Resumen y resultado del caso

En dos de sus sentencias, la Gran Sala del Tribunal de Justicia de la Unión Europea (TJUE) sostuvo que el Derecho de la UE prohibía que la legislación nacional exigiese a los proveedores de servicios de comunicaciones electrónicas hacer transmisiones generales e indiscriminadas de datos de tráfico y localización a los organismos de seguridad e inteligencia con el fin de salvaguardar la seguridad nacional. En demandas unificadas del Reino Unido, Francia y Bélgica, el TJUE pretendía determinar la legalidad de la legislación nacional que establecía la obligación de los proveedores de servicios de comunicaciones electrónicas de transmitir los datos de tráfico y localización de los usuarios a una autoridad pública o de conservar dichos datos de manera general o indiscriminada por motivos de prevención del delito y de seguridad nacional. El Tribunal consideró que tal obligación no solo interfería con la protección de la privacidad y los datos personales, sino que también era incompatible con el principio de libertad de expresión en virtud del artículo 11 de la Carta de la UE. Sin embargo, el Tribunal estableció que cuando tal retención esté justificada por la existencia de una amenaza grave para la seguridad nacional o pública, la naturaleza de la medida debe ser «estrictamente» proporcional a su finalidad prevista. Además, el Tribunal también aclaró el alcance de las facultades conferidas a los Estados miembros por la Directiva sobre privacidad y comunicaciones electrónicas con respecto a la retención de datos para los fines antes mencionados.

---

Hechos

En toda la UE, la retención de datos personales, y el acceso a ellos en el campo de las comunicaciones electrónicas para salvaguardar la seguridad nacional y combatir el delito, ha sido una práctica generalizada entre los organismos de seguridad nacional. En particular, el TJUE en Tele2Sverige y Watson y Otros (C-203/15 y C-698/15, en adelante «Tele2») sostuvo que los Estados miembros no pueden imponerle a los proveedores de servicios de comunicaciones electrónicas la obligación de retener datos de manera general e indiscriminada. Esto fue problemático para los Estados miembros que se vieron privados de un instrumento de protección de la seguridad nacional. Sobre esta base, se incoaron cuatro procedimientos contra las legislaciones nacionales del Reino Unido, Francia y Bélgica en relación con la legalidad de la obligación de retención general e indiscriminada impuesta a los proveedores de servicios de comunicaciones electrónicas. Los detalles de estos procedimientos se consignan a continuación:

Caso C-623/17 (Reino Unido)

El 5 de junio de 2015, Privacy International, un grupo de defensa de origen británico, presentó una demanda ante el Tribunal de Poderes de Investigación del Reino Unido en relación con la legalidad de la legislación que autoriza la adquisición y el uso de datos de comunicaciones masivos por parte de los organismos de seguridad e inteligencia (es decir, GCHQ, MI5 y MI6). En particular, en sentencia del 17 de octubre de 2016, los demandados habían reconocido el uso de datos personales masivos (datos biográficos, de viajes, financieros, de información comercial y de comunicaciones) para analizarlos mediante cotejo y tratamiento automatizado, así como para divulgarlos a otras personas/autoridades y socios extranjeros. Estos datos, adquiridos de las redes públicas de comunicaciones electrónicas, eran utilizados por GCHQ y MI5 desde 2001 y 2005, respectivamente.

Al analizar la legalidad de estas prácticas, el órgano jurisdiccional remitente concluyó que las medidas referidas a la adquisición y el uso de datos eran compatibles con la legislación nacional. [Página 6 de la sentencia 1]. En particular, las redes de comunicaciones electrónicas estaban obligadas a proporcionar a los organismos de seguridad e inteligencia los datos recopilados en el curso de su actividad económica; sin embargo, no ocurría lo mismo con respecto a la adquisición de otros datos obtenidos por esos organismos sin el uso de facultades vinculantes. Así, el órgano jurisdiccional consideró conveniente plantear al TJUE si: (a) el régimen jurídico nacional se encuadraba dentro del ámbito de aplicación del Derecho de la UE; y (b) si y cómo los requisitos del caso Tele2 se aplicaban a dicho régimen.

