CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:463

Edición provisional

CONCLUSIONES DEL ABOGADO GENERAL

SR. A. M. COLLINS

presentadas el 8 de junio de 2023(1)

Asunto C‑178/22

Desconocidos

parte coadyuvante:

Procura della Repubblica presso il Tribunale di Bolzano

[Petición de decisión prejudicial planteada por el Tribunale di Bolzano (Tribunal de Bolzano, Italia)]

«Procedimiento prejudicial — Tratamiento de los datos personales en el sector de las comunicaciones electrónicas — Confidencialidad de las comunicaciones — Proveedores de servicios de comunicaciones electrónicas — Directiva 2002/58/CE — Artículos 1, apartado 3, y 15, apartado 1 — Carta de los Derechos Fundamentales de la Unión Europea — Artículos 7, 8, 11 y 52, apartado 1 — Solicitud del Ministerio Fiscal de acceder a datos para la investigación y persecución de un hurto agravado del teléfono móvil — Definición de “delito grave” que puede justificar una injerencia grave en los derechos fundamentales — Alcance del control previo destinado a garantizar el cumplimiento del requisito de la comisión de un delito grave — Principio de proporcionalidad»

I. Introducción

1. La Procura della Repubblica presso il Tribunale di Bolzano (Fiscalía de la República ante el Tribunal de Bolzano, Italia; en lo sucesivo, «Fiscalía de Bolzano») solicita al Tribunale di Bolzano (Tribunal de Bolzano, Italia) que le autorice a acceder a los datos conservados por los proveedores de servicios de comunicaciones electrónicas en virtud del Derecho nacional, que permite, en particular, rastrear e identificar el origen y el destino de las comunicaciones desde teléfonos móviles.

2. En el marco de esta petición, el Tribunale di Bolzano (Tribunal de Bolzano) solicita al Tribunal de Justicia que interprete el artículo 15, apartado 1, de la Directiva 2002/58/CE. (2) Esta disposición permite a los Estados miembros introducir excepciones legales a la obligación, prevista en dicha Directiva, (3) de garantizar la confidencialidad de las comunicaciones electrónicas. En la sentencia Prokuratuur, (4) el Tribunal de Justicia declaró que el acceso a los datos que permite extraer conclusiones precisas sobre la vida privada de un usuario, en virtud de medidas adoptadas con arreglo al artículo 15, apartado 1, de la Directiva 2002/58, constituye una injerencia grave en los derechos y principios fundamentales consagrados en los artículos 7, 8, 11 y 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»). (5) Tal acceso no puede autorizarse a efectos de la prevención, investigación, descubrimiento y persecución de «delitos en general». Solo puede concederse en procedimientos que tengan por objeto la lucha contra la «delincuencia grave» (6) y debe supeditarse a un control previo efectuado por un órgano jurisdiccional o una entidad administrativa independiente para garantizar que se cumple este requisito. (7) El Tribunale di Bolzano (Tribunal de Bolzano) solicita al Tribunal de Justicia que esclarezca dos aspectos de la sentencia Prokuratuur: el concepto de «delincuencia grave» y el alcance del control previo que un órgano jurisdiccional debe ejercer en virtud de una disposición de Derecho nacional que le obliga a autorizar el acceso a los datos conservados por los proveedores de servicios de comunicaciones electrónicas.

II. Marco jurídico

A. Derecho de la Unión

3. El artículo 5 de la Directiva 2002/58, titulado «Confidencialidad de las comunicaciones», dispone:

«1. Los Estados miembros garantizarán, a través de la legislación nacional, la confidencialidad de las comunicaciones, y de los datos de tráfico asociados a ellas, realizadas a través de las redes públicas de comunicaciones y de los servicios de comunicaciones electrónicas disponibles al público. En particular, prohibirán la escucha, la grabación, el almacenamiento u otros tipos de intervención o vigilancia de las comunicaciones y los datos de tráfico asociados a ellas por personas distintas de los usuarios, sin el consentimiento de los usuarios interesados, salvo cuando dichas personas estén autorizadas legalmente a hacerlo de conformidad con el apartado 1 del artículo 15. […]»

4. El artículo 6 de la Directiva 2002/58, con la rúbrica «Datos de tráfico», establece:

«1. Sin perjuicio de lo dispuesto en los apartados 2, 3 y 5 del presente artículo y en el apartado 1 del artículo 15, los datos de tráfico relacionados con abonados y usuarios que sean tratados y almacenados por el proveedor de una red pública de comunicaciones o de un servicio de comunicaciones electrónicas disponible al público deberán eliminarse o hacerse anónimos cuando ya no sea necesario a los efectos de la transmisión de una comunicación.

[…]

5. Solo podrán encargarse del tratamiento de datos de tráfico, de conformidad con los apartados 1, 2, 3 y 4, las personas que actúen bajo la autoridad del proveedor de las redes públicas de comunicaciones o de servicios de comunicaciones electrónicas disponibles al público que se ocupen de la facturación o de la gestión del tráfico, de las solicitudes de información de los clientes, de la detección de fraudes, de la promoción comercial de los servicios de comunicaciones electrónicas o de la prestación de un servicio con valor añadido, y dicho tratamiento deberá limitarse a lo necesario para realizar tales actividades.

[…]»

5. El artículo 9 de la Directiva 2002/58, con el epígrafe «Datos de localización distintos de los datos de tráfico», enuncia:

«1. En caso de que puedan tratarse datos de localización, distintos de los datos de tráfico, relativos a los usuarios o abonados de redes públicas de comunicaciones o de servicios de comunicaciones electrónicas disponibles al público, solo podrán tratarse estos datos si se hacen anónimos, o previo consentimiento de los usuarios o abonados, en la medida y por el tiempo necesarios para la prestación de un servicio con valor añadido. El proveedor del servicio deberá informar a los usuarios o abonados, antes de obtener su consentimiento, del tipo de datos de localización distintos de los datos de tráfico que serán tratados, de la finalidad y duración del tratamiento y de si los datos se transmitirán a un tercero a efectos de la prestación del servicio con valor añadido. Se deberá ofrecer a los usuarios y abonados la posibilidad de retirar en todo momento su consentimiento para el tratamiento de los datos de localización distintos de los datos de tráfico.

[…]»

6. El artículo 15, apartado 1, de la Directiva 2002/58 está redactado en los siguientes términos:

«Los Estados miembros podrán adoptar medidas legales para limitar el alcance de los derechos y las obligaciones que se establecen en los artículos 5 y 6, en los apartados 1 a 4 del artículo 8 y en el artículo 9 de la presente Directiva, cuando tal limitación constituya una medida necesaria proporcionada y apropiada en una sociedad democrática para proteger la seguridad nacional (es decir, la seguridad del Estado), la defensa, la seguridad pública, o la prevención, investigación, descubrimiento y persecución de delitos o la utilización no autorizada del sistema de comunicaciones electrónicas a que se hace referencia en el apartado 1 del artículo 13 de la Directiva 95/46/CE. (8) Para ello, los Estados miembros podrán adoptar, entre otras, medidas legislativas en virtud de las cuales los datos se conserven durante un plazo limitado justificado por los motivos establecidos en el presente apartado. Todas las medidas contempladas en el presente apartado deberán ser conformes con los principios generales del Derecho comunitario, incluidos los mencionados en los apartados 1 y 2 del artículo 6 del Tratado de la Unión Europea.»

