Conclusiones nº C-520/18 of Tribunal de Justicia, January 15, 2020

• Resolution Date: January 15, 2020
• Issuing Organization: Tribunal de Justicia
• Decision Number: C-520/18

Cuestión prejudicial - Tratamiento de datos de carácter personal y protección de la vida privada en el sector de las comunicaciones electrónicas - Directiva 2002/58/CE - Ámbito de aplicación - Artículo 1, apartado 3 - Artículo 15, apartado 1 - Artículo 4, apartado 2, TUE - Carta de los Derechos Fundamentales de la Unión Europea - Artículos 4, 6, 7, 8, 11 y 52, apartado 1 - Obligación de conservación generalizada e indiferenciada de los datos relativos al tráfico y de localización - Efectividad de las investigaciones penales y otros objetivos de interés público

1. El Tribunal de Justicia ha mantenido en los últimos años una línea jurisprudencial constante sobre la conservación y el acceso a los datos personales, de la que son hitos destacados:

   - La sentencia de 8 de abril de 2014, Digital Rights Ireland y otros, (2) en la que declaró la invalidez de la Directiva 2006/24/CE (3) porque permitía una injerencia desproporcionada en los derechos reconocidos por los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea.

   - La sentencia de 21 de diciembre de 2016, Tele2 Sverige y Watson y otros, (4) en la que interpretó el artículo 15, apartado 1, de la Directiva 2002/58/CE. (5) - La sentencia de 2 de octubre de 2018, Ministerio Fiscal, (6) en la que confirmó la interpretación de ese mismo precepto de la Directiva 2002/58.

2. Esas sentencias (en particular, la segunda) preocupan a las autoridades de algunos Estados miembros, pues, a su entender, tienen como consecuencia despojarlos de un instrumento que reputan necesario para la salvaguarda de la seguridad nacional y para la lucha contra la criminalidad y el terrorismo. De ahí que algunos de esos Estados miembros aboguen por la revocación o la matización de aquella jurisprudencia.

3. Determinados órganos jurisdiccionales de los Estados miembros han puesto de relieve esa misma preocupación en cuatro reenvíos prejudiciales, (7) respecto de los que, con esta misma fecha, presento mis conclusiones.

4. Los cuatro asuntos plantean, ante todo, el problema de la aplicación de la Directiva 2002/58 a actividades relacionadas con la seguridad nacional y la lucha contra el terrorismo. Si aquella Directiva rigiese en ese contexto, habría de dilucidarse, acto seguido, en qué medida pueden los Estados miembros restringir los derechos de privacidad que protege. En último lugar, se deberá analizar hasta qué punto las diferentes normativas nacionales (la británica, (8) la belga (9) y la francesa (10)) sobre esta materia se atienen al derecho de la Unión, tal como ha sido interpretado por el Tribunal de Justicia.

5. Una vez conocida la sentencia Digital Rights, la Cour constitutionnelle (Tribunal Constitucional, Bélgica) anuló la normativa nacional que había transpuesto parcialmente al derecho interno la Directiva 2006/24, declarada inválida en aquella sentencia. El legislador belga adoptó, entonces, una nueva regulación, cuya compatibilidad con el derecho de la Unión ha vuelto a ponerse en duda a raíz de la sentencia Tele2 Sverige y Watson.

6. Una especificidad del presente reenvío es que suscita la posibilidad de prorrogar provisionalmente los efectos de una norma nacional cuya anulación por los tribunales nacionales se imponga a causa de su incompatibilidad con el derecho de la Unión.

   1. Marco normativo

   1. Derecho de la Unión

7. Me remito al apartado correspondiente de mis conclusiones en los asuntos C-511/18 y C-512/18.

   2. Derecho nacional. Loi du 29 mai 2016 relative à la collecte et à la conservation des données dans le secteur des communications électroniques (11) 8. El artículo 4 dispone que el artículo 126 de la loi du 13 juin 2005 relative aux communications électroniques (12) tendrá esta redacción:

   1. Sin perjuicio de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel [Ley de 8 de diciembre de 1992 sobre protección de la vida privada con respecto al tratamiento de los datos de carácter personal], los proveedores que presten al público servicios de telefonía, incluso a través de internet, de acceso a internet, de correo electrónico por internet, así como los operadores que proporcionen redes públicas de comunicación electrónica y los operadores que presten cualquiera de los servicios anteriores deberán conservar los datos indicados en el apartado 3 que generen o traten en el marco de la prestación de los servicios de comunicaciones de que se trate.

   Este artículo no se refiere al contenido de las comunicaciones.

   [...]

