Edición provisional
CONCLUSIONES DEL ABOGADO GENERAL
SR. A. M. COLLINS
presentadas el 8 de junio de 2023(1)
Asunto C‑178/22
Desconocidos
parte coadyuvante:
Procura della Repubblica presso il Tribunale di Bolzano
[Petición de decisión prejudicial planteada por el Tribunale di Bolzano (Tribunal de Bolzano, Italia)]
«Procedimiento prejudicial — Tratamiento de los datos personales en el sector de las comunicaciones electrónicas — Confidencialidad de las comunicaciones — Proveedores de servicios de comunicaciones electrónicas — Directiva 2002/58/CE — Artículos 1, apartado 3, y 15, apartado 1 — Carta de los Derechos Fundamentales de la Unión Europea — Artículos 7, 8, 11 y 52, apartado 1 — Solicitud del Ministerio Fiscal de acceder a datos para la investigación y persecución de un hurto agravado del teléfono móvil — Definición de “delito grave” que puede justificar una injerencia grave en los derechos fundamentales — Alcance del control previo destinado a garantizar el cumplimiento del requisito de la comisión de un delito grave — Principio de proporcionalidad»
I. Introducción
1. La Procura della Repubblica presso il Tribunale di Bolzano (Fiscalía de la República ante el Tribunal de Bolzano, Italia; en lo sucesivo, «Fiscalía de Bolzano») solicita al Tribunale di Bolzano (Tribunal de Bolzano, Italia) que le autorice a acceder a los datos conservados por los proveedores de servicios de comunicaciones electrónicas en virtud del Derecho nacional, que permite, en particular, rastrear e identificar el origen y el destino de las comunicaciones desde teléfonos móviles.
2. En el marco de esta petición, el Tribunale di Bolzano (Tribunal de Bolzano) solicita al Tribunal de Justicia que interprete el artículo 15, apartado 1, de la Directiva 2002/58/CE. (2) Esta disposición permite a los Estados miembros introducir excepciones legales a la obligación, prevista en dicha Directiva, (3) de garantizar la confidencialidad de las comunicaciones electrónicas. En la sentencia Prokuratuur, (4) el Tribunal de Justicia declaró que el acceso a los datos que permite extraer conclusiones precisas sobre la vida privada de un usuario, en virtud de medidas adoptadas con arreglo al artículo 15, apartado 1, de la Directiva 2002/58, constituye una injerencia grave en los derechos y principios fundamentales consagrados en los artículos 7, 8, 11 y 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»). (5) Tal acceso no puede autorizarse a efectos de la prevención, investigación, descubrimiento y persecución de «delitos en general». Solo puede concederse en procedimientos que tengan por objeto la lucha contra la «delincuencia grave» (6) y debe supeditarse a un control previo efectuado por un órgano jurisdiccional o una entidad administrativa independiente para garantizar que se cumple este requisito. (7) El Tribunale di Bolzano (Tribunal de Bolzano) solicita al Tribunal de Justicia que esclarezca dos aspectos de la sentencia Prokuratuur: el concepto de «delincuencia grave» y el alcance del control previo que un órgano jurisdiccional debe ejercer en virtud de una disposición de Derecho nacional que le obliga a autorizar el acceso a los datos conservados por los proveedores de servicios de comunicaciones electrónicas.
II. Marco jurídico
A. Derecho de la Unión
3. El artículo 5 de la Directiva 2002/58, titulado «Confidencialidad de las comunicaciones», dispone:
«1. Los Estados miembros garantizarán, a través de la legislación nacional, la confidencialidad de las comunicaciones, y de los datos de tráfico asociados a ellas, realizadas a través de las redes públicas de comunicaciones y de los servicios de comunicaciones electrónicas disponibles al público. En particular, prohibirán la escucha, la grabación, el almacenamiento u otros tipos de intervención o vigilancia de las comunicaciones y los datos de tráfico asociados a ellas por personas distintas de los usuarios, sin el consentimiento de los usuarios interesados, salvo cuando dichas personas estén autorizadas legalmente a hacerlo de conformidad con el apartado 1 del artículo 15. […]»
4. El artículo 6 de la Directiva 2002/58, con la rúbrica «Datos de tráfico», establece:
«1. Sin perjuicio de lo dispuesto en los apartados 2, 3 y 5 del presente artículo y en el apartado 1 del artículo 15, los datos de tráfico relacionados con abonados y usuarios que sean tratados y almacenados por el proveedor de una red pública de comunicaciones o de un servicio de comunicaciones electrónicas disponible al público deberán eliminarse o hacerse anónimos cuando ya no sea necesario a los efectos de la transmisión de una comunicación.
