Home / Publicaciones / Nueva sentencia del TJUE sobre el uso de datos de...

Nueva sentencia del TJUE sobre el uso de datos de tráfico y localización en Internet

Post jurídico

Javier Martínez de Aguirre y Blanca Cortés

El TJUE reitera que el Derecho de la Unión se opone a normativas nacionales que impongan a los operadores la conservación generalizada e indiferenciada de todos los datos de tráfico y localización de todos los usuarios, o que permitan el acceso a los datos conservados, sin limitar dicho acceso a casos de delincuencia grave y sin supeditarlo al control previo por un órgano jurisdiccional o autoridad administrativa independiente.

El pasado 21 de diciembre el TJUE publicó una sentencia sobre dos asuntos acumulados (C-203/15 y C-698/15) en los que los tribunales remitentes (sueco y británico, respectivamente) interesaban conocer la compatibilidad de sus respectivas normativas nacionales con el derecho de la Unión. En particular, con el artículo 15.1 de la Directiva 2002/58 sobre la privacidad y las comunicaciones electrónicas (la “Directiva”), en relación con los artículos 7, 8, 11 y 52.1 de la Carta de los Derechos Fundamentales de la Unión Europea.

El procedimiento sueco tiene como origen la decisión de un proveedor de servicios de comunicaciones electrónicas de dejar de conservar los datos a los que se refería la normativa nacional y de suprimir los datos conservados hasta la fecha. Por otro lado, en Reino Unido se solicitó el control de legalidad de la Data Retention and Investigatory Powers Act (“DRIPA”). La petición fue estimada por la High Court of Justice con base en la STJUE de 8 de abril de 2014 (asunto Digital Rights), por la que se declaró la invalidez de la última modificación de la Directiva (por medio de la Directiva 2006/24). Así, en la medida en que dicha modificación era incompatible con el principio de proporcionalidad, una normativa nacional de contenido idéntico como la DRIPA también debía serlo.

Acumulados los asuntos, el TJUE reitera la doctrina plasmada en la sentencia Digital Rights, según la cual el tratamiento y almacenamiento de datos de tráfico y localización sólo están autorizados, en principio, en la medida y durante el tiempo necesario para la comercialización y facturación de los servicios, o para la prestación de servicios con valor añadido. Expirado dicho plazo los datos deben eliminarse o anonimizarse.

Si bien el artículo 15 de la Directiva permite que los Estados miembros limiten la confidencialidad de dichos datos de tráfico para proteger la seguridad nacional, la defensa, la seguridad pública, la prevención, investigación, descubrimiento y persecución de delitos o la utilización no autorizada del sistema de comunicaciones electrónicas, el TJUE incide en la imposibilidad de convertir esta excepción en la regla general.

El TJUE pone así de manifiesto la injerencia «especialmente grave» que supone la conservación generalizada e indiferenciada de todos los datos de tráfico y localización de abonados y usuarios, ya que dicha información permite extraer conclusiones muy precisas sobre la vida privada de las personas. Puesto que «sólo la lucha contra la delincuencia grave puede justificar una medida de este tipo», el Derecho de la Unión se opone a una normativa nacional como la sueca.

La siguiente cuestión prejudicial es común a ambos asuntos y versa sobre las condiciones necesarias para que las autoridades competentes puedan consultar los datos de tráfico y localización. Considera el TJUE que dicho acceso debe basarse en los siguientes criterios objetivos: (i) los afectados deben ser personas de las que se sospeche que puedan estar implicadas de un modo u otro en un delito grave; (ii) el acceso debe estar sujeto con carácter general al control previo de un órgano jurisdiccional o administración independiente, previa solicitud motivada por parte de las autoridades que pretendan el acceso a los datos; (iii) las mismas autoridades competentes han de informar a los afectados del acceso a sus datos, salvo que dicha comunicación pueda comprometer las investigaciones que se están llevando a cabo; (iv) los proveedores de servicios de comunicaciones electrónicas deben garantizar un nivel de protección de los datos particularmente elevado; y (v) los Estados miembros deben garantizar el control del nivel de protección garantizado por el Derecho de la Unión mediante una autoridad independiente.

Las consecuencias que pueda tener este pronunciamiento en España no son claras. Por una parte, los reproches de la High Court of Justice a la normativa británica –que llevaron a otros seis tribunales de otros Estados miembros, cinco de ellos de última instancia, a anular sus normativas nacionales basándose en la sentencia Digital Rights–, son igualmente extrapolables a nuestra Ley 25/2007. Sin embargo, el legislador español parece estar remando en dirección contraria: la última reforma de la LPI prevé la posibilidad de ceder datos en el marco de diligencias preliminares en caso de infracción de derechos de propiedad intelectual, y la reforma de la LECrim de 2015 habilita la cesión de los datos siempre y cuando para cometer el delito se hayan empleado medios informáticos –sea o no delito grave–.

Debe asimismo destacarse lo paradójico que resulta que los datos de tráfico y localización sean tratados por los operadores durante el tiempo necesario para la facturación de sus servicios pero que, sin embargo, una conservación igualmente indiscriminada con el objetivo de investigar infracciones penales sea contraria al Derecho de la Unión. La doctrina del TJUE por la que «la normativa nacional debe basarse en elementos objetivos que permitan dirigirse a un público cuyos datos puedan presentar una relación, por lo menos indirecta, con (…) la delincuencia grave (…)» resulta imposible de aplicar, en la medida en que no hay forma de conocer de antemano qué abonados y usuarios van a verse involucrados en la comisión de un delito grave en el futuro.

La presente publicación no constituye opinión profesional o asesoramiento jurídico de sus autores. 

Si desea recibir periódicamente las publicaciones de Referencias Jurídicas CMS, que analizan y comentan la actualidad legal y jurisprudencial de interés, puede suscribirse a través de este formulario.