CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:258

Asunto C‑140/20

G. D.

contra

Commissioner of An Garda Síochána y otros

[Petición de decisión prejudicial planteada por la Supreme Court (Tribunal Supremo, Irlanda)]

Sentencia del Tribunal de Justicia (Gran Sala) de 5 de abril de 2022

«Procedimiento prejudicial — Tratamiento de los datos personales en el sector de las comunicaciones electrónicas — Confidencialidad de las comunicaciones — Proveedores de servicios de comunicaciones electrónicas — Conservación generalizada e indiferenciada de los datos de tráfico y de localización — Acceso a los datos conservados — Control jurisdiccional a posteriori — Directiva 2002/58/CE — Artículo 15, apartado 1 — Carta de los Derechos Fundamentales de la Unión Europea — Artículos 7, 8, 11 y 52, apartado 1 — Posibilidad de que un órgano jurisdiccional nacional limite la eficacia temporal de una declaración de invalidez referida a una normativa nacional incompatible con el Derecho de la Unión — Exclusión»

1. Aproximación de las legislaciones — Sector de las telecomunicaciones — Tratamiento de los datos personales y protección de la intimidad en el sector de las comunicaciones electrónicas — Directiva 2002/58/CE — Facultad de los Estados miembros de limitar el alcance de determinados derechos y obligaciones — Medidas nacionales que imponen a los proveedores de servicios de comunicaciones electrónicas la conservación generalizada e indiferenciada de los datos de tráfico y de localización — Objetivo de lucha contra la delincuencia grave y de prevención de amenazas graves contra la seguridad pública — Improcedencia — Medidas nacionales que establecen la conservación selectiva de esos datos sobre la base de elementos objetivos y no discriminatorios y para un período temporalmente limitado a lo estrictamente necesario — Medidas nacionales que establecen la conservación generalizada e indiferenciada de las direcciones IP atribuidas al origen de una conexión para un período temporalmente limitado a lo estrictamente necesario — Medidas nacionales que establecen la conservación generalizada e indiferenciada de datos relativos a la identidad civil de los usuarios de medios de comunicaciones electrónicas — Medidas nacionales que establecen el recurso a un requerimiento efectuado a los proveedores de servicios de comunicaciones electrónicas para que procedan, durante un período determinado, a la conservación rápida de los datos de tráfico y de localización — Objetivo de lucha contra la delincuencia grave y de prevención de amenazas graves contra la seguridad pública — Procedencia — Requisitos

(Carta de los Derechos Fundamentales de la Unión Europea, arts. 7, 8, 11 y 52, ap. 1; Directiva 2002/58/CE del Parlamento Europeo y del Consejo, en su versión modificada por la Directiva 2009/136/CE, art. 15, ap. 1)

(véanse los apartados 51 a 57, 62 a 65, 71 a 74, 83 a 87, 91 a 93 y 97 a 101 y punto 1 del fallo)

2. Aproximación de las legislaciones — Sector de las telecomunicaciones — Tratamiento de los datos personales y protección de la intimidad en el sector de las comunicaciones electrónicas — Directiva 2002/58/CE — Facultad de los Estados miembros de limitar el alcance de determinados derechos y obligaciones — Medidas nacionales que imponen a los proveedores de servicios de comunicaciones electrónicas la conservación generalizada e indiferenciada de los datos de tráfico y de localización — Acceso de las autoridades nacionales a los datos conservados con fines de investigación penal — Autorización de acceso dada por un funcionario de la Policía asistido por una unidad integrada en el mismo cuerpo y que goza de cierta autonomía en el ejercicio de sus funciones — Acceso sometido a un control a posteriori efectuado por un órgano jurisdiccional

(véanse los apartados 106 a 112 y el punto 2 del fallo)

3. Aproximación de las legislaciones — Sector de las telecomunicaciones — Tratamiento de los datos personales y protección de la intimidad en el sector de las comunicaciones electrónicas — Directiva 2002/58/CE — Facultad de los Estados miembros de limitar el alcance de determinados derechos y obligaciones — Medidas nacionales que imponen a los proveedores de servicios de comunicaciones electrónicas la conservación generalizada e indiferenciada de los datos de tráfico y de localización — Objetivo de lucha contra la delincuencia grave y de prevención de amenazas graves contra la seguridad pública — Improcedencia — Declaración de invalidez referida a una normativa nacional por la que se establecen esas medidas, en razón de su incompatibilidad con el Derecho de la Unión — Facultad del juez nacional de limitar la eficacia temporal de dicha declaración — Inexistencia