[…]
5. Solo podrán encargarse del tratamiento de datos de tráfico, de conformidad con los apartados 1, 2, 3 y 4, las personas que actúen bajo la autoridad del proveedor de las redes públicas de comunicaciones o de servicios de comunicaciones electrónicas disponibles al público que se ocupen de la facturación o de la gestión del tráfico, de las solicitudes de información de los clientes, de la detección de fraudes, de la promoción comercial de los servicios de comunicaciones electrónicas o de la prestación de un servicio con valor añadido, y dicho tratamiento deberá limitarse a lo necesario para realizar tales actividades.
[…]»
5. El artículo 9 de la Directiva 2002/58, con el epígrafe «Datos de localización distintos de los datos de tráfico», enuncia:
«1. En caso de que puedan tratarse datos de localización, distintos de los datos de tráfico, relativos a los usuarios o abonados de redes públicas de comunicaciones o de servicios de comunicaciones electrónicas disponibles al público, solo podrán tratarse estos datos si se hacen anónimos, o previo consentimiento de los usuarios o abonados, en la medida y por el tiempo necesarios para la prestación de un servicio con valor añadido. El proveedor del servicio deberá informar a los usuarios o abonados, antes de obtener su consentimiento, del tipo de datos de localización distintos de los datos de tráfico que serán tratados, de la finalidad y duración del tratamiento y de si los datos se transmitirán a un tercero a efectos de la prestación del servicio con valor añadido. Se deberá ofrecer a los usuarios y abonados la posibilidad de retirar en todo momento su consentimiento para el tratamiento de los datos de localización distintos de los datos de tráfico.
[…]»
6. El artículo 15, apartado 1, de la Directiva 2002/58 está redactado en los siguientes términos:
«Los Estados miembros podrán adoptar medidas legales para limitar el alcance de los derechos y las obligaciones que se establecen en los artículos 5 y 6, en los apartados 1 a 4 del artículo 8 y en el artículo 9 de la presente Directiva, cuando tal limitación constituya una medida necesaria proporcionada y apropiada en una sociedad democrática para proteger la seguridad nacional (es decir, la seguridad del Estado), la defensa, la seguridad pública, o la prevención, investigación, descubrimiento y persecución de delitos o la utilización no autorizada del sistema de comunicaciones electrónicas a que se hace referencia en el apartado 1 del artículo 13 de la Directiva 95/46/CE. (8) Para ello, los Estados miembros podrán adoptar, entre otras, medidas legislativas en virtud de las cuales los datos se conserven durante un plazo limitado justificado por los motivos establecidos en el presente apartado. Todas las medidas contempladas en el presente apartado deberán ser conformes con los principios generales del Derecho comunitario, incluidos los mencionados en los apartados 1 y 2 del artículo 6 del Tratado de la Unión Europea.»
B. Derecho nacional
7. El artículo 132, apartado 3, del Decreto Legislativo 30 giugno 2003, n.º 196/2003, recante il Codice in materia di protezione dei dati personali (Decreto Legislativo n.º 196 por el que se establece un Código en materia de protección de datos personales), de 30 de junio de 2003, (9) en su versión modificada recientemente por el artículo 1 del Decreto legge 30 settembre 2021 n.º 132, Misure urgenti in materia di giustizia e di difesa, nonché proroghe in tema di referendum, assegno temporaneo e IRAP, convertito con modificazioni nella legge 23 novembre 2021 n.º 178 (Decreto-ley n.º 132, de 30 de septiembre de 2021, (10) por el que se establecen medidas urgentes en materia de justicia y defensa, así como prórrogas en materia de referéndum, subsidio temporal e IRAP, convalidado, con modificaciones, por la Ley n.º 178, de 23 de noviembre de 2021; (11) en lo sucesivo, «artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003») establece:
3: «Dentro del plazo de conservación impuesto por la ley [es decir, 24 meses desde la fecha de la comunicación], si existen indicios suficientes de un delito para el que la ley establezca una pena de prisión permanente o una pena máxima de prisión no inferior a 3 años, determinada de conformidad con el artículo 4 del Codice di Procedura Penale (Código de Enjuiciamiento Criminal), y de delitos de amenazas y acoso o perturbación por teléfono a personas, si la amenaza y la perturbación son graves, cuando sea pertinente para la determinación de los hechos, se obtendrán los datos previa autorización del juez mediante auto motivado, a solicitud del Ministerio Fiscal o del abogado del imputado, del investigado, de la víctima y de las otras partes particulares;
[…]
3 quater: No podrán utilizarse los datos obtenidos en vulneración de las disposiciones de los apartados 3 y 3 bis.»
8. A tenor del artículo 4 del Código de Enjuiciamiento Criminal, titulado «Normas para la determinación de la competencia»:
«A fin de determinar la competencia se tendrá en cuenta la pena establecida en la ley para cada delito consumado o en grado de tentativa. No se tendrán en cuenta el carácter continuado, la reincidencia ni las circunstancias del delito, con excepción de las circunstancias agravantes respecto a las que la ley establezca una pena de naturaleza distinta de la ordinaria del delito y las que produzcan un efecto especial.»
