Language of document : ECLI:EU:C:2013:845

CONCLUSIONES DEL ABOGADO GENERAL

PEDRO CRUZ VILLALÓN

presentadas el 12 de diciembre de 2013 (1)

Asunto C‑293/12

Digital Rights Ireland Ltd

contra

Minister for Communications, Marine and Natural Resources,

Minister for Justice, Equality and Law Reform,

Commissioner of the Garda Síochána

Irlanda

y

The Attorney General

[Petición de decisión prejudicial
planteada por la High Court of Ireland (Irlanda)]

y

Asunto C‑594/12

Kärntner Landesregierung,

Michael Seitlinger

y

Christof Tschohl,

Andreas Krisch,

Albert Steinhauser,

Jana Herwig,

Sigrid Maurer,

Erich Schweighofer,

Hannes Tretter,

Scheucher Rechtsanwalt GmbH,

Maria Wittmann-Tiwald,

Philipp Schmuck,

Stefan Prochaska

y otros

[Petición de decisión prejudicial
planteada por el Verfassunsgerichtshof (Austria)]

«Comunicaciones electrónicas – Directiva 2006/24/CE – Conservación de los datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas – Validez – Artículo 5 TUE, apartado 4 – Proporcionalidad de la acción de la Unión – Carta de los Derechos Fundamentales – Artículo 7 – Respeto de la vida privada – Artículo 8 – Protección de datos de carácter personal – Artículo 52, apartado 1 – Injerencia – Calidad de la ley – Proporcionalidad de los límites del ejercicio de los derechos fundamentales»





1.        En los presentes asuntos, se plantea al Tribunal de Justicia una doble cuestión prejudicial que tiene por objeto la apreciación de la validez de la Directiva 2006/24/CE, (2) que le brinda la oportunidad de pronunciarse sobre las condiciones en que es constitucionalmente posible para la Unión Europea establecer una limitación del ejercicio de los derechos fundamentales en el sentido del artículo 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (3) mediante una directiva y sus medidas nacionales de transposición. (4) La limitación de que se trata consiste en una obligación que exige a los operadores económicos la recopilación y conservación, durante un tiempo determinado, de un número considerable de datos generados o tratados en el marco de las comunicaciones electrónicas efectuadas por los ciudadanos en todo el territorio de la Unión, para garantizar la disponibilidad de dichos datos con fines de investigación y enjuiciamiento de actividades delictivas graves, así como el buen funcionamiento del mercado interior. Articularé en tres partes mi respuesta a este interrogante.

2.        En una primera parte, abordaré la cuestión de la proporcionalidad de la Directiva 2006/24 en el sentido del artículo 5 TUE, apartado 4. En una segunda parte, comprobaré si puede considerarse que concurre el requisito previsto en el artículo 52, apartado 1, de la Carta de que cualquier limitación del ejercicio de los derechos fundamentales deberá ser «establecida por la ley». Por último, en una tercera parte, examinaré si la Directiva 2006/24 respeta el principio de proporcionalidad, también en el sentido del artículo 52, apartado 1, de la Carta.

3.        Sin embargo, antes de comenzar el examen de estos tres extremos, abordaré una serie de tres cuestiones que me parecen indispensables para comprender correctamente los problemas suscitados por las cuestiones prejudiciales de apreciación de validez planteadas por la High Court (Irlanda) y el Verfassungsgerichtshof (Austria).

I.      Marco jurídico

A.      Derecho de la Unión

4.        Las principales disposiciones del Derecho de la Unión pertinentes para el examen de las cuestiones prejudiciales planteadas al Tribunal de Justicia en los presentes asuntos son, además de las de la Directiva 2006/24 cuya validez se cuestiona en los dos asuntos y las de la Carta, las de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, (5) y de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas). (6) Estas Directivas y sus principales disposiciones se tratarán más adelante, a medida que sea necesario para la exposición de las consideraciones posteriores.

B.      Derechos nacionales

1.      Derecho irlandés (Asunto C‑293/12)

5.        El artículo 29, apartado 4, número 6, de la Constitución de Irlanda establece que ninguna de las disposiciones de la Constitución invalidará las leyes, actos o medidas adoptados por el Estado que sean necesarios para cumplir sus obligaciones como miembro de la Unión Europea o de las Comunidades Europeas, ni impedirá que las leyes, actos o medidas adoptados por la Unión Europea o las Comunidades Europeas, sus instituciones o los órganos competentes en virtud de los Tratados surtan efectos legales.

6.        La séptima parte de la Criminal Justice (Terrorist Offences) Act 2005, (7) [Ley de Enjuiciamiento Criminal (Delitos de Terrorismo) de 2005], actualmente derogada, contenía disposiciones sobre la conservación de los datos relativos a las comunicaciones telefónicas. Exigía a los proveedores de servicios de comunicaciones telefónicas que conservaran los datos de tráfico y localización durante un período determinado por la ley con el fin de prevenir y detectar las infracciones, investigarlas y perseguirlas y garantizar la seguridad del Estado. Para ello, la Ley de Enjuiciamiento Criminal de 2005 permitía a las autoridades competentes del Estado, en particular al Commissioner of the Garda Síochána, exigir la divulgación de esos datos con arreglo a un procedimiento determinado y establecía garantías mediante un procedimiento de queja, tramitado por una entidad cuasi judicial independiente.

7.        La Communications (Retention of Data) Act 2011 [Ley de Comunicaciones (Conservación de datos) de 2011], que se adoptó para transponer la Directiva 2006/24, derogó la séptima parte de la Ley de Enjuiciamiento Criminal de 2005 y estableció un nuevo régimen de conservación de datos.

2.      Derecho austriaco (Asunto C‑594/12)

8.        El artículo 1 de la Datenschutzgesetz 2000, (8) que tiene rango constitucional, establece un derecho fundamental a la protección de datos.

9.        La Directiva 2006/24 se transpuso en Derecho austriaco mediante una ley federal (9) que introdujo un nuevo artículo 102a en la Telekommunikationsgesetz 2003, (10) que exige a los proveedores de servicios de comunicación de acceso público la conservación de los datos que enumera. (11)

II.    Hechos que originaron los litigios principales

A.      Asunto C‑293/12, Digital Rights Ireland

10.      La demandante en el litigio principal, Digital Rights Ireland Ltd, (12) es una sociedad de responsabilidad limitada que tiene por objeto social la promoción y protección de los derechos civiles y de los derechos humanos, en particular en el ámbito de las tecnologías de comunicación modernas.

11.      DRI, que declara ser titular de un teléfono móvil registrado el 3 de junio de 2006, que utiliza desde esa fecha, interpuso un recurso contra dos ministros del Gobierno irlandés, The Minister for Communications, Marine and Natural Resources y The Minister for Justice, Equality and Law Reform, el jefe de la policía irlandesa (The Commissioner of the Garda Síochána), Irlanda y el Attorney General del Estado irlandés, en el que alegó, en esencia, que las autoridades irlandesas trataron, conservaron y controlaron ilegalmente los datos relativos a sus comunicaciones.

12.      En consecuencia, solicita, por una parte, la anulación de los distintos actos de Derecho interno que facultan a las autoridades irlandesas a adoptar medidas que exigen a los proveedores de servicios de telecomunicaciones la conservación de datos de telecomunicaciones, por considerar que son incompatibles con la Constitución irlandesa y el Derecho de la Unión. Por otra parte, cuestiona la validez de la Directiva 2006/24 a la luz de la Carta de los Derechos Fundamentales y/o del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales (13) e insta al órgano jurisdiccional remitente a plantear al Tribunal de Justicia varias cuestiones prejudiciales para apreciar la validez de dicha Directiva.

B.      Asunto C‑594/12, Seitlinger y otros

13.      El 6 de abril de 2012, el Kärtner Landesregierung interpuso ante el Verfassungsgerichtshof, al amparo del artículo 140, apartado 1, de la Bundes-Verfassungsgesetz (Ley constitucional federal austriaca), (14) un recurso de anulación de varias disposiciones de la Tekommunikationsgesetz 2003, entre ellas el artículo 102a, en su redacción posterior a la transposición de la Directiva 2006/24, que entró en vigor el 1 de abril de 2012.

14.      El 25 de mayo de 2012, el Sr. Michael Seitlinger interpuso ante el Verfassungsgerichtshof un recurso sobre la base del artículo 140, apartado 1, de la B-VG en el que alegaba la inconstitucionalidad del artículo 102a TKG 2003 en la medida en que afectaba a sus derechos. Considera que esta disposición, que obliga a su operador de red de comunicaciones a conservar datos sin ningún motivo, sin una necesidad técnica ni objetivos de facturación y contra su voluntad constituye, en particular, una infracción del artículo 8 de la Carta.

15.      Por último, el 15 de junio de 2012, se interpuso otro recurso ante el Verfassungsgerichtshof al amparo del artículo 140 de la B-VG, formulado por 11.130 demandantes que alegaban que la inconstitucionalidad de la obligación de conservación de datos que establece el artículo 102a de la TKG 2003 vulneraba sus derechos y, en particular, el artículo 8 de la Carta.

III. Cuestiones prejudiciales y procedimiento ante el Tribunal de Justicia

A.      En el asunto C‑293/12, Digital Rights Ireland

16.      En el asunto C‑293/12, la High Court plantea al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1)      ¿Es incompatible la restricción de los derechos del demandante [principal] en relación con el uso de telefonía móvil derivada de los requisitos establecidos en los artículos 3, 4, y 6 de la Directiva 2006/24/CE […] con el artículo 5, apartado 4, en la medida en que resulta desproporcionada e innecesaria o inadecuada para lograr los objetivos legítimos de:

a)      garantizar que determinados datos estén disponibles con fines de investigación, detección y enjuiciamiento de delitos graves

y/o

b)      garantizar el buen funcionamiento del mercado interior de la Unión Europea?

2)      En particular:

i)      ¿Es compatible la Directiva 2006/24/CE con el derecho de los ciudadanos a circular y residir libremente en el territorio de los Estados miembros, establecido en el artículo 21 TFUE?

ii)      ¿Es compatible la Directiva 2006/24/CE con el derecho al respeto de la vida privada establecido en el artículo 7 de la [Carta] y en el artículo 8 del [CEDH]?

iii)      ¿Es compatible la Directiva 2006/24/CE con el derecho a la protección de los datos de carácter personal establecido en el artículo 8 de la Carta?

iv)      ¿Es compatible la Directiva 2006/24/CE con el derecho a la libertad de expresión establecido en el artículo 11 de la Carta y en el artículo 10 del CEDH?

v)      ¿Es compatible la Directiva 2006/24/CE con el derecho a una buena administración previsto en el artículo 41 de la Carta?

3)      ¿En qué medida exigen los Tratados, y en particular el principio de cooperación leal establecido en el artículo 4 [TUE], apartado 3, a los órganos jurisdiccionales nacionales indagar y evaluar la compatibilidad de las medidas nacionales de transposición de la Directiva 2006/24/CE con respecto a las garantías que otorga la [Carta], incluido su artículo 7 (en relación con el artículo 8 CEDH)?»

B.      En el asunto C‑594/12, Seitlinger y otros

17.      En el asunto C‑594/12, el Verfassungsgerichtshof plantea al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1)      Respecto de la validez de actos adoptados por los órganos de la Unión:

¿Son los artículos 3 a 9 de la Directiva 2006/24/CE [...] compatibles con los artículos 7, 8 y 11 de la [Carta]?

2)      Respecto de la interpretación de los Tratados:

2.1      A la luz de las explicaciones relativas al artículo 8 de la Carta, que, de conformidad con el artículo 52, apartado 7, de la Carta, fueron elaboradas para guiar en la interpretación de la Carta y deben ser tenidas debidamente en cuenta por el Verfassungsgerichtshof, ¿la Directiva 95/46/CE [...] y el Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos [DO 2001, L 8, p. 11], deben equipararse a los requisitos que recogen los artículos 8, apartado 2, y 52, apartado 1, de la Carta al apreciar la legitimidad de las injerencias?

2.2      ¿Qué relación guarda el “Derecho de la Unión” a que se refiere la última frase del apartado 3 del artículo 52 de la Carta con las Directivas adoptadas en materia de protección de datos?

2.3      Dado que la Directiva 95/46/CE y el Reglamento (CE) nº 45/2001 establecen condiciones y límites para el ejercicio del derecho fundamental a la protección de datos, ¿deberán tenerse en cuenta al interpretar el artículo 8 de la Carta las modificaciones a que dé lugar la adopción posterior del Derecho derivado?

2.4      Teniendo en cuenta el artículo 52, apartado 4, de la Carta, ¿conlleva el principio del nivel más elevado de protección recogido en el artículo 53 de la Carta que deban adoptarse criterios más exigentes que los previstos por la Carta a la hora de apreciar la legitimidad de las limitaciones establecidas mediante Derecho derivado?

2.5      A la vista del artículo 52, apartado 3, de la Carta, del párrafo quinto del Preámbulo de ésta y de las explicaciones relativas al artículo 7 de la misma, en virtud de los cuales los derechos que allí se garantizan corresponden a los que figuran en el artículo 8 del CEDH, ¿pueden emanar de la jurisprudencia del Tribunal Europeo de Derechos Humanos referente al artículo 8 del CEDH criterios que influyan en la interpretación del artículo 8 de la Carta?»

C.      Procedimiento ante el Tribunal de Justicia

18.      Han presentado observaciones escritas en el asunto C‑293/12, la Irish Human Rights Commission, (15) los Gobiernos irlandés, francés, italiano, polaco y del Reino Unido, así como el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea.