   2. Las autoridades enunciadas a continuación serán las únicas que, a su solicitud, podrán obtener de los proveedores y operadores indicados en el apartado 1, párrafo primero, los datos que se conserven con arreglo al presente artículo, para las finalidades y en las condiciones enumeradas a continuación:

   1.º las autoridades judiciales, con fines de investigación, instrucción y persecución de delitos, a efectos de la ejecución de las medidas previstas en los artículos 46 bis y 88 bis del Code d’instruction criminelle (Código de enjuiciamiento criminal) y en las condiciones previstas en los citados artículos;

   2.º los servicios de inteligencia y seguridad, con el fin de cumplir misiones de inteligencia recurriendo a los métodos de recogida de datos previstos en los artículos 16/2, 18/7 y 18/8 de la loi du 30 novembre 1998 organique des services de renseignement et de Sécurité [(13)] y en las condiciones establecidas en la presente ley;

   3.º cualquier agente de la policía judicial del Institut [belge des services postaux et des télécommunications (Instituto belga de servicios postales y telecomunicaciones)], con fines de investigación, instrucción y persecución de infracciones de [las normas de seguridad de las redes] y del presente artículo;

   4.º los servicios de emergencias que presten asistencia in situ, cuando, tras haber recibido una llamada de auxilio, no obtengan del proveedor o del operador en cuestión los datos de identificación de la persona que realizó la llamada […] u obtengan datos incompletos o incorrectos. Solo podrán solicitarse los datos identificativos de la persona que realizó la llamada y, a más tardar, dentro de las 24 horas siguientes a su realización;

   5.º cualquier agente de la policía judicial de la unidad de personas desaparecidas de la Policía Federal, en el marco de sus funciones de asistencia a personas en peligro, de búsqueda de personas cuya desaparición resulta sospechosa y cuando quepa presumir o existan indicios serios de que la integridad física de la persona desaparecida se encuentra en peligro inminente. Únicamente podrán solicitarse al operador o al proveedor de que se trate, a través de un servicio de policía designado por el Rey, los datos indicados en el apartado 3, párrafos primero y segundo, relativos a la persona desaparecida conservados durante las 48 horas anteriores a la solicitud de obtención de los datos;

   6.º el Servicio de mediación para las telecomunicaciones, a efectos de identificar a la persona que haya hecho un uso indebido de una red o de un servicio de comunicaciones electrónicas [...]. Solo podrán solicitarse los datos identificativos.

   Los proveedores y operadores mencionados en el apartado 1, párrafo primero, dispondrán lo necesario para que los datos a que se refiere el apartado 3 sean accesibles sin límites desde Bélgica y para que tales datos y cualquier otra información necesaria relativa a ellos puedan transmitirse sin demora exclusivamente a las autoridades indicadas en este apartado.

   Sin perjuicio de lo dispuesto en otras disposiciones legales, los proveedores y operadores a que se refiere el apartado 1, párrafo primero, no podrán utilizar los datos que conserven en cumplimiento de lo dispuesto en el apartado 3 para otros fines.

   3. Los datos que permiten identificar al usuario o abonado y los medios de comunicación, a excepción de los datos específicamente previstos en los párrafos segundo y tercero, se conservarán durante los doce meses siguientes a la fecha en la que hubiera podido efectuarse por última vez una comunicación a través del servicio utilizado.

   Los datos sobre acceso y conexión de los terminales a la red y al servicio, y de ubicación de esos equipos, incluido el punto de terminación de la red, se conservarán durante los doce meses siguientes a la fecha de la comunicación.

   Los datos de comunicaciones, con exclusión de su contenido, incluidos los relativos a su origen y destino, se conservarán durante los doce meses siguientes a la fecha de la comunicación.

   Mediante decreto adoptado por el Consejo de ministros, a propuesta del ministro de Justicia y del ministro, y previo dictamen de la Comisión para la protección de la intimidad y del Instituto, el Rey establecerá los datos que han de conservarse por cada una de las categorías indicadas en los párrafos primero a tercero y los requisitos que esos datos deben reunir.

   4. A efectos de la conservación de los datos mencionados en el apartado 3, los proveedores y operadores indicados en el apartado 1, párrafo primero, deberán:

   1.º garantizar que los datos conservados son de la misma calidad y están sometidos a las mismas normas de seguridad y protección que los datos existentes en la red;

   2.º velar por que los datos conservados estén sujetos a medidas técnicas y organizativas adecuadas para protegerlos de la destrucción accidental o ilícita, la pérdida o la alteración accidental, así como el almacenamiento, el tratamiento, el acceso o la comunicación no autorizados o ilícitos;

   3.º garantizar que únicamente uno o varios miembros de la unidad de coordinación a que hace referencia el artículo 126/1, apartado primero, puedan acceder a los datos conservados para atender las solicitudes de las autoridades a que alude el apartado 2;

   4.º conservar los datos en el territorio de la Unión Europea;

   5.º adoptar medidas de protección tecnológica en virtud de las cuales, desde el momento de su grabación, los datos conservados sean ilegibles e...