9. Según el órgano jurisdiccional remitente, el Ministerio Fiscal puede perseguir de oficio el delito de hurto agravado. (12) En virtud del artículo 625 del Codice penale (Código Penal), la persona culpable de un hurto agravado será castigada con una pena especial de prisión de dos a seis años y con multa de 927 a 1 500 euros. El artículo 624 del Código Penal establece que la persona culpable de un hurto simple, perseguible solo a instancia de parte, será castigada con una pena privativa de libertad de seis meses a tres años y una multa de 154 a 516 euros.
III. Litigios principales y cuestión prejudicial
10. El Fiscalía de Bolzano inició dos procesos penales contra autores desconocidos por hurto agravado de un teléfono móvil con arreglo a los artículos 624 y 625 del Código Penal. (13) Con el fin de localizar a los autores, solicitó al órgano jurisdiccional remitente, con arreglo al artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003, «[…] la autorización para obtener de todas las compañías telefónicas todos los datos en su poder, con métodos de seguimiento y localización (en particular, usuarios y, en su caso, códigos IMEI del emisor y del destinatario de las llamadas, sitios visitados y a los que se ha accedido, hora y duración de la llamada/conexión e indicación de las células o repetidores afectados, usuarios e IMEI de remitentes/destinatarios de los SMS o MMS y, de ser posible, datos de los titulares correspondientes) de las conversaciones/comunicaciones telefónicas y conexiones efectuadas, incluidas las llamadas en itinerancia, entrantes y salientes, también las llamadas no facturadas (llamadas perdidas) desde la fecha del hurto hasta la fecha de tramitación de la solicitud».
11. El órgano jurisdiccional remitente duda de la compatibilidad del artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003 con el artículo 15, apartado 1, de la Directiva 2002/58, tal como ha sido interpretado en la sentencia Prokuratuur. Señala que, el 7 de septiembre de 2021, la Corte Suprema di Cassazione (Tribunal Supremo de Casación, Italia) (14) declaró que, dado que los órganos jurisdiccionales nacionales disponen de discrecionalidad interpretativa para determinar los delitos que constituyen «amenazas graves contra la seguridad nacional y otras formas de delincuencia grave», la sentencia Prokuratuur no se aplica directamente a los órganos jurisdiccionales nacionales. A raíz de la sentencia de la Corte Suprema di Cassazione (Tribunal Supremo de Casación), el legislador italiano adoptó el Decreto-ley n.º 132, de 30 de septiembre de 2021, cuyo artículo 132, apartado 3, califica como delitos graves a efectos de la obtención de registros de llamadas, en particular, los delitos castigados con una «pena máxima de prisión no inferior a tres años».
12. Según el órgano jurisdiccional remitente, el umbral que determina la calificación de un delito como grave previsto en el artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003 incluye en su ámbito de aplicación delitos que causan una perturbación social limitada y solo pueden ser perseguidos a instancia de parte. (15) Así, en virtud de esta disposición, es posible obtener acceso a registros de llamadas por el hurto de un objeto de valor mínimo, como un teléfono móvil o una bicicleta. De este modo, a su juicio, el umbral previsto en el artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003 vulnera el principio de proporcionalidad, de conformidad con el artículo 52, apartado 1, de la Carta, que exige que, en todo caso, se pondere la gravedad de la infracción investigada con la limitación del disfrute de un derecho fundamental. La persecución de delitos menores no justifica limitar el disfrute de los derechos fundamentales al respeto de la vida privada, a la protección de los datos de carácter personal y a la libertad de expresión y de información. (16)
13. El órgano jurisdiccional remitente explica que los jueces italianos disponen de un margen de discrecionalidad muy restringido para denegar el acceso a los registros de llamadas, pues este debe concederse si concurren «indicios suficientes de un delito» y cuando tal autorización sea «pertinente para la determinación de los hechos». En particular, los órganos jurisdiccionales no son competentes para evaluar la gravedad de la infracción investigada. El legislador así lo dispuso cuando estableció, de manera general y sin hacer distinción entre los diferentes tipos de delitos, que el acceso a los registros de llamadas debía concederse, en particular, para la investigación de todos los delitos castigados con una pena máxima de prisión no inferior a tres años.
14. En estas circunstancias, el Tribunale di Bolzano (Tribunal de Bolzano) decidió suspender el procedimiento y plantear al Tribunal de Justicia la siguiente cuestión prejudicial:
«¿Se opone el artículo 15, apartado 1, de la [Directiva 2002/58] a la normativa nacional recogida en el [artículo 132, apartado 3, del Decreto Legislativo n.º 196 de 2003], que […] establece:
“Dentro del plazo de conservación impuesto por la ley, si existen indicios suficientes de un delito para el que la ley establezca una pena de prisión permanente o una pena máxima de prisión no inferior a 3 años, determinada de conformidad con el artículo 4 del Código de Enjuiciamiento Criminal, y de delitos de amenazas y acoso o perturbación por teléfono a personas, si la amenaza y la perturbación son graves, cuando sea pertinente para la determinación de los hechos, se obtendrán los datos previa autorización del juez mediante auto motivado, a solicitud del Ministerio Fiscal o del abogado del imputado, del investigado, de la víctima y de las otras partes particulares?”»