B. Derecho nacional

7. El artículo 132, apartado 3, del Decreto Legislativo 30 giugno 2003, n.º 196/2003, recante il Codice in materia di protezione dei dati personali (Decreto Legislativo n.º 196 por el que se establece un Código en materia de protección de datos personales), de 30 de junio de 2003, (9) en su versión modificada recientemente por el artículo 1 del Decreto legge 30 settembre 2021 n.º 132, Misure urgenti in materia di giustizia e di difesa, nonché proroghe in tema di referendum, assegno temporaneo e IRAP, convertito con modificazioni nella legge 23 novembre 2021 n.º 178 (Decreto-ley n.º 132, de 30 de septiembre de 2021, (10) por el que se establecen medidas urgentes en materia de justicia y defensa, así como prórrogas en materia de referéndum, subsidio temporal e IRAP, convalidado, con modificaciones, por la Ley n.º 178, de 23 de noviembre de 2021; (11) en lo sucesivo, «artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003») establece:

3: «Dentro del plazo de conservación impuesto por la ley [es decir, 24 meses desde la fecha de la comunicación], si existen indicios suficientes de un delito para el que la ley establezca una pena de prisión permanente o una pena máxima de prisión no inferior a 3 años, determinada de conformidad con el artículo 4 del Codice di Procedura Penale (Código de Enjuiciamiento Criminal), y de delitos de amenazas y acoso o perturbación por teléfono a personas, si la amenaza y la perturbación son graves, cuando sea pertinente para la determinación de los hechos, se obtendrán los datos previa autorización del juez mediante auto motivado, a solicitud del Ministerio Fiscal o del abogado del imputado, del investigado, de la víctima y de las otras partes particulares;

[…]

3 quater: No podrán utilizarse los datos obtenidos en vulneración de las disposiciones de los apartados 3 y 3 bis.»

8. A tenor del artículo 4 del Código de Enjuiciamiento Criminal, titulado «Normas para la determinación de la competencia»:

«A fin de determinar la competencia se tendrá en cuenta la pena establecida en la ley para cada delito consumado o en grado de tentativa. No se tendrán en cuenta el carácter continuado, la reincidencia ni las circunstancias del delito, con excepción de las circunstancias agravantes respecto a las que la ley establezca una pena de naturaleza distinta de la ordinaria del delito y las que produzcan un efecto especial.»

9. Según el órgano jurisdiccional remitente, el Ministerio Fiscal puede perseguir de oficio el delito de hurto agravado. (12) En virtud del artículo 625 del Codice penale (Código Penal), la persona culpable de un hurto agravado será castigada con una pena especial de prisión de dos a seis años y con multa de 927 a 1 500 euros. El artículo 624 del Código Penal establece que la persona culpable de un hurto simple, perseguible solo a instancia de parte, será castigada con una pena privativa de libertad de seis meses a tres años y una multa de 154 a 516 euros.

III. Litigios principales y cuestión prejudicial

10. El Fiscalía de Bolzano inició dos procesos penales contra autores desconocidos por hurto agravado de un teléfono móvil con arreglo a los artículos 624 y 625 del Código Penal. (13) Con el fin de localizar a los autores, solicitó al órgano jurisdiccional remitente, con arreglo al artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003, «[…] la autorización para obtener de todas las compañías telefónicas todos los datos en su poder, con métodos de seguimiento y localización (en particular, usuarios y, en su caso, códigos IMEI del emisor y del destinatario de las llamadas, sitios visitados y a los que se ha accedido, hora y duración de la llamada/conexión e indicación de las células o repetidores afectados, usuarios e IMEI de remitentes/destinatarios de los SMS o MMS y, de ser posible, datos de los titulares correspondientes) de las conversaciones/comunicaciones telefónicas y conexiones efectuadas, incluidas las llamadas en itinerancia, entrantes y salientes, también las llamadas no facturadas (llamadas perdidas) desde la fecha del hurto hasta la fecha de tramitación de la solicitud».

11. El órgano jurisdiccional remitente duda de la compatibilidad del artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003 con el artículo 15, apartado 1, de la Directiva 2002/58, tal como ha sido interpretado en la sentencia Prokuratuur. Señala que, el 7 de septiembre de 2021, la Corte Suprema di Cassazione (Tribunal Supremo de Casación, Italia) (14) declaró que, dado que los órganos jurisdiccionales nacionales disponen de discrecionalidad interpretativa para determinar los delitos que constituyen «amenazas graves contra la seguridad nacional y otras formas de delincuencia grave», la sentencia Prokuratuur no se aplica directamente a los órganos jurisdiccionales nacionales. A raíz de la sentencia de la Corte Suprema di Cassazione (Tribunal Supremo de Casación), el legislador italiano adoptó el Decreto-ley n.º 132, de 30 de septiembre de 2021, cuyo artículo 132, apartado 3, califica como delitos graves a efectos de la obtención de registros de llamadas, en particular, los delitos castigados con una «pena máxima de prisión no inferior a tres años».

12. Según el órgano jurisdiccional remitente, el umbral que determina la calificación de un delito como grave previsto en el artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003 incluye en su ámbito de aplicación delitos que causan una perturbación social limitada y solo pueden ser perseguidos a instancia de parte. (15) Así, en virtud de esta disposición, es posible obtener acceso a registros de llamadas por el hurto de un objeto de valor mínimo, como un teléfono móvil o una bicicleta. De este modo, a su juicio, el umbral previsto en el artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003 vulnera el principio de proporcionalidad, de conformidad con el artículo 52, apartado 1, de la Carta, que exige que, en todo caso, se pondere la gravedad de la infracción investigada con la limitación del disfrute de un derecho fundamental. La persecución de delitos menores no justifica limitar el disfrute de los derechos fundamentales al respeto de la vida privada, a la protección de los datos de carácter personal y a la libertad de expresión y de información. (16)

13. El órgano jurisdiccional remitente explica que los jueces italianos disponen de un margen de discrecionalidad muy restringido para denegar el acceso a los registros de llamadas, pues este debe concederse si concurren «indicios suficientes de un delito» y cuando tal autorización sea «pertinente para la determinación de los hechos». En particular, los órganos jurisdiccionales no son competentes para evaluar la gravedad de la infracción investigada. El legislador así lo dispuso cuando estableció, de manera general y sin hacer distinción entre los diferentes tipos de delitos, que el acceso a los registros de llamadas debía concederse, en particular, para la investigación de todos los delitos castigados con una pena máxima de prisión no inferior a tres años.

14. En estas circunstancias, el Tribunale di Bolzano (Tribunal de Bolzano) decidió suspender el procedimiento y plantear al Tribunal de Justicia la siguiente cuestión prejudicial:

«¿Se opone el artículo 15, apartado 1, de la [Directiva 2002/58] a la normativa nacional recogida en el [artículo 132, apartado 3, del Decreto Legislativo n.º 196 de 2003], que […] establece:

“Dentro del plazo de conservación impuesto por la ley, si existen indicios suficientes de un delito para el que la ley establezca una pena de prisión permanente o una pena máxima de prisión no inferior a 3 años, determinada de conformidad con el artículo 4 del Código de Enjuiciamiento Criminal, y de delitos de amenazas y acoso o perturbación por teléfono a personas, si la amenaza y la perturbación son graves, cuando sea pertinente para la determinación de los hechos, se obtendrán los datos previa autorización del juez mediante auto motivado, a solicitud del Ministerio Fiscal o del abogado del imputado, del investigado, de la víctima y de las otras partes particulares?”»

IV. Procedimiento ante el Tribunal de Justicia

15. Han presentado observaciones escritas los Gobiernos de Austria, Chipre, Estonia, Francia, Hungría, Irlanda, Italia, Países Bajos, Polonia y la República Checa, así como la Comisión Europea.

16. En la vista oral, celebrada el 21 de marzo de 2023, se oyeron los informes orales de estas partes interesadas y de la Fiscalía de Bolzano, así como sus respuestas a las preguntas formuladas por el Tribunal de Justicia.

