Asunto C‑623/17
Privacy International
contra
Secretary of State for Foreign and Commonwealth Affairs y otros
(Petición de decisión prejudicial planteada por el Investigatory Powers Tribunal)
Sentencia del Tribunal de Justicia (Gran Sala) de 6 de octubre de 2020
«Procedimiento prejudicial — Tratamiento de datos de carácter personal en el sector de las comunicaciones electrónicas — Proveedores de servicios de comunicaciones electrónicas — Transmisión generalizada e indiferenciada de datos de tráfico y de localización — Protección de la seguridad nacional — Directiva 2002/58/CE — Ámbito de aplicación — Artículos 1, apartado 3, y 3 — Confidencialidad de las comunicaciones electrónicas — Protección — Artículos 5 y 15, apartado 1 — Carta de los Derechos Fundamentales de la Unión Europea — Artículos 7, 8, 11 y artículo 52, apartado 1 — Artículo 4 TUE, apartado 2»
1. Aproximación de las legislaciones — Sector de las telecomunicaciones — Tratamiento de los datos personales y protección de la intimidad en el sector de las comunicaciones electrónicas — Directiva 2002/58/CE — Ámbito de aplicación — Normativa nacional que obliga a los proveedores de servicios de comunicaciones electrónicas a transmitir a las agencias de seguridad e inteligencia datos de tráfico y de localización — Objetivo de protección de la seguridad nacional — Inclusión
(Art. 4 TUE, ap. 2; Directiva 2002/58/CE del Parlamento Europeo y del Consejo, en su versión modificada por la Directiva 2009/136/CE, arts. 1, aps. 1 y 3, 3 y 15, ap. 1)
(véanse los apartados 35 a 39, 41 a 44, 46, 48, 49 y el punto 1 del fallo)
2. Aproximación de las legislaciones — Sector de las telecomunicaciones — Tratamiento de los datos personales y protección de la intimidad en el sector de las comunicaciones electrónicas — Directiva 2002/58/CE — Facultad de los Estados miembros de limitar el alcance de determinados derechos y obligaciones — Normativa nacional que obliga a los proveedores de servicios de comunicaciones electrónicas a transmitir a las agencias de seguridad e inteligencia datos de tráfico y de localización — Objetivo de protección de la seguridad nacional — Improcedencia
(Art. 4 TUE, ap. 2; Carta de los Derechos Fundamentales de la Unión Europea, arts. 7, 8, 11 y 52, ap. 1; Directiva 2002/58/CE del Parlamento Europeo y del Consejo, en su versión modificada por la Directiva 2009/136/CE, arts. 5, ap. 1, y 15, ap. 1)
(véanse los apartados 55 a 62, 65 a 82, y el punto 2 del fallo)
Resumen
El Tribunal de Justicia confirma que el Derecho de la Unión se opone a una normativa nacional que impone a un proveedor de servicios de comunicaciones electrónicas la transmisión o la conservación generalizada e indiferenciada de datos de tráfico y de localización con el fin de luchar contra los delitos en general o de proteger la seguridad nacional.
En cambio, en situaciones en las que un Estado miembro se enfrente a una amenaza grave para la seguridad nacional que resulte real y actual o previsible, puede establecer excepciones a la obligación de garantizar la confidencialidad de los datos relativos a las comunicaciones electrónicas imponiendo, mediante medidas legislativas, una conservación generalizada e indiferenciada de esos datos durante un período temporalmente limitado a lo estrictamente necesario, pero renovable en caso de persistencia de la amenaza. Por lo que se refiere a la lucha contra la delincuencia grave y la prevención de amenazas graves contra la seguridad pública, un Estado miembro puede también disponer la conservación selectiva de dichos datos y su rápida conservación. Una injerencia de esta índole en los derechos fundamentales debe ir acompañada de garantías efectivas y ser controlada por un juez o una autoridad administrativa independiente. Asimismo, un Estado miembro puede realizar una conservación generalizada e indiferenciada de las direcciones IP atribuidas a la fuente de una comunicación cuando el período de conservación se limite a lo estrictamente necesario o incluso realizar una conservación generalizada e indiferenciada de los datos relativos a la identidad civil de los usuarios de los medios de comunicaciones electrónicas, sin que ello se limite en este último caso a un plazo determinado.
En estos últimos años, el Tribunal de Justicia se ha pronunciado, en varias sentencias, sobre la conservación y el acceso a los datos personales en el ámbito de las comunicaciones electrónicas. (1) La jurisprudencia resultante, especialmente la sentencia Tele2 Sverige y Watson y otros, en la que el Tribunal de Justicia consideró, en particular, que los Estados miembros no podían imponer a los proveedores de servicios de comunicaciones electrónicas una obligación de conservación generalizada e indiferenciada de los datos de tráfico y de localización, suscitó las preocupaciones de algunos Estados, que temieron haber sido privados de un instrumento que consideran necesario para proteger la seguridad nacional y luchar contra la delincuencia.
