa nacional que regula las condiciones de dicho acceso por parte de las autoridades competentes, lo limita a supuestos específicos cuya gravedad haga imprescindible la injerencia; lo condiciona al control previo (salvo casos de urgencia) de un órgano jurisdiccional o de una autoridad independiente; y prevé que las personas afectadas sean informadas de ese acceso, siempre que esa comunicación no comprometa la acción de dichas autoridades.

2) Los artículos 4 y 6 de la Carta de los Derechos Fundamentales de la Unión Europea no inciden en la interpretación del artículo 15, apartado 1, de la Directiva 2002/58, en relación con el resto de los artículos antes mencionados de dicha Carta, de modo que impidan determinar la incompatibilidad con el derecho de la Unión de una normativa nacional como la controvertida en el litigio principal.

3) Un órgano jurisdiccional nacional puede, si el derecho interno se lo permite, mantener excepcional y provisionalmente los efectos de una normativa, como la controvertida en el litigio principal, aun cuando sea incompatible con el derecho de la Unión, si ese mantenimiento está justificado por consideraciones imperiosas relacionadas con las amenazas a la seguridad pública o a la seguridad nacional, a las que no podría hacerse frente por otros medios y otras alternativas. Dicho mantenimiento solo podrá extenderse durante el tiempo estrictamente necesario para corregir la referida incompatibilidad con el derecho de la Unión».

1 Lengua original: español.

2 Asuntos C‑293/12 y C‑594/12; en lo sucesivo, «sentencia Digital Rights», EU:C:2014:238.

3 Directiva del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de rede públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE (DO 2006, L 105, p. 54).

4 Asuntos C‑203/15 y C‑698/15; en lo sucesivo, «sentencia Tele2 Sverige y Watson», EU:C:2016:970.

5 Directiva del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO 2002, L 201, p. 37).

6 Asunto C‑207/16, EU:C:2018:788; en lo sucesivo, «sentencia Ministerio Fiscal».

7 Además de este (asunto C‑520/18, Ordre des barreaux francophones et germanophone y otros), se trata de los asuntos C‑511/18 y C‑512/18, La Quadrature du Net y otros, y del asunto C‑623/17, Privacy International.

8 Asunto Privacy International, C‑623/17.

9 Asunto Ordre des barreaux francophones et germanophone y otros, C‑520/18.

10 Asuntos La Quadrature du Net y otros, C‑511/18 y C‑512/18.

11 Ley de 29 de mayo de 2016 sobre recopilación y conservación de datos en el sector de las comunicaciones electrónicas; en lo sucesivo, «Ley de 29 de mayo de 2016» (Moniteur belge de 18 de julio de 2016, p. 44717).

12 Ley de 13 de junio de 2005 sobre comunicaciones electrónicas; en lo sucesivo, «Ley de 2005» (Moniteur belge de 20 de junio de 2005, p. 28070).

13 Ley de 30 de noviembre de 1998 orgánica de los servicios de inteligencia y seguridad; en lo sucesivo, «Ley de 1998» (Moniteur belge de 18 de diciembre de 1998, p. 40312).

14 Sentencia n.º 84/2015, Moniteur belge de 11 de agosto de 2015.

15 Puntos 40 y ss.

16 Directiva del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31). Véase el artículo 1, apartado 2, de la Directiva 2002/58. La Directiva 95/46 fue derogada, a partir del 25 de mayo de 2018, por el Reglamento n.º 2016/679. Así pues, en la medida en que la Directiva 2002/58 se remita a la Directiva 95/46 o no establezca normas propias, es imprescindible tener en cuenta los preceptos de ese Reglamento (véase el artículo 94, apartados 1 y 2, del Reglamento n.º 2016/679).

17 Sentencia Tele2 Sverige y Watson, apartados 82 y 83.

18 Ibidem, apartado 85 y jurisprudencia citada.

19 Ibidem, apartado 87. Sin cursiva en el original.

20 Ibidem, apartado 86 y jurisprudencia citada.

21 Ibidem, apartado 86, in fine.

22 Ibidem, apartado 90.

23 Ibidem, apartado 91 y jurisprudencia citada.

24 Ibidem, apartado 93 y jurisprudencia citada.

25 Ibidem, apartado 89.

26 El uso de este adverbio en la sentencia Tele2 Sverige y Watson, apartado 95, proviene del considerando décimo primero de la Directiva 2002/58.