IV. Procedimiento ante el Tribunal de Justicia
15. Han presentado observaciones escritas los Gobiernos de Austria, Chipre, Estonia, Francia, Hungría, Irlanda, Italia, Países Bajos, Polonia y la República Checa, así como la Comisión Europea.
16. En la vista oral, celebrada el 21 de marzo de 2023, se oyeron los informes orales de estas partes interesadas y de la Fiscalía de Bolzano, así como sus respuestas a las preguntas formuladas por el Tribunal de Justicia.
V. Apreciación
A. Admisibilidad
17. El Gobierno italiano e Irlanda sostienen que una parte de la petición de decisión prejudicial es inadmisible. Según los hechos de la resolución de remisión, la solicitud de acceso se produjo en el contexto de la investigación de unoshurtos agravados de teléfonos móviles. Irlanda subraya que la Fiscalía de Bolzano puede perseguir este tipo de delito de oficio. A su juicio, esa facultad refleja la creencia de que la naturaleza y los efectos del delito afectan a la sociedad en general. Así pues, sostiene que la petición de decisión prejudicial tiene carácter hipotético en la medida en que también se refiere a delitos que solo pueden perseguirse a instancia de parte. El Gobierno italiano señala que el órgano jurisdiccional remitente menciona una serie de delitos que no son pertinentes en los asuntos pendientes ante él. El Gobierno italiano y la Comisión sostienen que, contrariamente a la mención que se hace en la solicitud a «una pena máxima de prisión no inferior a tres años», con arreglo al artículo 625 del Código Penal, el delito de hurto agravado se castiga con una pena de prisión de dos a seis años. Por consiguiente, la Comisión propone al Tribunal de Justicia que reformule la cuestión. El Gobierno francés también solicita al Tribunal de Justicia que reformule la cuestión. Considera que, si bien el Tribunal de Justicia puede interpretar disposiciones del Derecho de la Unión, no es competente para apreciar la compatibilidad de disposiciones del Derecho nacional con el Derecho de la Unión.
18. Mediante la cuestión planteada por el órgano jurisdiccional remitente se solicita literalmente al Tribunal de Justicia que se pronuncie sobre la compatibilidad de una disposición de Derecho interno con el Derecho de la Unión. Ello no supone, en sí mismo, ningún obstáculo para proporcionar al órgano jurisdiccional remitente una interpretación del Derecho de la Unión, en este caso del artículo 15, apartado 1, de la Directiva 2002/58, que le permita pronunciarse sobre la compatibilidad con esta disposición de cualquier norma nacional controvertida en el litigio de que conoce. (17)
19. De la petición de decisión prejudicial se desprende que el Ministerio Fiscal solicitó el acceso a los datos, en particular, para investigar y perseguir dos incidentes constitutivos de un delito de hurto agravado de teléfono móvil en virtud del artículo 625 del Código Penal. En estas circunstancias, las referencias que en dicha solicitud se hacen a otros delitos, entre ellos el tipificado en el artículo 624 del Código Penal (hurto simple), (18) no son pertinentes para pronunciarse sobre las pretensiones pendientes ante el órgano jurisdiccional remitente. (19) La cuestión prejudicial no es hipotética en la medida en que versa sobre la solicitud de la Fiscalía de Bolzano de acceder a datos para investigar la comisión de delitos de hurto agravado. Por lo tanto, limitaré mi apreciación sobre la aplicación del artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003 a los hechos descritos por el órgano jurisdiccional remitente que se refieren al hurto agravado de teléfonos móviles.