V. Apreciación

A. Admisibilidad

17. El Gobierno italiano e Irlanda sostienen que una parte de la petición de decisión prejudicial es inadmisible. Según los hechos de la resolución de remisión, la solicitud de acceso se produjo en el contexto de la investigación de unoshurtos agravados de teléfonos móviles. Irlanda subraya que la Fiscalía de Bolzano puede perseguir este tipo de delito de oficio. A su juicio, esa facultad refleja la creencia de que la naturaleza y los efectos del delito afectan a la sociedad en general. Así pues, sostiene que la petición de decisión prejudicial tiene carácter hipotético en la medida en que también se refiere a delitos que solo pueden perseguirse a instancia de parte. El Gobierno italiano señala que el órgano jurisdiccional remitente menciona una serie de delitos que no son pertinentes en los asuntos pendientes ante él. El Gobierno italiano y la Comisión sostienen que, contrariamente a la mención que se hace en la solicitud a «una pena máxima de prisión no inferior a tres años», con arreglo al artículo 625 del Código Penal, el delito de hurto agravado se castiga con una pena de prisión de dos a seis años. Por consiguiente, la Comisión propone al Tribunal de Justicia que reformule la cuestión. El Gobierno francés también solicita al Tribunal de Justicia que reformule la cuestión. Considera que, si bien el Tribunal de Justicia puede interpretar disposiciones del Derecho de la Unión, no es competente para apreciar la compatibilidad de disposiciones del Derecho nacional con el Derecho de la Unión.

18. Mediante la cuestión planteada por el órgano jurisdiccional remitente se solicita literalmente al Tribunal de Justicia que se pronuncie sobre la compatibilidad de una disposición de Derecho interno con el Derecho de la Unión. Ello no supone, en sí mismo, ningún obstáculo para proporcionar al órgano jurisdiccional remitente una interpretación del Derecho de la Unión, en este caso del artículo 15, apartado 1, de la Directiva 2002/58, que le permita pronunciarse sobre la compatibilidad con esta disposición de cualquier norma nacional controvertida en el litigio de que conoce. (17)

19. De la petición de decisión prejudicial se desprende que el Ministerio Fiscal solicitó el acceso a los datos, en particular, para investigar y perseguir dos incidentes constitutivos de un delito de hurto agravado de teléfono móvil en virtud del artículo 625 del Código Penal. En estas circunstancias, las referencias que en dicha solicitud se hacen a otros delitos, entre ellos el tipificado en el artículo 624 del Código Penal (hurto simple), (18) no son pertinentes para pronunciarse sobre las pretensiones pendientes ante el órgano jurisdiccional remitente. (19) La cuestión prejudicial no es hipotética en la medida en que versa sobre la solicitud de la Fiscalía de Bolzano de acceder a datos para investigar la comisión de delitos de hurto agravado. Por lo tanto, limitaré mi apreciación sobre la aplicación del artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003 a los hechos descritos por el órgano jurisdiccional remitente que se refieren al hurto agravado de teléfonos móviles.

B. Sobre el fondo

1. Consideraciones preliminares

20. El presente asunto tiene su origen en una solicitud de la Fiscalía de Bolzano de acceder a datos conservados por proveedores de servicios de comunicaciones electrónicas. No se refiere a la conservación de estos datos ni a su legalidad en virtud, en particular, del artículo 15, apartado 1, de la Directiva 2002/58. (20) Los datos consisten, en particular, en detalles de las comunicaciones entrantes y salientes (21) efectuadas con los teléfonos móviles hurtados y en datos de localización. (22) Aunque los datos no incluyen el contenido de las comunicaciones, permiten extraer conclusiones precisas sobre la vida privada de las personas cuyos datos se ven afectados, y acceder a ellos parece constituir una injerencia «grave» en sus derechos fundamentales. (23) La injerencia que supone el acceso a tales datos puede estar justificada por el objetivo, (24) contemplado en el artículo 15, apartado 1, primera frase, de la Directiva 2002/58, de prevenir, investigar, descubrir y perseguir los «delitos graves», pero no los delitos en general. Al interpretar el artículo 15, apartado 1, de la Directiva 2002/58, el Tribunal de Justicia vincula la gravedad de la injerencia en los derechos fundamentales de una persona a la gravedad del delito investigado. (25)

2. Competencia de los Estados miembros para definir los «delitos graves»

21. La Directiva 2002/58 regula las actividades de los proveedores de servicios de comunicaciones electrónicas en materia de tratamiento de datos personales. (26) El artículo 1, apartado 3, excluye expresamente del ámbito de aplicación de la Directiva 2002/58 las actividades del Estado en ámbitos determinados como la seguridad pública, la defensa, la seguridad del Estado y en materia penal. Las actividades contempladas en el artículo 15, apartado 1, de la Directiva 2002/58 coinciden sustancialmente con las descritas en su artículo 1, apartado 3, e incluyen las actividades del Estado en materia penal que están expresamente excluidas del ámbito de aplicación de la Directiva 2002/58. (27) Por lo tanto, existe un vínculo evidente entre las actividades estatales que el artículo 1, apartado 3, de la Directiva 2002/58 excluye del ámbito de aplicación de dicha Directiva y las medidas legales que los Estados miembros pueden adoptar en virtud del artículo 15, apartado 1, de esta. (28)

22. A pesar de este vínculo evidente, es jurisprudencia reiterada que, dado que el artículo 15, apartado 1, de la Directiva 2002/58 autoriza expresamente a los Estados miembros a adoptar las medidas legislativas nacionales que en él se describen, tales medidas están comprendidas en el ámbito de aplicación de dicha Directiva. De esta jurisprudencia se desprende que el concepto de «actividades», incluidas las «actividades del Estado en materia penal», que figura en el artículo 1, apartado 3, de la Directiva 2002/58, no incluye las medidas legislativas contempladas en el artículo 15, apartado 1, de esta. (29)

23. El término «delito» no se define ni en el artículo 2 de la Directiva 2002/58, que contiene varias definiciones a efectos de la aplicación de esta Directiva, ni en ninguna otra disposición de la Directiva 2002/58, incluido su artículo 15, apartado 1. La Directiva 2002/58 no contiene una enumeración de «delitos». (30) Por otra parte, la jurisprudencia que interpreta el artículo 15, apartado 1, de la Directiva 2002/58 no define este concepto. (31)

24. A pesar de la falta de tales definiciones, la Directiva 2002/58 no prevé que cada Estado miembro defina los «delitos» de conformidad con su Derecho nacional. (32) Según reiterada jurisprudencia del Tribunal de Justicia, se desprende de las exigencias tanto de la aplicación uniforme del Derecho de la Unión como del principio de igualdad que una disposición de Derecho de la Unión que no contenga una remisión expresa al Derecho de los Estados miembros para determinar su sentido y su alcance normalmente debe ser objeto en toda la Unión de una interpretación autónoma y uniforme. En el marco de la interpretación del artículo 15, apartado 1, de la Directiva 2002/58, el concepto de «infracciones penales» puede considerarse, al menos en principio, como un concepto autónomo del Derecho de la Unión que ha de interpretarse de manera uniforme en el territorio de todos los Estados miembros. (33)

25. No obstante, los diez Estados miembros que han presentado observaciones ante el Tribunal de Justicia y la Comisión consideran unánimemente que corresponde a cada Estado miembro definir los «delitos», incluidos los delitos graves, a los que se remite el artículo 15, apartado 1, de la Directiva 2002/58, por referencia a su Derecho nacional.