19.      Han presentado observaciones escritas en el asunto C‑594/12, los Sres. Seitlinger y Tschohl, los Gobiernos español, francés, austriaco y portugués, así como el Parlamento, el Consejo y la Comisión.

20.      Los dos asuntos fueron acumulados a efectos de la fase oral y de la sentencia mediante decisión del Presidente del Tribunal de Justicia de 6 de junio de 2013.

21.      Con el fin de celebrar una vista conjunta en los dos asuntos, el Tribunal de Justicia, con arreglo al artículo 61 de su Reglamento de Procedimiento, instó a las partes que desearan comparecer a que se concertasen sobre sus posiciones respectivas, concentraran sus informes orales en la compatibilidad de la Directiva 2006/24 con los artículos 7 y 8 de la Carta y respondieran a ciertas cuestiones. Además, solicitó al Supervisor Europeo de Protección de Datos (16) que facilitase información, con arreglo al artículo 24, párrafo segundo, del Estatuto del Tribunal de Justicia.

22.      DRI y la IHRC (asunto C‑293/12), los Sres. Seiltinger y Tschohl (asunto C‑594/12), y los Gobiernos irlandés, español, italiano, austriaco y del Reino Unido, así como el Parlamento, el Consejo, la Comisión y el SEPD, presentaron sus observaciones orales en la audiencia pública conjunta que se celebró el 9 de julio de 2013.

IV.    Sobre la admisibilidad

23.      En sus observaciones escritas en el asunto C‑293/12, el Parlamento, el Consejo y la Comisión alegan, en esencia, que la High Court no ha expuesto suficientemente las razones que la han llevado a cuestionarse la validez de la Directiva 2006/24, especialmente en lo que respecta al artículo 21 TFUE y a los artículos 11 y 41 de la Carta. Sin embargo, dichas imprecisiones de la petición de decisión prejudicial de la High Court no pueden dar lugar a que el Tribunal de Justicia la desestime por inadmisible.

V.      Sobre el fondo

24.      Las distintas cuestiones prejudiciales planteadas por la High Court en el asunto C‑293/12 y el Verfassungsgerichtshof en el asunto C‑594/12 suscitan cuatro series de interrogantes.

25.      La primera serie, constituida por la primera cuestión prejudicial en el asunto C‑293/12, se refiere a la validez de la Directiva 2006/24 en relación con el artículo 5 TUE, apartado 4. En efecto, la High Court se pregunta concretamente si la Directiva 2006/24 es, con carácter general, proporcionada en el sentido de esa disposición, es decir, si es necesaria y adecuada para alcanzar los objetivos que persigue, a saber, permitir que determinados datos estén disponibles con fines de investigación, detección y enjuiciamiento de delitos graves y/o garantizar el buen funcionamiento del mercado interior.

26.      La segunda serie, que está formada por la segunda cuestión prejudicial en el asunto C‑293/12 y la primera cuestión prejudicial en el asunto C‑594/12, trata de la compatibilidad de varias disposiciones de la Directiva 2006/24 con varias disposiciones de la Carta, principalmente el artículo 7, sobre el derecho al respeto de la vida privada, y el artículo 8, sobre el derecho a la protección de datos personales, y, con carácter más general, de la proporcionalidad de las medidas que establece, en el sentido del artículo 52, apartado 1, de la Carta. Esta cuestión de validez es, indiscutiblemente, la cuestión principal de los problemas suscitados por estos asuntos.

27.      La segunda cuestión prejudicial formulada por el Verfassungsgerichtshof en el asunto C‑594/12 suscita una tercera serie de interrogantes relativos a la interpretación de las disposiciones generales de la Carta que regulan su interpretación y aplicación, en particular las de los artículos 52, apartados 3, 4 y 7, y 53. El Verfassungsgerichtshof se pregunta más concretamente, en esencia, sobre las relaciones que existen entre, por un lado, el artículo 8 de la Carta, que consagra el derecho a la protección de los datos personales, y, por otro lado, en primer lugar, las disposiciones de la Directiva 95/46 y el Reglamento nº 45/2001, en relación con el artículo 52, apartados 1 y 3, de la Carta (segunda cuestión prejudicial, puntos 1, 2 y 3), en segundo lugar, las tradiciones constitucionales de los Estados miembros (segunda cuestión prejudicial, punto 4), en relación con el artículo 52, apartado 4, de la Carta, y, en tercer lugar, el derecho del CEDH y en particular su artículo 8, en relación con el artículo 52, apartado 3, de la Carta (segunda cuestión prejudicial, punto 5).

28.      Por último, mediante su tercera cuestión prejudicial en el asunto C‑293/12, que constituye la cuarta y última serie de interrogantes, la High Court pregunta al Tribunal de Justicia sobre la interpretación del artículo 4 TUE, apartado 3, y más concretamente sobre la cuestión de si los órganos jurisdiccionales nacionales están obligados, en virtud del deber de cooperación leal, a indagar y evaluar la compatibilidad de las medidas nacionales de transposición de la Directiva 2006/24 con las disposiciones de la Carta, en particular su artículo 7.

29.      Ha de señalarse, desde un principio, que mi análisis se centrará en las dos primeras series de cuestiones y que, en vista de la respuesta que propondré a éstas, no será necesario responder de manera específica a las dos últimas series de cuestiones. Sin embargo, antes de abordar estas cuestiones, ha de comenzarse por una serie de precisiones preliminares.

A.      Observaciones preliminares

30.      Para poder responder plenamente a los diferentes interrogantes planteados por los tribunales remitentes, es necesario poner de relieve tres factores que contribuyen de manera decisiva a determinar los rasgos de los presentes asuntos, a saber, en primer lugar, la especificidad funcional de la Directiva 2006/24, en segundo lugar, la calificación de la injerencia en los derechos fundamentales de que se trata y, por último, en tercer lugar, la incidencia en los presentes asuntos de la sentencia de 10 de febrero de 2009, Irlanda/Parlamento y Consejo, (17) mediante la que el Tribunal de Justicia desestimó el recurso de anulación por base jurídica errónea interpuesto contra dicha Directiva.

1.      Sobre la «dualidad funcional» de la Directiva 2006/24 y su relación con la Directiva 95/46 y la Directiva 2002/58

31.      Ha de comenzarse por situar la Directiva 2006/24 en su contexto, recordando brevemente el marco legislativo en el que se inscribe, constituido principalmente por la Directiva 95/46, por una parte, y la Directiva 2002/58, por otra.

32.      El objeto de la Directiva 95/46, que al igual que la Directiva 2006/24 se basa en el artículo 114 TFUE, es imponer a los Estados miembros la obligación de garantizar el derecho a la intimidad de las personas físicas en lo que respecta al tratamiento de sus datos personales, (18) para permitir la libre circulación de estos datos entre los Estados miembros. (19) Para ello, establece, en particular, toda una serie de reglas que definen las condiciones de licitud del tratamiento de datos personales, precisando los derechos de las personas cuyos datos se recaban y tratan, en particular el derecho a la información, (20) el derecho de acceso, (21) el derecho de oposición (22) y el derecho de recurso, (23) y garantizando la confidencialidad y la seguridad del tratamiento.

33.      El régimen de protección establecido por la Directiva 95/46 está sujeto a excepciones y limitaciones definidas en su artículo 13. El alcance de los derechos y obligaciones que la Directiva establece en lo que respecta a la calidad de los datos (artículo 6, apartado 1), la transparencia de los tratamientos (artículos 10 y 11, apartado 1), los derechos de acceso de las personas cuyos datos son tratados (artículo 12) y la publicidad de los tratamientos (artículo 21) puede ser objeto de medidas legales de limitaciones cuando sea necesario para salvaguardar, en particular, la seguridad del Estado, la defensa, la seguridad pública o la prevención, investigación, detección y represión de infracciones penales.

34.      La Directiva 2002/58, que deroga y sustituye a la Directiva 97/66/CE, (24) especifica y completa (25) el régimen de protección de datos personales establecido por la Directiva 95/46 mediante normas concretas aplicables al sector de las comunicaciones electrónicas. (26) En particular, contiene normas que obligan a los Estados miembros a garantizar, salvo excepciones, (27) la confidencialidad no sólo de las comunicaciones, sino también de los datos de tráfico de los abonados y usuarios de servicios de comunicaciones electrónicas. (28) El artículo 6 obliga a los proveedores de servicios de comunicaciones a eliminar o hacer anónimos los datos de tráfico de sus abonados y usuarios que tratan y almacenan.

35.      Especialmente importante para las consideraciones que expondré más adelante, el artículo 15, apartado 1, de la Directiva 2002/58 establece asimismo que los Estados miembros podrán (29) adoptar medidas legales para limitar el alcance de los derechos y las obligaciones que establece en lo que respecta, en particular, a la confidencialidad de las comunicaciones (artículo 5) y la supresión de los datos de tráfico (artículo 6) en términos idénticos a los del artículo 13, apartado 1, de la Directiva 95/46, al que se remite. Señala que, para ello, los Estados miembros podrán adoptar, entre otras, medidas legislativas en virtud de las cuales los datos se conserven durante un plazo limitado por uno de los motivos indicados, dentro del respeto de los derechos fundamentales.

36.      La Directiva 2006/24 establece, en realidad, una modificación profunda de la ley aplicable a los datos de comunicaciones electrónicas conforme a las Directivas 95/46 y 2002/58 (30) al disponer que los Estados miembros establecerán una obligación de recopilación y conservación de los datos de tráfico y localización que se inscribe en el ámbito de las restricciones al derecho a la protección de los datos personales previstas en los artículos 13, apartado 1, de la Directiva 95/46 y 15, apartado 1, de la Directiva 2002/58.

37.      La Directiva 2006/24 se caracteriza, en primer lugar, por su objetivo de armonización, en este caso de las normativas de los Estados miembros sobre la conservación de los datos de tráfico y localización relativos a las comunicaciones electrónicas. Pues bien, teniendo en cuenta la materia objeto de armonización y la situación, dicho objetivo exige al mismo tiempo que se imponga a los Estados miembros que no dispongan de tal normativa una obligación de recopilación y de conservación de dichos datos. De ello resulta que la Directiva 2006/24 presenta una dualidad funcional que es esencial tener en cuenta para abordar correctamente el problema que plantean las cuestiones prejudiciales que nos ocupan.

38.      En efecto, el objetivo principal de la Directiva 2006/24 es armonizar las normativas nacionales que ya imponen a los proveedores de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones (31) las obligaciones de conservación de los datos de tráfico y de localización que ésta define, para garantizar su disponibilidad «con fines de investigación, detección y enjuiciamiento de delitos graves, tal como se definen en la normativa nacional de cada Estado miembro». (32) De este modo, la Directiva 2006/24 armoniza así parcialmente las normativas adoptadas por determinados Estados miembros sobre la base de la posibilidad ofrecida por el artículo 15, apartado 1, de la Directiva 2002/58. (33)

39.      La Directiva 2006/24 establece así un régimen excepcional (34) a los principios establecidos por la Directiva 95/46 y la Directiva 2002/58. Para ser completamente exactos, establece una excepción a las normas excepcionales dispuestas por el artículo 15, apartado 1, de la Directiva 2002/58, que regulan la facultad de los Estados miembros de limitar, por los motivos previstos en el artículo 13, apartado 1, de la Directiva 95/46, el alcance del derecho a la protección de los datos personales y, con carácter más general, del derecho al respeto de la vida privada en el marco específico de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicaciones.

40.      Además, resulta significativo que el artículo 11 de la Directiva 2006/24 inserte un apartado 1 bis en el artículo 15 de la Directiva 2002/58, que establece que el apartado 1 de esa disposición no se aplicará a los datos que deben conservarse específicamente de conformidad con la Directiva 2006/24.

41.      Como el Tribunal de Justicia señaló en la sentencia Irlanda/Parlamento y Consejo, antes citada, la Directiva 2006/24 se refiere esencialmente a las actividades de los prestadores de servicios de comunicaciones electrónicas, (35) armonizando las normativas nacionales mediante disposiciones que se limitan fundamentalmente (36) a la conservación de datos, las categorías de datos que deben conservarse, los períodos de conservación, la protección y seguridad de los datos y su almacenamiento. (37)

42.      Como veremos más adelante, precisamente debido a esta función de armonización limitada el Tribunal de Justicia pudo declarar, en la sentencia Irlanda/Parlamento y Consejo, antes citada, que la Directiva 2006/24 podía adoptarse sobre la base del artículo 95 CE. Se trataba, con objeto de proteger el buen funcionamiento del mercado interior, (38) de poner fin a la evolución heterogénea de las normativas existentes (39) y evitar que ésta se produjese en el futuro. (40)

43.      Pues bien, la armonización establecida por la Directiva 2006/24 se realizó en este caso necesariamente mediante la introducción de una obligación de recogida y conservación de datos que recae sobre los proveedores de servicios de comunicaciones electrónicas, al menos en lo que respecta a los Estados miembros que no disponían de ninguna normativa a este respecto, obligación que impone en particular el período mínimo y máximo durante el que los datos deben conservarse.

