Case nº C-293/12 y C-594/12 of Tribunal de Justicia, April 08, 2014
| Resolution Date | April 08, 2014 |
| Issuing Organization | Tribunal de Justicia |
| Decision Number | C-293/12 y C-594/12 |
Comunicaciones electrónicas — Directiva 2006/24/CE — Servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones — Conservación de datos generados o tratados en relación con la prestación de tales servicios — Validez — Artículos 7, 8 y 11 de la Carta de los Derechos Fundamentales de la Unión Europea
En los asuntos acumulados C‑293/12 y C‑594/12,
que tienen por objeto sendas peticiones de decisión prejudicial planteadas, con arreglo al artículo 267 TFUE, por la High Court (Irlanda) y el Verfassungsgerichtshof (Austria), mediante resoluciones de 27 de enero y 28 de noviembre de 2012, respectivamente, recibidas en el Tribunal de Justicia el 11 de junio y el 19 de diciembre de 2012, en los asuntos
Digital Rights Ireland Ltd (asunto C‑293/12) y
Minister for Communications, Marine and Natural Resources,
Minister for Justice, Equality and Law Reform,
Commissioner of the Garda Síochána,
Irlanda,
The Attorney General,
con intervención de:
Irish Human Rights Commission,
y
Kärntner Landesregierung (asunto C‑594/12),
Michael Seitlinger,
Christof Tschohl y otros,
EL TRIBUNAL DE JUSTICIA (Gran Sala),
integrado por el Sr. V. Skouris, Presidente, el Sr. K. Lenaerts, Vicepresidente, el Sr. A. Tizzano, la Sra. R. Silva de Lapuerta, los Sres. T. von Danwitz (Ponente), E. Juhász, A. Borg Barthet, C.G. Fernlund y J.L. da Cruz Vilaça, Presidentes de Sala, y los Sres. A. Rosas, G. Arestis, J.‑C. Bonichot, A. Arabadjiev, la Sra. C. Toader y el Sr. C. Vajda, Jueces;
Abogado General: Sr. P. Cruz Villalón;
Secretario: Sr. K. Malacek, administrador;
habiendo considerado los escritos obrantes en autos y celebrada la vista el 9 de julio de 2013;
consideradas las observaciones presentadas:
— en nombre de Digital Rights Ireland Ltd, por los Sres. F. Callanan, SC, y F. Crehan, BL, designados por el Sr. S. McGarr, Solicitor;
— en nombre del Sr. Seitlinger, por el Sr. G. Otto, Rechtsanwalt;
– en nombre del Sr. Tschohl y otros, por el Sr. E. Scheucher, Rechtsanwalt;
— en nombre de la Irish Human Rights Commission, por el Sr. P. Dillon Malone, BL, designado por la Sra. S. Lucey, Solicitor;
— en nombre de Irlanda, por la Sra. E. Creedon y el Sr. D. McGuinness, en calidad de agentes, asistidos por los Sres. E. Regan, SC, y D. Fennelly, JC;
— en nombre del Gobierno austriaco, por los Sres. G. Hesse y G. Kunnert, en calidad de agentes;
— en nombre del Gobierno español, por la Sra. N. Díaz Abad, en calidad de agente;
— en nombre del Gobierno francés, por los Sres. G. de Bergues y D. Colas y por la Sra. B. Beaupère-Manokha, en calidad de agentes;
— en nombre del Gobierno italiano, por la Sra. G. Palmieri, en calidad de agente, asistida por el Sr. A. De Stefano, avvocato dello Stato;
— en nombre del Gobierno polaco, por los Sres. B. Majczyna y M. Szpunar, en calidad de agentes;
— en nombre del Gobierno portugués, por el Sr. L. Inez Fernandes y la Sra. C. Vieira Guerra, en calidad de agentes;
— en nombre del Gobierno del Reino Unido, por el Sr. L. Christie, en calidad de agente, asistido por la Sra. S. Lee, Barrister;
— en nombre del Parlamento Europeo, por los Sres. U. Rösslein y A. Caiola y por la Sra. K. Zejdová, en calidad de agentes;
— en nombre del Consejo de la Union Europea, por los Sres. J. Monteiro y E. Sitbon y por la Sra. I. Šulce, en calidad de agentes;
— en nombre de la Comisión Europea, por la Sra. D. Maidani y por los Sres. B. Martenczuk y M. Wilderspin, en calidad de agentes;
oídas las conclusiones del Abogado General, presentadas en audiencia pública el 12 de diciembre de 2013;
dicta la siguiente
Sentencia
1 Las peticiones de decisión prejudicial tienen por objeto la validez de la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE (DO L 105, p. 54).