(véanse los apartados 118, 119 y 122 a 128 y el punto 3 del fallo)

Resumen

En estos últimos años, el Tribunal de Justicia se ha pronunciado, en varias sentencias, sobre la conservación y el acceso a los datos personales en el ámbito de las comunicaciones electrónicas. (1)

En particular, mediante dos sentencias dictadas en Gran Sala el 6 de octubre de 2020, (2) el Tribunal de Justicia confirmó su jurisprudencia emanada de la sentencia Tele2 Sverige sobre el carácter desproporcionado de una conservación generalizada e indiferenciada de los datos de tráfico y de localización. También aportó precisiones, en particular, en cuanto al alcance de las facultades que la Directiva sobre la privacidad y las comunicaciones electrónicas reconoce a los Estados miembros en materia de conservación de tales datos a efectos de la protección de la seguridad nacional y de la lucha contra la delincuencia.

La petición de decisión prejudicial del presente asunto fue planteada por la Supreme Court (Tribunal Supremo, Irlanda) en el contexto de un proceso civil entablado por una persona condenada a cadena perpetua por un asesinato cometido en Irlanda. Esta última cuestionaba la compatibilidad con el Derecho de la Unión de determinadas disposiciones de la ley nacional reguladora de la conservación de los datos generados en el marco de las comunicaciones electrónicas. (3) Al amparo de dicha ley, (4) los proveedores de servicios de comunicaciones electrónicas habían conservado datos de tráfico y de localización relativos a llamadas telefónicas del inculpado y habían permitido a las autoridades de la Policía acceder a ellos. Las dudas expresadas por el órgano jurisdiccional remitente se referían, en particular, a la compatibilidad con la Directiva sobre la privacidad y las comunicaciones electrónicas, (5) interpretada a la luz de la Carta, (6) de un régimen de conservación generalizada e indiferenciada de esos datos, en el contexto de la lucha contra la delincuencia grave.

Mediante su sentencia, pronunciada en Gran Sala, el Tribunal de Justicia confirma, a la vez que precisa su alcance, la jurisprudencia emanada de la sentencia La Quadrature du Net y otros, recordando que no está autorizada, a efectos de la lucha contra la delincuencia grave y de la prevención de las amenazas graves contra la seguridad pública, la conservación generalizada e indiferenciada de los datos de tráfico y de localización relativos a las comunicaciones electrónicas. Confirma igualmente la jurisprudencia emanada de la sentencia Prokuratuur (condiciones de acceso a los datos relativos a las comunicaciones electrónicas), (7) en particular en cuanto a la obligación de supeditar el acceso de las autoridades nacionales competentes a dichos datos conservados a un control previo efectuado bien por un órgano jurisdiccional bien por un órgano administrativo independiente, en este caso un funcionario de la Policía.

Apreciación del Tribunal de Justicia

El Tribunal de Justicia declara, en primer lugar, que la Directiva sobre la privacidad y las comunicaciones electrónicas, interpretada a la luz de la Carta, se opone a medidas legislativas que establezcan, con carácter preventivo, a efectos de la lucha contra la delincuencia grave y la prevención de amenazas graves contra la seguridad pública, una conservación generalizada e indiferenciada de los datos de tráfico y de localización. En efecto, habida cuenta, por un lado, de los efectos disuasorios sobre el ejercicio de los derechos fundamentales (8) que dicha conservación puede acarrear y, por otro lado, de la gravedad de la injerencia que a que da lugar, tal conservación debe constituir la excepción y no la regla del sistema establecido por dicha Directiva, de manera que esos datos no puedan ser objeto de una conservación sistemática y continua. La delincuencia, aunque sea especialmente grave, no puede asimilarse a una amenaza para la seguridad nacional, por cuanto tal asimilación podría introducir una categoría intermedia entre la seguridad nacional y la seguridad pública, para aplicar a la segunda las exigencias inherentes a la primera.