27 Sentencia Digital Rights, apartado 48: «Debido, por una parte, al importante papel que desempeña la protección de los datos de carácter personal en lo que respecta al derecho fundamental al respeto de la vida privada y, por otra parte, a la magnitud y gravedad de la injerencia en este derecho que supone la Directiva 2006/24, la facultad de apreciación de legislador de la Unión resulta reducida, por lo que el control de dicha facultad debe ser estricto».

28 Sentencia Tele2 Sverige y Watson, apartado 96 y jurisprudencia citada.

29 Sentencia Digital Rights, apartado 51. En esa misma línea, la sentencia Tele2 Sverige y Watson, apartado 103.

30 Sentencias Digital Rights, apartado 65, y Tele2 Sverige y Watson, apartado 100.

31 Sentencia Tele2 Sverige y Watson, apartado 97. Cursiva añadida.

32 Entre los que se encuentran el nombre y la dirección del abonado o usuario registrado, los números de teléfono de origen y destino y una dirección IP para los servicios de internet.

33 Sentencia Tele2 Sverige y Watson, apartado 98.

34 Ibidem, apartado 98.

35 Ibidem, apartado 99.

36 Ibidem, apartado 99 in fine.

37 Ibidem, apartado 100.

38 Ibidem, apartado 102.

39 Ibidem, apartado 104.

40 Ibidem, apartado 105.

41 Ibidem, apartado 106.

42 Ibidem, apartado 105.

43 Ibidem, apartado 106.

44 Ibidem, apartado 107.

45 Ibidem, apartado 108. Cursiva añadida.

46 Ibidem, apartado 109. En particular, han de indicar «en qué circunstancias y con arreglo a qué requisitos puede adoptarse, con carácter preventivo, una medida de conservación de datos, garantizando que tal medida se limite a lo estrictamente necesario».

47 Ibidem, apartado 110.

48 Ibidem, apartado 111.

49 Ibidem, apartado 113.

50 Ibidem, apartado 115.

51 Ibidem, apartado 116.

52 Ibidem, apartado 117.

53 Ibidem, apartado 118.

54 Ibidem, apartado 119.

55 Idem.

56 Idem. Cursiva añadida.

57 Idem.

58 Además de las actividades terroristas, podrían justificar esa excepcionalidad otras eventualidades, como un ataque informático a gran escala contra infraestructuras críticas del Estado o una amenaza relacionada con la proliferación nuclear.

59 Sentencia Tele2 Sverige y Watson, apartado 120.

60 Ibidem, apartado 121.

61 Ibidem, apartado 122.

62 Sentencia Ministerio Fiscal, apartado 53.

63 Ibidem, apartado 56.

64 Ibidem, apartado 57.

65 Ibidem, apartado 59. Se trataba del acceso «a los números de teléfono correspondientes a las tarjetas SIM así como a los datos personales o de filiación de los titulares de dichas tarjetas, como su nombre, apellidos y, en su caso, la dirección. En cambio, esos datos no se refieren, como confirmaron tanto el Gobierno español como el Ministerio Fiscal en la vista, a las comunicaciones efectuadas con el teléfono móvil sustraído ni a la localización de este».

66 Ibidem, apartado 60.

67 Sentencia Ministerio Fiscal, apartado 49.

68 Los Estados miembros participan desde 2017 en un grupo de trabajo cuyo propósito es acomodar sus legislaciones a los criterios fijados en la jurisprudencia del Tribunal de Justicia sobre esta materia [Groupe Échange d’informations et protection des données (DAPIX)].

69 En todo caso, la determinación de las técnicas de investigación y la apreciación de su eficacia corresponden al margen de apreciación de los Estados miembros.

70 Sentencia Digital Rights, apartado 57, y sentencia Tele2 Sverige y Watson, apartado 105.

71 Los datos que no sean estrictamente indispensables y objetivamente necesarios para la prevención y persecución de delitos y la protección de la seguridad pública quedarían excluidos de la obligación de conservación. En concreto, convendría señalar, de acuerdo con el objetivo perseguido, qué tipos de datos de abonados, datos de tráfico y datos de localización debieran imperativamente conservarse para alcanzar dicho objetivo. En particular, quedarían excluidos los datos que no se estimen imprescindibles para la investigación y el enjuiciamiento de los delitos.

72 Método por el que los nombres se reemplazan por un alias, y así los datos ya no se vinculan a un nombre. A diferencia de la anonimización, la pseudonimización permite volver a vincular los datos al nombre del interesado.

