Dictamen del Supervisor Europeo de Protección de Datos sobre la propuesta de Directiva del Parlamento Europeo y del Consejo sobre la retención de los datos procesados en conexión con la prestación de servicios públicos de comunicación electrónica y por la que se modifica la Directiva 2002/58/CE [COM(2005) 438 final]

• Section: Directive
• Issuing Organization: Parlamento Europeo y Consejo de la Unión Europea

I (Comunicaciones) DICTAMEN DEL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS Dictamen del Supervisor Europeo de Protección de Datos sobre la propuesta de Directiva del Parlamento Europeo y del Consejo sobre la retención de los datos procesados en conexión con la prestación de servicios públicos de comunicación electrónica y por la que se modifica la Directiva 2002/58/CE [COM(2005) 438 final] (2005/C 298/01) EL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS,

Visto el Tratado constitutivo de la Comunidad Europea y, en particular, su artículo 286,

Vista la Carta de los Derechos Fundamentales de la Unión Europea y, en particular, su artículo 8,

Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1), y la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (2),

Visto el Reglamento (CE) no 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (3), y, en particular, su artículo 41,

Vista la solicitud de dictamen, de conformidad con el artículo 28, apartado 2, del Reglamento (CE) no 45/2001, recibida de la Comisión el 23 de septiembre de 2005,

HA ADOPTADO EL SIGUIENTE DICTAMEN:

1. Introducción 1. El Supervisor Europeo de Protección de Datos (SEPD) acoge con satisfacción que se le consulte de conformidad con el artículo 28, apartado 2, del Reglamento (CE) no 45/2001.

   Sin embargo, teniendo en cuenta el carácter obligatorio del artículo mencionado, el presente Dictamen debe mencionarse en el preámbulo de la Directiva.

   2. El SEPD reconoce la importancia que tiene para los servicios policiales de los Estados miembros disponer de todos los instrumentos jurídicos necesarios, en especial en la lucha 29.11.2005 ES Diario Oficial de la Unión Europea C 298/1 (1) DO L 281 de 23.11.1995, p. 31.

      (2 ) DO L 201 de 31.7.2002, p. 37.

      (3) DO L 8 de 12.1.2001, p. 1.

      contra el terrorismo y otros tipos de delincuencia grave. Una disponibilidad adecuada de determinados datos de tráfico y de localización de los servicios electrónicos públicos puede ser un instrumento decisivo para dichos servicios policiales y puede contribuir a la seguridad física de las personas. Además, cabe observar que esto no implica automáticamente la necesidad de los nuevos instrumentos según lo previsto en la presente propuesta.

   3. Es igualmente evidente que la propuesta tiene un impacto considerable en la protección de datos personales. Si la propuesta se considera solamente desde la perspectiva de la protección de datos, los datos de tráfico y de localización no deben retenerse en absoluto con fines represivos. Debido a la protección de datos, la Directiva 2002/58/CE establece como principio jurídico que los datos de tráfico deben borrarse cuando el almacenamiento ya no sea necesario a efectos de la propia comunicación en sí (inclusive con fines de facturación).

      Las excepciones a este principio jurídico están sujetas a condiciones estrictas.

   4. En el presente Dictamen, el SEPD pondrá de relieve el impacto de la propuesta sobre la protección de los datos personales. Por otra parte, el SEPD tendrá en cuenta que la propuesta no tenga como consecuencia, a pesar de su importancia para los servicios policiales, que los particulares se vean privados del derecho fundamental a la protección de su intimidad.

   5. El presente Dictamen del SEPD debe considerarse a la luz de dichas consideraciones. El SEPD prevé un planteamiento equilibrado, en el que la necesidad y la proporcionalidad de la interferencia con la protección de datos desempeñen un papel central.

   6. En lo que se refiere a la propuesta misma, debe verse como una reacción a la iniciativa por parte de la República Francesa, de Irlanda, del Reino de Suecia y del Reino Unido de una Decisión marco sobre la retención de datos tratados y almacenados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de datos trasmitidos por redes públicas de comunicaciones, a efectos de prevención, investigación, descubrimiento y represión de la delincuencia y las infracciones penales, con inclusión del terrorismo (en adelante 'el proyecto de Decisión marco'), rechazado por el Parlamento Europeo (en el procedimiento de consulta).

   7. El SEPD no ha sido consultado sobre el proyecto de Decisión marco, ni ha emitido un dictamen por iniciativa propia. El SEPD no se plantea por ahora emitir un dictamen sobre el proyecto de Decisión marco, pero se referirá en el presente Dictamen a dicho proyecto de Decisión, cuando lo considere útil.