Caso C-511/18 (Francia)

En sendas demandas del 30 de noviembre de 2015 y del 16 de marzo de 2016, diversos grupos de defensa y organizaciones sin fines de lucro presentaron ante el Conseil d’État (Consejo de Estado) recursos de nulidad de los decretos que obligaban a los operadores de comunicaciones electrónicas y a los proveedores de servicios técnicos a «implementar en sus redes el procesamiento automatizado de datos destinado […] a detectar vínculos que puedan constituir una amenaza terrorista» de conformidad con la legislación francesa. [Página 25]. Los demandantes alegaron que los decretos infringían la Constitución francesa, el Convenio Europeo para la Protección de los Derechos Humanos y las Libertades Fundamentales (CEDH) y las Directivas 2000/31 y 2002/58 (sobre la protección de datos personales y la privacidad).

Aunque el órgano jurisdiccional remitente llegó a la conclusión de que la obligación que recaía sobre las autoridades administrativas de conservar y acceder a los datos se encuadraba dentro del ámbito de aplicación del Derecho de la Unión Europea, consideró que no era extensiva a las disposiciones de la legislación nacional que se relacionan directamente con las técnicas de recopilación de inteligencia aplicadas por el propio Estado. No obstante, el órgano jurisdiccional consideró procedente suspender las actuaciones y sometió tres cuestiones a la interpretación del TJUE.

Caso C-512/18 (Francia)

El 15 de septiembre de 2016, los citados grupos de defensa interpusieron una acción independiente contra la decisión de rechazo tácito a su solicitud de derogación de textos legislativos que presuntamente vulneraban la privacidad al imponer la obligatoriedad de conservar de manera general e indiscriminada los datos de comunicaciones con fines judiciales. El órgano jurisdiccional remitente consideró que la obligación de conservar y mantener los datos, tal como se aplicaba en el presente caso, no caía en el ámbito del Derecho de la UE, ya que su esfera de aplicación se limitaba a la prestación de servicios de comunicaciones electrónicas disponibles al público en las redes públicas de comunicaciones de la UE. Dado que el derecho comunitario no establecía una prohibición expresa de conservar dichos datos, también consideró oportuno remitir el caso al TJUE.

Caso C-520/18 (Bélgica)

En enero de 2017, se interpusieron varias acciones ante el Tribunal Constitucional de Bélgica para solicitar la anulación de la ley belga que exige la retención de datos. Los demandantes sostuvieron que la ley no preveía garantías adecuadas de protección de los datos retenidos y entrañaba el riesgo de que las autoridades competentes recopilaran y utilizaran indebidamente los perfiles de personalidad. Afirmaron que las normas violaban la constitución belga, varias disposiciones del CEDH, el ICCPR (Pacto Internacional de Derechos Civiles y Políticos) y el Tratado de la Unión Europea (TUE). Al señalar similitudes entre la legislación belga y el Derecho de la UE sobre la retención de datos generados en relación con las redes públicas de comunicaciones, el Tribunal Constitucional de Bélgica decidió remitir el caso al TJUE y plantear una cuestión prejudicial.

Con sus dictámenes del 25 de septiembre de 2018 y del 9 de julio de 2020, el Tribunal unificó los casos C-511/18, C-512/18 y C-520/18. El caso C-623/17 se trató por separado. Con fecha 15 de enero de 2020, el Abogado General Campos Sánchez-Bordona presentó tres opiniones independientes que sostenían que las actividades de las autoridades públicas de los Estados miembros por motivos de seguridad nacional que requieren la cooperación de particulares no están fuera del ámbito de aplicación de la Directiva 2002/58 sobre privacidad y comunicaciones electrónicas. Por lo tanto, cuando la legislación exija a los proveedores de servicios de comunicaciones electrónicas que conserven datos y permitan que las autoridades públicas accedan a ellos, se aplicarán las disposiciones de la Directiva (en particular, el principio de confidencialidad de las comunicaciones conforme al artículo 5(1)). Según el Abogado General, los regímenes nacionales deben alinearse con los estándares del TJUE establecidos en Tele2 y Digital Rights Ireland y Otros, casos C-293/12 y C-594/12 («Digital Rights Ireland»), incluso en casos relacionados con la seguridad nacional.