44.      A este respecto, cabe señalar que el hecho de que algunos Estados miembros no se hubieran dotado todavía de una normativa sobre la conservación de datos constituía precisamente uno de los factores principales que justificaban la adopción de la Directiva 2006/24 sobre la base del artículo 95 CE. (41)

45.      En consecuencia, la Directiva 2006/24 establece, en el marco de su objetivo de armonización, la obligación de que los Estados miembros, bien adapten el régimen existente a las disposiciones de la Directiva, bien establezcan en el futuro el régimen de recopilación y de conservación previsto por la Directiva 2006/24 y, en cualquier caso, la obligación de velar por el respeto de las disposiciones de esa Directiva, especialmente de las que regulan los requisitos y modalidades de acceso a los datos conservados.

46.      En síntesis, la Directiva 2006/24 se caracteriza por su dualidad funcional. Por una parte, es una directiva completamente clásica que trata de armonizar (42) legislaciones nacionales dispares (43) o que puedan llegar a serlo, adoptada en aras del funcionamiento del mercado interior y concebida especialmente para ese fin, como el Tribunal de Justicia declaró en su sentencia Irlanda/Parlamento y Consejo, antes citada. Sin embargo, también es, por otra parte, una directiva que, incluso en su función armonizadora, pretende establecer, (44) en su caso, obligaciones, principalmente de conservación de datos, que, como demostraré a continuación, constituyen injerencias caracterizadas en el disfrute de los derechos fundamentales que la Carta garantiza a los ciudadanos europeos, especialmente el derecho al respeto de la intimidad y el derecho a la protección de los datos personales.

47.      Por último, es evidente que las respuestas a las cuestiones prejudiciales planteadas deben tener en cuenta sobre todo esta «segunda función», es decir, lo que considero que puede calificarse de efecto «constitutivo» de la obligación de conservación de datos, sin que deba obviarse, no obstante, su efecto específicamente armonizador de las normativas existentes en la materia.

2.      Sobre el derecho fundamental esencialmente afectado y sobre la calificación de injerencia

48.      En segundo lugar, ha de abordarse ya en este momento la cuestión de la calificación de la injerencia en el ejercicio de los derechos fundamentales que se deriva de la recopilación y la conservación de datos previstas por la Directiva 2006/24, una vez admitido que la propia existencia de esta injerencia no es objeto de discusión alguna. En primer lugar, determinaré el derecho fundamental principalmente afectado por la Directiva 2006/24 y posteriormente procederé a la calificación de la injerencia que constituye en el ejercicio de ese derecho.

a)      Sobre los derechos fundamentales afectados

i)      La pluralidad de derechos fundamentales invocados

49.      La High Court, en el asunto C‑293/12, al igual que el Verfassungsgerichtshof, en el asunto C‑594/12, preguntan al Tribunal de Justicia sobre la compatibilidad de la Directiva 2006/24 con una pluralidad de derechos fundamentales: por un lado, el derecho al respeto de la vida privada, garantizado por el artículo 7 de la Carta, y el derecho a la protección de los datos de carácter personal, garantizado por el artículo 8 de la Carta, y, por otro, el derecho a la libertad de expresión, garantizado por el artículo 11 de la Carta.

50.      La High Court pregunta además al Tribunal de Justicia sobre la compatibilidad de la Directiva 2006/24 con el artículo 21 TFUE, sobre el derecho de circulación y residencia de los ciudadanos europeos, y con el artículo 41 de la Carta, que consagra el derecho a una buena administración.

51.      A este respecto, es posible llevar a cabo una primera operación de simplificación.

52.      En primer lugar, es cierto que no puede hacerse caso omiso de que el sentimiento difuso de vigilancia (45) que la aplicación de la Directiva 2006/24 puede ocasionar puede ejercer una influencia decisiva en el ejercicio que los ciudadanos europeos hacen de su libertad de expresión e información, por lo que debe reconocerse también una injerencia en el derecho garantizado por el artículo 11 de la Carta. (46) Sin embargo, ha de señalarse que, además de que el Tribunal de Justicia no dispone de datos suficientes para pronunciarse a este respecto, ese efecto no sería más que una consecuencia colateral de una injerencia en el derecho al respeto de la vida privada, que más adelante es objeto de un examen cuidadoso y pormenorizado.

53.      Por otra parte, la High Court no aporta la más mínima explicación sobre las razones por las que considera pertinente la elección del artículo 21 TFUE (derecho de residencia y circulación de los ciudadanos europeos) y del artículo 41 de la Carta (derecho a una buena administración) a efectos de la apreciación de la validez de la Directiva 2006/24, ni siquiera la más mínima indicación sobre la incidencia que esa Directiva podría tener en la libre circulación de los ciudadanos o el principio de buena administración, contrariamente a los requisitos que se establecen actualmente en el artículo 94 del Reglamento de Procedimiento del Tribunal de Justicia. Por consiguiente, el Tribunal de Justicia tampoco dispone de datos que le permitan pronunciarse a este respecto.

54.      En consecuencia, la compatibilidad de la Directiva 2006/24 debe examinarse, en principio, sobre todo en relación con los artículos 7 y 8 de la Carta.

ii)    La pareja formada por el derecho al respeto de la vida privada y el derecho a la protección de datos de carácter personal

55.      El artículo 8 de la Carta consagra el derecho a la protección de datos de carácter personal como un derecho distinto del derecho al respeto de la vida privada. Si bien la protección de datos pretende garantizar el respeto de la vida privada, está sujeta a un régimen autónomo, establecido principalmente por la Directiva 95/46, la Directiva 2002/58, el Reglamento nº 45/2001 y la Directiva 2006/24, así como, en el ámbito de la cooperación policial y judicial en materia penal, por la Decisión marco 2008/977/JAI. (47)

56.      La Directiva 2006/24 afecta sensiblemente al derecho a la protección de datos de carácter personal, en la medida en que su artículo 5 establece la obligación de que los Estados miembros garanticen la conservación de los datos que permitan o puedan permitir la identificación de una persona, (48) tanto en el origen como en el destino de una comunicación, así como su situación en el espacio y el tiempo, bien mediante referencia a su número de teléfono en lo que respecta a la telefonía, bien a su número de identificación o a cualquier otro dato que le corresponda en lo que atañe a los servicios de Internet, como por ejemplo una dirección IP.

57.      El artículo 1, apartado 2, de la Directiva 2006/24 indica además expresamente que ésta se aplica, en particular, a los datos necesarios para identificar a los abonados o usuarios registrados de los servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones. Por lo tanto, estos datos forman parte de aquellos cuya divulgación se supedita a la autorización expresa de cada individuo, de su «derecho a la autodeterminación informativa». (49)

58.      La Directiva 2006/24 resulta a primera vista una injerencia en el derecho a la protección de los datos de carácter personal, al situarse claramente en el ámbito de lo dispuesto en el artículo 8, apartados 2 y 3, de la Carta. En efecto, la Directiva señala que son plenamente aplicables a los datos conservados de conformidad con sus disposiciones tanto la Directiva 95/46 y la Directiva 2002/58, (50) como el Convenio del Consejo de Europa de 1981 sobre la protección de las personas con respecto al tratamiento automatizado de los datos de carácter personal. (51)

59.      Sin embargo, no es el tratamiento de los datos conservados lo que exige la mayor vigilancia –ya se trate de las modalidades de recogida de datos por los proveedores de servicios de comunicaciones electrónicas o de las modalidades de explotación de datos por las autoridades competentes facultadas por los Estados miembros–, sino la recopilación de los datos de que se trata y su conservación en sí mismas, así como su repercusión en el derecho al respeto de la vida privada, por las razones que expondré a continuación.

60.      En primer lugar, la circunstancia de que la Directiva 2006/24 pueda responder perfectamente a las exigencias del artículo 8, apartados 2 y 3, de la Carta y de que pueda considerarse que no es incompatible con el artículo 8 de la Carta no implica en modo alguno que sea perfectamente compatible con las exigencias que se derivan del derecho al respeto de la vida privada garantizado por el artículo 7 de la Carta.

61.      En efecto, aunque la «esfera de lo privado» constituye el núcleo de la «esfera de lo personal», no cabe excluir que una normativa que limita el derecho a la protección de los datos de carácter personal de conformidad con el artículo 8 de la Carta pueda considerarse una vulneración desproporcionada del artículo 7 de la Carta.

62.      Es cierto que el derecho a la protección de datos de carácter personal se basa en el derecho fundamental al respeto de la vida privada, (52) por lo que, como el Tribunal de Justicia ha tenido la ocasión de señalar, (53) los artículos 7 y 8 de la Carta se hallan íntimamente ligados, (54) hasta el punto de que puede considerarse que establecen un «derecho a la vida privada en lo que respecta al tratamiento de los datos de carácter personal». (55)

63.      Sin embargo, no siempre ocurre así sistemáticamente. El vínculo que une estos dos derechos depende esencialmente de la naturaleza de los datos de que se trate, aun cuando éstos sean siempre personales, es decir, que se refieran a la persona, al individuo.

64.      En efecto, hay datos que son personales como tales, es decir, en la medida en que individualizan a una persona, como pueden serlo los que en el pasado figuraban en un salvoconducto, por poner un ejemplo. Son datos que suelen tener una cierta permanencia y con frecuencia también una cierta neutralidad. Son personales sin más y cabría decir, con carácter general, que son aquellos con respecto a los que la estructura y las garantías del artículo 8 de la Carta están mejor adaptadas.

65.      Sin embargo, hay datos que son en cierto modo más que personales. Son los datos que, cualitativamente, se refieren esencialmente a la vida privada, al secreto de la vida privada, incluida la intimidad. En efecto, en esos casos, el problema planteado por los datos de carácter personal comienza, por así decirlo, ya «en una fase anterior». El problema que se plantea entonces no es todavía el de las garantías relativas al tratamiento de los datos, sino, en una fase anterior, el de los datos como tales, es decir, el hecho de que las circunstancias de la vida privada de una persona hayan podido materializarse en forma de datos, que, en consecuencia, pueden ser objeto de tratamientos informáticos.

66.      En este sentido es posible afirmar que, cuando se trata de tales datos, plantean un problema que es esencialmente previo al de su tratamiento, relacionado prioritariamente con la vida privada garantizada por el artículo 7 de la Carta y sólo secundariamente con las garantías referentes al tratamiento de los datos de carácter personal previstas en el artículo 8 de la Carta.

67.      Como resulta de las consideraciones anteriores, al proceder al «posicionamiento» correcto de los derechos fundamentales que forman la pareja constituida por el derecho al respeto de la vida privada (artículo 7 de la Carta) y el derecho a la protección de datos de carácter personal (artículo 8 de la Carta), la validez de la Directiva 2006/24 debe apreciarse principalmente desde el punto de vista de la injerencia en el derecho al respeto de la vida privada.

b)      Una injerencia especialmente caracterizada en el derecho al respeto de la vida privada

68.      En primer lugar, no hay ninguna duda de que la Directiva 2006/24 constituye por sí misma una «injerencia» en el derecho al respeto de la vida privada. (56) Ella misma lo señala al definirse como un «instrumento de conservación de datos» que constituye «una medida necesaria» «que [cumple] los requisitos del artículo 8 del CEDH», (57) o del artículo 7 de la Carta. Por lo demás, el Tribunal de Justicia utiliza este término con respecto a la Directiva. (58)

69.      Por su parte, el Tribunal Europeo de Derechos Humanos ha declarado en reiteradas ocasiones que la conservación por una autoridad pública de datos relativos a la vida privada de una persona constituye una injerencia en el derecho al respeto de su vida privada garantizado por el artículo 8, apartado 1, del CEDH, (59) precisando que carece de importancia la utilización que se haga de ellos. (60)

70.      En el asunto que nos ocupa, se trata de intentar calificar esta injerencia. En este sentido, y como demostraré con mayor detalle a continuación, es posible afirmar que la Directiva 2006/24 constituye una injerencia especialmente caracterizada (61) en el derecho al respeto de la vida privada.

71.      Es cierto que la Directiva 2006/24 excluye de su ámbito de aplicación, de manera tan expresa como insistente, (62) el contenido de las comunicaciones telefónicas o electrónicas, es decir, la propia información comunicada.

72.      Sin embargo, no lo es menos que la recogida (63) y sobre todo la conservación, (64) en bases de datos gigantescas, de los múltiples datos generados o tratados en el marco de la mayor parte de las comunicaciones electrónicas corrientes de los ciudadanos de la Unión (65) constituyen una injerencia caracterizada en su vida privada, aun cuando no hagan más que crear las condiciones de posibilidad de un control retrospectivo de sus actividades tanto personales como profesionales. La recopilación de estos datos crea las condiciones de una vigilancia que, aunque sólo se ejerce retrospectivamente en el momento de su explotación, amenaza no obstante de manera permanente, durante todo su período de conservación, el derecho de los ciudadanos de la Unión al secreto de su vida privada. El sentimiento difuso de vigilancia (66) generado suscita de manera especialmente acusada la cuestión de la duración de conservación de los datos.

73.      A este respecto, ha de tenerse en cuenta, en primer lugar, que los efectos de esa injerencia se han multiplicado por la importancia que han adquirido los medios de comunicaciones electrónicas en las sociedades modernas, ya se trate de las redes móviles digitales o de Internet, y su utilización masiva e intensiva por una parte considerable de los ciudadanos europeos en todos los ámbitos de sus actividades privadas o profesionales. (67)

74.      Los datos de que se trata –debe insistirse una vez más a este respecto– no son datos personales en el sentido clásico de la expresión, relativos a informaciones puntuales sobre la identidad de las personas, sino datos personales por así decirlo cualificados, cuya explotación puede permitir determinar de manera tan fiel como exhaustiva una parte importante de los comportamientos de una persona pertenecientes estrictamente a su vida privada, o incluso un retrato completo y preciso de su identidad privada.

