El Tribunal de Justicia ha confirmado que el Derecho de la Unión se opone a una legislación nacional que establezca, con carácter preventivo, a efectos de la lucha contra la delincuencia grave y la prevención de amenazas graves contra la seguridad pública, una conservación generalizada e indiferenciada de los datos de tráfico y de localización de sus usuarios por parte de las compañías de comunicaciones.
Sin embargo, añade en su sentencia de 20 de septiembre de 2022 (asuntos acumulados C-793/19, SpaceNet y C-794/19, Telekom), para luchar contra la delincuencia grave, los Estados miembros pueden establecer, respetando estrictamente el principio de proporcionalidad, en particular, una conservación selectiva o rápida de esos datos, así como una conservación generalizada e indiferenciada de las direcciones IP.
Es decir, mediante esta sentencia, el Tribunal de Justicia confirma su jurisprudencia anterior, contenida principalmente en sus sentencias de 5 de abril de 2022 (asunto C-140/20 (LA LEY 39345/2022), Commissioner of An Garda Síochána y otros) y de 6 de octubre de 2020 (asuntos C-511/18 (LA LEY 211728/2020), C-512/18 y C-520/18, La Quadrature du Net y otros), añadiendo algunas precisiones.
En concreto, añade que el Derecho de la Unión no se opone a una legislación nacional
– que permita, a efectos de la protección de la seguridad nacional, recurrir a un requerimiento efectuado a los proveedores de servicios de comunicaciones electrónicas para que procedan a una conservación generalizada e indiferenciada de los datos de tráfico y de localización, en situaciones en las que el Estado miembro en cuestión se enfrenta a una amenaza grave para la seguridad nacional que resulte real y actual o previsible.
Dicho requerimiento puede ser controlado bien por un órgano jurisdiccional, bien por una entidad administrativa independiente, y únicamente podrá expedirse por un período temporalmente limitado a lo estrictamente necesario, pero que podrá renovarse en caso de que persista dicha amenaza;
– que prevea, a efectos de la protección de la seguridad nacional, de la lucha contra la delincuencia grave y de la prevención de las amenazas graves contra la seguridad pública, una conservación selectiva de los datos de tráfico y de localización que esté delimitada, sobre la base de elementos objetivos y no discriminatorios, en función de las categorías de personas afectadas o mediante un criterio geográfico, para un período temporalmente limitado a lo estrictamente necesario, pero que podrá renovarse;
– que prevean, con los mismos fines, una conservación generalizada e indiferenciada de las direcciones IP atribuidas al origen de una conexión, para un período temporalmente limitado a lo estrictamente necesario;
– que prevean, a efectos de la protección de la seguridad nacional, de la lucha contra la delincuencia y de la protección de la seguridad pública, una conservación generalizada e indiferenciada de los datos relativos a la identidad civil de los usuarios de medios de comunicaciones electrónicas, y
– que permitan, a efectos de la lucha contra la delincuencia grave y, a fortiori, de la protección de la seguridad nacional, recurrir a un requerimiento efectuado a los proveedores de servicios de comunicaciones electrónicas, para que procedan, durante un período determinado, a la conservación rápida de los datos de tráfico y de localización de que dispongan estos proveedores de servicios.
Esa legislación nacional debe, además, garantizar, mediante normas claras y precisas, que la conservación de los datos en cuestión esté supeditada al respeto de los requisitos materiales y procesales correspondientes y que las personas afectadas dispongan de garantías efectivas contra los riesgos de abuso.
Los antecedentes del caso
La sentencia resuelve una cuestión prejudicial planteada al TJUE por el Tribunal Supremo de lo Contencioso-Administrativo alemán, con motivo de la impugnación, por parte de dos compañías que prestan en Alemania servicios de acceso a Internet disponibles al público (y, en el caso de Telekom Deutschland, también servicios telefónicos), de la obligación que les impone la Ley de Telecomunicaciones alemana (TKG) de conservar datos de tráfico y datos de localización relativos a las telecomunicaciones de sus clientes, a partir del 1 de julio de 2017.