26. Comparto estas consideraciones por las razones que expondré a continuación.

27. En primer lugar, el Tribunal de Justicia ya ha declarado que, en el marco del artículo 15, apartado 1, de la Directiva 2002/58, corresponde a los Estados miembros determinar sus intereses esenciales de seguridad y adoptar las medidas adecuadas para garantizar su seguridad interior y exterior. (34) Si bien no lo ha declarado expresamente, el Tribunal de Justicia parece haber considerado que el concepto de «seguridad nacional» que figura en el artículo 15, apartado 1, de la Directiva 2002/58 no es un concepto autónomo del Derecho de la Unión, pese a no definirlo ni hacer una remisión expresa al Derecho de los Estados miembros. (35) No veo ninguna razón por la que este mismo enfoque no deba aplicarse a las facultades de los Estados miembros para definir los «delitos» o los «delitos graves» en el sentido del artículo 15, apartado 1, de la Directiva 2002/58. Los términos «delitos», «seguridad pública» y «seguridad nacional» que figuran en esta disposición pueden considerarse noscitur a sociis, ya que parece que el legislador de la Unión pretendía darles un trato similar, también en lo que respecta a la forma de definirlos. (36)

28. En segundo lugar, el artículo 4 TUE, apartado 2, obliga a la Unión a respetar la identidad nacional de los Estados miembros, inherente a las estructuras fundamentales políticas y constitucionales de estos. El preámbulo de la Carta reconoce asimismo que, si bien la Unión contribuye a defender y fomentar valores comunes, respeta, en particular, la diversidad de culturas y tradiciones de los pueblos de Europa. La definición de los delitos y de las penas (37) refleja las sensibilidades y tradiciones nacionales, que varían considerablemente no solo de un Estado miembro a otro, sino también a lo largo del tiempo en función de cómo va evolucionando la sociedad. (38)

29. En este contexto, cabe observar que, a la hora de definir los delitos y las penas, los Estados miembros tienen en cuenta, en distinta medida, una serie de factores diferentes. La apreciación por un Estado miembro de la «gravedad» de una infracción determinada se refleja a menudo, si no invariablemente, en la gravedad de la pena impuesta. La duración de una pena privativa de libertad puede reflejar el análisis de una serie de factores, entre ellos la «gravedad» intrínseca percibida de un delito y su «gravedad» relativa en relación con otros delitos. No se ha aducido ninguna razón por la que los Estados miembros no deban ejercer esta facultad o por la que deba aplicarse un enfoque diferente a la definición de «delitos», «delitos graves» o «delitos en general» en el contexto específico de que se trata.

30. La competencia de los Estados miembros en el ámbito del Derecho penal se entiende sin perjuicio de la competencia de la Unión en algunos casos para establecer, por ejemplo, normas mínimas que definan las infracciones penales y las sanciones en relación con las formas de delincuencia de especial gravedad que tengan una dimensión transfronteriza derivada del carácter o de las repercusiones de dichas infracciones o de una necesidad particular de combatirlas según criterios comunes. (39) Sin embargo, el legislador de la Unión no ha establecido normas relativas a la definición de los delitos en el artículo 15, apartado 1, de la Directiva 2002/58.(40) En efecto, como ya se ha señalado, (41) del tenor del artículo 1, apartado 3, de la Directiva 2002/58 se desprende que, al promulgar esta Directiva, el legislador de la Unión no pretendía ejercer ninguna competencia en materia penal.

31. Estas dos razones bastan para explicar por qué, a pesar de que las medidas legales nacionales adoptadas de conformidad con el artículo 15, apartado 1, de la Directiva 2002/58 para la investigación y persecución de delitos entran en el ámbito de aplicación de dicha medida, los Estados miembros siguen siendo competentes para definir los «delitos», incluidos los «delitos graves», y para establecer las correspondientes sanciones por su comisión. (42)

3. Sobre la norma de control del ejercicio de la facultad de establecer excepciones al principio de confidencialidad prevista en el artículo 15, apartado 1, de la Directiva 2002/58

32. El Tribunal de Justicia ha subrayado que la facultad de establecer excepciones, (43) en particular, al principio de confidencialidad establecido en el artículo 5, apartado 1, de la Directiva 2002/58, debe interpretarse en sentido estricto para que no se convierta en la regla general, privando así a dicho principio de su alcance. (44) Así pues, el ejercicio de esta facultad debe respetar, en particular, los principios de equivalencia (45) y de efectividad. (46) Asimismo, debe respetar los principios generales del Derecho de la Unión, incluido el principio de proporcionalidad, (47) así como los artículos 7, 8, 11 (48) y 52, apartado 1, de la Carta. (49) El objetivo de lucha contra la delincuencia grave debe conciliarse siempre con el disfrute de los derechos fundamentales así afectados. Los derechos consagrados en los artículos 7, 8 y 11 de la Carta no constituyen prerrogativas absolutas y su ejercicio debe considerarse según su función en la sociedad. (50) De este modo, el artículo 52, apartado 1, de la Carta contempla limitaciones del ejercicio de estos derechos que estén establecidas por la ley, respeten su contenido esencial y, dentro del respeto del principio de proporcionalidad, sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión Europea o a la necesidad de protección de los derechos y libertades de los demás. Así, las medidas legislativas nacionales adoptadas con arreglo al artículo 15, apartado 1, de la Directiva 2002/58 han de responder efectiva y estrictamente a uno de los objetivos enunciados en dicha disposición. Deben basarse en criterios objetivos, ser legalmente imperativas y establecer normas claras y precisas que indiquen las requisitos materiales y procedimentales en las que los proveedores de servicios de comunicaciones electrónicas deben permitir a las autoridades nacionales competentes acceder a los datos. (51)

33. Para garantizar el pleno cumplimiento de estos requisitos en la práctica, el acceso de las autoridades nacionales competentes a los datos conservados debe supeditarse, en principio, (52) al control previo de un órgano jurisdiccional o de una entidad administrativa independiente, (53) a raíz de una solicitud motivada de esas autoridades y tras informar a las personas afectadas. (54) Según reiterada jurisprudencia, al llevar a cabo ese control previo, el órgano jurisdiccional o la entidad administrativa independiente debe conciliar los diferentes intereses y derechos de que se trate para ponderar adecuadamente las exigencias de la investigación y la necesidad de salvaguardar los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales que asisten a las personas afectadas. (55)

34. En el presente asunto, el artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003 establece las condiciones en las que un órgano jurisdiccional nacional debe ordenar a los proveedores de servicios de comunicaciones electrónicas que concedan al Ministerio Fiscal acceso a los datos a petición de este último. No se discute (56) que el artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003 establece en términos claros y precisos las circunstancias y los requisitos con arreglo a los cuales un órgano jurisdiccional nacional puede ordenar a los proveedores de servicios de comunicaciones electrónicas que faciliten tal acceso. No obstante, el órgano jurisdiccional remitente considera que la «pena máxima de prisión no inferior a tres años» es excesivamente amplia, ya que abarca delitos como el hurto simple, que provocan escasa perturbación social.

35. Si bien el artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003 cubre potencialmente un amplio abanico de delitos, el Tribunal de Justicia no dispone de ninguna prueba en el marco del presente procedimiento de que abarque un número tan elevado de infracciones que haga que el acceso a los datos en virtud de dicho artículo sea la regla y no la excepción. (57) El umbral de una pena máxima de prisión no inferior a tres años previsto en esta disposición no parece excesivamente bajo. (58) Por analogía, el artículo 3, punto 9, de la Directiva 2016/681 (59) define los «delitos graves» como «los delitos incluidos en el anexo II que son punibles con una pena privativa de libertad o un auto de internamiento de una duración máxima no inferior a tres años con arreglo al Derecho nacional de un Estado miembro». (60) No obstante, el Tribunal de Justicia precisó que en la medida en que el artículo 3, punto 9, de la Directiva PNR se refiere no a la pena mínima aplicable, sino a la máxima, no debe excluirse que los «datos PNR puedan ser objeto de tratamiento a efectos de la lucha contra infracciones que, aunque cumplan el criterio establecido por dicho precepto en relación con el umbral de gravedad, correspondan, habida cuenta de las especificidades del sistema penal nacional, no a delitos graves, sino a la delincuencia común». (61)

36. La sanción de tres años prevista en el artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003 se refiere a la pena máxima aplicable y, por lo tanto, podría aplicarse a delitos como el hurto simple. (62) Por consiguiente, procede examinar cómo se aplica en la práctica el artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003. Sin perjuicio de que el órgano jurisdiccional remitente compruebe este extremo, el artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003 parece establecer dos normas distintas de control previo por un órgano jurisdiccional nacional en función de la naturaleza de los delitos investigados.

