Por medio de una sentencia publicada el 8 de abril de 2014 el Tribunal de Justicia de la Unión Europea (TJUE) declaró sin validez la Directiva 2006/24/CE del Parlamento Europeo y del Consejo sobre la conservación de datos personales generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas accesibles al público o de las redes públicas de comunicaciones.

En su decisión el Tribunal juzga a la directiva como necesaria pero desproporcionada, considerando que constituye una “injerencia de gran magnitud y especial gravedad” en los derechos fundamentales de respeto a la privacidad y a la protección de datos de carácter personal sin que esté limitada a lo estrictamente necesario.

A pesar de la importancia de esta decisión la noticia ha pasado prácticamente desapercibida sin merecer ser destacada en los medios excepto en ámbitos profesionales, donde mayoritariamente se ha valorado en sus particularidades jurídicas. Siguiendo la orientación de este blog, en los siguientes párrafos tratare de exponer en términos más accesibles a los lectores no expertos cuales han sido los motivos alegados por la Corte y sus posibles consecuencias.

La Directiva 2006/24/CE fue adoptada el año 2006, como consecuencia de los atentados del 11 de marzo de 2004 en Madrid y del 7 de julio de 2005 en Londres, con objeto de garantizar la disponibilidad de determinados datos con fines de prevención, detección y persecución de infracciones graves definidas como tales en la legislación de cada Estado miembro.

Su principal objetivo era armonizar las disposiciones nacionales sobre la conservación (literalmente retención) de determinados datos e información obtenidos o tratados por los proveedores de servicios de telecomunicaciones, públicos y privados, obligando a estos a conservar durante un período de 6 meses a 2 años la información relativa al tráfico y los datos de localización de los interlocutores, así como los necesarios para identificar a los abonados o usuarios exceptuando, por el contrario, la conservación del contenido de las conversaciones o informaciones consultadas.

A raíz de su publicación el TJUE había recibido sendas peticiones del Tribunal Superior de Irlanda (High Court) y del Tribunal Constitucional Austriaco (Verfassungsgerichtshof) solicitando examinar la validez de la Directiva en particular su compatibilidad con la Carta de Derechos Fundamentales de la Unión Europea.

Respondiendo a ellas el Tribunal, en su Sentencia “Asuntos acumulados C-293/12 y C-594/12 (Digital Rights Ireland y Seitlinger y otros)”, determina la no validez de la Directiva señalando que, analizados en su conjunto, los datos a conservar son susceptibles de proporcionar información concreta sobre la vida privada de las personas, tal como hábitos de vida, lugares de residencia permanentes o temporales, desplazamientos, actividades realizadas, relaciones sociales, etc.,

Los principales argumentos expuestos por el TJUE pueden sintetizarse en los siguientes:

  • Duración desproporcionada de la conservación de los datos;  si bien el Tribunal considera que su objetivo es legítimo, también estima que viola el principio de proporcionalidad dado que la conservación sistemática y sin excepciones de los datos por una duración determinada, sin precisar en base a qué criterios se determina esta, es desproporcionada.
  • Falta de protección contra eventuales abusos o contra el acceso y utilización ilícita de los datos, al no prever un criterio objetivo que permita limitar con garantías suficientes el número de personas con autorización de acceso a los datos por parte de las autoridades nacionales competentes y a su utilización posterior.
  • Ausencia de medidas para limitar a lo estrictamente necesario la injerencia en la vida privada de las personas; la Directiva impone la conservación de todos los datos y de todos los abonados e usuarios sin establecer ninguna diferenciación, limitación o excepción o tener en cuenta si existe alguna evidencia que los relacione con algún tipo de delito o investigación criminal para poder diferenciar qué datos deben conservarse o sobre qué personas actuar en función del objetivo que persigue de luchar contra los delitos graves.

Asimismo, el Tribunal considera que el hecho de que la conservación y posterior utilización de los datos se lleve a cabo sin que los abonados o usuarios sean informados es susceptible de generar en el espíritu de estas personas la sensación de estar siendo sometidas a una vigilancia permanente de su vida privada.

Finalmente critica que la Directiva no obligue a que los datos se conserven en el territorio de la Unión Europea razón por la cual no se garantiza totalmente el cumplimiento de las exigencias de protección y seguridad por parte de una autoridad independiente, como expresa de forma explícita la mencionada Carta.

¿Qué consecuencias se derivan o podrían derivarse de esta decisión? Como no soy jurista ni manifiesto opiniones en términos jurídicos dejo abierta la pregunta expresando solamente alguna reflexión personal.

Mi primera conclusión es que la decisión del TJUE, aun declarando la no validez de la Directiva, no prohíbe expresamente la obtención y conservación de los datos mencionados en ella sino que demanda la implantación de garantías en materia de protección de los datos personales para corregir las carencias que censura en su sentencia.

En consecuencia, entiendo que las diferentes regulaciones nacionales respecto a la aplicación de la Directiva continúan siendo válidas, quedando entonces al dictamen de los jueces y tribunales de cada Estado la toma de medidas necesarias para impedir la transgresión de los derechos fundamentales a la espera de una nueva redacción o de un cambio en la regulación europea. A este respecto la Comisaria Europea de Asuntos de Interior,  Cecilia Malmström, manifestó al conocer la sentencia del TJUE que «confirma las conclusiones críticas del informe de evaluación sobre la aplicación de la Directiva emitido en 2011 por la Comisión Europea” afirmando que este organismo europeo continuará su trabajo para reformar esta legislación.

Desde una perspectiva de seguridad no parece que la decisión pueda afectar a la continuidad de la tarea de prevención, detección y persecución de los delitos que dieron origen a la redacción de la Directiva como contribución a la lucha contra ellos. Pero todas las  investigaciones que se realicen deberán respetar el derecho fundamental a la protección de datos y a la vida privada de las personas teniendo en cuenta esta sentencia. En este sentido cabe recordar que el Tribunal considera necesaria la Directiva, dictaminando que la conservación de los datos para permitir a las autoridades nacionales competentes el acceso eventual a ellos responde a un objetivo de interés general y por ello constituye un elemento útil para la investigación de delitos en particular los relacionados con la lucha contra el terrorismo y el crimen organizado.

Quedan otras preguntas a la espera de respuestas lo cual es lógico pues una vez más se manifiesta la dificultad de conseguir el equilibrio entre seguridad, libertad y privacidad. Sirvan de ejemplo las palabras de Viviane Reding, vicepresidenta de la Comisión Europea y Comisaria de Justicia, Derechos Fundamentales y Ciudadanía, al comentar la decisión del TJUE: “la sentencia confirma que la seguridad no es un súper derecho que prevalece sobre la protección de datos o la privacidad”.