2 La petición planteada por la High Court (asunto C‑293/12) se refiere a un litigio entre Digital Rights Ireland Ltd. (en lo sucesivo, «Digital Rights») y el Minister for Communications, Marine and Natural Resources, el Minister for Justice, Equality and Law Reform, el Commissioner of the Garda Síochána, Irlanda y el Attorney General en relación con la legalidad de medidas legislativas y administrativas nacionales sobre la conservación de datos relativos a comunicaciones electrónicas.
3 La petición planteada por el Verfassungsgerichtshof (asunto C‑594/12) concierne a recursos de inconstitucionalidad interpuestos, respectivamente, ante ese órgano jurisdiccional por el Kärntner Landesregierung (Gobierno del Land de Carintia) y por los Sres. Seitlinger, Tschohl y otros 11 128 demandantes sobre la compatibilidad de la Ley por la que se transpone la Directiva 2006/24 en el ordenamiento jurídico austriaco con la Ley constitucional federal (Bundes‑Verfassungsgesetz).
Marco jurídico
4 La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281, p. 31), tiene por objeto, conforme a su artículo 1, apartado 1, garantizar la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales.
5 Por lo que se refiere a la seguridad del tratamiento de tales datos, el artículo 17, apartado 1, de dicha Directiva establece lo siguiente:
Los Estados miembros establecerán la obligación del responsable del tratamiento de aplicar las medidas técnicas y de organización adecuadas, para la protección de los datos personales contra la destrucción, accidental o ilícita, la pérdida accidental y contra la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, y contra cualquier otro tratamiento ilícito de datos personales.
Dichas medidas deberán garantizar, habida cuenta de los conocimientos técnicos existentes y del coste de su aplicación, un nivel de seguridad apropiado en relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que deban protegerse.
6 Conforme a su artículo 1, apartado 1, el objetivo de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201, p. 37), en su versión modificada por la Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (DO L 337, p. 11) (en lo sucesivo, «Directiva 2002/58»), consiste en armonizar las disposiciones de los Estados miembros necesarias para garantizar un nivel equivalente de protección de las libertades y los derechos fundamentales y, en particular, del derecho a la intimidad y la confidencialidad, en lo que respecta al tratamiento de los datos personales en el sector de las comunicaciones electrónicas, así como la libre circulación de tales datos y de los equipos y servicios de comunicaciones electrónicas en la Unión Europea. En virtud del apartado 2 de dicho artículo, las disposiciones de esa Directiva especifican y completan la Directiva 95/46 a los efectos mencionados en el citado apartado 1.
7 En cuanto a la seguridad del tratamiento de los datos, el artículo 4 de la Directiva 2002/58 dispone lo siguiente:
1. El proveedor de un servicio de comunicaciones electrónicas disponible para el público deberá adoptar las medidas técnicas y de gestión adecuadas para preservar la seguridad de sus servicios, de ser necesario en colaboración con el proveedor de la red pública de comunicaciones por lo que respecta a la seguridad de la red. Considerando las técnicas más avanzadas y el coste de su aplicación, dichas medidas garantizarán un nivel de seguridad adecuado al riesgo existente.
1 bis. Sin perjuicio de lo dispuesto en la Directiva 95/46/CE, las medidas a que se refiere el apartado 1, como mínimo:
— garantizarán que solo el personal autorizado tenga acceso a los datos personales para fines autorizados por la ley,
— protegerán los datos personales almacenados o transmitidos de la destrucción accidental o ilícita, la pérdida o alteración accidentales o el almacenamiento, tratamiento, acceso o revelación no autorizados o ilícitos, y
— garantizarán la aplicación efectiva de una política de seguridad con respecto al tratamiento de datos personales.
Las autoridades nacionales competentes podrán examinar las medidas adoptadas por los proveedores de servicios de comunicaciones electrónicas disponibles al público y podrán formular recomendaciones sobre las mejores prácticas con respecto al nivel de seguridad que debería conseguirse con estas medidas.
2. En caso de que exista un riesgo particular de violación de la seguridad de la red, el proveedor de un servicio de comunicaciones electrónicas disponible para el público deberá informar a los abonados sobre dicho riesgo y, cuando el riesgo quede fuera del ámbito de las medidas que deberá tomar el proveedor del servicio, sobre las posibles soluciones, con una indicación de los posibles costes.
8 En lo que respecta a la confidencialidad de las comunicaciones y de los datos de tráfico, el artículo 5, apartados 1 y 3, de dicha Directiva dispone:
1. Los Estados miembros garantizarán, a través de la legislación nacional, la confidencialidad de las comunicaciones, y de los datos de tráfico asociados a ellas, realizadas a través de las redes públicas de comunicaciones y de los servicios de comunicaciones electrónicas disponibles al público. En particular, prohibirán la escucha, la grabación, el...
To continue reading
Request your trial