37. La primera de estas normas de control obliga (63) a los órganos jurisdiccionales nacionales a autorizar al Ministerio Fiscal a acceder a los datos conservados por los proveedores de servicios de comunicaciones electrónicas cuando tales datos sean pertinentes para la determinación de los hechos y si existen indicios suficientes de un delito de amenazas y acoso o perturbación por teléfono a personas, cuando la amenaza y la perturbación son graves. Por lo tanto, el órgano jurisdiccional nacional debe llevar a cabo una apreciación individual de la gravedad del delito de que se trate y comprobar si la investigación y persecución de dicho delito justifican que se limiten los derechos generales consagrados en los artículos 7, 8 y 11 de la Carta y los derechos específicos de los artículos 5, 6 y 9 de la Directiva 2002/58, Esta norma requiere una apreciación individualizada, en un caso determinado, de la proporcionalidad de la injerencia en esos derechos en relación con el objetivo de interés general de combatir la delincuencia.

38. En cambio, la segunda de estas normas de control, que es pertinente en el presente procedimiento, obliga (64) a los órganos jurisdiccionales nacionales a autorizar al Ministerio Fiscal a acceder a los datos conservados por los proveedores de servicios de comunicaciones electrónicas cuando tales datos sean pertinentes para la determinación de los hechos y si existen pruebas suficientes de un delito castigado, en particular, con una pena máxima de prisión no inferior a tres años. En tal caso, el papel del órgano jurisdiccional nacional se limita a comprobar si se cumplen tales requisitos objetivos, sin que pueda llevar a cabo una apreciación individualizada de la proporcionalidad de los intereses en el asunto de que se trate. (65) El control efectuado por el juez nacional en virtud del artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003 se desliga así de cualquier vínculo real con las circunstancias específicas del asunto del que conoce.

39. Si bien los órganos jurisdiccionales nacionales pueden no ser competentes para controlar la tipificación de los delitos por parte del legislador o para revisar la decisión del legislador acerca de la gravedad de tales delitos, (66) sí deben serlo para llevar a cabo una apreciación individualizada de la proporcionalidad de la concesión de acceso, en virtud de medidas legales adoptadas por remisión al artículo 15, apartado 1, de la Directiva 2002/58, a datos sensibles que permiten extraer conclusiones precisas sobre la vida privada de un usuario, lo que constituye una injerencia grave en los derechos fundamentales consagrados en los artículos 7, 8, 11 y 52, apartado 1, de la Carta.

40. De ello se desprende que mediante las medidas adoptadas de conformidad con el artículo 15, apartado 1, de la Directiva 2002/58 solo puede concederse el acceso a datos sensibles si el delito de que se trata alcanza el umbral de gravedad previamente determinado por el legislador nacional y un órgano jurisdiccional o una entidad administrativa independiente estima, a raíz de una apreciación o de un control individualizado, que la injerencia en los derechos fundamentales que supone dicho acceso es proporcionada respecto del objetivo de interés general de combatir la delincuencia en un caso particular. Sin embargo, en algunos casos, el acceso a estos datos puede no concederse incluso cuando el delito alcance el umbral de gravedad previsto en el Derecho nacional.

41. El delito de hurto agravado en el presente asunto se considera «grave» con arreglo al Derecho nacional, ya que puede ser castigado, en particular, con una pena de prisión de dos a seis años, por lo que alcanza el umbral de gravedad establecido en el artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003. (67) Cuando aplican medidas adoptadas en virtud del artículo 15, apartado 1, de la Directiva 2002/58, los órganos jurisdiccionales italianos no parecen competentes para cuestionar la calificación del hurto agravado como «delito grave» en Derecho nacional. Por lo tanto, cuando no se alcance el umbral fijado por el Derecho nacional, el órgano jurisdiccional remitente no puede conceder el acceso a los datos solicitados. (68)

42. Cuando se alcanza el umbral fijado por el legislador nacional, el órgano jurisdiccional remitente debe, con arreglo al artículo 15, apartado 1, de la Directiva 2002/58, controlar si, a la luz de todas las circunstancias propias del caso concreto, la injerencia en los derechos fundamentales que implica facilitar el acceso a datos sensibles es proporcionada al objetivo de interés general de combatir dicho delito. A este respecto, el órgano jurisdiccional remitente debe tener en cuenta y ponderar todos los derechos e intereses pertinentes, incluidos, en particular, los daños causados a los derechos de propiedad de las víctimas protegidos por el artículo 17 de la Carta y el hecho de que los teléfonos móviles pueden contener información muy sensible relativa a la vida privada, profesional y financiera de sus propietarios. (69) El acceso a los datos de que se trata puede ser el único medio eficaz disponible para investigar y perseguir los delitos en cuestión y para garantizar que sus autores, aún desconocidos, no actúen impunemente. También deben tenerse en cuenta los derechos de terceros. (70)

43. Por lo que respecta a los derechos de terceros, de los autos del órgano jurisdiccional remitente se desprende (71) que la Fiscalía de Bolzano solicitó el acceso a los datos relativos a las comunicaciones realizadas desde los teléfonos móviles hurtados a partir del 29 de octubre de 2021 en relación con el primer hurto cometido el 27 de octubre de 2021 (72) y de las efectuadas a partir del 20 de noviembre de 2021 en relación con el segundo hurto cometido ese mismo día. (73) Estas fechas muestran que las solicitudes de acceso afectan, de forma muy limitada, a los derechos de las víctimas garantizados, en particular, por los artículos 7, 8 y 11 de la Carta. (74) El Gobierno italiano también ha indicado en sus observaciones escritas que el procedimiento nacional se refiere únicamente a datos útiles para identificar al autor o autores de los hurtos de que se trata. En el supuesto de que se identificaran llamadas a terceros no relacionadas con el hurto o procedentes de terceros, estos datos serían destruidos, de conformidad con el artículo 269 del Código de Enjuiciamiento Criminal. (75) Por último, el artículo 132, apartado 3, letra c), del Decreto Legislativo n.º 196/2003 establece que no podrán utilizarse los datos obtenidos infringiendo lo dispuesto en los apartados 3 o 3 bis del mismo artículo. (76)

VI. Conclusión

44. A la luz de las consideraciones anteriores, propongo al Tribunal de Justicia que responda del siguiente modo a la cuestión prejudicial planteada por el Tribunale di Bolzano (Tribunal de Bolzano, Italia):

El artículo 15, apartado 1, de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), en la versión modificada por la Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, en relación con los artículos 7, 8, 11 y 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea

debe interpretarse en el sentido de que no se opone a una normativa nacional que obliga al juez a autorizar el acceso del Ministerio Fiscal a datos legalmente conservados por los proveedores de servicios de comunicaciones electrónicas que permitan extraer conclusiones precisas sobre la vida privada de un usuario, cuando tales datos sean pertinentes para la determinación de los hechos y si existen indicios suficientes de un delito grave, tal como se define en el Derecho nacional, sancionado con una pena máxima de prisión no inferior a tres años. Antes de conceder el acceso, el órgano jurisdiccional nacional debe llevar a cabo una apreciación individualizada de la proporcionalidad de la injerencia en los derechos fundamentales que tal acceso implica a la luz, en particular, de la gravedad del delito específico y de los hechos del caso concreto.

1 Lengua original: inglés.

2 Directiva del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO 2002, L 201, p. 37), en su versión modificada por la Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (DO 2009, L 337, p. 11).

3 Véase el artículo 5, apartado 1, de la Directiva 2002/58. La protección de la confidencialidad de las comuicaciones electrónicas, garantizada en el artículo 5, apartado 1, de la Directiva 2002/58, se aplica a las medidas adoptadas por todas las personas distintas de los usuarios, ya sean personas físicas o entidades privadas o públicas. Sentencia de 2 de octubre de 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788), apartado 36 y jurisprudencia citada.