Con este trasfondo se sometieron al Investigatory Powers Tribunal (Tribunal de las Facultades de Investigación, Reino Unido) (Privacy International, C‑623/17), al Conseil d’État (Consejo de Estado, actuando como Tribunal Supremo de lo Contencioso— Administrativo, Francia) (La Quadrature du Net y otros, asuntos acumulados C‑511/18 y C‑512/18) y a la Cour constitutionnelle (Tribunal Constitucional, Bélgica) (Ordre des barreaux francophones et germanophone y otros, C‑520/18) varios litigios relativos a la legalidad de las normativas adoptadas por algunos Estados miembros en estos ámbitos, que establecían, en particular, la obligación de que los proveedores de servicios de comunicaciones electrónicas transmitieran a una autoridad pública o conservaran de manera generalizada e indiferenciada los datos de tráfico y de localización de los usuarios.
Mediante dos sentencias dictadas en Gran Sala, el 6 de octubre de 2020, el Tribunal de Justicia declara, en primer lugar, que la Directiva sobre la privacidad y las comunicaciones electrónicas se aplica a normativas nacionales que obligan a los proveedores de servicios de comunicaciones electrónicas a efectuar, con el fin de proteger la seguridad nacional y luchar contra la delincuencia, tratamientos de datos personales, como su transmisión a autoridades públicas o su conservación. Además, al tiempo que confirma su jurisprudencia derivada de la sentencia Tele2 Sverige y Watson y otros sobre el carácter desproporcionado de una conservación generalizada e indiferenciada de los datos de tráfico y de localización, el Tribunal de Justicia aporta precisiones, en particular, sobre el alcance de las facultades que dicha Directiva reconoce a los Estados miembros en materia de conservación de tales datos para los fines antes citados.
Para empezar, el Tribunal de Justicia disipa las dudas planteadas en los presentes asuntos sobre la aplicabilidad de la Directiva sobre la privacidad y las comunicaciones electrónicas. En efecto, varios Estados miembros que presentaron observaciones escritas al Tribunal de Justicia expresaron una opinión divergente a este respecto. Alegaban, en particular, que esta Directiva no era aplicable a las normativas nacionales controvertidas, puesto que estas tienen como finalidad la salvaguardia de la seguridad nacional, que es de su exclusiva competencia, como acredita, en particular, el artículo 4 TUE, apartado 2, tercera frase. Sin embargo, el Tribunal de Justicia considera que las normativas nacionales que obligan a los proveedores de servicios de comunicaciones electrónicas a conservar datos de tráfico y de localización o incluso a transmitir dichos datos a las autoridades nacionales de seguridad e inteligencia con esa finalidad están comprendidas en el ámbito de aplicación de la Directiva.
A continuación, el Tribunal de Justicia recuerda que la Directiva sobre la privacidad y las comunicaciones electrónicas (2) no permite que la excepción a la obligación de principio de garantizar la confidencialidad de las comunicaciones electrónicas y de los datos relativos a ellas y a la prohibición de almacenar esos datos se convierta en la regla. Ello supone que esta Directiva solo autoriza a los Estados miembros a adoptar, entre otras por razones de seguridad nacional, medidas legales para limitar el alcance de los derechos y obligaciones previstos en dicha Directiva, en particular la obligación de garantizar la confidencialidad de las comunicaciones y de los datos de tráfico, (3) respetando los principios generales del Derecho de la Unión, entre los que figura el principio de proporcionalidad, y los derechos fundamentales garantizados por la Carta. (4)
En este contexto, el Tribunal de Justicia considera, por una parte, en el asunto Privacy International, que la Directiva sobre la privacidad y las comunicaciones electrónicas, interpretada a la luz de la Carta, se opone a una normativa nacional que impone a los proveedores de servicios de comunicaciones electrónicas, con el fin de proteger la seguridad nacional, la transmisión generalizada e indiferenciada a las agencias de seguridad e información de los datos de tráfico y de localización. Por otra parte, en los asuntos acumulados La Quadrature du Net y otros, así como en el asunto Ordre des barreaux francophones et germanophone y otros, el Tribunal de Justicia estima que esta misma Directiva se opone a medidas legislativas que imponen a los proveedores de servicios de comunicaciones electrónicas, con carácter preventivo, una conservación generalizada e indiferenciada de los datos de tráfico y de localización. En efecto, estas obligaciones de transmisión y de conservación generalizada e indiferenciada de tales datos constituyen injerencias especialmente graves en los derechos fundamentales garantizados por la Carta, sin que el comportamiento de las personas cuyos datos se ven afectados guarde relación alguna con el objetivo perseguido por la normativa controvertida. De manera análoga, el Tribunal de Justicia interpreta el artículo 23, apartado 1, del Reglamento General de Protección de Datos, a la luz de la Carta, en el sentido de que se opone a una normativa nacional que impone a los proveedores de acceso a servicios de comunicación al público en línea y a los proveedores de servicios de almacenamiento la conservación generalizada e indiferenciada, en particular, de los datos personales relativos a dichos servicios.
