Language of document : ECLI:EU:C:2014:238

Asuntos acumulados C‑293/12 y C‑594/12

Digital Rights Ireland Ltd

contra

Minister for Communications, Marine and Natural Resources y otros

y

Kärntner Landesregierung y otros

[Peticiones de decisión prejudicial
planteadas por la High Court (Irlanda) y el Verfassungsgerichtshof]

«Comunicaciones electrónicas — Directiva 2006/24/CE — Servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones — Conservación de datos generados o tratados en relación con la prestación de tales servicios — Validez — Artículos 7, 8 y 11 de la Carta de los Derechos Fundamentales de la Unión Europea»

Sumario — Sentencia del Tribunal de Justicia (Gran Sala) de 8 de abril de 2014

1.        Derechos fundamentales — Carta de los Derechos Fundamentales de la Unión Europea — Respeto de la vida privada — Protección de datos personales — Conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones — Directiva 2006/24/CE — Obligación de los proveedores de conservar determinados datos a efectos de una posible comunicación a las autoridades nacionales — Injerencia en el sentido de los artículos 7 y 8 de la Carta

(Carta de los Derechos Fundamentales de la Unión Europea, arts. 7 y 8; Directiva 2006/88/CE del Parlamento Europeo y del Consejo, arts. 3 a 6 y 8)

2.        Derechos fundamentales — Carta de los Derechos Fundamentales de la Unión Europea — Limitación del ejercicio de los derechos y libertades reconocidos por la Carta — Requisitos — Conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones — Directiva 2006/24/CE — Obligación de los proveedores de conservar determinados datos a efectos de una posible comunicación a las autoridades nacionales — Vulneración del contenido esencial de los derechos fundamentales — Inexistencia — Objetivo de protección de la seguridad pública

(Carta de los Derechos Fundamentales de la Unión Europea, arts. 7, 8 y 52, ap. 1; Directiva 2006/24/CE del Parlamento Europeo y del Consejo)

3.        Derechos fundamentales — Carta de los Derechos Fundamentales de la Unión Europea — Limitación del ejercicio de los derechos y libertades reconocidos por la Carta — Requisitos — Conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones — Directiva 2006/24/CE — Obligación de los proveedores de conservar determinados datos a efectos de una posible comunicación a las autoridades nacionales — Violación del principio de proporcionalidad

(Carta de los Derechos Fundamentales de la Unión Europea, arts. 7, 8 y 52, ap. 1; Directiva 2006/24/CE del Parlamento Europeo y del Consejo)

1.        La obligación impuesta por los artículos 3 y 6 de la Directiva 2006/24, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58, a los proveedores de dichos servicios de conservar durante un determinado período datos relativos a la vida privada de una persona y a sus comunicaciones, como los que se indican en el artículo 5 de dicha Directiva, constituye en sí misma una injerencia en los derechos garantizados por el artículo 7 de la Carta de los Derechos Fundamentales de la Unión Europea. Además, los artículos 4 y 8 de la Directiva 2006/24, que establecen normas relativas al acceso de las autoridades nacionales competentes a los datos, también constituyen una injerencia en los derechos garantizados por el artículo 7 de la Carta.

Asimismo, la Directiva 2006/24 constituye una injerencia en el derecho fundamental a la protección de datos de carácter personal garantizado por el artículo 8 de la Carta puesto que establece un tratamiento de datos de carácter personal.

Esta injerencia resulta de gran magnitud y debe considerarse especialmente grave. Además, la circunstancia de que la conservación de los datos y su posterior utilización se efectúen sin que el abonado o el usuario registrado hayan sido informados de ello puede generar en las personas afectadas el sentimiento de que su vida privada es objeto de una vigilancia constante.

(véanse los apartados 34 a 37)

2.        Con arreglo al artículo 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea, cualquier limitación del ejercicio de los derechos y libertades reconocidos por ésta deberá ser establecida por la ley, respetar su contenido esencial y, dentro del respeto del principio de proporcionalidad, sólo podrán introducirse limitaciones a dichos derechos y libertades cuando sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás.

En primer lugar, aunque la conservación de datos que impone la Directiva 2006/24, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58, constituye una injerencia especialmente grave en el derecho fundamental al respeto de la vida privada y el resto de los derechos reconocidos en el artículo 7 de la Carta, no puede vulnerar su contenido esencial puesto que, como se desprende de su artículo 1, apartado 2, la Directiva no permite conocer el contenido de las comunicaciones electrónicas como tal. Esta conservación de datos tampoco puede vulnerar el contenido esencial del derecho fundamental a la protección de datos de carácter personal, reconocido en el artículo 8 de la Carta, ya que la Directiva 2006/24 establece, en su artículo 7, una regla relativa a la protección y a la seguridad de los datos.