En cambio, la Directiva sobre la privacidad y las comunicaciones electrónicas, interpretada a la luz de la Carta, no se opone a medidas legislativas que, a efectos de la lucha contra la delincuencia grave y la prevención de amenazas graves contra la seguridad pública, establezcan una conservación selectiva de los datos de tráfico y de localización que esté delimitada, sobre la base de elementos objetivos y no discriminatorios, en función de las categorías de personas afectadas o mediante un criterio geográfico, para un período temporalmente limitado a lo estrictamente necesario, pero que podrá renovarse. Añade que tal medida de conservación referida a lugares o infraestructuras frecuentados regularmente por un número muy elevado de personas o lugares estratégicos, como aeropuertos, estaciones de ferrocarril, puertos marítimos o zonas de peajes, permite a las autoridades competentes obtener información sobre la presencia, en esos lugares o zonas geográficas, de las personas que utilizan en uno de esos lugares un medio de comunicación electrónica y extraer conclusiones sobre su presencia y su actividad en dichos lugares o zonas geográficas a efectos de la lucha contra la delincuencia grave. En cualquier caso, la eventual existencia de dificultades para definir con precisión los casos y las condiciones en que pueda realizarse una conservación selectiva no justifica que los Estados miembros establezcan una conservación generalizada e indiferenciada de datos de tráfico y de localización.

Esa Directiva, interpretada a la luz de la Carta, tampoco se opone a medidas legislativas que establezcan, con los mismos fines, una conservación generalizada e indiferenciada de las direcciones IP atribuidas en origen de una conexión para un período temporalmente limitado a lo estrictamente necesario, así como de los datos relativos a la identidad civil de los usuarios de comunicaciones electrónicas. En lo tocante a este último aspecto, el Tribunal de Justicia indica, más concretamente, que ni la Directiva sobre la privacidad y las comunicaciones electrónicas ni ningún otro acto del Derecho de la Unión se oponen a una normativa nacional que tenga por objeto la lucha contra la delincuencia grave, en virtud de la cual la adquisición de un medio de comunicación electrónica, como una tarjeta SIM de prepago, está supeditada a la comprobación de documentos oficiales que acrediten la identidad civil del comprador y al registro, por el vendedor, de la información obtenida por tal vía, estando el vendedor obligado, en su caso, a permitir a las autoridades nacionales acceder a esa información.

Lo mismo vale para las medidas legislativas que establezcan, también a efectos de la lucha contra la delincuencia grave y la prevención de amenazas graves contra la seguridad pública, el recurso a un requerimiento efectuado a los proveedores de servicios de comunicaciones electrónicas, mediante una decisión de la autoridad competente sujeta a un control jurisdiccional efectivo, para que procedan, durante un período determinado, a la conservación rápida («quick freeze») de los datos de tráfico y de localización de los que dispongan. En efecto, solo la lucha contra la delincuencia grave y, a fortiori, la protección de la seguridad nacional pueden justificar tal conservación, siempre que esa medida y el acceso a los datos conservados respeten los límites de lo estrictamente necesario. El Tribunal de Justicia recuerda que tal medida de conservación rápida puede ampliarse a los datos de tráfico y a los datos de localización relativos a personas distintas de las sospechosas de haber planeado o cometido un delito grave o un atentado contra la seguridad nacional, siempre que esos datos puedan contribuir, sobre la base de elementos objetivos y no discriminatorios, a la investigación de tal delito o de tal atentado contra la seguridad nacional, como los datos de la víctima de estos y los de su entorno social o profesional.

No obstante, el Tribunal de Justicia indica a continuación que todas las medidas legislativas antes mencionadas deben garantizar, mediante normas claras y precisas, que la conservación de los datos en cuestión esté supeditada al respeto de las condiciones materiales y procesales correspondientes y que las personas afectadas disponen de garantías efectivas contra los riesgos de abuso. Las distintas medidas de conservación de los datos de tráfico y de localización pueden aplicarse conjuntamente, según la elección del legislador nacional y siempre que se respeten los límites de lo estrictamente necesario.

Además, el Tribunal de Justicia recalca que autorizar, con fines de lucha contra la delincuencia grave, un acceso a tales datos conservados de manera generalizada e indiferenciada para hacer frente a una amenaza grave para la seguridad nacional sería contrario a la jerarquía de los objetivos de interés general que pueden justificar una medida adoptada al amparo de la Directiva sobre la privacidad y las comunicaciones electrónicas. (9) En efecto, ello equivaldría a permitir que el acceso pudiera justificarse por un objetivo de una importancia menor que el que justificó la conservación, a saber, la protección de la seguridad nacional, con el consiguiente riesgo de vaciar de todo efecto útil la prohibición de efectuar una conservación generalizada e indiferenciada a efectos de la lucha contra la delincuencia grave.