En cambio, el Tribunal de Justicia estima que, en situaciones en las que el Estado miembro se enfrente a una amenaza grave para la seguridad nacional que resulte real y actual o previsible, la Directiva sobre la privacidad y las comunicaciones electrónicas, interpretada a la luz de la Carta, no se opone a que se obligue a los proveedores de servicios de comunicaciones electrónicas a conservar de manera generalizada e indiferenciada datos de tráfico y de localización. En este contexto, el Tribunal de Justicia señala que la decisión que establezca dicho requerimiento, para un período temporalmente limitado a lo estrictamente necesario, debe ser objeto de un control efectivo, bien por un órgano jurisdiccional, bien por una entidad administrativa independiente, cuya resolución tenga efecto vinculante, con el fin de comprobar la existencia de una de esas situaciones y el cumplimiento de los requisitos y garantías previstos. En estas mismas circunstancias, dicha Directiva tampoco se opone al análisis automatizado de los datos, en particular los de tráfico y de localización, de todos los usuarios de medios de comunicaciones electrónicas.
El Tribunal de Justicia añade que la Directiva sobre la privacidad y las comunicaciones electrónicas, interpretada a la luz de la Carta, no se opone a medidas legislativas que permitan el recurso a una conservación selectiva, temporalmente limitada a lo estrictamente necesario, de los datos de tráfico y de localización, que se delimite, sobre la base de criterios objetivos y no discriminatorios, en función de categorías de personas afectadas o mediante un criterio geográfico. Asimismo, esta Directiva no se opone a medidas de esta índole que dispongan una conservación generalizada e indiferenciada de las direcciones IP atribuidas a la fuente de una comunicación, siempre que el período de conservación se limite a lo estrictamente necesario, ni a las que dispongan esa conservación de los datos relativos a la identidad civil de los usuarios de los medios de comunicaciones electrónicas. En este último caso, los Estados miembros no están obligados a limitar temporalmente la conservación. Por otra parte, dicha Directiva no se opone a una medida legislativa que permita el recurso a una conservación rápida de los datos de que dispongan los proveedores de servicios cuando se produzcan situaciones en las que resulte necesario conservar dichos datos más allá de los plazos legales de conservación de estos con el fin de esclarecer infracciones penales graves o atentados contra la seguridad nacional, cuando tales infracciones o atentados ya hayan sido comprobados o cuando su existencia pueda sospecharse razonablemente.
Además, el Tribunal de Justicia considera que la Directiva sobre la privacidad y las comunicaciones electrónicas, interpretada a la luz de la Carta, no se opone a una normativa nacional que obliga a los proveedores de servicios de comunicaciones electrónicas a recurrir a la recopilación en tiempo real, en particular, de datos de tráfico y de localización, cuando dicha recopilación se limite a las personas respecto de que exista una razón válida para sospechar que están implicadas, de un modo u otro, en actividades terroristas y esté sometida a un control previo efectuado bien por un órgano jurisdiccional, bien por una entidad administrativa independiente, cuya decisión tenga carácter vinculante, que garantice que esa recopilación en tiempo real se autoriza solo en la medida en que sea estrictamente necesario. En caso de urgencia, el control deberá llevarse a cabo en breve plazo.
Por último, el Tribunal de Justicia aborda la cuestión del mantenimiento de los efectos en el tiempo de una normativa nacional declarada incompatible con el Derecho de la Unión. A este respecto, considera que un órgano jurisdiccional nacional no puede aplicar una disposición de su Derecho nacional que le faculta para limitar en el tiempo los efectos de una declaración de ilegalidad que le incumbe, en relación con una normativa nacional que impone a los proveedores de servicios de comunicaciones electrónicas una conservación generalizada e indiferenciada de los datos de tráfico y de localización, considerada incompatible con la Directiva sobre la privacidad y las comunicaciones electrónicas, interpretada a la luz de la Carta.
Dicho esto, para dar una respuesta útil al órgano jurisdiccional nacional, el Tribunal de Justicia recuerda que la admisibilidad y la apreciación de las pruebas obtenidas mediante una conservación de datos contraria al Derecho de la Unión, en un proceso penal incoado contra sospechosos de delitos graves, se rigen, en el estado actual del Derecho de la Unión, únicamente por el Derecho nacional. No obstante, el Tribunal de Justicia precisa que la Directiva sobre la privacidad y las comunicaciones electrónicas, interpretada a la luz del principio de efectividad, exige que el juez penal nacional excluya las pruebas obtenidas mediante una conservación generalizada e indiferenciada de los datos de tráfico y de localización incompatible con el Derecho de la Unión, en el marco de tal proceso penal, si las personas sospechosas de haber cometido delitos no pueden pronunciarse eficazmente sobre esas pruebas.