Que una
deficiente legislación armonizadora de la UE se proyecta sobre el contenido de
los ordenamientos de los Estados miembros resulta evidente, pero lo sucedido
con la Directiva 2006/24/CE constituye, por su alcance, sin duda un ejemplo con
pocos precedentes. El último episodio, por el momento, lo representa la
sentencia del Tribunal de Justicia de 8 de abril de 2014, C-293/12 y C-594/12, Digital Rights Ireland, que precisamente
declara inválida la Directiva 2006/24/CE
del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la
conservación de datos generados o tratados en relación con la prestación de
servicios de comunicaciones electrónicas de acceso público o de redes públicas
de comunicaciones y por la que se modifica la Directiva 2002/58/CE. La
declaración se invalidez se funda en que la Directiva 2006/24/CE constituye una
injustificada injerencia de gran magnitud y especial gravedad en los derechos
fundamentales al respeto de la vida privada y a la protección de datos de
carácter personal. Otros episodios anteriores habían sido las sentencias del
Tribunal constitucional rumano de 8 de octubre de 2009 y del Tribunal constitucional alemán de 2 de
marzo de 2010 acerca de la inconstitucionalidad de normas adoptadas en
transposición de la Directiva 2006/24/CE. Como es conocido, esta Directiva
impone a los proveedores de servicios de comunicaciones electrónicas de acceso
público o de redes públicas de comunicaciones el deber de conservar los datos
de tráfico y de localización, así como los datos relacionados necesarios para
identificar al abonado o al usuario, con el propósito de garantizar su
disponibilidad con fines de prevención, investigación, detección y
enjuiciamiento de delitos graves. La transposición de dicha Directiva en España
tuvo logar mediante la Ley 25/2007. Teniendo en cuenta los fundamentos de la
declaración de invalidez de la Directiva, así como que en los análisis del
contenido de la Ley 25/2007 se han venido destacado carencias significativas en
ámbitos como la indeterminación de los delitos, el procedimiento para permitir
usar los datos, así como la insuficiencia de las medidas de seguridad
establecidas, la nueva sentencia reviste singular importancia de cara a la
aplicación (y evolución) de la legislación española en la materia.
No está de más
poner de relieve que la declaración de invalidez de la Directiva no cuestiona
la existencia de legislación específica en esta materia. Antes al contrario, el
Tribunal de Justicia destaca que las medidas que la Directiva 2006/24 contempla
no permiten conocer propiamente el contenido de las comunicaciones
electrónicas, así como que la conservación de datos de tráfico para su posible
transmisión a las autoridades nacionales responde a un objetivo de interés
general, como es la lucha contra la delincuencia grave y la protección de la
seguridad pública. Cuestión distinta es que la regulación de ese deber de retención
en la Directiva resulte inaceptable.
Por otra
parte, cabe destacar que al margen de la Directiva 2006/24, ya el Derecho de la
Unión contemplaba la posibilidad de que las legislaciones de los Estados
miembros establecieran regímenes específicos en esta materia, que constituyen
una excepción al régimen general en materia de protección de datos. En
concreto, el artículo 15.1 de la Directiva 2002/58 facultaba ya a los Estados
miembros para adoptar medidas legales que limiten el alcance de derechos y las
obligaciones establecidos en sus artículos 5, 6, 8 y 9, cuando tal limitación
constituya una medida necesaria proporcionada y apropiada en una sociedad
democrática para proteger la seguridad nacional (es decir, la seguridad del
Estado), la defensa, la seguridad pública, o la prevención, investigación,
descubrimiento y persecución de delitos… Esa norma preveía ya que los Estados
miembros pueden adoptar, entre otras, medidas legislativas en virtud de las
cuales los datos se conserven durante un plazo limitado, precisando que todas
esas medidas deberían ser conformes con los principios generales del Derecho
comunitario.