Si bien los Estados miembros pueden adoptar medidas legislativas en interés de la seguridad nacional, el Abogado General también explicó que las limitaciones previstas en el artículo 5(1), deben interpretarse «estrictamente». Recomendó la retención y el acceso limitados a los datos para prevenir eficazmente el delito y proteger la seguridad nacional, pero también agregó que en los casos que entrañen una amenaza inminente o un riesgo extraordinario, la legislación nacional puede imponer obligaciones generales y amplias de retención de datos. [Página 16 del dictamen en C-511/18 y C-512/18]. El Abogado General indicó que las obligaciones de retener datos de manera general o indiscriminada en vista de amenazas graves o persistentes a la seguridad nacional interferían con los derechos básicos consagrados en la Carta de los Derechos Fundamentales de la UE. Con el argumento de que la lucha contra el terrorismo no era una cuestión de eficacia práctica sino de eficacia jurídica [página 5 del dictamen en el caso C-623/17], sostuvo que notificar a los interesados era una condición imprescindible para retener datos, a menos que hacerlo pusiera en peligro el accionar de las autoridades nacionales.

El Abogado General también declaró que la Directiva no impedía la recopilación en tiempo real de datos de tráfico y localización, siempre que se llevase a cabo con los procedimientos establecidos y las garantías mencionadas anteriormente. Se consideró que esta obligación no sólo era aplicable a los delitos graves, sino también a los delitos menores previstos en el artículo 23(1) del RGPD. [Página 9 del dictamen en el caso C-520/18]. En cuanto a si la justicia nacional puede mantener los efectos de una legislación nacional en caso de incompatibilidad con el Derecho de la UE, el Abogado General consideró que es posible, solo si se justificaba mantener esos efectos y siempre que fuese estrictamente necesario para corregir la incompatibilidad con el Derecho de la UE.

---

Análisis de la Decisión

La Gran Sala del Tribunal de Justicia planteó una cuestión prejudicial en dos sentencias del 6 de octubre de 2020. La cuestión principal ante el Tribunal era el problema de la aplicación de la Directiva sobre privacidad y comunicaciones electrónicas a las actividades relacionadas con la seguridad nacional y la lucha contra el terrorismo. El TJUE formuló cinco criterios para su consideración:

1. Si una legislación nacional que permita a las autoridades estatales exigir a los proveedores de servicios de comunicaciones electrónicas que transmitan datos a los organismos de seguridad e inteligencia para proteger la seguridad nacional se encuadra dentro del ámbito de aplicación de la Directiva 2002/58.
2. Si el artículo 15(1) de la Directiva 2002/58 debe interpretarse como contrario a la legislación nacional que impone a los proveedores de servicios de comunicaciones electrónicas -a los efectos previstos en el artículo 15(1)- la obligación de retener de manera general e indiscriminada los datos de tráfico y localización.
3. Si el artículo 15(1) de la Directiva 2002/58 debe interpretarse en el sentido de que se opone a la legislación nacional que obliga a los proveedores de servicios de comunicaciones electrónicas a aplicar, en sus redes, medidas que permitan, en primer lugar, el análisis automatizado y la recopilación en tiempo real de datos de tráfico y localización; y, en segundo lugar, la recopilación en tiempo real de datos técnicos relativos a la ubicación del equipo terminal utilizado, pero que no prevé que las personas afectadas por dicho procesamiento y recopilación sean notificadas al respecto. [Página 45].
4. Si las disposiciones de la Directiva 2000/31 deben interpretarse como contrarias a la legislación nacional que exige a los proveedores de acceso a los servicios públicos de comunicaciones en línea y a los proveedores de servicios de hosting que conserven, de manera general e indiscriminada, los datos personales relativos a dichos servicios. [Página 49].
5. Si un tribunal nacional puede aplicar una disposición de la legislación nacional que exige la retención general e indiscriminada de datos de tráfico y localización con el objetivo de salvaguardar la seguridad nacional/luchar contra el delito, a pesar de que la legislación es incompatible con el artículo 15(1) de la Directiva 2002/58. [Página 52].

