CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:702

Asuntos acumulados C‑793/19 y C‑794/19

Bundesrepublik Deutschland

contra

SpaceNet AG y Telekom Deutschland GmbH

(Peticiones de decisión prejudicial planteadas por el Bundesverwaltungsgericht)

Sentencia del Tribunal de Justicia (Gran Sala) de 20 de septiembre de 2022

«Procedimiento prejudicial — Tratamiento de datos de carácter personal en el sector de las comunicaciones electrónicas — Confidencialidad de las comunicaciones — Proveedores de servicios de comunicaciones electrónicas — Conservación generalizada e indiferenciada de los datos de tráfico y de localización — Directiva 2002/58/CE — Artículo 15, apartado 1 — Carta de los Derechos Fundamentales de la Unión Europea — Artículos 6, 7, 8 y 11 y artículo 52, apartado 1 — Artículo 4 TUE, apartado 2»

1. Aproximación de las legislaciones — Sector de las telecomunicaciones — Tratamiento de los datos personales y protección de la intimidad en el sector de las comunicaciones electrónicas — Directiva 2002/58/CE — Ámbito de aplicación — Normativa nacional que obliga a los proveedores de servicios de comunicaciones electrónicas a conservar datos de tráfico y de localización — Objetivos de protección de la seguridad nacional y de la lucha contra la delincuencia — Inclusión

(Art. 4 TUE, ap. 2; Directiva 2002/58/CE del Parlamento Europeo y del Consejo, en su versión modificada por la Directiva 2009/136/CE, arts. 1, aps. 1 y 3, 3 y 15, ap. 1)

(véase el apartado 48)

2. Aproximación de las legislaciones — Sector de las telecomunicaciones — Tratamiento de los datos personales y protección de la intimidad en el sector de las comunicaciones electrónicas — Directiva 2002/58/CE — Facultad de los Estados miembros de limitar el alcance de determinados derechos y obligaciones — Medidas nacionales que imponen a los proveedores de servicios de comunicaciones electrónicas la conservación generalizada e indiferenciada de los datos de tráfico y de localización — Objetivo de lucha contra la delincuencia grave y de prevención de las amenazas graves contra la seguridad pública — Improcedencia — Duración del período de conservación generalizada e indiferenciada de los datos — Irrelevancia — Medidas nacionales relativas a la conservación de determinadas categorías de datos — Objetivos de salvaguardia de la seguridad nacional, de lucha contra la delincuencia grave y de prevención de amenazas graves contra la seguridad pública — Procedencia — Requisitos

(Carta de los Derechos Fundamentales de la Unión Europea, arts. 7, 8, 11 y 52, ap. 1; Directiva 2002/58/CE del Parlamento Europeo y del Consejo, en su versión modificada por la Directiva 2009/136/CE, art. 15, ap. 1)

(véanse los apartados 49 a 75, 77 a 81, 83 a 85, 87 a 94, 97 a 99, 110, 113, 116 a 121 y 127 a 131 y el fallo).

Resumen

En estos últimos años, el Tribunal de Justicia se ha pronunciado, en varias sentencias, sobre la conservación y el acceso a los datos personales en el ámbito de las comunicaciones electrónicas. (1)

Más recientemente, mediante la sentencia La Quadrature du net y otros, (2) dictada en Gran Sala el 6 de octubre de 2020, el Tribunal de Justicia ha confirmado su jurisprudencia derivada de la sentencia Tele2 Sverige y Watson y otros (3) sobre el carácter desproporcionado de una conservación generalizada e indiferenciada de los datos de tráfico y de localización relativos a las comunicaciones electrónicas. También ha aportado precisiones, en particular en cuanto al alcance de las facultades que la Directiva sobre la privacidad y las comunicaciones electrónicas reconoce a los Estados miembros en materia de conservación de tales datos a efectos de la salvaguardia de la seguridad nacional, de la lucha contra la delincuencia y de la salvaguardia de la seguridad pública.