75.      La intensidad de esta injerencia se ve acentuada por factores que agravan el riesgo de que, pese a las obligaciones impuestas por la Directiva 2006/24 tanto a los propios Estados miembros como a los proveedores de servicios de comunicaciones electrónicas, los datos conservados se utilicen con fines ilícitos, potencialmente lesivos para la vida privada o incluso fraudulentos o malintencionados.

76.      En efecto, los datos no son conservados por las propias autoridades públicas, ni siquiera bajo su control directo, sino por los propios proveedores de servicios de comunicaciones electrónicas, (68) sobre los que recaen la mayor parte de las obligaciones que garantizan la protección y seguridad de dichos datos.

77.      Es cierto que la Directiva 2006/24 obliga (69) a los Estados miembros a que garanticen que los datos se conserven de conformidad con dicha Directiva. Sin embargo, es interesante hacer constar que esta obligación se impone sólo de manera que dichos datos y cualquier otra información necesaria relacionada con ellos «puedan transmitirse sin demora cuando las autoridades competentes así lo soliciten». Además, la Directiva 2006/24 establece que los Estados miembros deberán garantizar que los proveedores de servicios de comunicaciones electrónicas respeten un mínimo de principios relativos a la protección y la seguridad de los datos conservados.

78.      Sin embargo, ninguna disposición de la Directiva 2006/24 establece la obligación de que dichos proveedores de servicios almacenen ellos mismos los datos que deben conservarse en el territorio de un Estado miembro, perteneciente a la jurisdicción de un Estado miembro, lo que agrava considerablemente el riesgo de que puedan ser accesibles o divulgados, vulnerando así esta normativa.

79.      Es cierto que esta «externalización» de la conservación de los datos permite alejar los datos conservados de los poderes públicos de los Estados miembros y, de este modo, excluirlos de su influencia directa y sin control alguno, (70) pero por esa misma razón agrava simultáneamente el riesgo de una explotación no conforme con las exigencias que se derivan del respeto a la vida privada.

80.      Por consiguiente, como se desprende de las consideraciones anteriores, la Directiva 2006/24 constituye una injerencia especialmente caracterizada en el derecho al respeto de la vida privada, y su validez y sobre todo su proporcionalidad deben examinarse principalmente en relación con las exigencias que se derivan de este derecho fundamental.

3.      Sobre la trascendencia de la sentencia Irlanda/Parlamento y Consejo para la apreciación de la validez de la Directiva 2006/24

81.      Llegados a este punto de las presentes consideraciones previas, queda todavía por dilucidar la incidencia de la sentencia Irlanda/Parlamento y Consejo, antes citada, sobre la doble solicitud de apreciación de validez de la Directiva 2006/24 dirigida al Tribunal de Justicia.

82.      A este respecto, debe recordarse que, en dicho asunto, se planteó al Tribunal de Justicia un recurso directo de anulación de la Directiva 2006/24, en el que se alegaba exclusivamente que ésta se basaba en una base jurídica errónea. En consecuencia, el Tribunal de Justicia indicó expresamente, en el apartado 57 de la sentencia, que «el recurso interpuesto por Irlanda se [refería] únicamente a la elección de la base jurídica y no a una posible violación de los derechos fundamentales resultante de las injerencias que implica la Directiva 2006/24 en el derecho al respeto de la vida privada».

83.      Pues bien, dado que las peticiones de decisión prejudicial presentadas en los dos asuntos plantean la cuestión de la proporcionalidad de las disposiciones de la Directiva 2006/24 a efectos del artículo 5 TUE, apartado 4 (primera cuestión prejudicial en el asunto C‑293/12), por una parte, y a efectos del artículo 52, apartado 1, de la Carta (segunda cuestión prejudicial en el asunto C‑293/12 y primera cuestión prejudicial en el asunto C‑594/12), por otra, es posible interpretar la reserva así formulada por el Tribunal de Justicia en dos sentidos que pueden resultar complementarios.

84.      La primera interpretación posible, la que, a fin de cuentas, resulta manifiesta en cualquier caso, es considerar que el Tribunal de Justicia, vinculado por las pretensiones de anulación muy concretas de Irlanda, no había de examinar la compatibilidad de la Directiva 2006/24 con los derechos fundamentales garantizados por la Carta, fundamentalmente el derecho al respeto de la vida privada garantizado por el artículo 7 de la Carta. El propio Tribunal de Justicia lo señaló en el apartado 57 de la sentencia: no tenía, pues, que examinar esa cuestión de compatibilidad a la luz de los requisitos establecidos por el artículo 52, apartado 1, de la Carta, en particular los relativos a la calidad de la ley y a la proporcionalidad.

85.      El segundo sentido que puede darse a esta reserva, que es mucho más sutil, sería considerar que, pese a la ratificación de la base jurídica de la Directiva 2006/24 por la sentencia Irlanda/Parlamento y Consejo, antes citada, el Tribunal de Justicia no examinó la proporcionalidad a efectos del artículo 5 TUE, apartado 4, de dicha Directiva en lo que respecta a la injerencia en los derechos fundamentales, como solicita formalmente la High Court en su primera cuestión prejudicial en el asunto C‑293/12. En esencia, se trata de examinar si, teniendo en cuenta su base jurídica, la injerencia en el derecho al respeto de la vida privada que la Directiva 2006/24 constituye no guarda una relación de proporcionalidad razonable, en el sentido de dicha disposición, con los objetivos que, según su tenor, persigue.

86.      Comenzaré por analizar los problemas derivados del principio de proporcionalidad en el sentido del artículo 5 TUE, apartado 4, lo que exige, como se ha indicado, el análisis de las posibilidades abiertas por esta segunda interpretación posible del apartado 57 de la sentencia Irlanda/Parlamento y Consejo, antes citada. A continuación, sobre la base de la primera interpretación –no problemática –de dicho apartado, pasaré a examinar la esencia de las cuestiones planteadas por los dos órganos jurisdiccionales remitentes, relativas a los requisitos de los límites del ejercicio de los derechos fundamentales.

B.            Sobre la proporcionalidad en el sentido del artículo 5 TUE, apartado 4, de la adopción de la Directiva 2006/24 (primera cuestión prejudicial en el asunto C‑293/12)

87.      Mediante su primera cuestión prejudicial en el asunto C‑293/12, la High Court solicita al Tribunal de Justicia que dilucide si, a la luz del artículo 5 TUE, apartado 4, la Directiva 2006/24 es proporcionada a los objetivos que persigue, bien el de garantizar la disponibilidad de los datos conservados con fines de detección y enjuiciamiento de delitos graves, bien el de garantizar el buen funcionamiento del mercado interior, o bien ambos.

88.      Esta cuestión sólo ha de responderse en la medida en que pueda admitirse que, en su sentencia Irlanda/Parlamento y Consejo, antes citada, el Tribunal de Justicia se pronunció únicamente sobre la validez de la elección del artículo 95 CE como base jurídica de la Directiva 2006/24 sin abordar la cuestión de la proporcionalidad de esa Directiva en función de los objetivos que puede perseguir con arreglo a dicha base jurídica. Por consiguiente, debe entenderse que las consideraciones que expondré a continuación están condicionadas por una interpretación de la sentencia Irlanda/Parlamento y Consejo, antes citada, que podría, no obstante, prestarse a discusión.

89.      Dado que la High Court plantea en su petición de decisión prejudicial tanto la cuestión de la proporcionalidad de la Directiva 2006/24, del propio acto de la Unión, en el sentido del artículo 5 TUE, apartado 4, como la de la proporcionalidad de las limitaciones del ejercicio de los derechos fundamentales en el sentido del artículo 52, apartado 1, de la Carta, debe tenerse presente que los controles realizados en virtud de estas dos disposiciones son de diferente naturaleza. (71) La proporcionalidad en el sentido del artículo 5 TUE, apartado 4, es, conjuntamente con el principio de subsidiariedad, un principio general que rige la acción de la Unión y condiciona la adopción de todos los actos de las instituciones. Más concretamente, tiene por objeto canalizar la intervención de la Unión dentro del respeto de las competencias de los Estados miembros. La proporcionalidad en el sentido del artículo 52, apartado 1, de la Carta es un requisito de legitimidad de cualquier limitación del ejercicio de los derechos fundamentales. Si bien los controles realizados sobre la base de las dos disposiciones pueden seguir el mismo curso, no se ejercen, en cambio, con el mismo rigor.

90.      Dicho esto, ha de recordarse que, en un ámbito de competencias compartidas, como el del mercado interior, (72) incumbe al legislador de la Unión determinar las medidas que considera necesarias para alcanzar los objetivos previstos, todo ello respetando los principios de subsidiariedad y de proporcionalidad consagrados en el artículo 5 TUE. (73)

91.      En este caso, conforme al artículo 5 del Protocolo sobre la aplicación de los principios de subsidiariedad y de proporcionalidad, la Comisión motivó la adopción de la Directiva 2006/24 en relación con el principio de proporcionalidad, como se desprende de su Propuesta de 21 de septiembre de 2005. (74)

92.      Sin embargo, la cuestión que plantea la High Court no es si en este supuesto la Comisión cumplió sus obligaciones, sino si la propia Directiva 2006/24 es conforme con los requisitos del artículo 5 TUE, apartado 4.

93.      Según reiterada jurisprudencia del Tribunal de Justicia, un acto de la Unión sólo puede considerarse proporcionado cuando los medios que aplica sean aptos para alcanzar los objetivos que persigue y no vayan más allá de lo necesario para alcanzarlos. (75)

94.      La cuestión prejudicial de la High Court suscita a este respecto una dificultad muy especial. La cuestión que se plantea en ese asunto es si la proporcionalidad en el sentido del artículo 5 TUE, apartado 4, de las medidas adoptadas por la Directiva 2006/24 debe apreciarse a la luz de los dos objetivos que declara perseguir –la armonización de las legislaciones nacionales a efectos del buen funcionamiento del mercado interior y la garantía de la disponibilidad de los datos con fines de represión penal–, o bien, por el contrario, a la luz del único objetivo que guarda una relación directa con la base jurídica sobre cuyo fundamento se adoptó.

95.      En este sentido, debe establecerse una distinción entre su objetivo preponderante, (76) a saber, el funcionamiento del mercado interior, y los fines últimos que persigue, que pueden calificarse de uno u otro modo pero que no son en cualquier caso preponderantes. Más concretamente, es preciso examinar, en primer lugar, la proporcionalidad de la Directiva 2006/24, en la medida en que impone a los proveedores de servicios de comunicaciones electrónicas obligaciones de recopilación, conservación y puesta a disposición de los datos que tienen un efecto «constitutivo», con respecto a las necesidades de armonización de dichas obligaciones.

96.      A este respecto, debe recordarse primeramente que la intensidad del control jurisdiccional que el Tribunal de Justicia ejerce sobre el carácter adecuado de una medida adoptada por el legislador de la Unión está directamente relacionado con la facultad de apreciación de que dispone. (77) El Tribunal de Justicia ha declarado en reiteradas ocasiones que, en los ámbitos en que su acción implica decisiones de naturaleza política, económica o social que requieren apreciaciones y evaluaciones complejas, como en los ámbitos de la política agrícola común (78) o de la política comercial común, (79) el legislador de la Unión dispone de una amplia facultad de apreciación, (80) lo que limita el control del juez. No le corresponde determinar si la medida adoptada era la única o la mejor posible, sino comprobar que se basa en criterios objetivos (81) y que no es manifiestamente inadecuada con respecto al objetivo que persigue. (82)

97.      A este respecto, no se cuestiona que la Directiva 2006/24 constituye un medio apto para realizar el primer objetivo, formal, que persigue, a saber, garantizar el buen funcionamiento del mercado interior. Es indiscutiblemente adecuada para eliminar las diferencias legales y técnicas, (83) presentes y futuras, de las normativas nacionales que imponen a los proveedores de servicios de comunicaciones electrónicas obligaciones de conservación de datos.

98.      Además, puede admitirse que, teniendo en cuenta la facultad de apreciación de las instituciones, la armonización llevada a cabo por la Directiva 2006/24 era necesaria para reducir las diferencias legales y técnicas entre los requisitos impuestos a los proveedores de servicios de comunicaciones electrónicas en cuanto a los tipos de datos que deben conservarse, y los períodos y condiciones de conservación. (84)

99.      Por último, queda examinar si la Directiva 2006/24 puede considerarse proporcionada en el sentido estricto del término.

100. Llegados a este último punto del examen de la proporcionalidad de la Directiva 2006/24 en el sentido del artículo 5 TUE, apartado 4, ha de señalarse que existe una desproporción manifiesta entre la intensidad de la intervención en el ámbito de la regulación de los derechos fundamentales constituida por la injerencia en el derecho al respeto de la vida privada que se impone a los Estados miembros mediante la aplicación de la Directiva 2006/24 y el objetivo relativo a la necesidad de garantizar el funcionamiento del mercado interior que esa Directiva persigue de manera preponderante (85) y que justificaba su adopción sobre la base del artículo 95 CE. La incidencia que, por su alcance constitutivo, tiene la Directiva 2006/24, sobre las competencias de regulación y garantía del contenido de los derechos fundamentales de los Estados miembros no puede subestimarse a este respecto.