B. Sobre el fondo
1. Consideraciones preliminares
20. El presente asunto tiene su origen en una solicitud de la Fiscalía de Bolzano de acceder a datos conservados por proveedores de servicios de comunicaciones electrónicas. No se refiere a la conservación de estos datos ni a su legalidad en virtud, en particular, del artículo 15, apartado 1, de la Directiva 2002/58. (20) Los datos consisten, en particular, en detalles de las comunicaciones entrantes y salientes (21) efectuadas con los teléfonos móviles hurtados y en datos de localización. (22) Aunque los datos no incluyen el contenido de las comunicaciones, permiten extraer conclusiones precisas sobre la vida privada de las personas cuyos datos se ven afectados, y acceder a ellos parece constituir una injerencia «grave» en sus derechos fundamentales. (23) La injerencia que supone el acceso a tales datos puede estar justificada por el objetivo, (24) contemplado en el artículo 15, apartado 1, primera frase, de la Directiva 2002/58, de prevenir, investigar, descubrir y perseguir los «delitos graves», pero no los delitos en general. Al interpretar el artículo 15, apartado 1, de la Directiva 2002/58, el Tribunal de Justicia vincula la gravedad de la injerencia en los derechos fundamentales de una persona a la gravedad del delito investigado. (25)
2. Competencia de los Estados miembros para definir los «delitos graves»
21. La Directiva 2002/58 regula las actividades de los proveedores de servicios de comunicaciones electrónicas en materia de tratamiento de datos personales. (26) El artículo 1, apartado 3, excluye expresamente del ámbito de aplicación de la Directiva 2002/58 las actividades del Estado en ámbitos determinados como la seguridad pública, la defensa, la seguridad del Estado y en materia penal. Las actividades contempladas en el artículo 15, apartado 1, de la Directiva 2002/58 coinciden sustancialmente con las descritas en su artículo 1, apartado 3, e incluyen las actividades del Estado en materia penal que están expresamente excluidas del ámbito de aplicación de la Directiva 2002/58. (27) Por lo tanto, existe un vínculo evidente entre las actividades estatales que el artículo 1, apartado 3, de la Directiva 2002/58 excluye del ámbito de aplicación de dicha Directiva y las medidas legales que los Estados miembros pueden adoptar en virtud del artículo 15, apartado 1, de esta. (28)
22. A pesar de este vínculo evidente, es jurisprudencia reiterada que, dado que el artículo 15, apartado 1, de la Directiva 2002/58 autoriza expresamente a los Estados miembros a adoptar las medidas legislativas nacionales que en él se describen, tales medidas están comprendidas en el ámbito de aplicación de dicha Directiva. De esta jurisprudencia se desprende que el concepto de «actividades», incluidas las «actividades del Estado en materia penal», que figura en el artículo 1, apartado 3, de la Directiva 2002/58, no incluye las medidas legislativas contempladas en el artículo 15, apartado 1, de esta. (29)
23. El término «delito» no se define ni en el artículo 2 de la Directiva 2002/58, que contiene varias definiciones a efectos de la aplicación de esta Directiva, ni en ninguna otra disposición de la Directiva 2002/58, incluido su artículo 15, apartado 1. La Directiva 2002/58 no contiene una enumeración de «delitos». (30) Por otra parte, la jurisprudencia que interpreta el artículo 15, apartado 1, de la Directiva 2002/58 no define este concepto. (31)
24. A pesar de la falta de tales definiciones, la Directiva 2002/58 no prevé que cada Estado miembro defina los «delitos» de conformidad con su Derecho nacional. (32) Según reiterada jurisprudencia del Tribunal de Justicia, se desprende de las exigencias tanto de la aplicación uniforme del Derecho de la Unión como del principio de igualdad que una disposición de Derecho de la Unión que no contenga una remisión expresa al Derecho de los Estados miembros para determinar su sentido y su alcance normalmente debe ser objeto en toda la Unión de una interpretación autónoma y uniforme. En el marco de la interpretación del artículo 15, apartado 1, de la Directiva 2002/58, el concepto de «infracciones penales» puede considerarse, al menos en principio, como un concepto autónomo del Derecho de la Unión que ha de interpretarse de manera uniforme en el territorio de todos los Estados miembros. (33)
25. No obstante, los diez Estados miembros que han presentado observaciones ante el Tribunal de Justicia y la Comisión consideran unánimemente que corresponde a cada Estado miembro definir los «delitos», incluidos los delitos graves, a los que se remite el artículo 15, apartado 1, de la Directiva 2002/58, por referencia a su Derecho nacional.
26. Comparto estas consideraciones por las razones que expondré a continuación.
27. En primer lugar, el Tribunal de Justicia ya ha declarado que, en el marco del artículo 15, apartado 1, de la Directiva 2002/58, corresponde a los Estados miembros determinar sus intereses esenciales de seguridad y adoptar las medidas adecuadas para garantizar su seguridad interior y exterior. (34) Si bien no lo ha declarado expresamente, el Tribunal de Justicia parece haber considerado que el concepto de «seguridad nacional» que figura en el artículo 15, apartado 1, de la Directiva 2002/58 no es un concepto autónomo del Derecho de la Unión, pese a no definirlo ni hacer una remisión expresa al Derecho de los Estados miembros. (35) No veo ninguna razón por la que este mismo enfoque no deba aplicarse a las facultades de los Estados miembros para definir los «delitos» o los «delitos graves» en el sentido del artículo 15, apartado 1, de la Directiva 2002/58. Los términos «delitos», «seguridad pública» y «seguridad nacional» que figuran en esta disposición pueden considerarse noscitur a sociis, ya que parece que el legislador de la Unión pretendía darles un trato similar, también en lo que respecta a la forma de definirlos. (36)
28. En segundo lugar, el artículo 4 TUE, apartado 2, obliga a la Unión a respetar la identidad nacional de los Estados miembros, inherente a las estructuras fundamentales políticas y constitucionales de estos. El preámbulo de la Carta reconoce asimismo que, si bien la Unión contribuye a defender y fomentar valores comunes, respeta, en particular, la diversidad de culturas y tradiciones de los pueblos de Europa. La definición de los delitos y de las penas (37) refleja las sensibilidades y tradiciones nacionales, que varían considerablemente no solo de un Estado miembro a otro, sino también a lo largo del tiempo en función de cómo va evolucionando la sociedad. (38)
29. En este contexto, cabe observar que, a la hora de definir los delitos y las penas, los Estados miembros tienen en cuenta, en distinta medida, una serie de factores diferentes. La apreciación por un Estado miembro de la «gravedad» de una infracción determinada se refleja a menudo, si no invariablemente, en la gravedad de la pena impuesta. La duración de una pena privativa de libertad puede reflejar el análisis de una serie de factores, entre ellos la «gravedad» intrínseca percibida de un delito y su «gravedad» relativa en relación con otros delitos. No se ha aducido ninguna razón por la que los Estados miembros no deban ejercer esta facultad o por la que deba aplicarse un enfoque diferente a la definición de «delitos», «delitos graves» o «delitos en general» en el contexto específico de que se trata.