En los presentes asuntos acumulados, el Bundesverwaltungsgericht (Tribunal Supremo de lo Contencioso-Administrativo, Alemania) ha planteado dos peticiones de decisión prejudicial en el marco de un recurso de casación interpuesto por la República Federal de Alemania contra dos sentencias estimatorias de los recursos interpuestos por dos sociedades, SpaceNet AG (asunto C‑793/19) y Telekom Deutschland GmbH (asunto C‑794/19), que prestan servicios de acceso a Internet. Mediante esos recursos, dichas sociedades impugnaban la obligación que impone la normativa alemana (4) de conservar datos de tráfico y de localización relativos a las comunicaciones electrónicas de sus clientes.

Las dudas expresadas por el órgano jurisdiccional remitente se referían, en particular, a la compatibilidad con la Directiva sobre la privacidad y las comunicaciones electrónicas, (5) interpretada a la luz de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta») (6) y del artículo 4 TUE, apartado 2, de una normativa nacional que impone a los proveedores de servicios de comunicaciones electrónicas disponibles al público, en particular a efectos de la represión de delitos graves o de la prevención de un riesgo concreto para la seguridad nacional, la conservación generalizada e indiferenciada de los datos esenciales de tráfico y de localización de los usuarios de estos servicios, estableciendo un período de conservación de varias semanas y normas destinadas a garantizar una protección eficaz de los datos conservados contra los riesgos de abuso y contra cualquier acceso ilícito a dichos datos.

Mediante su sentencia, el Tribunal de Justicia, constituido en Gran Sala, confirma, precisando su alcance, la jurisprudencia derivada de la sentencia La Quadrature du Net y otros, y, más recientemente, de la sentencia Commissioner of An Garda Síochána y otros. (7) Recuerda, en particular, que la conservación generalizada e indiferenciada de los datos de tráfico y de localización relativos a las comunicaciones electrónicas no está autorizada, con carácter preventivo, a efectos de la lucha contra la delincuencia grave y de la prevención de amenazas graves contra la seguridad pública.

Apreciación del Tribunal de Justicia

El Tribunal de Justicia empieza confirmando la aplicabilidad de la Directiva sobre la privacidad y las comunicaciones electrónicas a la normativa nacional controvertida, y, posteriormente, efectúa un recordatorio didáctico de los principios derivados de su jurisprudencia antes de proceder a un examen detallado de las características de la normativa nacional controvertida, expuestas por el órgano jurisdiccional remitente.

Por lo que respecta, antes de nada, al alcance de los datos conservados, el Tribunal de Justicia señala que la obligación de conservación establecida por la normativa nacional controvertida se extiende a un amplísimo conjunto de datos de tráfico y de localización y que afecta a casi todas las personas que componen la población sin que estas se encuentren, ni siquiera indirectamente, en una situación que pueda dar lugar a acciones penales. Asimismo, señala que dicha normativa exige la conservación, sin motivo, generalizada y no diferenciada desde el punto de vista personal, temporal y geográfico, de la parte esencial de los datos de tráfico y de localización cuyo alcance corresponde, en esencia, al de los datos conservados en los asuntos que dieron lugar a la sentencia La Quadrature du net y otros. Por consiguiente, habida cuenta de esta jurisprudencia, el Tribunal de Justicia considera que una obligación de conservación de datos como la controvertida en los litigios principales no puede considerarse una conservación selectiva de los datos.

A continuación, por lo que respecta al período de conservación de los datos, el Tribunal de Justicia recuerda que de la Directiva sobre la privacidad y las comunicaciones electrónicas (8) se desprende que el período de conservación previsto por una medida nacional que impone una obligación de conservación generalizada e indiferenciada es, ciertamente, un factor pertinente, entre otros, para determinar si el Derecho de la Unión se opone a tal medida, dado que dicha Directiva exige que esa duración sea «limitada». No obstante, la gravedad de la injerencia deriva del riesgo, en particular habida cuenta del número y la variedad de los datos conservados, considerados en su conjunto, de que estos permitan extraer conclusiones muy precisas sobre la vida privada de la persona o personas cuyos datos se han conservado y, en concreto, proporcionen los medios para establecer el perfil de la persona o personas afectadas, que, en lo que respecta al derecho al respeto de la vida privada, es una información tan sensible como el propio contenido de las comunicaciones. Por lo tanto, la conservación de los datos de tráfico o de localización es, en todo caso, grave, con independencia de la duración del período de conservación, de la cantidad y de la naturaleza de los datos conservados, cuando ese conjunto de datos pueda permitir extraer tales conclusiones. (9)