101. Como he indicado antes, la Directiva 2006/24 impuso una obligación de recopilación y conservación de datos a los proveedores de servicios de comunicaciones electrónicas que, como excepción a los principios establecidos por la Directiva 95/46 y la Directiva 2002/58, constituye una injerencia caracterizada en el derecho al respeto de la vida privada, y deja a los Estados miembros la tarea de garantizar de forma efectiva el respeto de los derechos fundamentales.

102. La injerencia caracterizada en el derecho al respeto de la vida privada que, como consecuencia del efecto constitutivo de la Directiva 2006/24, los Estados miembros deben incorporar a su propio ordenamiento jurídico, resulta, pues, desproporcionada con respecto a la mera necesidad de garantizar el funcionamiento del mercado interior, aun cuando deba considerarse, por otra parte, que esta recopilación y esta conservación constituyen medios adecuados e incluso necesarios para alcanzar el objetivo último que pretende lograr la Directiva, consistente en garantizar la disponibilidad de esos datos a efectos de la investigación y enjuiciamiento de delitos criminales graves. En síntesis, la Directiva 2006/24 no lograría superar el test de proporcionalidad por las mismas razones que justificaban su base jurídica. Los motivos por los que es justificable en lo que se refiere a la base jurídica serían, paradójicamente, los motivos por los que no lo es en lo que respecta a la proporcionalidad.

103. Sin embargo, la cuestión no es tan sencilla, ya que debe tenerse en cuenta que un objetivo «preponderante» no equivale a un objetivo «exclusivo», aun cuando dicho objetivo preponderante haya desempeñado un papel determinante en la identificación de la base jurídica correcta. Desde esta perspectiva, ha de reconocerse que existe un espacio que requiere que, en el marco del examen de la proporcionalidad de la Directiva 2006/24 en el sentido del artículo 5 TUE, apartado 4, se tome en consideración el objetivo último de represión de las actividades delictivas graves que persigue. Según este criterio, cabría admitir sin dificultad que, como acto de la Unión y prescindiendo del examen de la proporcionalidad en el sentido del artículo 52, apartado 1, de la Carta, la Directiva 2006/24 podría superar el test de proporcionalidad en el sentido concreto del artículo 5 TUE, apartado 4, y considerarse adecuada, necesaria e incluso proporcionada en sentido estricto.

104. La cuestión que se plantea, en definitiva, es si los problemas de proporcionalidad en sentido estricto que presenta un acto de la Unión en función del objetivo preponderante que persigue pueden subsanarse tomando en consideración un objetivo que se encuentra en «segundo plano». Esta cuestión es aún más difícil de resolver cuando se presenta en un contexto en el que la base jurídica del acto en cuestión ha sido ratificada precisamente en razón de su objetivo preponderante.

105. Sin embargo, en la medida en que, en su condición de acto que limita el ejercicio de los derechos fundamentales, la Directiva 2006/24 debe someterse también a un examen de proporcionalidad con arreglo al artículo 52, apartado 1, de la Carta, considero que no es necesario resolver definitivamente esta cuestión en el marco de los presentes asuntos.

C.      Sobre los requisitos derivados del artículo 52, apartado 1, de la Carta (segunda cuestión prejudicial en el asunto C‑293/12 y primera cuestión prejudicial en el asunto C‑594/12)

106. Como ya he señalado antes, la Directiva 2006/24, que armoniza las normativas adoptadas por los Estados miembros en el marco de la posibilidad prevista en el artículo 15, apartado 1, de la Directiva 2002/58, establece una excepción parcial a los principios enunciados por esta última y por la Directiva 95/46 que garantizan el derecho a la protección de los datos personales y, más ampliamente, el derecho al respeto de la vida privada.

107. Con carácter más general, la injerencia en el derecho al respeto de la vida privada que constituye la Directiva 2006/24 sólo es admisible en la medida en que cumpla los requisitos establecidos por el artículo 52, apartado 1, de la Carta, a condición, por tanto, de que sea «establecida por la ley» y, más concretamente, de que cumpla los requisitos de la calidad de la ley, respete el contenido esencial de dicho derecho y sea proporcionada, es decir, necesaria, y responda efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás.

1.      Sobre la calidad de la ley

108. En este caso, resulta casi superfluo señalar que, puesto que la recopilación y conservación de datos a efectos de su disponibilidad está prevista por la Directiva 2006/24, la injerencia en el derecho al respeto de la vida privada que constituye debe considerarse formalmente establecida por la ley en el sentido del artículo 52, apartado 1, de la Carta.

109. Dicho esto, la concepción del Tribunal de Justicia del requisito de ser «establecida por la ley» debe aproximarse, teniendo en cuenta lo dispuesto en el artículo 52, apartado 3, de la Carta, a la que defiende el Tribunal Europeo de Derechos Humanos, es decir, debe ser un requisito que vaya más allá de una exigencia puramente formal y se refiera también a la falta de precisión de la ley («calidad de la ley»), (86) por expresarlo en los términos más sencillos posibles. (87)

110. Es cierto que tal examen podría realizarse también en el marco de un análisis detallado de la proporcionalidad de la limitación. (88) Sin embargo, considero que, si no bastasen otras razones, debe darse prioridad a la primera opción por fidelidad al planteamiento de la jurisprudencia del Tribunal Europeo de Derechos Humanos.

111. Al adoptarse una interpretación más que formal del requisito de que toda limitación debe ser establecida por la ley, la cuestión que se plantea es si las limitaciones al ejercicio de los derechos fundamentales contenidas en la Directiva 2006/24 se acompañan de las garantías a las que tales limitaciones deben estar sujetas y que deben establecerse con el suficiente grado de detalle.

112. El artículo 4 de la Directiva 2006/24 establece que son los Estados miembros quienes deberán adoptar medidas para garantizar que los datos conservados solamente se proporcionen a las autoridades nacionales competentes, en casos específicos y de conformidad con la legislación nacional. La segunda frase dispone que «cada Estado miembro definirá en su legislación nacional el procedimiento que deba seguirse y las condiciones que deban cumplirse para tener acceso a los datos conservados de conformidad con los requisitos de necesidad y proporcionalidad, de conformidad con las disposiciones pertinentes del Derecho de la Unión o del Derecho internacional público, y en particular el CEDH en la interpretación del Tribunal Europeo de Derechos Humanos.»

113. La dificultad que plantea la Directiva 2006/14, como he señalado antes, es que se trata de una directiva que pretende únicamente establecer la obligación de que los proveedores de servicios de comunicaciones electrónicas recaben y conserven los datos de tráfico y localización de las comunicaciones electrónicas, y no las garantías que deben regir el acceso a dichos datos conservados y su explotación. Como ya he explicado, la Directiva 2006/24 se remite a este respecto de manera general a los Estados miembros. (89)

114. Así expuesta, la cuestión que se plantea no es otra que si el requisito de que toda limitación de los derechos fundamentales sea «establecida por la ley» puede cumplirse mediante una remisión general de este tipo, aunque vaya acompañada de una referencia expresa a los derechos garantizados por la Directiva 95/46 y la Directiva 2002/58.

115. A este respecto, ha de señalarse, en primer lugar, que una situación en la que la Unión se limita a adoptar una legislación que armoniza disposiciones invariablemente adoptadas por la generalidad de los Estados miembros no es comparable a una situación en la que la Unión decide, con carácter adicional, generalizar esa legislación.

116. En el primer supuesto, la Unión puede proceder del modo en que lo ha hecho con la Directiva 2002/58, es decir, dejando esencialmente a los legisladores nacionales la tarea de garantizar que la legislación adoptada por iniciativa propia y que entraña una limitación de los derechos fundamentales contiene todas las garantías necesarias para que esas limitaciones y su aplicación («acceso») cumplan todos los requisitos de la calidad de la ley y del principio de proporcionalidad.

117. Por el contrario, en el segundo supuesto, cuando la limitación de los derechos fundamentales proviene de la propia legislación de la Unión y por tanto le es imputable, la parte de responsabilidad que incumbe al legislador de la Unión es completamente diferente. En el caso de una Directiva, es evidente que será a los Estados miembros a quienes corresponderá detallar las garantías que deben regular la limitación de los derechos fundamentales en un supuesto como el que nos ocupa. Sin embargo, el legislador de la Unión también debe desempeñar un papel fundamental en la propia definición de dichas garantías. El cumplimiento del requisito relativo a la calidad de la ley ha de examinarse desde esta perspectiva.

118. En otras palabras, la transición de un régimen facultativo, como el que puede establecerse sobre la base del artículo 15 de la Directiva 2002/58, a un régimen preceptivo desde el vencimiento de un plazo, como el prescrito por la Directiva 2006/24, habría debido acompañarse de una evolución paralela en lo que respecta a las garantías y en consecuencia llevar al legislador de la Unión a regular en forma de principios la muy amplia delegación conferida a los Estados miembros respecto al acceso a los datos y su explotación mediante la adopción de especificaciones en forma de principios.

119. En efecto, a este respecto ha de señalarse, en primer lugar, que tanto la Directiva 95/46 como la Directiva 2002/58 disponen que las medidas de limitación de los derechos garantizados que los Estados miembros pueden adoptar deben ser de carácter legislativo. (90) Sin embargo, la Directiva 2006/24 sólo menciona marginalmente esta exigencia formal, (91) reduciendo así el nivel de las garantías establecidas por las Directivas respecto de las que establece una excepción. (92)

120. En efecto, cuando el legislador de la Unión adopta un acto que establece obligaciones que constituyen injerencias caracterizadas en los derechos fundamentales de los ciudadanos de la Unión, no puede dejar por completo a los Estados miembros la tarea de definir las garantías que pueden justificarlas. No puede conformarse con asignar a las autoridades legislativas o administrativas competentes de los Estados miembros obligadas, en su caso, a adoptar medidas nacionales de ejecución de dicho acto la responsabilidad de definir y establecer esas garantías, ni con remitirse enteramente a las autoridades judiciales encargadas de controlar su aplicación concreta. Para no privar de sentido a lo dispuesto en el artículo 51, apartado 1, de la Carta, debe asumir plenamente su parte de responsabilidad, definiendo al menos los principios que deben presidir la definición, establecimiento, aplicación y control del respeto de esas garantías.

121. Se ha dicho y repetido que la Directiva 2006/24, como indica su artículo 4, (93) no regula el acceso (94) a los datos recabados y conservados ni su explotación, teniendo en cuenta, por otra parte, que no podía hacerlo debido al reparto de competencias entre los Estados miembros y la Unión. (95) Sin embargo, la cuestión que se plantea ahora es, concretamente, si la Unión puede (96) establecer una medida como la obligación de recopilación y conservación de datos de que se trata durante un tiempo considerable sin regularla al mismo tiempo mediante garantías relativas a los requisitos a los que se supeditarán su acceso y explotación, al menos en forma de principios. Precisamente es esta regulación de las condiciones de acceso y explotación de los datos recabados y conservados lo que permite apreciar el alcance de lo que esta injerencia supone en concreto y puede por tanto dar lugar a que sea o no constitucionalmente admisible.

122. En efecto, existe una estrecha relación entre la configuración concreta de la obligación de recopilación y conservación de los datos y las condiciones en las que éstos, en su caso, se ponen a disposición de las autoridades nacionales competentes y son explotados por éstas. Puede considerarse incluso que, sin conocer el modo en que pueden producirse el acceso y la explotación, no es verdaderamente posible emitir un juicio fundado sobre la injerencia que conllevan la recopilación y la conservación de que se trata.

123. Teniendo en cuenta que la base jurídica de la Directiva 2006/24 era permitir garantizar el buen funcionamiento del mercado interior y que todas las modalidades de acceso a los datos y su explotación no podían incluirse en sus disposiciones, el efecto constitutivo de la obligación de recopilación y conservación que supone exigía que se acompañara de una serie de garantías de principio, como complemento necesario e indispensable. A tal efecto, la remisión general a los Estados miembros es insuficiente y el régimen protector que establece la Directiva 95/46 (97) –o incluso la Decisión marco 2008/977– (98) no permite subsanar este defecto puesto que no es aplicable.

124. Aun aceptando la división planteada por el Abogado General Bot en sus conclusiones presentadas en el asunto Irlanda/Parlamento y Consejo, antes citado, y aunque comparto su opinión en cuanto a que, por lo menos en aquella época, era difícil incorporar las garantías relativas al acceso a los datos conservados, nada impedía que, al definir la obligación de recopilación y conservación de datos, el legislador de la Unión estableciera también una serie de garantías, al menos en forma de principios que los Estados miembros deberían desarrollar, con el fin de regular su explotación y de ese modo determinara la medida exacta y el perfil completo de la injerencia que dicha obligación supone.

125. Así pues, correspondía al legislador de la Unión definir, sin ánimo alguno de exhaustividad, los principios fundamentales que debían regir la definición de las garantías mínimas que regulasen el acceso a los datos recabados y conservados y su explotación, entre las que pueden mencionarse las siguientes.

126. Le correspondía orientar, debido a la intensidad de la injerencia, la descripción de las actividades delictivas que pueden justificar el acceso de las autoridades nacionales competentes a los datos recabados y conservados, empleando un grado de precisión mayor que el de la expresión «delitos graves». (99)

127. Habría sido necesario que el legislador de la Unión orientara el modo en que los Estados miembros deben regular la autorización de acceso a los datos recabados y conservados, limitando dicho acceso únicamente a las autoridades judiciales (100) o cuando menos a autoridades independientes o, a falta de dicha limitación, sometiendo las solicitudes de acceso al control de las autoridades judiciales o de autoridades independientes, y que exigiese un examen individual de las solicitudes de acceso para limitar los datos comunicados a lo estrictamente necesario.