73 Podría estudiarse la posibilidad de modular los períodos de conservación en función de las distintas categorías de datos, teniendo en cuenta su carácter más o menos intrusivo en la vida privada de las personas. Además, debería establecerse que los datos se eliminen de forma permanente al final del período de conservación.

74 Podría considerarse la posibilidad de no imponer la obligación de conservar datos a todos los proveedores de servicios de comunicaciones electrónicas, sino de implantar esta obligación en función de su tamaño y del tipo de servicios que brinden, excluyendo, por ejemplo, a los que propongan servicios altamente especializados.

75 Los sistemas de autorización podrían basarse en evaluaciones periódicas de las amenazas en cada Estado miembro. Debe garantizarse que el vínculo entre los datos conservados y el objetivo perseguido se cree y se adapte a la situación específica de cada Estado miembro. Por lo tanto, sería posible que las autorizaciones de retención concedidas a los proveedores pudieran ocasionar la retención de ciertos tipos de datos durante un período de tiempo determinado, dependiendo de la evaluación de la amenaza. Estas autorizaciones podrían ser otorgadas por un juez o una autoridad administrativa independiente y darían lugar a una revisión periódica de lo indispensable de esta conservación.

76 Este es, al parecer, el sistema aplicado en la República Federal de Alemania, cuyo Gobierno indicó en la vista que, con arreglo a su legislación, el plazo de conservación de los datos de tráfico es de diez semanas, mientras que el plazo de conservación de los datos de localización es de solo cuatro semanas. Por el contrario, para la República Francesa es imprescindible un período de un año de almacenamiento de los datos de tráfico y de localización. Según este Estado miembro, la reducción de este plazo a menos de un año tendría el efecto de rebajar la eficacia de los servicios de policía judicial.

77 Por supuesto, ha de garantizarse que los proveedores de servicios de comunicaciones electrónicas supriman de forma permanente los datos al término del período de conservación (con la excepción de los que puedan seguir almacenando con fines comerciales, de conformidad con la Directiva 2002/58).

78 En la vista, el Gobierno francés afirmó que las URL estaban excluidas de los datos de conexión para los que su legislación prevé un deber general de conservación.

79 Ackerman, B., «The Emergency Constitution», Yale Law Journal, vol. 113, 2004, pp. 1029 a 1092; Ferejohn, J. y Pasquino, P., «The Law of the Exception: A typology of Emergency Powers», International Journal of Constitutional Law, vol. 2, 2004, pp. 210 a 239.

80 Conclusiones de los asuntos C‑511/18 y C‑512/18, puntos 95 y ss.

81 Enunciado de la segunda pregunta, in fine. Esa alusión a los medios de comunicación electrónicos explica que la pregunta haga mención de una segunda obligación positiva que pesa sobre los Estados, la impuesta por el artículo 8 de la Carta en cuanto a la protección de los datos de carácter personal. La doble remisión al artículo 8 de la Carta revela que el órgano judicial de reenvío atribuye a los derechos de la Carta, en función de su naturaleza, un doble cometido: como límite a la obligación litigiosa y como justificación de dicha obligación.

82 Esta obligación de eficacia se traduce en un mandato de resultado para el poder público en el Estado social o prestacional, en el que, más allá del reconocimiento formal de los derechos, importa la realización práctica de su contenido material.

83 Sentencia TEDH de 2 de diciembre de 2008, K.U. c. Finlandia, (ECHR:2008:1202JUD000287202), § 46.

84 A este respecto, considero que a los derechos que invoca el tribunal de remisión (como límites de la obligación controvertida, no como su justificación) podrían añadirse el derecho a la tutela judicial efectiva (artículo 47 de la Carta) o el derecho de la defensa (artículo 48 de la Carta), sobre cuya eventual lesión también se ha debatido en los procesos principales. Sin embargo, la parte dispositiva del auto de remisión se refiere solo a los artículos 7, 8, 11 y 52, apartado 1, de la Carta.

85 Sentencia TEDH de 28 de octubre de 1998, Osman c. Reino Unido (CE:ECHR:1998:1028JUD002345294), § 116.

86 Ibidem § 116 in fine: «[es necesario] asegurar que la policía ejerce su facultad de combatir y prevenir la criminalidad respetando plenamente las vías legales y las otras garantías que limitan legítimamente el alcance de sus actos de investigación criminal». Véase, asimismo la sentencia TEDH de 2 de diciembre de 2008, K.U. c. Finlandia (CE:ECHR:2008:1202JUD000287202), § 48. En esta misma línea, el Tribunal de Justicia ha declarado en la sentencia de 29 de julio de 2019, Gambino y Hyka (C‑38/18, EU:C:2019:628), apartado 49, que los derechos en favor de la víctima no pueden afectar al disfrute efectivo de los reconocidos al acusado.