En segundo lugar, el objetivo principal de dicha Directiva es, como se desprende de su artículo 1, apartado 1, garantizar que los datos estén disponibles con fines de investigación, detección y enjuiciamiento de delitos graves, tal como se definen en la legislación nacional de cada Estado miembro. El objetivo principal de la Directiva es, pues, contribuir a la lucha contra la delincuencia grave y, en definitiva, a la seguridad pública. Por consiguiente, la conservación de datos para su eventual acceso por parte de las autoridades nacionales competentes que impone la Directiva 2006/24 responde efectivamente a un objetivo de interés general.

(véanse los apartados 38 a 41 y 44)

3.        La Directiva 2006/24, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58, es inválida.

En efecto, es cierto que la lucha contra la delincuencia grave, especialmente contra la delincuencia organizada y el terrorismo, reviste una importancia primordial para garantizar la seguridad pública y su eficacia puede depender en gran medida de la utilización de técnicas modernas de investigación. Sin embargo, este objetivo de interés general, por fundamental que sea, no puede por sí solo justificar que una medida de conservación de datos como la establecida por la Directiva 2006/24 se considere necesaria a los efectos de dicha lucha.

La protección de los datos de carácter personal, que resulta de la obligación expresa establecida en el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea, tiene una importancia especial para el derecho al respeto de la vida privada consagrado en el artículo 7 de ésta. Por ello, la normativa de la Unión de que se trate debe establecer reglas claras y precisas que regulen el alcance y la aplicación de la medida en cuestión y establezcan unas exigencias mínimas de modo que las personas cuyos datos se hayan conservado dispongan de garantías suficientes que permitan proteger de manera eficaz sus datos de carácter personal contra los riesgos de abuso y contra cualquier acceso o utilización ilícitos respecto de tales datos.

La Directiva 2006/24 es aplicable a todos los medios de comunicación electrónica, cuyo uso está muy extendido y que tienen una importancia creciente en la vida cotidiana de las personas, y comprende a todos los abonados y usuarios registrados. En consecuencia, constituye una injerencia en los derechos fundamentales de prácticamente toda la población europea.

Pues bien, en primer lugar, la Directiva 2006/24 abarca de manera generalizada a todas las personas, medios de comunicación electrónica y datos relativos al tráfico sin que se establezca ninguna diferenciación, limitación o excepción en función del objetivo de lucha contra los delitos graves.

En segundo lugar, la Directiva 2006/24 no fija ningún criterio objetivo que permita delimitar el acceso de las autoridades nacionales competentes a los datos y su utilización posterior con fines de prevención, detección o enjuiciamiento de delitos que, debido a la magnitud y la gravedad de la injerencia en los derechos fundamentales reconocidos en los artículos 7 y 8 de la Carta, puedan considerarse suficientemente graves para justificar tal injerencia. Además, la Directiva 2006/24 no precisa las condiciones materiales y de procedimiento correspondientes al acceso de las autoridades nacionales competentes a los datos y su utilización posterior.

En tercer lugar, la Directiva 2006/24 prescribe la conservación de los datos durante un período mínimo de seis meses sin que se establezca ninguna distinción entre las categorías de datos en función de su posible utilidad para el objetivo perseguido o de las personas afectadas. Además, no se precisa que la determinación del período de conservación debe basarse en criterios objetivos para garantizar que ésta se limite a lo estrictamente necesario.

Por lo tanto, la Directiva 2006/24 constituye una injerencia en los derechos fundamentales de gran magnitud y especial gravedad en el ordenamiento jurídico de la Unión, sin que esta injerencia esté regulada de manera precisa por disposiciones que permitan garantizar que se limita efectivamente a lo estrictamente necesario.

Por último, la Directiva 2006/24 no contiene garantías suficientes, como las que exige el artículo 8 de la Carta, que permitan asegurar una protección eficaz de los datos conservados contra los riesgos de abuso y contra cualquier acceso y utilización ilícitos respecto de tales datos.

De todas las consideraciones anteriores resulta que, al adoptar la Directiva 2006/24, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58, el legislador de la Unión sobrepasó los límites que exige el respeto del principio de proporcionalidad en relación con los artículos 7, 8 y 52, apartado 1, de la Carta.

(véanse los apartados 51, 53, 54, 56, 57, 60, 61, 63 a 66 y 69 y el fallo)