30. La competencia de los Estados miembros en el ámbito del Derecho penal se entiende sin perjuicio de la competencia de la Unión en algunos casos para establecer, por ejemplo, normas mínimas que definan las infracciones penales y las sanciones en relación con las formas de delincuencia de especial gravedad que tengan una dimensión transfronteriza derivada del carácter o de las repercusiones de dichas infracciones o de una necesidad particular de combatirlas según criterios comunes. (39) Sin embargo, el legislador de la Unión no ha establecido normas relativas a la definición de los delitos en el artículo 15, apartado 1, de la Directiva 2002/58.(40) En efecto, como ya se ha señalado, (41) del tenor del artículo 1, apartado 3, de la Directiva 2002/58 se desprende que, al promulgar esta Directiva, el legislador de la Unión no pretendía ejercer ninguna competencia en materia penal.
31. Estas dos razones bastan para explicar por qué, a pesar de que las medidas legales nacionales adoptadas de conformidad con el artículo 15, apartado 1, de la Directiva 2002/58 para la investigación y persecución de delitos entran en el ámbito de aplicación de dicha medida, los Estados miembros siguen siendo competentes para definir los «delitos», incluidos los «delitos graves», y para establecer las correspondientes sanciones por su comisión. (42)
3. Sobre la norma de control del ejercicio de la facultad de establecer excepciones al principio de confidencialidad prevista en el artículo 15, apartado 1, de la Directiva 2002/58
32. El Tribunal de Justicia ha subrayado que la facultad de establecer excepciones, (43) en particular, al principio de confidencialidad establecido en el artículo 5, apartado 1, de la Directiva 2002/58, debe interpretarse en sentido estricto para que no se convierta en la regla general, privando así a dicho principio de su alcance. (44) Así pues, el ejercicio de esta facultad debe respetar, en particular, los principios de equivalencia (45) y de efectividad. (46) Asimismo, debe respetar los principios generales del Derecho de la Unión, incluido el principio de proporcionalidad, (47) así como los artículos 7, 8, 11 (48) y 52, apartado 1, de la Carta. (49) El objetivo de lucha contra la delincuencia grave debe conciliarse siempre con el disfrute de los derechos fundamentales así afectados. Los derechos consagrados en los artículos 7, 8 y 11 de la Carta no constituyen prerrogativas absolutas y su ejercicio debe considerarse según su función en la sociedad. (50) De este modo, el artículo 52, apartado 1, de la Carta contempla limitaciones del ejercicio de estos derechos que estén establecidas por la ley, respeten su contenido esencial y, dentro del respeto del principio de proporcionalidad, sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión Europea o a la necesidad de protección de los derechos y libertades de los demás. Así, las medidas legislativas nacionales adoptadas con arreglo al artículo 15, apartado 1, de la Directiva 2002/58 han de responder efectiva y estrictamente a uno de los objetivos enunciados en dicha disposición. Deben basarse en criterios objetivos, ser legalmente imperativas y establecer normas claras y precisas que indiquen las requisitos materiales y procedimentales en las que los proveedores de servicios de comunicaciones electrónicas deben permitir a las autoridades nacionales competentes acceder a los datos. (51)
33. Para garantizar el pleno cumplimiento de estos requisitos en la práctica, el acceso de las autoridades nacionales competentes a los datos conservados debe supeditarse, en principio, (52) al control previo de un órgano jurisdiccional o de una entidad administrativa independiente, (53) a raíz de una solicitud motivada de esas autoridades y tras informar a las personas afectadas. (54) Según reiterada jurisprudencia, al llevar a cabo ese control previo, el órgano jurisdiccional o la entidad administrativa independiente debe conciliar los diferentes intereses y derechos de que se trate para ponderar adecuadamente las exigencias de la investigación y la necesidad de salvaguardar los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales que asisten a las personas afectadas. (55)
34. En el presente asunto, el artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003 establece las condiciones en las que un órgano jurisdiccional nacional debe ordenar a los proveedores de servicios de comunicaciones electrónicas que concedan al Ministerio Fiscal acceso a los datos a petición de este último. No se discute (56) que el artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003 establece en términos claros y precisos las circunstancias y los requisitos con arreglo a los cuales un órgano jurisdiccional nacional puede ordenar a los proveedores de servicios de comunicaciones electrónicas que faciliten tal acceso. No obstante, el órgano jurisdiccional remitente considera que la «pena máxima de prisión no inferior a tres años» es excesivamente amplia, ya que abarca delitos como el hurto simple, que provocan escasa perturbación social.