4 Sentencia de 2 de marzo de 2021, Prokuratuur (Condiciones de acceso a los datos relativos a las comunicaciones electrónicas) (C‑746/18, EU:C:2021:152; en lo sucesivo, «sentencia Prokuratuur»).

5 Independientemente de la duración del período para el que se solicite acceder a los citados datos y de la cantidad o naturaleza de los datos disponibles en ese período.

6 O la prevención de amenazas graves contra la seguridad pública. Véase la sentencia Prokuratuur, apartados 35, 39 y 45. Véanse, asimismo, las sentencias de 2 de octubre de 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788), apartado 56, y de 6 de octubre de 2020, La Quadrature du Net y otros (C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791), apartado 140.

7 Sentencia Prokuratuur, apartados 48 a 52.

8 Directiva del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31).

9 Suplemento ordinario n.º 123 a la GURI n.º 174, de 29 de julio de 2003.

10 GURI n.º 234, de 30 de septiembre de 2021, p. 1.

11 GURI n.º 284, de 29 de noviembre de 2021, p. 1.

12 El Derecho italiano califica los hurtos investigados ante el órgano jurisdiccional remitente de agravados.

13 El primer hurto se cometió el 27 de octubre de 2021 (número de referencia RGNR 9228/2021). El segundo tuvo lugar el 20 de noviembre de 2021 (número de referencia RGNR 9794/2021). Los hurtos de los teléfonos móviles tuvieron lugar en Bolzano y sus propietarios los denunciaron a los Carabinieri (Carabineros).

14 Cass. Pen. Sez. II, n.º 33116, ud. 7.9.2021, est. Pellegrino.

15 Según el órgano jurisdiccional remitente, «por ejemplo, es el caso del delito de allanamiento de morada, castigado por el artículo 614 del Código Penal con una pena de prisión de uno a cuatro años. Otros delitos cuyo límite legal de la pena no impide la obtención de registros de llamadas, castigados solo a instancia de parte por suscitar escasa alarma social, son los delitos tipificados en el artículo 633 del Código Penal (ocupación de terrenos y edificios: pena de prisión de entre uno a tres años y multa de entre 103 a 1 032 euros) o en el artículo 640 del Código Penal (estafa simple: pena de prisión de entre seis meses a tres años y multa de entre 51 a 1 032 euros)».

16 Véanse los artículos 7, 8 y 11 de la Carta.

17 Véase, por analogía, la sentencia de 17 de marzo de 2021, Consulmarketing (C‑652/19, EU:C:2021:208), apartado 33. Según reiterada jurisprudencia, con arreglo al artículo 267 TFUE, corresponde al Tribunal de Justicia proporcionar al órgano jurisdiccional nacional una respuesta que le permita dirimir el litigio del que conoce. Desde este punto de vista, corresponde al Tribunal de Justicia reformular las cuestiones que se le han planteado. Sentencia de 25 de julio de 2018, Dyson (C‑632/16, EU:C:2018:599), apartado 47 y jurisprudencia citada.

18 El autor de un delito de hurto simple puede ser castigado con una pena de prisión de seis meses a tres años y, por lo tanto, entra en el ámbito de aplicación del artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003.

19 En la medida en que estas referencias indican que el artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003 puede invocarse en la investigación de delitos que no son delitos graves, véanse los puntos 35 a 39 de las presentes conclusiones.

20 Así pues, la petición de decisión prejudicial se basa en la premisa de que la conservación de los datos solicitados es lícita. La conservación de los datos a que se refiere la Directiva 2002/58 y el acceso a ellos constituyen injerencias distintas en los derechos fundamentales garantizados por los artículos 7, 8 y 11 de la Carta y requieren una justificación distinta con arreglo al artículo 52, apartado 1, de esta. Véase, en este sentido, la sentencia de 5 de abril de 2022, Commissioner of An Garda Síochána y otros (C‑140/20, EU:C:2022:258), apartado 47. Los apartados 29 a 33 de la sentencia Prokuratuur proporcionan una visión general de las normas que regulan la conservación de tales datos.

21 A tenor del artículo 2, letra d), de la Directiva 2002/58, se entenderá por «comunicación» «cualquier información intercambiada o conducida entre un número finito de interesados por medio de un servicio de comunicaciones electrónicas disponible para el público […]».

22 A tenor del artículo 2, letra c), de la Directiva 2002/58, se entenderá por «datos de localización» «cualquier dato […] que indique la posición geográfica del equipo terminal de un usuario de un servicio de comunicaciones electrónicas disponible para el público».

23 Sentencia Prokuratuur, apartados 34 y 35. Véase, por analogía, la sentencia de 2 de octubre de 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788), apartados 59 a 62. Incumbe al órgano jurisdiccional remitente apreciar si el acceso a los datos controvertidos constituye una injerencia «grave» en los derechos fundamentales de los individuos afectados por esos datos. Las presentes conclusiones se basan en la premisa de que la injerencia que supone el acceso a los datos descritos en el punto 10 de las presentes conclusiones es grave.

24 La enumeración de objetivos que figura en el artículo 15, apartado 1, de la Directiva 2002/58 tiene carácter exhaustivo. Sentencia de 21 de diciembre de 2016, Tele2 Sverige y Watson y otros (C‑203/15 y C‑698/15, EU:C:2016:970), apartado 90.

25 Véanse, en este sentido, las conclusiones del Abogado General Saugmandsgaard Øe dictadas en el asunto Ministerio Fiscal (C‑207/16, EU:C:2018:300), puntos 79 a 82 y jurisprudencia citada. En relación con el objetivo de lucha contra la delincuencia, en principio solo podrá concederse acceso a los datos de personas de las que se sospeche que planean, van a cometer o han cometido un delito grave o que puedan estar implicadas de un modo u otro en un delito grave. Sentencia de 5 de abril de 2022, Commissioner of An Garda Síochána y otros (C‑140/20, EU:C:2022:258), apartado 105.

26 Véase, en este sentido, el artículo 3 de la Directiva 2002/58, que establece que esta se aplicará al tratamiento de datos personales en relación con la prestación de servicios de comunicaciones electrónicas disponibles al público. Véanse, asimismo, la sentencia de 21 de diciembre de 2016, Tele2 Sverige y Watson y otros (C‑203/15 y C‑698/15, EU:C:2016:970), apartados 70 y 74, y, por analogía, las conclusiones del Abogado General Szpunar presentadas en el asunto La Quadrature du Net y otros (Datos personales y lucha contra la falsificación) (C‑470/21, EU:C:2022:838), punto 38.

27 Sentencia de 6 de octubre de 2020, La Quadrature du Net y otros (C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791), apartado 97.

28 Con el fin de proteger la seguridad nacional, la defensa, la seguridad pública, la prevención, investigación, descubrimiento y persecución de delitos y la utilización no autorizada del sistema de comunicaciones electrónicas.

29 Sentencias de 6 de octubre de 2020, La Quadrature du Net y otros (C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791), apartado 98, y de 6 de octubre de 2020, Privacy International (C‑623/17, EU:C:2020:790), apartado 38 y jurisprudencia citada.

30 Véanse, en cambio, el artículo 2, apartado 2, de la Decisión Marco 2002/584/JHA del Consejo, de 13 de junio de 2002, relativa a la orden de detención europea y a los procedimientos de entrega entre Estados miembros (DO 2002, L 190, p. 1), en su versión modificada por la Decisión Marco 2009/299/JHA del Consejo, de 26 de febrero de 2009 (DO 2009, L 81, p. 24), que enumera los delitos que dan lugar a la entrega en virtud de una orden de detención europea, y el anexo II de la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave (DO 2016, L 119, p. 132), que enumera los «delitos graves» definidos en el artículo 3, punto 9, de dicha Directiva.