El artículo 5(1), de la Directiva 2002/58 sobre privacidad y comunicaciones electrónicas consagra el principio de confidencialidad tanto de las comunicaciones electrónicas como de los datos de tráfico conexos y prohíbe que personas distintas de los usuarios almacenen dichas comunicaciones y datos sin el consentimiento de los usuarios. Sin embargo, el artículo 15(1) de la Directiva permite a los Estados miembros introducir excepciones al principio del artículo 5(1) cuando dicha restricción sea necesaria para preservar la seguridad nacional.

Con respecto al primer criterio, el Tribunal inicialmente dictaminó que la Directiva 2002/58 sobre privacidad y comunicaciones electrónicas es aplicable a la legislación nacional que exige recopilar y conservar datos personales. Con su respuesta negativa al reclamo de los demandados de que las actividades de los organismos de seguridad e inteligencia son funciones estatales esenciales y, por lo tanto, responsabilidad exclusiva de los Estados miembros fuera del ámbito de la Directiva, el TJUE sostuvo que el ámbito de aplicación de la Directiva se extiende no sólo a las medidas legislativas que exigen recopilar y retener datos, sino también a las que exigen que los proveedores de servicios habiliten el acceso a dichos datos. Esto se debió a que tales medidas legislativas requerían que los proveedores de comunicaciones electrónicas procesasen los datos y, por lo tanto, no pueden considerarse actividades propias de los Estados. El Tribunal citó el RGPD para señalar que la divulgación de datos personales por transmisión (el almacenamiento o la puesta a disposición de los datos) constituía un «procesamiento» (el RGPD designa el concepto de «procesamiento de datos personales» como cualquier operación sobre datos personales que constituya recopilación, almacenamiento, uso, consulta, divulgación por transmisión, difusión u otra manera de puesta a disposición de los datos). [Página 15 del caso C-623/17].

Por el contrario, el TJUE declaró que la única circunstancia en la que la protección de los datos de las personas no está contemplada en el ámbito del Derecho de la UE es cuando los Estados miembros aplican medidas sin imponer obligaciones de procesamiento a los proveedores de servicios de comunicaciones electrónicas.

Tras decidir sobre la aplicabilidad de la Directiva 2002/58 en estos casos, el Tribunal analizó con mayor profundidad el impacto del derecho a la seguridad consagrado en el artículo 15(1) de la Directiva 2002/58 y la Carta de los Derechos Fundamentales de la UE (artículo 6 – Derecho a la Libertad y Seguridad). En concreto, los órganos jurisdiccionales remitentes no estaban seguros en cuanto a si la retención de datos prevista en las legislaciones nacionales interfería con los artículos 7 (Respeto de la vida privada y familiar) y 8 (Protección de datos personales) de la Carta. Al confirmar la sentencia en los casos Tele2 y Watson y Otros, el TJUE sostuvo que la Directiva 2002/58 no permite excepciones a la obligación del principio de garantizar la confidencialidad de las comunicaciones electrónicas y los datos relacionados y a la prohibición de que el almacenamiento de dichos datos se convierta en la regla (establecida en el artículo 5(1)). En consecuencia, el Tribunal concluyó que la Directiva no autoriza a los Estados miembros a adoptar medidas legislativas que restrinjan el alcance de los derechos en aras de la seguridad nacional, a menos que dicha medida cumpla con los principios generales del Derecho de la UE, como el principio de proporcionalidad y derechos fundamentales garantizados por la Carta. [Página 35].