Por último, por lo que atañe a las garantías dirigidas a proteger los datos conservados contra los riesgos de abuso y contra todo acceso ilícito, el Tribunal de Justicia señala, basándose en la jurisprudencia anterior, que la conservación de los datos y el acceso a ellos constituyen injerencias distintas en los derechos fundamentales de las personas afectadas, que requieren una justificación distinta. De ello se desprende que una normativa nacional que cumpla estrictamente los requisitos formulados por la jurisprudencia en materia de acceso a los datos conservados no puede, por naturaleza, ni limitar ni menos aún subsanar la injerencia grave en los derechos de las personas afectadas que resultaría de la conservación generalizada de esos datos.

Además, para responder a las alegaciones formuladas ante él, el Tribunal de Justicia señala, en primer lugar, que una amenaza para la seguridad nacional debe ser real y actual, o cuando menos previsible, lo que supone que surjan circunstancias suficientemente concretas para poder justificar una medida de conservación generalizada e indiferenciada de datos de tráfico y de localización, durante un plazo limitado. Así pues, tal amenaza se distingue, por su naturaleza, su gravedad y el carácter específico de las circunstancias que la forman, del riesgo general y permanente de que surjan tensiones o perturbaciones, incluso graves, que afecten a la seguridad pública o del riesgo de delitos graves. La delincuencia, aunque sea especialmente grave, no puede asimilarse, pues, a una amenaza para la seguridad nacional.

En segundo lugar, el Tribunal de Justicia señala que el hecho de autorizar el acceso, a efectos de la lucha contra la delincuencia grave, a datos de tráfico y de localización que se han conservado de manera generalizada e indiferenciada para hacer frente a una amenaza grave para la seguridad nacional sería contrario a la jerarquía de objetivos de interés general que pueden justificar una medida adoptada en virtud de la Directiva sobre la privacidad y las comunicaciones electrónicas. (10)En efecto, ello equivaldría a permitir que el acceso pudiera justificarse por un objetivo de una importancia menor que el que justificó la conservación, a saber, la protección de la seguridad nacional, con el consiguiente riesgo de vaciar de todo efecto útil la prohibición de efectuar una conservación generalizada e indiferenciada a efectos de la lucha contra la delincuencia grave.

El Tribunal de Justicia concluye, confirmando su jurisprudencia anterior, que la Directiva sobre la privacidad y las comunicaciones electrónicas, interpretada a la luz de la Carta, se opone a medidas legislativas nacionales que establezcan, con carácter preventivo, a efectos de la lucha contra la delincuencia grave y la prevención de amenazas graves contra la seguridad pública, una conservación generalizada e indiferenciada de los datos de tráfico y de localización.

En cambio, la Directiva no se opone a medidas legislativas nacionales que permitan, a efectos de la protección de la seguridad nacional, recurrir a un requerimiento a los proveedores de servicios de comunicaciones electrónicas para que procedan a una conservación generalizada e indiferenciada de los datos de tráfico y de localización, en situaciones en las que el Estado miembro en cuestión se enfrenta a una amenaza grave para la seguridad nacional que resulte real y actual o previsible. En este contexto, el Tribunal de Justicia señala que la decisión que establezca dicho requerimiento podrá ser objeto de un control efectivo, bien por un órgano jurisdiccional, bien por una entidad administrativa independiente, cuya decisión tenga carácter vinculante, que tenga por objeto comprobar la existencia de una de estas situaciones, así como el respecto de las condiciones y de las garantías que deben establecerse, y teniendo en cuenta que dicho requerimiento únicamente podrá expedirse por un período temporalmente limitado a lo estrictamente necesario, pero que podrá renovarse en caso de que persista dicha amenaza.

Esta Directiva, interpretada a la luz de la Carta, tampoco se opone a medidas legislativas nacionales que prevean, a efectos de la protección de la seguridad nacional, de la lucha contra la delincuencia grave y de la prevención de las amenazas graves contra la seguridad pública, una conservación selectiva de los datos de tráfico y de localización que esté delimitada, sobre la base de elementos objetivos y no discriminatorios, en función de las categorías de personas afectadas o mediante un criterio geográfico, para un período temporalmente limitado a lo estrictamente necesario, pero que podrá renovarse.