31 La Directiva 2002/58 no menciona los términos «delitos generales» o «delitos graves». El Tribunal de Justicia se refiere a estos términos en su jurisprudencia sin definirlos ni proporcionar ningún criterio sobre la forma en que los legisladores nacionales podrían hacerlo. Véanse, por ejemplo, las sentencias de 21 de diciembre de 2016, Tele2 Sverige y Watson y otros (C‑203/15 y C‑698/15, EU:C:2016:970), apartados 115 y 125, y de 2 de octubre de 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:78), apartados 54, 56 y 63. Véase también, a este respecto, el apartado 45 de la sentencia Prokuratuur.

32 Véase, en cambio, el artículo 1, apartado 1, de la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE (DO 2006, L 105, p. 54), que establecía que «la presente Directiva se propone armonizar las disposiciones de los Estados miembros relativas a las obligaciones de los proveedores de servicios de comunicaciones electrónicas de acceso público o de una red pública de comunicaciones en relación con la conservación de determinados datos generados o tratados por los mismos, para garantizar que los datos estén disponibles con fines de investigación, detección y enjuiciamiento de delitos graves, tal como se definen en la legislación nacional de cada Estado miembro» (el subrayado es mío). Mediante sentencia de 8 de abril de 2014, Digital Rights Ireland y otros (C‑293/12 y C‑594/12, EU:C:2014:238) el Tribunal de Justicia declaró inválida la Directiva 2006/24.

33 Véase, por analogía, la sentencia de 7 de septiembre de 2022, Staatssecretaris van Justitie en Veiligheid (Naturaleza del derecho de residencia en virtud del artículo 20 TFUE) (C‑624/20, EU:C:2022:639), apartados 19 y 20.

34 Sentencia de 6 de octubre de 2020, La Quadrature du Net y otros (C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791), apartados 99 y 135.

35 Además, el artículo 4 TUE, apartado 2, establece que la seguridad nacional seguirá siendo responsabilidad exclusiva de cada Estado miembro. El hecho de que se haya adoptado una medida nacional con el fin de proteger la seguridad nacional no puede dar lugar a la inaplicabilidad del Derecho de la Unión ni dispensar a los Estados miembros de la necesaria observancia de dicho Derecho. Sentencia de 6 de octubre de 2020, La Quadrature du Net y otros (C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791), apartados 99 y 135.

36 Si bien la importancia del objetivo de protección de la seguridad nacional prevalece sobre el de combatir la delincuencia grave y, por lo tanto, puede justificar injerencias más graves en los derechos fundamentales, ese objetivo no afecta a la facultad de los Estados miembros de definir los conceptos de «delito» o «delito grave». Sentencia de 6 de octubre de 2020, La Quadrature du Net y otros (C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791), apartado 136.

37 Y la de las circunstancias atenuantes y agravantes.

38 El Abogado General Saugmandsgaard Øe consideró que la legislación penal y las normas que rigen el proceso penal son competencia de los Estados miembros, aunque su ordenamiento jurídico pueda no obstante verse afectado por las disposiciones del Derecho de la Unión adoptadas en este ámbito sobre la base, en particular, del artículo 83 TFUE, apartado 2. Por lo tanto, no existe una disposición de carácter general que proporcione una definición armonizada del concepto de «delito grave». Conclusiones dictadas en el asunto Ministerio Fiscal (C‑207/16, EU:C:2018:300), punto 95. El Abogado General Pitruzzella declaró que la definición de «delito grave» debía dejarse a la apreciación de los Estados miembros. En efecto, y dependiendo de los sistemas jurídicos nacionales, una misma infracción puede castigarse con mayor o menor severidad. La definición de las circunstancias agravantes también puede variar en función de los Estados miembros. Conclusiones dictadas en el asunto Prokuratuur (Condiciones de acceso a los datos relativos a las comunicaciones electrónicas) (C‑746/18, EU:C:2020:18), puntos 91 y 92. En cambio, el Abogado General Szpunar estimó que «el concepto de “delincuencia grave” debe […] recibir una interpretación autónoma. Esta no puede depender de los conceptos de cada Estado miembro, puesto que ello permitiría eludir los requisitos del artículo 15, apartado 1, de la Directiva 2002/58 en función de que los Estados miembros adopten un concepto amplio o no de la lucha contra la delincuencia grave». Conclusiones dictadas en el asunto La Quadrature du Net y otros (Datos personales y lucha contra la falsificación) (C‑470/21, EU:C:2022:838), punto 74.

39 Artículo 83 TFUE, apartado 1, párrafo primero. Véase asimismo la sentencia de 21 de octubre de 2021, Okrazhna prokuratura — Varna (C‑845/19 y C‑863/19, EU:C:2021:864), apartado 32.

40 Véase, por analogía, la sentencia Prokuratuur, apartados 41 y 42. El Tribunal de Justicia declaró que, ante la inexistencia de normas de la Unión en la materia y en virtud del principio de autonomía procesal, «incumbe en principio únicamente al Derecho nacional determinar las normas relativas a la admisibilidad y a la apreciación, en el marco de un proceso penal incoado contra personas sospechosas de haber cometido actos de delincuencia, de la información y de las pruebas que se han obtenido mediante una conservación generalizada e indiferenciada de tales datos contraria al Derecho de la Unión». La base jurídica de la Directiva 2002/58 es el artículo 114 TFUE (antiguo artículo 95 TCE) y no, por ejemplo, el artículo 83 TFUE, apartado 1, párrafo primero. En cambio, las bases jurídicas de la Directiva 2016/681 son los artículos 82 TFUE, apartado 1, letra d) (cooperación judicial en materia penal) y 87 TFUE, apartado 2, letra a) (cooperación policial).

41 Véase el punto 21 de las presentes conclusiones.

42 Véase, por analogía, la sentencia de 23 de octubre de 2007, Comisión/Consejo (C‑440/05, EU:C:2007:625), apartados 66, 70 y 71 y jurisprudencia citada. Véase asimismo la sentencia de 28 de abril de 2011, El Dridi (C‑61/11 PPU, EU:C:2011:268), apartado 53.

43 El artículo 15, apartado 1, de la Directiva 2002/58 establece que los Estados miembros «podrán adoptar» medidas legales que limiten determinados derechos y obligaciones previstos en dicha Directiva.

44 Sentencia de 21 de diciembre de 2016, Tele2 Sverige y Watson y otros (C‑203/15 y C‑698/15, EU:C:2016:970), apartado 89. El Abogado General Saugmandsgaard Øe consideró que, «aunque cada Estado miembro tiene la facultad de apreciar cuál es la pena mínima adecuada para caracterizar una infracción grave, sin embargo tiene el deber de no fijarlo a un nivel tan bajo, en relación con el nivel habitual de las penas aplicables en dicho Estado, que las excepciones a la prohibición de almacenar y explotar datos personales previstas en este artículo 15, apartado 1, se conviertan en principios […]»; conclusiones presentadas en el asunto Ministerio Fiscal (C‑207/16, EU:C:2018:300), punto 114.

45 Nada indica que la ley italiana controvertida no respete este principio.

46 Sentencia de 5 de abril de 2022, Commissioner of An Garda Síochána y otros (C‑140/20, EU:C:2022:258), apartado 127.

47 Véase también el considerando 11 de la Directiva 2002/58.

48 Véase también el considerando 2 de la Directiva 2002/58.

49 Sentencias de 21 de diciembre de 2016, Tele2 Sverige y Watson y otros (C‑203/15 y C‑698/15, EU:C:2016:970), apartado 89, y de 6 de octubre de 2020, La Quadrature du Net y otros (C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791), apartados 111 a 113. Véanse también las conclusiones del Abogado General Saugmandsgaard Øe presentadas en el asunto Ministerio Fiscal (C‑207/16, EU:C:2018:300), puntos 116 a 120. En la sentencia de 8 de marzo de 2022, Bezirkshauptmannschaft Hartberg-Fürstenfeld (Efecto directo) (C‑205/20, EU:C:2022:168), apartado 31, el Tribunal de Justicia recordó que el principio de proporcionalidad vincula a los Estados miembros cuando aplican el Derecho de la Unión. En este contexto, los Estados miembros deben observar el artículo 49, apartado 3, de la Carta cuando adopten sanciones penales, incluso en caso de que no exista una legislación de la Unión que armonice dichas sanciones.