Como puso de
relieve el Abogado General en sus conclusiones en el asunto Digital Rights Ireland (ap. 118), la Directiva 2006/24 transformó
el régimen facultativo de la Directiva 2002/58 en un régimen preceptivo (de ahí
que aquella insertara en el art. 15 de la Directiva 2002/58 un apartado 1 bis,
según el cual “El apartado 1 no se aplicará a los datos que deben conservarse
específicamente de conformidad con la Directiva 2006/24/CE”). La nueva
sentencia pone de relieve como, por su contenido, el régimen que establece la
Directiva 2006/24 resulta inaceptable habida cuenta del alcance de la
injerencia en los derechos fundamentales afectados, destacando las carencias
esenciales de una normativa que establece obligaciones de retención de datos
como las previstas en la Directiva 2006/24. Se trata, por tanto, de un análisis
de indudable importancia para valorar también las exigencias que el respeto a
los derechos fundamentales afectados impone a la configuración y aplicación de normas
nacionales, como las contenidas en la Ley 25/2007, con independencia de que el
legislador de la Unión adopte las medidas precisas para subsanar la declaración
de ineficacia. Precisamente, la influencia del modelo de la Directiva en las
legislaciones nacionales condiciona en la práctica las carencias de las
legislaciones de transposición, como ilustran las sentencias de los tribunales
constitucionales antes mencionadas.
La sentencia Digital Rights Ireland destaca que la
falta de proporcionalidad de las medidas y la circunstancia de que estas no
limitan la injerencia en los derechos fundamentales afectados a lo
estrictamente necesario deriva del amplio alcance y de la insuficiente regulación
contenida en la Directiva. Por ello, esta sentencia del Tribunal de Justicia
aporta algunas de las claves de la eventual revisión de la legislación de la
UE, pero también –e incluso cabe pensar que más urgente ante la situación
creada- de las legislaciones nacionales. Seis son las principales carencias que
destaca la sentencia.
Primero, la
Directiva abarca de manera generalizada a todas las personas, medios de
comunicación electrónica y datos relativos al tráfico sin que establecer
ninguna diferenciación o limitación en función del objetivo de lucha contra los
delitos graves. Segundo, la Directiva se limita a remitir de manera general a
los “delitos graves” definidos por cada Estado miembro en su ordenamiento
jurídico, sin fijar criterios objetivos que aseguren que se trate de delitos
que, por la magnitud y la gravedad de la injerencia en los derechos
fundamentales afectados, puedan considerarse suficientemente graves. En tercer
lugar, la normativa establecida no define las condiciones materiales y procesales
en las que las autoridades nacionales competentes pueden tener acceso a los
datos y utilizarlos, sin que se exija que el acceso quede supeditado al control
previo de un órgano jurisdiccional o de un organismo administrativo autónomo. Cuarto,
con respecto al período de conservación de los datos, el periodo establecido
oscila entre un mínimo de seis meses y un máximo de veinticuatro, pero no prevé
distinciones en función de las personas afectadas o de los datos conservados ni
proporciona criterios objetivos con arreglo a los que debe determinarse el
período de conservación para garantizar que se limite a lo estrictamente
necesario. En quinto lugar, el Tribunal de Justicia considera asimismo que la
Directiva no contiene garantías suficientes contra los riesgos de abuso y
contra cualquier acceso y utilización ilícitos de los datos, destacando que no
se garantiza la destrucción definitiva de los datos al término de su período de
conservación. Para finalizar, se considera inapropiado que la Directiva no obligue
a que los datos se conserven en el territorio de la Unión, lo que menoscaba la
exigencia contenida en el artículo 8(3) de la Carta de que se garantice plenamente
el control del cumplimiento de los requisitos de protección y de seguridad por
una autoridad independiente.
Teniendo en
cuenta los derechos fundamentales afectados y la magnitud de la injerencia en
los mismos, y aunque una actuación coordinada resulta sin duda deseable,
corresponde al legislador español valorar el eventual impacto de las carencias
puestas de relieve en la sentencia reseñada sobre el contenido de la Ley
25/2007, para, en su caso, proceder a la revisión de la legislación española
sin necesidad de esperar a que el legislador de la Unión adopte medidas para
subsanar la invalidez de la Directiva 2006/24/CE.