Lo mismo sucede con las medidas legislativas nacionales que prevean, a efectos de la protección de la seguridad nacional, de la lucha contra la delincuencia grave y de la prevención de las amenazas graves contra la seguridad pública, una conservación generalizada e indiferenciada de las direcciones IP atribuidas al origen de una conexión, para un período temporalmente limitado a lo estrictamente necesario, así como de los datos relativos a la identidad civil de los usuarios de medios de comunicaciones electrónicas, cuando conste que su conservación puede contribuir a la lucha contra la delincuencia grave, siempre que esos datos permitan identificar a las personas que han utilizado tales medios en el contexto de la preparación o la comisión de un acto delictivo grave.

Esto también es aplicable a las medidas legislativas nacionales que permitan, a efectos de la lucha contra la delincuencia grave y, a fortiori, de la protección de la seguridad nacional, recurrir a un requerimiento a los proveedores de servicios de comunicaciones electrónicas, mediante una decisión de la autoridad competente sujeta a un control jurisdiccional efectivo, para que procedan, durante un período determinado, a la conservación rápida de los datos de tráfico y de localización de que dispongan estos proveedores de servicios,

No obstante, el Tribunal de Justicia indica que todas las medidas antes mencionadas deben garantizar, mediante normas claras y precisas, que la conservación de los datos en cuestión esté supeditada al respeto de las condiciones materiales y procesales correspondientes y que las personas afectadas dispongan de garantías efectivas contra los riesgos de abuso. Estas diferentes medidas pueden aplicarse conjuntamente, según la elección del legislador nacional y siempre que se respeten los límites de lo estrictamente necesario.

1 Sentencias de 8 de abril de 2014, Digital Rights Ireland y otros (C‑293/12 y C‑594/12, EU:C:2014:238); de 21 de diciembre de 2016, Tele2 Sverige y Watson y otros (C‑203/15 y C‑698/15, EU:C:2016:970), y de 2 de octubre de 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788).

2 Sentencia de 6 de octubre de 2020, La Quadrature du Net y otros (C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791). Véase también la sentencia, dictada el mismo día, Privacy International (C‑623/17, EU:C:2020:790), relativa a la transmisión generalizada e indiferenciada de los datos de tráfico y de localización.

3 En dicha sentencia, el Tribunal de Justicia declaró que el artículo 15, apartado 1, de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO 2002, L 201, p. 37) (en lo sucesivo, «Directiva sobre la privacidad y las comunicaciones electrónicas»), en su versión modificada por la Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (DO 2009, L 337, p. 11), se opone a una normativa nacional que establece la conservación generalizada e indiferenciada de los datos de tráfico y de localización con fines de lucha contra la delincuencia.

4 Artículo 113a, apartado 1, en relación con el artículo 113b de la Telekommunikationsgesetz (Ley de Telecomunicaciones), de 22 de junio de 2004 (BGBl. 2004 I, p. 1190), en su versión aplicable al litigio principal.

5 Más concretamente, el artículo 15, apartado 1, de la Directiva 2002/58.

6 Artículos 6 a 8, 11 y 52, apartado 1, de la Carta.

7 Sentencia de 5 de abril de 2022, Commissioner of An Garda Síochána y otros (C‑140/20, EU:C:2022:258).

8 Más concretamente, del artículo 15, apartado 1, segunda frase, de la Directiva 2002/58.

9 Véase, en relación con el acceso a tales datos, la sentencia de 2 de marzo de 2021, Prokuratuur (Condiciones de acceso a los datos relativos a las comunicaciones electrónicas), C‑746/18, EU:C:2021:152, apartado 39.

10 Esta jerarquía está consagrada en la jurisprudencia del Tribunal de Justicia, especialmente en la sentencia La Quadrature du Net y otros, en los apartados 135 y 136. En virtud de esta jerarquía, la lucha contra la delincuencia grave reviste una importancia menor que la protección de la seguridad nacional.