128. Asimismo, cabría esperar que fijara como principio la posibilidad de que los Estados miembros establecieran excepciones al acceso a los datos conservados en determinadas circunstancias excepcionales, o incluso requisitos de acceso más estrictos en los supuestos en los que tal acceso pudiera vulnerar derechos fundamentales garantizados por la Carta, como en el contexto del derecho al secreto médico.

129. El legislador de la Unión habría debido establecer el principio de que las autoridades facultadas para acceder a los datos tengan la obligación, por una parte, de eliminarlos cuando hayan dejado de ser útiles y, por otra, de informar de dicho acceso a las personas afectadas, al menos a posteriori, una vez excluido el riesgo de que esa información pueda menoscabar la eficacia de las medidas que justifican la explotación de dichos datos.

130. La necesidad de las distintas garantías así indicadas, sin ánimo de exhaustividad, se corrobora por la circunstancia de que, después de la adopción de la Directiva 2006/24, el propio legislador de la Unión adoptó la Decisión marco 2008/977, que garantiza la protección de los datos personales tratados en el marco de la cooperación policial y judicial en materia penal, estableciendo precisamente garantías de este tipo, aunque en el marco de las transmisiones de datos entre Estados miembros. En efecto, la Decisión marco 2008/977 excluye de su ámbito de aplicación los datos que no procedan de intercambios entre Estados miembros, como se indica, en particular, en su considerando 9. (101)

131. En conclusión, la Directiva 2006/24 es en su conjunto incompatible con el artículo 52, apartado 1, de la Carta, en la medida en que las limitaciones al ejercicio de los derechos fundamentales que supone como consecuencia de la obligación de conservación de datos que establece no se acompañan de los principios indispensables que deben regir las garantías necesarias para regular el acceso a dichos datos y su explotación.

132. Además, es preciso señalar a este respecto que el hecho de que los Estados miembros hayan establecido con frecuencia, por iniciativa propia y conforme a los requisitos establecidos en su ordenamiento jurídico interno, las garantías que la Directiva 2006/24 no esboza (102) es una circunstancia que será tenida en cuenta, como veremos más adelante, pero que es evidente que no puede exonerar al legislador de la Unión.

2.      Sobre la proporcionalidad en el sentido del artículo 52, apartado 1, de la Carta

133. El artículo 52, apartado 1, de la Carta no sólo exige que cualquier limitación del ejercicio de los derechos fundamentales sea «establecida por la ley», sino que se produzca dentro del estricto respeto del principio de proporcionalidad. Este requisito de proporcionalidad, como se ha indicado ya, adquiere una fuerza especial en el contexto de la Carta, que no tiene en el marco del artículo 5 TUE, apartado 4. En efecto, lo que se exige en ese artículo de la Carta no es la proporcionalidad como principio general de la acción de la Unión, sino, de manera mucho más específica, la proporcionalidad como requisito constitutivo de cualquier limitación de los derechos fundamentales.

134. Desde esta perspectiva, sólo cabe admitir que las instituciones de la Unión traten de alcanzar el objetivo indicado por la Directiva 2006/24, a saber, garantizar la disponibilidad de los datos conservados a efectos del enjuiciamiento de delitos penales graves, a condición de que éste se concilie, en particular, con el derecho al respeto de la vida privada. (103)

135. No obstante, ha de hacerse constar que, teniendo en cuenta los requisitos antes examinados que prescriben que la «ley» regule garantías suficientes, al menos en forma de principios, para acceder a los datos recabados y conservados por los proveedores de servicios de comunicaciones electrónicas y para su explotación, la propia proporcionalidad de la conservación de los datos impuesta por la Directiva 2006/24 ya no requiere, al margen de una excepción, un examen más detallado que el que expondré a continuación.

136. En efecto, la Directiva 2006/24 persigue un fin perfectamente legítimo, como el de garantizar la disponibilidad de los datos recabados y conservados con fines de investigación, detección y enjuiciamiento de delitos graves, y, dado el control limitado que el Tribunal de Justicia puede ejercer a este respecto, puede considerarse adecuada e incluso necesaria para la realización de este objetivo último, siempre que se acompañe de las debidas garantías. (104) Son estas garantías, en particular, las que pueden justificar la lista de categorías de datos que deben conservarse, recogida en el artículo 5 de la Directiva 2006/24, que es ciertamente muy extensa.

137. Es verdad que la circunstancia de que sea posible eludir la aplicación de la Directiva 2006/24 mediante la utilización de determinados medios de comunicación puede indiscutiblemente relativizar de manera considerable la propia eficacia del régimen de recopilación de datos de tráfico y localización que establece, sobre todo en lo que respecta a la delincuencia organizada y el terrorismo. No obstante, dicha circunstancia no permite considerar que la recopilación y conservación de los datos sean en sí mismas totalmente inadecuadas para la realización de los objetivos perseguidos. Tampoco permite al Tribunal de Justicia concluir que la recopilación y la conservación de los datos relativos a las comunicaciones electrónicas corrientes carecen manifiestamente de toda utilidad.

138. Sin embargo, en lo que respecta a la necesidad de la medida, es preciso insistir en la importancia de lo dispuesto en el artículo 14 de la Directiva 2006/24, que obliga a la Comisión a elaborar un (105) informe (106) sobre su aplicación, basado en particular en estadísticas que deberán facilitar los Estados miembros con arreglo al artículo 10, y a proponer sobre esta base las modificaciones que en su caso sean necesarias, especialmente en lo que atañe a la lista de las categorías de datos que deben recabarse y conservarse, así como al período de conservación.

139. En este sentido, y puesto que la Directiva no contiene ninguna disposición que prevea su caducidad («sunset clause»), el legislador de la Unión debe llevar a cabo una reevaluación periódica de las circunstancias que justifican la limitación caracterizada del ejercicio del derecho al respeto de la vida privada que supone, que le permite examinar la perennidad de dichas circunstancias y modular esa limitación, o incluso derogarla.

140. Dicho esto, la excepción que acabo de mencionar se refiere a la proporcionalidad del artículo 6 de la Directiva 2006/24, que define el período de conservación de los datos recabados.

141. El artículo 6 de la Directiva 2006/24 establece uno de los elementos fundamentales de la conservación de datos que armoniza o, en su caso, establece, a saber, su duración limitada en el tiempo. En efecto, todos los datos conservados deben, en principio, desaparecer con el tiempo, como no podría ser de otro modo. Sin embargo, a diferencia del principio enunciado por la Directiva 2002/58, cuyo artículo 6, apartado 1, establece que deberán eliminarse o hacerse anónimos los datos de tráfico tratados y almacenados desde que dejen de ser necesarios a los efectos de la transmisión de una comunicación, (107) la obligación de garantizar la desaparición de esos datos no se exige de manera cuasi inmediata, sino solamente después del transcurso de un cierto lapso de tiempo. Los Estados miembros están obligados a garantizar la conservación de los datos recabados durante un período que en ningún caso podrá ser inferior a seis meses y que, al margen de la excepción prevista en el artículo 12 de la Directiva 2006/24, no podrá ser superior a dos años, correspondiendo a los legisladores nacionales la fijación concreta de ese período.

142. Mediante esta previsión, la conservación de datos («data retention») que nos ocupa adquiere una dimensión de continuidad temporal que contribuye de manera decisiva a la caracterización de la injerencia en el derecho al respeto de la vida privada que supone la Directiva 2006/24, en particular en contraste con la injerencia que produciría la conservación de datos a posteriori («data preservation»), lo que se ha convenido en llamar «quick freeze». (108) La idea de que la acumulación de los datos de que se trata no pueda perderse durante cierto tiempo es uno de los aspectos clave de una medida que pretende proporcionar a los poderes públicos una mayor capacidad de reacción frente a determinadas formas graves de delincuencia. Sin embargo, la cuestión que se plantea es si los términos en que se formula el artículo 6 de la Directiva 2006/24, con un mínimo de seis meses y un máximo de dos años, responden de manera adecuada a las exigencias del principio de proporcionalidad.

143. En este sentido, una vez que puede considerarse acreditado que la medida es en sí misma legítima y adecuada, queda por apreciar su necesidad y, concretamente, comprobar si una medida menos perturbadora para el disfrute de los derechos fundamentales de que se trata podría permitir alcanzar el objetivo perseguido. Desde este punto de vista, me permito señalar que no cabe conformarse con considerar que son únicamente los Estados miembros quienes asumen la responsabilidad de fijar un plazo de conservación que puede llegar hasta los dos años. Desde el momento en que la Directiva 2006/24, en su función armonizadora, sitúa el límite superior de conservación de datos en dos años, esta misma previsión debe someterse al control de proporcionalidad. Sobre este extremo, no es apenas necesario recordar que la cuestión no es si, desde el punto de vista de la represión de las actividades delictivas graves, un período de conservación y puesta a disposición más largo es preferible a un período más corto, sino si, en el marco del examen de su proporcionalidad, ese período es específicamente necesario.

144. A este respecto, ha de recordarse, en primer lugar, que una acumulación de datos en lugares indeterminados del ciberespacio como la acumulación de que se trata, que se refiere siempre a personas concretas y determinadas, tiende a percibirse como una anomalía con independencia de su duración. En efecto, tal estado de «retención» de datos de la vida privada, aunque no vaya más allá, no debería existir nunca y, en su caso, únicamente en consideración de otros imperativos de la vida social. Una situación de este tipo sólo puede ser excepcional y, por ende, no puede prolongarse en el tiempo más allá de lo indispensable.

145. La duración de conservación que puede considerarse admisible desde el punto de vista del principio de proporcionalidad no puede determinarse sin que se reconozca al legislador un cierto margen de apreciación. Sin embargo, ello no implica que se excluya cualquier control de proporcionalidad sobre este extremo, aunque se trate de un control delicado.

146. A este respecto, me parece útil recordar que el ser humano existe en un tiempo por definición limitado en el que convergen tanto el pasado, su propia historia y en definitiva su memoria, como el presente, lo vivido más o menos inmediato, la conciencia de que está viviendo. (109) Aunque es difícil de definir, una línea separa el pasado del presente, sin duda diferente para cada persona. Lo que parece poco discutible es la posibilidad de distinguir entre la percepción del tiempo presente y la percepción del tiempo pasado. En cada una de estas percepciones puede intervenir la conciencia de la propia vida, especialmente de la «vida privada», como vida «registrada». Y hay una diferencia en función de que esa «vida registrada» sea la que se percibe como presente o la que se considere como la propia historia.

147. En mi opinión, estas consideraciones pueden proyectarse sobre el análisis de la proporcionalidad del artículo 6 de la Directiva 2006/24. Puesto que el principio de conservación durante cierto tiempo de todos estos documentos personales se considera legítimo, queda preguntarse si es inevitable, es decir, necesario, imponerlo a los particulares durante un período que se extiende no sólo al «tiempo presente», sino también al «tiempo histórico».

148. En este sentido, y con la plena conciencia de la subjetividad que ello supone, puede entenderse que un período de conservación de datos personales «que se mide en meses» debe diferenciarse de un período «que se mide en años». El primero corresponde al que se sitúa en la vida que se percibe como presente y el segundo al que se sitúa en la vida que se percibe como memoria. La injerencia en el derecho al respeto de la vida privada es, desde esta perspectiva, diferente en ambos supuestos y la necesidad de cada una de estas injerencias debe poder justificarse.

149. Pues bien, aunque la necesidad de la injerencia en la dimensión del tiempo presente parece suficientemente justificada, no encuentro ninguna justificación para una injerencia que debe extenderse en el tiempo histórico. Expresado más directamente, y sin negar que existen actividades delictivas que se preparan con mucha antelación, no he encontrado, en las distintas posturas que defienden la proporcionalidad del artículo 6 de la Directiva 2006/24, ninguna justificación suficiente para que el período de conservación de datos que deben fijar los Estados miembros no deba mantenerse dentro de un límite inferior a un año. En otras palabras, y dicho con toda la prudencia que esta dimensión del control de proporcionalidad siempre exige, ningún argumento ha llegado a convencerme de la necesidad de prolongar la conservación de los datos más allá de un año.

150. Por último, ha de subrayarse también que la propia Directiva 2006/24 ofrece un argumento adicional con el sistema de prórroga del período máximo de conservación de datos que establece. En efecto, el artículo 12 de la Directiva ofrece a los Estados miembros que deban hacer frente a circunstancias especiales, no definidas en este caso, la posibilidad de ampliar el período de conservación máximo fijado con arreglo a su artículo 6. Sin embargo, esta ampliación sólo es posible durante un tiempo limitado y debe justificarse y notificarse a la Comisión, que dispondrá de un plazo de seis meses para pronunciarse sobre las medidas previstas, es decir, para examinar si constituyen una discriminación arbitraria o una restricción encubierta al comercio entre los Estados miembros y si son un obstáculo para el funcionamiento del mercado interior.

151. Aun cuando, con arreglo al artículo 12, apartado 2, de la Directiva 2006/24, la Comisión sólo podría rechazar esas medidas por motivos taxativos, la existencia de ese sistema de ampliación refuerza mi opinión de que la fijación por el artículo 6 de la Directiva de un período máximo de conservación de datos que puede llegar hasta dos años cuando no existan circunstancias excepcionales no es necesario y debe considerarse incompatible con los requisitos que se derivan de los artículos 7 y 52, apartado 1, de la Carta.