Es importante destacar que el Tribunal acordó que imponer -a través de la legislación nacional- la obligación de que los proveedores de servicios de comunicaciones electrónicas retengan datos de tráfico no sólo interfiere con la protección de la privacidad y los datos personales, sino que también es incompatible con el principio de libertad de expresión en virtud del artículo 11 de la Carta de la UE. El Tribunal no sólo reiteró la importancia de la privacidad y la libertad de expresión al interpretar el artículo 11 de la Directiva, sino que también sostuvo que la retención de datos, en sí misma, constituía una excepción al principio de confidencialidad previsto en el artículo 5(1), ya que prohibía que una persona distinta del usuario almacenase esos datos. El Tribunal no consideró relevante hacer una distinción entre datos sensibles y no sensibles o el hecho de que los datos retenidos hayan sido utilizados posteriormente o no.

De notable importancia para el Tribunal fue el riesgo de elaboración de perfiles: la posibilidad de utilizar datos de tráfico y localización para obtener información sobre aspectos de la vida privada (opiniones políticas, orientación sexual, creencias religiosas, estado de salud, relaciones sociales, etc.) y extraer conclusiones precisas sobre la vida privada de las personas cuyos datos se han conservado suponía una amenaza directa al derecho a la privacidad. En primer lugar, se determinó que la retención de datos con fines policiales era en sí misma una violación del derecho al respeto de las comunicaciones; y, en segundo lugar, la mera retención de volúmenes significativos de datos por parte de los proveedores de comunicaciones electrónicas implicaba un riesgo de abuso y acceso ilegal.

En ese contexto, el Tribunal respondió afirmativamente al segundo criterio, sosteniendo que la Directiva de la UE prohibía que la legislación nacional obligase a los proveedores de servicios de comunicaciones electrónicas a transmitir datos de tráfico y localización de manera general e indiscriminada a los organismos de seguridad e inteligencia en aras de salvaguardar la seguridad nacional. Además, también declaró que hacerlo, incluso como medida preventiva, está prohibido por el Derecho de la UE, en particular cuando se retienen datos de manera general o indiscriminada y donde no existe un vínculo entre la conducta de las personas cuyos datos son afectados y el objetivo propuesto por la legislación aplicable.

Sin embargo, el Tribunal estableció que cuando tal retención esté justificada por la existencia de una amenaza grave para la seguridad nacional o pública, la naturaleza de la medida debe ser «estrictamente» proporcional a su finalidad prevista. No se puede intentar alcanzar un objetivo de medida general si no se concilia con los derechos fundamentales (interpretación del artículo 15(1). Más importante aún, el Tribunal especificó que una decisión que imponga tal orden debe estar sujeta a una revisión efectiva por parte del Tribunal o de un órgano administrativo independiente con autoridad vinculante. El Tribunal también pidió que se establezcan reglas claras y precisas en el ámbito nacional que rijan el alcance y la aplicación de la retención de datos para prevenir el riesgo de abuso.

Pero hizo una distinción en cuanto a la retención de datos relativos a la identidad civil de los usuarios de los sistemas de comunicaciones electrónicas. Dado que no es posible determinar la fecha, la hora, la duración y los destinatarios en tales casos, no es posible perfilar vidas privadas. En los casos de retención específica sobre la base de factores objetivos o no discriminatorios (según las categorías de personas interesadas o un criterio geográfico), se permite establecer una medida legislativa que obligue a los proveedores de comunicaciones electrónicas a retener dichos datos incluso si no existe relación entre todos los usuarios de los sistemas de comunicaciones electrónicas y los objetivos que persigue. [Página 42]. Del mismo modo, también es admisible retener las direcciones IP asignadas a la fuente de comunicaciones, siempre que se limite a lo estrictamente necesario. Por último, cuando sea necesario retener datos más allá de los períodos legalmente establecidos y ya se haya determinado la existencia o se tenga una sospecha razonable de un delito, la Directiva no prohíbe que se aplique una medida legislativa.