87 También está justificada para responder a una llamada a un servicio de emergencia o para encontrar a una persona desaparecida, cuya integridad física esté en peligro inminente.

88 Véase el punto 60 de estas conclusiones.

89 Sentencia Tele2 Sverige y Watson, apartado 118.

90 Artículo 126, en la redacción de la Ley de 29 de mayo de 2016.

91 La idoneidad del Ministerio Fiscal para dictar medidas de este género se debate en el reenvío prejudicial C‑746/18, HK/Prokuratur, aún en curso.

92 Para requerir a los operadores los datos de identificación es competente el Ministerio Fiscal, mediante decisión motivada y por escrito (oral en casos urgentes), que acredite la proporcionalidad de la medida en cuanto al respeto de la vida privada y su subsidiariedad de cualquier otra obligación de investigación. Para los delitos que no lleven aparejada una pena principal de prisión de un año o a una pena más grave, el Ministerio Fiscal solo podrá pedir los datos durante un período de seis meses anteriores a su decisión.

93 Para requerir a los operadores el rastreo de las comunicaciones electrónicas o los datos de tráfico y de localización conservados, es competente el juez de instrucción, que puede acordar esa medida si hay indicios graves de la comisión de un delito castigado con determinadas penas, mediante auto motivado y escrito (de modo oral, en caso de urgencia) sujeto a las mismas exigencias de proporcionalidad y subsidiariedad que las que rigen para el Ministerio Fiscal. Hay algunas excepciones cuando la medida se dirige contra ciertas categorías profesionales protegidas (abogados o médicos, por ejemplo).

94 La decisión especificará, según los casos, las personas físicas o jurídicas, las asociaciones de hecho o grupos, los objetos, los lugares, los eventos o la información sujetos al método específico. También debe mencionar la relación entre la finalidad de los datos demandados y la amenaza potencial que justifica este método en particular.

95 La Comisión administrativa para la supervisión de métodos específicos y excepcionales de recogida de datos por parte de los servicios de inteligencia y seguridad (Comisión BIM) y el Comité permanente para el control de los servicios de inteligencia (Comité R). El Gobierno belga declara que la Comisión BIM es responsable del seguimiento de los métodos de búsqueda empleados por los servicios de inteligencia y seguridad, sobre los que ejerce un control de primera línea. Esta comisión, compuesta por jueces, lleva a cabo sus tareas de forma totalmente independiente. También se organiza un control independiente de segunda línea, a cargo del Comité R.

96 Se autoriza para la investigación, instrucción y persecución de las infracciones de los artículos 114 (seguridad de las redes), 124 (confidencialidad de las comunicaciones electrónicas) y 126 (conservación de datos y acceso) de la Ley de 13 de junio de 2005 sobre comunicaciones electrónicas.

97 Me remito al punto 60 de estas conclusiones

98 Sentencia de 28 de julio de 2016, Association France Nature Environnement (C‑379/15, EU:C:2016:603), apartado 33.

99 Apartado 100 del escrito de observaciones de la Comisión.

100 Asunto C‑41/11, EU:C:2012:103.

101 Sentencia de 28 de febrero de 2012, Inter-Environnement Wallonie y Terre wallonne (C‑41/11, EU:C:2012:103), apartado 58. En la sentencia de 28 de julio de 2016, Association France Nature Environnement (C‑379/15, EU:C:2016:603), apartado 34, el Tribunal de Justicia infirió de esa afirmación «la voluntad […] de reconocer a un órgano jurisdiccional nacional, caso por caso y con carácter excepcional, la facultad de determinar los efectos de la anulación de una disposición nacional juzgada incompatible con el derecho de la Unión».

102 Asunto C‑411/17 (EU:C:2019:622), apartado 178.

103 Sentencia de 28 de febrero de 2012, Inter-Environnement Wallonie y Terre wallonne (C‑41/11, EU:C:2012:103), apartado 57.

104 Sentencia de 28 de febrero de 2012, Inter-Environnement Wallonie y Terre wallonne (C‑41/11, EU:C:2012:103), apartado 62.

105 Apartado 45 del escrito de observaciones del Gobierno danés.