152. De ello resulta que el artículo 6 de la Directiva 2006/24 es incompatible con los artículos 7 y 52, apartado 1, de la Carta en la medida en que exige a los Estados miembros que garanticen que los datos especificados en su artículo 5 se conserven durante un período de hasta dos años.

D.      Sobre la tercera cuestión prejudicial en el asunto C‑293/12

153. En vista de las respuestas dadas a las dos primeras series de cuestiones prejudiciales planteadas por los tribunales remitentes sobre la validez de la Directiva 2006/24, no parece necesario responder a la tercera cuestión prejudicial planteada por la High Court en el asunto C‑293/12, sobre las obligaciones de examen y evaluación de las medidas nacionales de transposición de una directiva con las garantías previstas por la Carta que recaen sobre los órganos jurisdiccionales nacionales. No obstante, considero, a todos los efectos pertinentes, que, como han señalado todas las partes que han presentado observaciones sobre este extremo, esta cuestión requiere indudablemente una respuesta positiva, teniendo en cuenta las disposiciones y el contexto del artículo 51, apartado 1, de la Carta. (110)

VI.    Sobre los efectos en el tiempo de la declaración de invalidez

154. Habida cuenta de las conclusiones a las que me han conducido las consideraciones anteriores, me queda por examinar las consecuencias en el tiempo de la declaración de invalidez de la Directiva 2006/24.

155. A este respecto, debe recordarse que, cuando el Tribunal de Justicia declara en el marco de un procedimiento iniciado con arreglo al artículo 267 TFUE la invalidez de un acto adoptado por las instituciones de la Unión, su resolución tiene como consecuencia jurídica obligarlas a adoptar las medidas necesarias para subsanar la ilegalidad declarada, puesto que en tal caso se aplica por analogía la obligación establecida por el artículo 266 TFUE en caso de anulación. (111)

156. Sin embargo, con arreglo al artículo 264 TFUE, párrafo segundo, aplicable por analogía a las cuestiones prejudiciales relativas a la apreciación de la validez de los actos de la Unión contempladas en el artículo 267 TFUE, el Tribunal de Justicia dispone, cuando así lo justifiquen consideraciones imperiosas de seguridad jurídica, de una facultad de apreciación para indicar, en cada caso concreto, los efectos del acto de que se trate que deban considerarse definitivos. (112)

157. En los supuestos en que la declaración de invalidez de un acto de la Unión se base en una vulneración de los derechos fundamentales, la ponderación de los distintos intereses en juego debe realizarse con sumo cuidado. En el presente asunto, por un lado, la pertinencia e incluso la urgencia de los fines últimos de la restricción de los derechos fundamentales de que se trata no puede ponerse en duda. Por otro lado, la invalidez constatada reviste un carácter singular. Por una parte, la Directiva 2006/24 es inválida por la falta de regulación suficiente de las garantías que rigen el acceso a los datos recabados y conservados y su explotación (calidad de la ley), la cual puede, sin embargo, haberse corregido en el marco de las medidas de transposición adoptadas por los Estados miembros. Por otra parte, como se deduce de la documentación aportada al Tribunal de Justicia, los Estados miembros han ejercido sus competencias con moderación en lo que respecta a la duración máxima de conservación de los datos.

158. En estas circunstancias, procede suspender los efectos de la declaración de invalidez de la Directiva 2006/24, hasta que el legislador de la Unión adopte las medidas necesarias para subsanar la invalidez declarada, medidas que deberán adoptarse en un plazo razonable.

VII. Conclusión

159. Habida cuenta de las consideraciones expuestas, propongo que el Tribunal de Justicia responda del siguiente modo a las cuestiones prejudiciales planteadas por la High Court en el asunto C‑293/12 y por el Verfassungsgerichtshof en el asunto C‑594/12:

«1)      La Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE, es en su conjunto incompatible con el artículo 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea, en la medida en que las limitaciones al ejercicio de los derechos fundamentales que supone como consecuencia de la obligación de conservación de datos que establece no se acompañan de los principios indispensables que deben regir las garantías necesarias para regular el acceso a dichos datos y su explotación.

2)      El artículo 6 de la Directiva 2006/24 es incompatible con los artículos 7 y 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea en la medida en que exige a los Estados miembros que garanticen que los datos especificados en su artículo 5 se conserven durante un período de hasta dos años.»


1 – Lengua original: francés.


2 – Se trata, en este asunto, de la Directiva del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE (DO L 105, p. 54).


3 – En lo sucesivo, «Carta».


4 – Ha de señalarse que la transposición de la Directiva 2006/24 ha dado lugar a varios recursos por incumplimiento y que un recurso basado en el artículo 260 TFUE, apartado 3, está todavía pendiente (asunto Comisión/Alemania, C‑329/12).


5 – DO L 281, p. 31. Sobre el contencioso suscitado por la transposición de esta Directiva, véanse las sentencias de 9 de marzo de 2010, Comisión/Alemania (C‑518/07, Rec. p. I‑1885), y de 16 de octubre de 2012, Comisión/Austria (C‑614/10); véanse también, con carácter más general, las sentencias de 20 de mayo de 2003, Österreichischer Rundfunk y otros (C‑465/00, C‑138/01 y C‑139/01, Rec. p. I‑4989); de 6 de noviembre de 2003, Lindqvist (C‑101/01, Rec. p. I‑12971); de 16 de diciembre de 2008, Huber (C‑524/06, Rec. p. I‑9705); de 16 de diciembre de 2008, Satakunnan Markkinapörssi y Satamedia (C‑73/07, Rec. p. I‑9831); de 7 de mayo de 2009, Rijkeboer (C‑553/07, Rec. p. I‑3889); de 9 de noviembre de 2010, Volker und Markus Schecke y Eifert (C‑92/09 y C‑93/09, Rec. p. I‑11063); de 24 de noviembre de 2011, Scarlet Extended (C‑70/10, Rec. p. I‑11959) y ASNEF y FECEMD (C‑468/10 y C‑469/10, Rec. p. I‑12181), y de 30 de mayo de 2013, Worten (C‑342/12).


6 – DO L 201, p. 37. Sobre el contencioso suscitado por la transposición de esta Directiva, véanse las sentencias de 28 de abril de 2005, Comisión/Luxemburgo (C‑375/04) y Comisión/Bélgica (C‑376/04), y de 1 de junio de 2006, Comisión/Grecia (C‑475/04, Rec. p. I‑69); véanse también, con carácter más general, la sentencia de 29 de enero de 2008, Promusicae (C‑275/06, Rec. p. I‑271); el auto de 19 de febrero de 2009, LSG-Gesellschaft zur Wahrnehmung von Leistungsschutzrechten (C‑557/07, Rec. p. I‑1227); las sentencias de 5 de mayo de 2011, Deutsche Telekom (C‑543/09, Rec. p. I‑3441); Scarlet Extended, antes citada; de 19 de abril de 2012, Bonnier Audio y otros (C‑461/10), y de 22 de noviembre de 2012, Probst (C‑119/12).


7 – En lo sucesivo, «Ley de Enjuiciamiento Criminal de 2005».


8 – Ley federal de protección de datos de carácter personal, BGBl I 165/1999, en la versión publicada en el BGBl. I 112/2011; en lo sucesivo, «DSG».


9 – Bundesgesetz, mit dem das Telekommunikationsgesetz 2003 – TKG 2003 geändert wird, BGBl I 27/2011.


10 – Ley de telecomunicaciones de 2003; en lo sucesivo, «TKG 2003».


11 – Véase, sobre el tenor de este artículo, el anexo I, apartado III.2.


12 – En lo sucesivo, «DRI».


13 – En lo sucesivo, «CEDH».


14 – En lo sucesivo, «B-VG».


15 – En lo sucesivo, «IHRC».


16 – En lo sucesivo, «SEPD».


17 – Asunto C‑301/06, Rec. p. I‑593.


18 – Véase el artículo 1, apartado 1, de la Directiva 95/46.


19 – Véase el artículo 1, apartado 2, de la Directiva 95/46.


20 – Véanse los artículos 10 y 11 de la Directiva 95/46.


21 – Véase el artículo 12 de la Directiva 95/46.


22 – Véase el artículo 14 de la Directiva 95/46.


23 – Véase el artículo 22 de la Directiva 95/46.


24 – Directiva del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones (DO 1998, L 24, p. 1).


25 – Según el propio tenor del artículo 1, apartado 2, de la Directiva 2002/58.


26 – Véase el artículo 1, apartado 1, de la Directiva 2002/58.


27 – Véase, en particular, además del artículo 5, apartado 2, el artículo 15, apartado 1, de la Directiva 2002/58.


28 – Véase el artículo 5, apartado 1, de la Directiva 2002/58.


29 – El subrayado es mío.


30 – Véanse, en particular, los seis primeros considerandos de la Directiva 2006/24.


31 – Por economía verbal, en las consideraciones posteriores me referiré simplemente a los «proveedores de servicios de comunicaciones electrónicas».


32 – Véanse el considerando 21 y el artículo 1, apartado 1, de la Directiva 2006/24.


33 – Véanse los considerandos 4 y 5 de la Directiva 2006/24.


34 – El artículo 3, apartado 1, de la Directiva 2006/24 dispone que la obligación de conservación de datos prevista en dicho artículo se establece como excepción a los artículos 5, 6 y 9 de la Directiva 2002/58.


35 – Véase el apartado 84.


36 – Según la expresión utilizada por el Tribunal de Justicia en el apartado 80 de su sentencia Irlanda/Parlamento y Consejo, antes citada.


37 – Véanse los apartados 80 y 81.


38 – Véase el apartado 72.


39 – Véanse los apartados 63 y 65 a 69.


40 – Véanse los apartados 64 y 70.


41 – Se trataba de evitar que se acentuaran las divergencias entre las distintas normativas nacionales; véase la sentencia Irlanda/Parlamento y Consejo, antes citada, apartados 64 y 70.


42 – El subrayado es mío.


43 – El considerando 5 de la Directiva 2006/24 indica que las legislaciones nacionales «varían considerablemente».


44 – El subrayado es mío.


45 – Véanse, más adelante, en el punto 72, las consideraciones que dedico a este sentimiento.


46 – Según la doctrina denominada del «chilling effect» (efecto disuasorio). US Supreme Court, Wiemann/Updegraff, 344 US 183 (1952); TEDH, sentencia, Altuğ Taner Akçam c. Turquía de 25 de octubre de 2011, demanda nº 27520/07, § 81; véase, en particular, «The Chilling Effect in Constitutional Law», Columbia Law Review, 1969, vol. 69, n°5, p. 808.


47 – Decisión marco del Consejo, de 27 de noviembre de 2008, relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal (DO L 350, p. 60).


48 – Como he tenido ya la ocasión de exponer en los puntos 74 a 80 de mis conclusiones presentadas en el asunto Scarlet Extended, antes citado.


49 – Sobre este concepto, véanse, en particular, Hoffmann-Riem, W.: «Informationelle Selbstbestimmung in der Informationsgesellschaft – auf dem Wege zu einem neuen Konzept des Datenschutzes», Archiv des öffentlichen Rechts, 1998, volumen 123, p. 513, y Poullet, Y. y Rouvroy, A.: «Le droit à l’autodétermination informationnelle et la valeur du développement personnel. Une réévaluation de l’importance de la vie privée pour la démocratie», en État de droit et virtualité, Benyekhlef, K y Trudel, P., ed., Thémis, Montreal 2009, p. 158.


50 – Véase el considerando 15 de la Directiva 2006/24.


51 – Véase el considerando 20 de la Directiva 2006/24.


52 – En este sentido, véase el punto 51 de las conclusiones de la Abogado General Kokott presentadas en el asunto Promusicae, antes citado.


53 – Sentencia Volker und Markus Schecke y Eifert, antes citada. Este vínculo se establece también expresamente en las explicaciones sobre la Carta; véase la explicación relativa al artículo 8 –protección de datos de carácter personal, que indica que el artículo 8 de la Carta se basó, en particular, en el artículo 8 del CEDH, que consagra el derecho a la vida privada.


54 – Este vínculo supone, en particular, que la jurisprudencia del Tribunal Europeo de Derechos Humanos sobre la interpretación del artículo 8 del CEDH, que consagra el derecho al respeto a la vida privada y familiar, relativa a la protección de los datos de carácter personal conserva, conforme al artículo 52, apartado 3, de la Carta, toda su pertinencia para la interpretación del artículo 8 de la Carta.


55 – Sentencia Volker und Markus Schecke y Eifert, antes citada, apartado 52.


56 – El Tribunal Europeo de Derechos Humanos ha declarado reiteradamente que no le resultaba «ni posible ni necesario tratar de definir de manera exhaustiva el concepto de “vida privada”»; véase, en particular, la sentencia Niemietz c. Alemania de 16 de diciembre de 1992, demanda nº 13710/88, serie A, nº 251-B, § 29. Se trata, en cualquier caso, de un concepto «amplio»; véase la sentencia Il Pretty c. Reino Unido, de 19 de abril de 2002. Sobre el concepto de vida privada, véanse, en particular, Rubenfeld, J.: «The Right of Privacy», Harvard Law Review, 1989, vol. 102, p. 737; De Schutter, O.: «La vie privée entre droit de la personnalité et liberté», Revue trimestrielle des droits de l’homme, 1999, p. 827; Wachsmann, P.; «Le droit au secret de la vie privé», en Sudre F.: Le droit au respect de la vie privée au sens de la Convention européenne des droits de l’homme, Bruylant, 2005, p. 119, y Rigaux, F.: «La protection de la vie privée en Europe», en Le droit commun de l’Europe et l’avenir de l’enseignement juridique, de Witte B. y Forder, C., eds., Metro, Kluwer, 1992, p. 185.