En cuanto al tercer criterio, el órgano jurisdiccional remitente había observado que las técnicas automatizadas de recopilación de inteligencia y la recopilación en tiempo real de datos técnicos eran legales sólo si la intención era prevenir el terrorismo y no para otros fines. Como punto preliminar, el TJUE señaló que los datos sobre los que se realiza un análisis automatizado con fines de detección de terroristas constituyen «datos personales» según el RGPD, ya que la información puede permitir la identificación de una persona específica. Sobre esta base, el Tribunal concluyó que dicho análisis automatizado de los datos de tráfico y localización era contrario al principio de confidencialidad en virtud de la Directiva 2002/58, así como a los derechos fundamentales protegidos por la Carta de la UE, y era probable que tuviera un efecto disuasorio sobre el ejercicio de la libertad de expresión.

Incluso en este caso, la doctrina de la proporcionalidad «estricta» era aplicable, si se consideraba necesaria una injerencia con respecto a una amenaza grave para la seguridad nacional. Las salvedades para cumplir con la prueba de proporcionalidad fueron: (a) La amenaza a la seguridad nacional debe ser real y actual o previsible; y (b) la duración de esa retención se limita a lo estrictamente necesario. Modelos o criterios preestablecidos a efectos de un análisis automatizado (origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical o información sobre la salud o la vida sexual de una persona) con la intención de prevenir el terrorismo, por lo tanto, no pueden basarse en datos confidenciales considerados de manera aislada. [Página 47]  El Tribunal aplicó un razonamiento similar para la recopilación en tiempo real de datos personales. La Directiva no impide que se recopilen estos datos si se limita a las personas respecto de las cuales se sospecha válidamente que están involucradas en un accionar terrorista y están sujetas a una revisión previa por parte de un tribunal o una autoridad administrativa independiente vinculante.

Con respecto al cuarto criterio, el Tribunal interpretó el artículo 23(1) del RGPD (que establece restricciones al procesamiento de datos personales) junto con la Carta para impedir que la legislación nacional exija que los proveedores de acceso a servicios de comunicaciones en línea y a los proveedores de servicios de alojamiento conserven, con carácter general e indiscriminado, los datos de índole personal relativos a dichos servicios. El Tribunal también aplicó las conclusiones en el contexto de los criterios mencionados referidos al artículo 23 del RGPD.

Finalmente, el TJUE se pronunció sobre el último criterio referido al mantenimiento de los efectos temporales de la legislación nacional declarada incompatible con el Derecho de la UE. Determinó que los tribunales nacionales no pueden aplicar una disposición de la legislación nacional que los faculta a limitar los efectos temporales de una declaración de ilegalidad que están obligados a formular en virtud de esa legislación. Esto se basó en el principio de primacía de la UE, que establece la preeminencia del Derecho de la UE sobre la legislación de los Estados miembros. Sin embargo, el TJUE también sostuvo que es privativo de la legislación nacional determinar las normas relativas a la admisibilidad y evaluación de la información obtenida mediante la retención de datos en contravención del Derecho de la UE en procesos penales contra personas sospechosas. [Página 53]. No obstante, los tribunales penales nacionales están obligados a ignorar la información o las pruebas obtenidas mediante la retención general o indiscriminada de datos de tráfico y localización si ello infringe el Derecho de la UE cuando las personas sospechosas de haber cometido delitos no puedan hacer declaraciones concretas sobre esa información (basándose en el principio de eficacia). Por lo tanto, el TJUE también respondió negativamente al último criterio.

---