Con carácter general, dicha ley impone a los proveedores de servicios de comunicaciones electrónicas disponibles al público, la conservación generalizada e indiferenciada, durante varias semanas, de los datos esenciales de tráfico y de localización de los usuarios finales, en particular con fines de represión de las infracciones penales graves o la prevención de un riesgo concreto para la seguridad nacional.
El Tribunal Supremo alemán desea saber si el Derecho de la Unión, tal como lo ha interpretado el Tribunal de Justicia, se opone a dicha legislación nacional, sobre todo teniendo en cuenta que la obligación de conservación prevista por la TKG prevé un número menor de datos y a un período de conservación inferior (cuatro o diez semanas), al previsto por las normativas nacionales controvertidas en los asuntos que dieron lugar a las sentencias anteriores.
Estas particularidades reducen, en su opinión, la posibilidad de que los datos conservados permitan extraer conclusiones muy precisas sobre la vida privada de las personas cuyos datos se han conservado. Además, la TKG garantiza, a su entender, una protección eficaz de los datos conservados contra los riesgos de abuso y de acceso ilícito.
Aplicación de los criterios del TJUE al caso
Aplicando los criterios reseñados anteriormente a lo dispuesto por la TKG, el Tribunal de Justicia declara que de la resolución de remisión se desprende que la obligación de conservación que dicha Ley establece se refiere, en particular, a los datos necesarios para identificar el origen de una comunicación y el destino de esta, la fecha y hora del inicio y del fin de la comunicación o, en caso de comunicación por SMS, mensaje multimedia o mensaje similar, el momento del envío y de la recepción del mensaje, así como, en el caso de la utilización del móvil, la designación de las células de la línea de origen y de destino.
En el marco de la prestación de servicios de acceso a Internet, la obligación de conservación se refiere, entre otras cosas, a la dirección IP atribuida al abonado, la fecha y hora de inicio y fin del uso de Internet desde la dirección IP atribuida y, en caso de utilización del móvil, la designación de las células utilizadas al inicio de la conexión a Internet.
También se conservarán los datos que permiten conocer la posición geográfica y las direcciones de radiación máxima de las antenas que sirven a la célula telefónica de que se trate.
Aunque los datos relativos a los servicios de correo electrónico no estén cubiertos por la obligación de conservación establecida por la TKG, solo representan una ínfima parte de los datos de que se trata. Además, se conservan, en particular, los datos de los usuarios sujetos al secreto profesional, como los abogados, los médicos y los periodistas.
Así, la obligación de conservación establecida por la TKG se extiende a un amplísimo conjunto de datos de tráfico y de localización, que corresponde, fundamentalmente, a los que dieron lugar a las sentencias anteriores antes citadas.
Pues bien, este conjunto de datos de tráfico y de localización conservados durante, respectivamente, diez y cuatro semanas puede permitir extraer conclusiones muy precisas sobre la vida privada de las personas cuyos datos se conservan, como los hábitos de la vida cotidiana, los lugares de estancia permanentes o temporales, los desplazamientos diarios u otros, las actividades ejercidas, las relaciones sociales de esas personas y los medios sociales que frecuentan, y, en particular, establecer un perfil de estas personas.
Por lo que respecta a las garantías establecidas por la TKG, dirigidas a proteger los datos conservados contra los riesgos de abuso y contra todo acceso ilícito, el Tribunal de Justicia señala que la conservación de esos datos y el acceso a ellos constituyen injerencias distintas en los derechos fundamentales de las personas afectadas, que requieren una justificación diferente.
Por lo tanto, una normativa nacional que cumpla estrictamente los requisitos formulados por la jurisprudencia europea en materia de acceso a los datos conservados no puede, por naturaleza, ni limitar ni menos aún subsanar la injerencia grave originada por la conservación generalizada de esos datos en los derechos de las personas afectadas.