57 – Véase el considerando 9 de la Directiva 2006/24.


58 – Véase la sentencia Irlanda/Parlamento y Consejo, antes citada, apartado 57, y las consideraciones que le dedico más adelante.


59 – Véase, en particular, la sentencia Leander c. Suecia de 26 de marzo de 1987, serie A nº 116, p. 22, § 48.


60 – Véase, en particular, la sentencia Amann c. Suiza de 16 de febrero de 2000, nº 27798/95, §§ 65, 69 y 80.


61 – El subrayado es mío.


62 – Véanse el considerando 13 y los artículos 1, apartado 2, y 5, apartado 2.


63 – En este sentido, véase Nettesheim, M.: Grundrechtsschutz der Privatheit, en Der Schutzauftrag des Rechts, Veröffentlichungen der Vereinigung der Deutschen Staatsrechtslehrer, 2011, vol. 70, p. 7.


64 – Sobre la injerencia que resulta de la mera posesión de información que, además, haya sido recabada antes de la entrada en vigor del Convenio Europeo de Derechos Humanos, véase TEDH, sentencia Rotaru c. Rumania de 4 de mayo de 2000, demanda nº 28341/95, Rec. 2000-V, § 46.


65 – El considerando 13 de la Directiva 2006/24 señala que la obligación de conservación se refiere únicamente a los «datos accesibles», lo que entraña que, en lo que respecta a los datos relativos a los correos electrónicos y la telefonía por Internet, sólo puede aplicarse «con respecto a los datos de los servicios propios de los proveedores o de los proveedores de redes».


66 – Por utilizar la expresión empleada por el Bundesverfassungsgericht en su decisión de 2 de marzo de 2010, 1 BvR 256/08, 1 BvR 263/08 y 1 BvR 586/08, http://www.bundesverfassungsgericht.de/entscheidungen/rs20100302_1bvr025608.html.


67 – Sobre la toma en consideración del efecto multiplicador de las tecnologías modernas de información, y especialmente de Internet, véanse, en particular, TEDH, sentencias Mouvement raëlien suisse c. Suiza de 13 de enero de 2011, demanda nº 16354/06, § 54 y ss.; Akdaş c. Turquía de 16 de febrero de 2010, demanda nº 41056/04, § 28, y Willem c. Francia de 16 de julio de 2009, demanda nº 10883/05, § 36 y 38.


68 – Véase el artículo 3, apartado 1, de la Directiva 2006/24, que define la obligación de conservación.


69 – Véase el artículo 8 de la Directiva 2006/24, que lleva por título «Requisitos de almacenamiento para los datos conservados».


70 – Lo que el Bundesverfassungsgericht señaló en su resolución de 2 de marzo de 2010, antes citada, § 214.


71 –      En este sentido, Bast, J., y von Bogdandy, A., en Grabitz, Hilf y Nettesheim: Das Recht der Europäischen Union, Beck, 50. Lieferung 2013, Artikel 5, y Streinz, R., en Streinz, R., ed., EUV/AEUV, Beck, 2ª ed. 2012, Artikel 5.


72 –      Véase el artículo 4 TFUE, apartado 2, letra a).


73 –      Véanse las sentencias de 29 de marzo de 2012, Comisión/Polonia (C‑504/09 P), apartado 79, y Comisión/Estonia (C‑505/09 P), apartado 81.


74 –      Propuesta de Directiva del Parlamento Europeo y del Consejo sobre la conservación de datos tratados en relación con la prestación de servicios públicos de comunicación electrónica y por la que se modifica la Directiva 2002/58 [COM(2005) 438 final].


75 –      Véanse, en particular, las sentencias de 6 de diciembre de 2005, ABNA y otros (C‑453/03, C‑11/04, C‑12/04 y C‑194/04, Rec. p. I‑10423), apartado 68; de 8 de junio de 2010, Vodafone y otros (C‑58/08, Rec. p. I‑4999), apartado 51, y Volker und Markus Schecke y Eifert, antes citada, apartado 74.


76 –      Calificación dada por el Tribunal de Justicia en la sentencia Irlanda/Parlamento y Consejo, antes citada, apartado 85.


77 –      Véase, en particular, la sentencia de 14 de mayo de 2009, Azienda Agricola Disarò Antonio y otros (C‑34/08, Rec. p. I‑4023), apartados 76 a 83.


78 –      Ibidem, apartado 76 y jurisprudencia citada.


79 –      Véase, en particular, la sentencia de 19 de noviembre de 1998, Reino Unido/Consejo (C‑150/94, Rec. p. I‑7235).


80 –      Véanse, en particular, las sentencias de 1 de febrero de 2007, Sison/Consejo (C‑266/05 P, Rec. p. I‑1233), apartados 32 a 34; de 16 de diciembre de 2008, Arcelor Atlantique y Lorraine y otros (C‑127/07, Rec. p. I‑9895), apartado 57, y Vodafone y otros, antes citada, apartados 52.


81 –      Véase la sentencia Vodafone y otros, antes citada, apartado 53.


82 –      Véanse, en particular, las sentencias de 12 de julio de 2001, Jippes y otros (C‑189/01, Rec. p. I‑5689) apartados 82 y 83; de 10 de diciembre de 2002, British American Tobacco (Investments) y Imperial Tobacco (C‑491/01, Rec. p. I‑11453), apartado 123; de 12 de julio de 2005, Alliance for Natural Health y otros (C‑154/04 y C‑155/04, Rec. p. I‑ 6451) apartados 52, y de 28 de julio de 2011, Agrana Zucker (C‑309/10, Rec. p. I‑7333), apartado 84.


83 –      Véase el considerando 6 de la Directiva 2006/24.


84 –      Véase el considerando 6 de la Directiva 2006/24. Véase también el informe de evaluación sobre la Directiva de conservación de datos (Directiva 2006/24/CE) entregado por la Comisión al Parlamento Europeo y al Consejo, de 18 de abril de 2011 [COM(2011) 225 final, punto 3.2; en lo sucesivo, «informe de evaluación de la Directiva 2006/24»].


85 –      Véase la sentencia Irlanda/Parlamento y Consejo, antes citada, apartado 85.


86 – Ha de subrayarse que, hasta el momento, el Tribunal de Justicia no he tenido la ocasión de pronunciarse sobre el contenido de las exigencias mínimas de la «calidad de la ley», ni sobre las obligaciones que recaen sobre las instituciones y los Estados miembros de la Unión a este respecto.


87 – Véanse, a este respecto, los puntos 88 a 100 de mis conclusiones presentadas en el asunto Scarlet Extended, antes citado.


88 – Como hizo el Bundesverfassunsgericht en su resolución de 2 de marzo de 2010, antes citada, §§ 197 a 203.


89 – En este sentido, véase también la sentencia Irlanda/Parlamento y Consejo, antes citada.


90 – Véanse el considerando 54 y el artículo 13, apartados 1 y 2, de la Directiva 95/46 y el artículo 15, apartado 1, de la Directiva 2002/58.


91 – La única referencia a este requisito que hace la Directiva 2006/24 se encuentra en su considerando 17, que indica que es esencial que los Estados miembros adopten medidas legislativas para asegurar que los datos conservados solamente se faciliten a las autoridades nacionales competentes de conformidad con la legislación nacional, respetando plenamente los derechos fundamentales de las personas afectadas. Esta precisión no figura, en cambio, en las disposiciones correspondientes del artículo 4 de la Directiva 2006/24.


92 – Ha de recordarse que, como el Tribunal de Justicia ha señalado, también es un objetivo de la Directiva 95/46, tal y como se desprende principalmente de su considerando 10 y de su artículo 1, no disminuir la protección que garantizan las legislaciones nacionales en vigor, sino, por el contrario, asegurar en el seno de la Unión un alto nivel de protección de las libertades y derechos fundamentales en lo que respecta al tratamiento de datos personales; véase la sentencia de 9 de marzo de 2010, Comisión/Alemania (C‑518/07, Rec. p. I‑1885), apartado 22.


93 – El artículo 4 de la Directiva 2006/24 establece que corresponde a los Estados miembros garantizar que los datos conservados «solamente se proporcionen a las autoridades nacionales competentes, en casos específicos y de conformidad con la legislación nacional» y, más concretamente, establecer en su Derecho nacional «el procedimiento que deba seguirse y las condiciones que deban cumplirse para tener acceso a los datos conservados».


94 – El subrayado es mío.


95 – Sobre este extremo, véanse los puntos 122 y ss. de las conclusiones del Abogado General Bot presentadas en el asunto Irlanda/Parlamento y Consejo, antes citado. Véanse también el artículo 3, apartado 2, primer guión, de la Directiva 95/46 y la Decisión marco 2008/977.


96 – El subrayado es mío.


97 – Sobre el tratamiento de datos personales referente a las actividades del Estado en materia penal, la seguridad pública o la seguridad del Estado, véase el artículo 3, apartado 2, primer guión, de la Directiva 95/46.


98 – Véanse el artículo 1, apartado 2, y los considerandos 7 y 9.


99 – Véanse el considerando 21 y el artículo 1, apartado 1, de la Directiva 2006/24.


100 – El artículo 4 de la Directiva 2006/24 reserva a las autoridades nacionales competentes el acceso a los datos conservados, lo que implica que dicho acceso no está necesariamente reservado a las autoridades judiciales.


101 – Véanse asimismo el artículo 1, apartado 2, y el considerando 7 de dicha Decisión marco.


102 – A este respecto, ha de señalarse que la transposición de la Directiva 2006/24 en los diferentes Estados miembros no ha estado exenta de dificultades y continúa suscitando problemas de distinta naturaleza, como acreditan las resoluciones dictadas por la Curtea Constituțională (Tribunal Constitucional rumano; véase la resolución de 8 de octubre de 2009, nº 1.258; para una traducción en inglés, véase <http://www.ccr.ro/files/products/D1258_091.pdf>), por el Bundesverfassungsgericht (Tribunal Constitucional Federal alemán; véase la resolución de 2 de marzo de 2010, antes citada), por el Ústavní Soud (Tribunal constitucional checo; véase la sentencia de 22 de marzo de 2011 Pl. ÚS 24/10; para una traducción en inglés, véase <http://www.usoud.cz/en/decisions/?tx_ttnews %5Btt_news %5D=40&cHash=bbaa1c5b1a7d6704af6370fdfce5d34c>); por el Varhoven aadministrativen sad (Tribunal Supremo administrativo búlgaro; resolución 12 de diciembre de 2008, nº 13627) o por el Anotato Dikastirio tis Kypriakis Dimokratias [Tribunal Supremo chipriota, resolución de 1 de febrero de 2011, nº 183(Ι)/2007]. Se ha interpuesto un recurso ante el Alkotmánybíróság (Tribunal constitucional húngaro; véase «Hungarian Data Retention Law – Challenged at the Constitutional Court», EDRI‑Gram nº 6.11, 4 de junio de 2008) y otro se encuentra pendiente ante el Ustavno sodišče (Tribunal Constitucional esloveno; véase «Slovenia: Information Commissioner challenges the Data Retention Law», EDRI‑Gram nº 11.6, 27 de marzo de 2013).


103 – Véase la sentencia Volker und Markus Schecke y Eifert, antes citada, apartado 76.


104 – El considerando 9 de la Directiva 2006/24 señala, a este respecto, que la Directiva constituye una «herramienta de investigación necesaria y eficaz para aplicar la ley en diferentes Estados miembros, en particular en asuntos de gravedad como la delincuencia organizada y el terrorismo». Sobre este extremo, véase el informe de evaluación de la Directiva 2006/24.


105 – El subrayado es mío.


106 – La Comisión ha cumplido su obligación a este respecto con la publicación del informe de evaluación de la Directiva 2006/24.


107 – Sobre la omnipresencia del principio de supresión en la Directiva 2002/58, véanse con carácter más general sus considerandos 22, 23 y 26 a 28.


108 – Esta conservación a posteriori es la que establece el artículo 16 del Convenio del Consejo de Europa sobre la ciberdelincuencia, firmado en Budapest el 23 de noviembre de 2001. Sobre este concepto, véase el informe de evaluación de la Directiva 2006/24.


109 – Elias, N.: Du temps, Fayard, 1998, y Rosa, H.: Accélération. Une critique sociale du temps, La Découverte, 2013.


110 – Véanse, en particular, las sentencias de 23 de noviembre de 2010, Tsakouridis (C‑145/09, Rec. p. I‑11979), apartados 50 a 52; de 21 de febrero de 2003, Banif Plus Bank (C‑472/11), apartado 29, y de 26 de febrero de 2013, Åkerberg Fransson (C‑617/10), apartados 21 y 25 a 30.


111 – Véase, en particular, la sentencia de 9 de septiembre de 2008, FIAMM y otros/Consejo y Comisión (C‑120/06 P y C‑121/06 P, Rec. p. I‑6513), apartado 123.


112 – Véanse, en particular, las sentencias de 8 de noviembre de 2001, Silos (C‑228/99, Rec. p. I‑8401), apartado 35, y de 22 de diciembre de 2008, Regie Networks (C‑333/07, Rec. p. I‑10807), apartado 121.