35. Si bien el artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003 cubre potencialmente un amplio abanico de delitos, el Tribunal de Justicia no dispone de ninguna prueba en el marco del presente procedimiento de que abarque un número tan elevado de infracciones que haga que el acceso a los datos en virtud de dicho artículo sea la regla y no la excepción. (57) El umbral de una pena máxima de prisión no inferior a tres años previsto en esta disposición no parece excesivamente bajo. (58) Por analogía, el artículo 3, punto 9, de la Directiva 2016/681 (59) define los «delitos graves» como «los delitos incluidos en el anexo II que son punibles con una pena privativa de libertad o un auto de internamiento de una duración máxima no inferior a tres años con arreglo al Derecho nacional de un Estado miembro». (60) No obstante, el Tribunal de Justicia precisó que en la medida en que el artículo 3, punto 9, de la Directiva PNR se refiere no a la pena mínima aplicable, sino a la máxima, no debe excluirse que los «datos PNR puedan ser objeto de tratamiento a efectos de la lucha contra infracciones que, aunque cumplan el criterio establecido por dicho precepto en relación con el umbral de gravedad, correspondan, habida cuenta de las especificidades del sistema penal nacional, no a delitos graves, sino a la delincuencia común». (61)
36. La sanción de tres años prevista en el artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003 se refiere a la pena máxima aplicable y, por lo tanto, podría aplicarse a delitos como el hurto simple. (62) Por consiguiente, procede examinar cómo se aplica en la práctica el artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003. Sin perjuicio de que el órgano jurisdiccional remitente compruebe este extremo, el artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003 parece establecer dos normas distintas de control previo por un órgano jurisdiccional nacional en función de la naturaleza de los delitos investigados.
37. La primera de estas normas de control obliga (63) a los órganos jurisdiccionales nacionales a autorizar al Ministerio Fiscal a acceder a los datos conservados por los proveedores de servicios de comunicaciones electrónicas cuando tales datos sean pertinentes para la determinación de los hechos y si existen indicios suficientes de un delito de amenazas y acoso o perturbación por teléfono a personas, cuando la amenaza y la perturbación son graves. Por lo tanto, el órgano jurisdiccional nacional debe llevar a cabo una apreciación individual de la gravedad del delito de que se trate y comprobar si la investigación y persecución de dicho delito justifican que se limiten los derechos generales consagrados en los artículos 7, 8 y 11 de la Carta y los derechos específicos de los artículos 5, 6 y 9 de la Directiva 2002/58, Esta norma requiere una apreciación individualizada, en un caso determinado, de la proporcionalidad de la injerencia en esos derechos en relación con el objetivo de interés general de combatir la delincuencia.
38. En cambio, la segunda de estas normas de control, que es pertinente en el presente procedimiento, obliga (64) a los órganos jurisdiccionales nacionales a autorizar al Ministerio Fiscal a acceder a los datos conservados por los proveedores de servicios de comunicaciones electrónicas cuando tales datos sean pertinentes para la determinación de los hechos y si existen pruebas suficientes de un delito castigado, en particular, con una pena máxima de prisión no inferior a tres años. En tal caso, el papel del órgano jurisdiccional nacional se limita a comprobar si se cumplen tales requisitos objetivos, sin que pueda llevar a cabo una apreciación individualizada de la proporcionalidad de los intereses en el asunto de que se trate. (65) El control efectuado por el juez nacional en virtud del artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003 se desliga así de cualquier vínculo real con las circunstancias específicas del asunto del que conoce.
39. Si bien los órganos jurisdiccionales nacionales pueden no ser competentes para controlar la tipificación de los delitos por parte del legislador o para revisar la decisión del legislador acerca de la gravedad de tales delitos, (66) sí deben serlo para llevar a cabo una apreciación individualizada de la proporcionalidad de la concesión de acceso, en virtud de medidas legales adoptadas por remisión al artículo 15, apartado 1, de la Directiva 2002/58, a datos sensibles que permiten extraer conclusiones precisas sobre la vida privada de un usuario, lo que constituye una injerencia grave en los derechos fundamentales consagrados en los artículos 7, 8, 11 y 52, apartado 1, de la Carta.