50 Artículo 52, apartado 1, de la Carta. Sentencia de 6 de octubre de 2020, La Quadrature du Net y otros (C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791), apartado 120.

51 Sentencia de 21 de diciembre de 2016, Tele2 Sverige y Watson y otros (C‑203/15 y C‑698/15, EU:C:2016:970), apartados 117 a 119. Véase también la sentencia de 6 de octubre de 2020, La Quadrature du Net y otros (C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791), apartados 110 y 129 a 133.

52 Por ejemplo, el artículo 132, apartado 3 bis, del Decreto Legislativo n.º 196/2003 establece normas especiales para el acceso a los datos en caso de urgencia. En sus conclusiones presentadas en el asunto La Quadrature du Net y otros (Datos personales y lucha contra la falsificación) (C‑470/21, EU:C:2022:838), puntos 99 a 105, el Abogado General Szpunar estimó que solo es necesario un control previo en caso de intrusiones especialmente graves en la vida privada de los usuarios de los servicios de comunicaciones electrónicas. El control previo es necesario dado que la injerencia en el presente procedimiento es grave debido a la naturaleza de los datos a los que el Ministerio Fiscal solicita acceder.

53 El requisito de control previo ha sido establecido por la jurisprudencia del Tribunal de Justicia, y no por la Directiva 2002/58: sentencia de 21 de diciembre de 2016, Tele2 Sverige y Watson y otros (C‑203/15 y C‑698/15, EU:C:2016:970), apartados 120 y 121 y jurisprudencia citada.

54 Sentencia de 21 de diciembre de 2016, Tele2 Sverige y Watson y otros (C‑203/15 y C‑698/15, EU:C:2016:970), apartados 120 y 121.

55 Sentencia Prokuratuur, apartado 52.

56 Sin perjuicio de su comprobación por el órgano jurisdiccional remitente.

57 Véase el análisis que el Abogado General Saugmandsgaard Øe expuso en sus conclusiones presentadas en el asunto Ministerio Fiscal (C‑207/16, EU:C:2018:300), puntos 116 a 120. En última instancia, corresponde al órgano jurisdiccional remitente apreciar esta cuestión.

58 El hecho de que la tipificación de los delitos y el régimen de sanciones en un Estado miembro difiera de los adoptados en otro no puede tener incidencia por sí mismo en la proporcionalidad de la normativa. Véase, por analogía, la sentencia de 8 de julio de 2010, Sjöberg y Gerdin (C‑447/08 y C‑448/08, EU:C:2010:415), apartado 38.

59 La Directiva 2016/681 se refiere a la transferencia y el tratamiento de datos de pasajeros con fines de prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y los delitos graves.

60 El Tribunal de Justicia ha declarado que los requisitos que resultan de esta disposición, que se refieren a la naturaleza y a la severidad de la pena aplicable, sirven, en principio, para limitar la aplicación del sistema establecido por la Directiva 2016/681 a aquellos delitos que presenten un nivel de gravedad suficiente para poder justificar la injerencia en los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta. Sentencia de 21 de junio de 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491), apartado 150.

61 Así, el Tribunal de Justicia ha declarado que los Estados miembros deben garantizar que el sistema establecido por la Directiva 2016/681 se limite a la lucha contra los delitos graves, y no se extienda a los delitos comunes. Sentencia de 21 de junio de 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491), apartados 151 y 152. El objeto y el ámbito de aplicación de la Directiva 2016/681, que prevé, en particular, el intercambio de datos PNR entre los Estados miembros, no se solapan con los de la Directiva 2002/58. De ello se deduce que las disposiciones de estas Directivas deben apreciarse separadamente y en función de sus propios méritos. A este respecto, y contrariamente a lo que ocurre con el artículo 15, apartado 1, de la Directiva 2002/58, el concepto de «delito grave» que figura en la Directiva 2016/680 es un concepto autónomo del Derecho de la Unión. Véanse, a este respecto, el considerando 12, el artículo 3, punto 9, y el anexo II de la Directiva 2016/681.

62 Véase, por analogía, la sentencia de 21 de junio de 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491), apartado 151.

63 El texto lingüístico original utiliza los términos «i dati sono acquisiti».

64 Sin perjuicio de que el órgano jurisdiccional remitente compruebe este extremo, la utilización del indicativo en el artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003 («i dati sono acquisiti») implica que el órgano jurisdiccional nacional concederá el acceso a los datos de que se trate siempre que se cumplan los requisitos objetivos que dicha disposición impone.

65 En la vista, las observaciones de la Fiscalía de Bolzano y del Gobierno italiano sobre el papel del órgano jurisdiccional nacional y sobre el alcance del control previo con arreglo al artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003 difieren. Mientras que el Ministerio Fiscal alegó que el órgano jurisdiccional nacional debe, antes de conceder el acceso a tales datos, realizar una apreciación individualizada de la proporcionalidad, el Gobierno italiano subrayó que el órgano jurisdiccional nacional está vinculado, de conformidad con el artículo 101 de la Costituzione della Repubblica Italiana (Constitución de la República Italiana) y el artículo 1 del Código penal, por el principio de legalidad y, por lo tanto, no puede efectuar lo que calificó de interpretación creativa de la ley. Corresponde al órgano jurisdiccional remitente interpretar las disposiciones del Derecho nacional aplicables.

66 A menos que el Derecho nacional lo permita y siempre que se respete, en particular, el artículo 49 de la Carta.

67 Una pena máxima de prisión no inferior a tres años.

68 El artículo 52, apartado 1, de la Carta dispone que cualquier limitación del ejercicio de un derecho reconocido por la Carta deberá ser establecido por ley. Ello implica que los órganos jurisdiccionales nacionales están, en principio, vinculados por la legislación nacional que contiene tales limitaciones.

69 Los teléfonos móviles pueden contener fotografías, datos sanitarios, extractos bancarios, contraseñas, etc. Por lo tanto, el hurto de un teléfono móvil puede comprometer la identidad digital de su propietario y sus efectos pueden exceder considerablemente la pérdida de su valor monetario. Por consiguiente, el órgano jurisdiccional remitente también debería tener en cuenta y ponderar los posibles daños causados a los derechos de las víctimas en virtud, en particular, de los artículos 7, 8 y 17 de la Carta.

70 Como las víctimas del presunto delito.

71 Sin perjuicio de su comprobación por el órgano jurisdiccional remitente.

72 Número de referencia RGNR 9228/2021.

73 Número de referencia RGNR 9794/2021.

74 Si bien los datos pueden referirse a comunicaciones dirigidas a la víctima con posterioridad a la fecha del robo, no se refieren, en realidad, a comunicaciones que la víctima haya efectuado ni a sus datos de localización.

75 Según el Gobierno italiano, el artículo 269, apartado 2, del Código de Enjuiciamiento Criminal dispone que «[…] las grabaciones se conservarán hasta que se dicte sentencia firme. No obstante, con el fin de proteger la confidencialidad, las partes interesadas pueden solicitar al juez que haya autorizado o validado la intervención que se destruyan las grabaciones que no hayan sido incorporadas a los autos» (por carecer de pertinencia). Si bien el acceso a datos relativos a terceros inocentes es ilimitado, la utilización de estos datos parece, sin perjuicio de la comprobación que efectúe el órgano jurisdiccional remitente sobre este extremo, estar regulada por el Derecho nacional.

76 La petición de decisión prejudicial no explica el sentido exacto de esta disposición ni su aplicación práctica.