En segundo lugar, el Tribunal de Justicia concluye que la Directiva sobre la privacidad y las comunicaciones electrónicas, interpretada a la luz de la Carta, se opone a una normativa nacional en virtud de la cual el tratamiento centralizado de una solicitud de acceso a datos conservados por los proveedores de servicios de comunicaciones electrónicas, procedente de la Policía en el marco de la investigación y de la persecución de delitos graves, incumbe a un funcionario de la Policía, aunque asistido por una unidad integrada en este mismo cuerpo, con cierto grado de autonomía en el ejercicio de sus funciones y cuyas decisiones pueden ser objeto de un control jurisdiccional ulterior. En efecto, por un lado, tal funcionario no cumple las exigencias de independencia e imparcialidad que se imponen a una autoridad administrativa que ejerce el control previo de una solicitud de acceso a los datos emanada de una autoridad nacional competente, pues no tiene la condición de tercero con respecto a esta última. Por otro lado, si bien la decisión de tal funcionario puede ser objeto de un control jurisdiccional ulterior, aquel control independiente y, salvo urgencia debidamente justificada, de carácter previo no puede ser sustituido por un control ejercido a posteriori.

En tercer lugar, el Tribunal de Justicia confirma finalmente su jurisprudencia según la cual el Derecho de la Unión se opone a que un órgano jurisdiccional nacional limite en el tiempo los efectos de una declaración de invalidez que le corresponde, en virtud del Derecho nacional, referida a una normativa nacional que impone a los proveedores de servicios de comunicaciones electrónicas una conservación generalizada e indiferenciada de los datos de tráfico y de localización, en razón de la incompatibilidad de esa normativa con la Directiva sobre la privacidad y las comunicaciones electrónicas. Ahora bien, el Tribunal de Justicia recuerda que la admisibilidad de las pruebas obtenidas mediante tal conservación se rige, conforme al principio de autonomía procesal de los Estados miembros, por el Derecho nacional, sin perjuicio del respeto en particular de los principios de equivalencia y efectividad.

1 Así, en la sentencia de 8 de abril de 2014, Digital Rights Ireland y otros (C‑293/12 y C‑594/12, EU:C:2014:238), el Tribunal de Justicia declaró inválida la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE (DO 2006, L 105, p. 54), debido a que la injerencia en los derechos al respeto de la vida privada y a la protección de los datos de carácter personal, reconocidos por la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»), que implicaba la obligación general de conservación de datos de tráfico y de localización prevista por esa Directiva no estaba limitada a lo estrictamente necesario. Seguidamente, en la sentencia de 21 de diciembre de 2016, Tele2 Sverige y Watson y otros (C‑203/15 y C‑698/15, EU:C:2016:970), el Tribunal de Justicia declaró que el artículo 15, apartado 1, de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO 2002, L 201, p. 37) (en lo sucesivo, «Directiva sobre la privacidad y las comunicaciones electrónicas»), en su versión modificada por la Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (DO 2009, L 337, p. 11) se opone a una normativa nacional que establece la conservación generalizada e indiferenciada de los datos de tráfico y de localización con fines de lucha contra la delincuencia grave. Por último, en la sentencia de 2 de octubre de 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788), el Tribunal de Justicia interpretó ese mismo artículo 15, apartado 1, en un asunto que versaba sobre el acceso de las autoridades públicas a los datos relativos a la identidad civil de los usuarios de los medios de comunicaciones electrónicas.

2 Sentencias de 6 de octubre de 2020, Privacy International (C‑623/17, EU:C:2020:790) y La Quadrature du Net y otros (C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791).

3 Communications (Retention of Data) Act 2011 [Ley sobre las comunicaciones (conservación de datos)]. Esta Ley se adoptó con el fin de transponer al ordenamiento jurídico irlandés la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE (DO L 105, p. 54).

4 La Ley autoriza, por razones que exceden de las inherentes a la protección de la seguridad nacional, la conservación preventiva, generalizada e indiferenciada de los datos de tráfico y de localización de todos los abonados por un período de dos años.

5 En concreto, el artículo 15, apartado 1, de la Directiva 2002/58.

6 En particular, los artículos 7, 8, 11 y 52, apartado 1, de la Carta.

7 Sentencia de 2 de marzo de 2021, Prokuratuur (condiciones de acceso a los datos relativos a las comunicaciones electrónicas) (C‑746/18, EU:C:2021:152).

8 Consagrados en los artículos 7 a 11 de la Carta.

9 Dicha jerarquía ha sido reconocida por la jurisprudencia del Tribunal de Justicia en particular en la sentencia de 6 de octubre de 2020, La Quadrature du Net y otros (C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791). Apartados 135 y 136. En virtud de esta jerarquía, la lucha contra la delincuencia grave tiene una importancia menor que la protección de la seguridad nacional.