2. Observaciones generales El impacto de la propuesta sobre la protección de datos personales 8. Es esencial para el SEPD que la propuesta respete los derechos fundamentales. Una medida legislativa que conculcase la protección garantizada por el Derecho comunitario y, más en especial, por la jurisprudencia del Tribunal de Justicia y del Tribunal Europeo de Derechos Humanos no sólo es inaceptable, sino también ilegal. Las circunstancias en la sociedad pueden haber cambiado debido a ataques terroristas, pero esto no puede tener como efecto que se comprometan los estándares elevados de protección en el Estado de Derecho.

   La legislación asegura la protección con independencia de las necesidades policiales reales. Por otra parte, la propia jurisprudencia permite las excepciones, en caso de necesidad, en una sociedad democrática.

   9. La propuesta tiene un impacto directo sobre la protección garantizada por el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales (CEDH). La jurisprudencia del Tribunal Europeo de Derechos Humanos (TEDH) ha considerado que:

      -- el almacenamiento de información sobre un individuo era una injerencia en la vida privada, incluso aunque no contuviera ningún dato sensible [Amann (1)], -- lo mismo se aplica a la práctica de la 'medición' de llamadas telefónicas, que implica el uso de un dispositivo que registra automáticamente los números marcados en un teléfono y el tiempo y la duración de cada llamada [Malone (2)], -- las justificaciones para la injerencia deben ser más importantes que las consecuencias perjudiciales que la existencia misma de las disposiciones legislativas de que se trata pudiera entrañar para las personas [Dudgeon (3 )].

   10. El artículo 6, apartado 2, del Tratado UE establece que la Unión respetará los derechos fundamentales tal y como se garantizan en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales. En el párrafo anterior se ha mostrado que, conforme a la jurisprudencia del Tribunal Europeo de Derechos Humanos, la obligación de retener datos entra dentro del ámbito del artículo 8 del CEDH y que es necesaria una justificación C 298/2 ES Diario Oficial de la Unión Europea 29.11.2005 (1) Sentencia del TEDH de 16 de febrero de 2000, Amann, 2000-II,

       Demanda no 27798/95.

       (2) Sentencia del TEDH de 2 de agosto de 1984, Malone, A82,

       Demanda no 8691/79.

       (3 ) Sentencia del TEDH de 22 de octubre de 1981, Dudgeon, A45,

       Demanda no 7525/76.

       apremiante que respete el criterio de la sentencia Dudgeon. Se debe demostrar la necesidad y la proporcionalidad de la obligación de retener datos, en su sentido más extenso.

   11. Además, la propuesta tiene un impacto enorme sobre los principios de protección de datos reconocidos por el Derecho comunitario:

       -- hay que retener los datos durante un plazo mucho más largo que los plazos que son habituales para la retención por los proveedores de servicios de las comunicaciones electrónicas públicamente disponibles o por una red de comunicaciones públicas (en lo sucesivo se hará referencia a ambos servicios como 'proveedores'), -- conforme a la Directiva 2002/58/CE, más en especial a su artículo 6, los datos sólo se pueden recoger y almacenar por motivos relacionados directamente con la propia comunicación, incluso a efectos de facturación (1 ).

       Más tarde, los datos deben borrarse (sin perjuicio de las excepciones). Conforme a la actual propuesta, la retención a efectos de la aplicación del Derecho penal es obligatoria. Así pues, el punto de partida es contrario, -- la Directiva 2002/58/CE garantiza la seguridad y la confidencialidad. Esta propuesta no puede crear lagunas en ese campo; se requieren salvaguardias estrictas y debe aclararse la delimitación de la finalidad, -- la introducción de la obligación de retener datos, según lo previsto por la propuesta, se traduce en bases de datos sustanciales y conlleva riesgos particulares para la persona objeto de los datos. Cabría pensar en el uso comercial de los datos, así como en el uso de los datos para las operaciones de búsqueda aleatoria de información y/o de la extracción de los datos por parte de las autoridades policiales y aduaneras o de los servicios de seguridad nacional.

   12. Finalmente, tanto la protección de la intimidad como la protección de datos personales han sido reconocidas en la Carta de los Derechos Fundamentales, como se ha mencionado en la exposición de motivos.

   13. El impacto de la propuesta sobre la protección de datos personales requiere un análisis completo. En este análisis, el SEPD tomará los elementos anteriormente mencionados en consideración y llegará a la conclusión de que son necesarias más salvaguardias. Una simple referencia al marco jurídico vigente en relación con la protección de datos no es suficiente (en especial, las Directivas 95...