40. De ello se desprende que mediante las medidas adoptadas de conformidad con el artículo 15, apartado 1, de la Directiva 2002/58 solo puede concederse el acceso a datos sensibles si el delito de que se trata alcanza el umbral de gravedad previamente determinado por el legislador nacional y un órgano jurisdiccional o una entidad administrativa independiente estima, a raíz de una apreciación o de un control individualizado, que la injerencia en los derechos fundamentales que supone dicho acceso es proporcionada respecto del objetivo de interés general de combatir la delincuencia en un caso particular. Sin embargo, en algunos casos, el acceso a estos datos puede no concederse incluso cuando el delito alcance el umbral de gravedad previsto en el Derecho nacional.
41. El delito de hurto agravado en el presente asunto se considera «grave» con arreglo al Derecho nacional, ya que puede ser castigado, en particular, con una pena de prisión de dos a seis años, por lo que alcanza el umbral de gravedad establecido en el artículo 132, apartado 3, del Decreto Legislativo n.º 196/2003. (67) Cuando aplican medidas adoptadas en virtud del artículo 15, apartado 1, de la Directiva 2002/58, los órganos jurisdiccionales italianos no parecen competentes para cuestionar la calificación del hurto agravado como «delito grave» en Derecho nacional. Por lo tanto, cuando no se alcance el umbral fijado por el Derecho nacional, el órgano jurisdiccional remitente no puede conceder el acceso a los datos solicitados. (68)
42. Cuando se alcanza el umbral fijado por el legislador nacional, el órgano jurisdiccional remitente debe, con arreglo al artículo 15, apartado 1, de la Directiva 2002/58, controlar si, a la luz de todas las circunstancias propias del caso concreto, la injerencia en los derechos fundamentales que implica facilitar el acceso a datos sensibles es proporcionada al objetivo de interés general de combatir dicho delito. A este respecto, el órgano jurisdiccional remitente debe tener en cuenta y ponderar todos los derechos e intereses pertinentes, incluidos, en particular, los daños causados a los derechos de propiedad de las víctimas protegidos por el artículo 17 de la Carta y el hecho de que los teléfonos móviles pueden contener información muy sensible relativa a la vida privada, profesional y financiera de sus propietarios. (69) El acceso a los datos de que se trata puede ser el único medio eficaz disponible para investigar y perseguir los delitos en cuestión y para garantizar que sus autores, aún desconocidos, no actúen impunemente. También deben tenerse en cuenta los derechos de terceros. (70)
43. Por lo que respecta a los derechos de terceros, de los autos del órgano jurisdiccional remitente se desprende (71) que la Fiscalía de Bolzano solicitó el acceso a los datos relativos a las comunicaciones realizadas desde los teléfonos móviles hurtados a partir del 29 de octubre de 2021 en relación con el primer hurto cometido el 27 de octubre de 2021 (72) y de las efectuadas a partir del 20 de noviembre de 2021 en relación con el segundo hurto cometido ese mismo día. (73) Estas fechas muestran que las solicitudes de acceso afectan, de forma muy limitada, a los derechos de las víctimas garantizados, en particular, por los artículos 7, 8 y 11 de la Carta. (74) El Gobierno italiano también ha indicado en sus observaciones escritas que el procedimiento nacional se refiere únicamente a datos útiles para identificar al autor o autores de los hurtos de que se trata. En el supuesto de que se identificaran llamadas a terceros no relacionadas con el hurto o procedentes de terceros, estos datos serían destruidos, de conformidad con el artículo 269 del Código de Enjuiciamiento Criminal. (75) Por último, el artículo 132, apartado 3, letra c), del Decreto Legislativo n.º 196/2003 establece que no podrán utilizarse los datos obtenidos infringiendo lo dispuesto en los apartados 3 o 3 bis del mismo artículo. (76)
VI. Conclusión
44. A la luz de las consideraciones anteriores, propongo al Tribunal de Justicia que responda del siguiente modo a la cuestión prejudicial planteada por el Tribunale di Bolzano (Tribunal de Bolzano, Italia):
El artículo 15, apartado 1, de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), en la versión modificada por la Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, en relación con los artículos 7, 8, 11 y 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea
debe interpretarse en el sentido de que no se opone a una normativa nacional que obliga al juez a autorizar el acceso del Ministerio Fiscal a datos legalmente conservados por los proveedores de servicios de comunicaciones electrónicas que permitan extraer conclusiones precisas sobre la vida privada de un usuario, cuando tales datos sean pertinentes para la determinación de los hechos y si existen indicios suficientes de un delito grave, tal como se define en el Derecho nacional, sancionado con una pena máxima de prisión no inferior a tres años. Antes de conceder el acceso, el órgano jurisdiccional nacional debe llevar a cabo una apreciación individualizada de la proporcionalidad de la injerencia en los derechos fundamentales que tal acceso implica a la luz, en particular, de la gravedad del delito específico y de los hechos del caso concreto.