El Tribunal de Justicia de la Unión Europea ha declarado inválida la Directiva de conservación de datos en los asuntos acumulados C‑293/12 and C‑594/12.

A la espera de encontrar un rato para leer en profundidad la sentencia (texto en inglés), parece que estamos de enhorabuena por un revolcón judicial a una Directiva post 11-S. Transcribo a continuación el texto de la nota de prensa que ha emitido el Tribunal:

La Directiva constituye una injerencia de gran magnitud y especial gravedad en los derechos fundamentales al respeto de la vida privada y a la protección de datos de carácter personal, sin que esta injerencia se limite a lo estrictamente necesario.

El objetivo principal de la Directiva sobre la conservación de datos es armonizar las disposiciones de los Estados miembros sobre la conservación de determinados datos generados o tratados por los proveedores de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones. Con ella se pretende así garantizar la disponibilidad de esos datos con fines de prevención, investigación, detección y enjuiciamiento de delitos graves, como la delincuencia organizada y el terrorismo. Así, la Directiva establece que dichos proveedores deberán conservar los datos de tráfico y de localización, así como los datos relacionados necesarios para identificar al abonado o al usuario. En cambio, no autoriza la conservación del contenido de la comunicación ni de la información consultada.

La High Court (Tribunal Superior de Irlanda) y el Verfassungsgerichtshof (Tribunal Constitucional de Austria) solicitan al Tribunal de Justicia que examine la validez de la Directiva, en particular a la luz de dos derechos fundamentales garantizados por la Carta de los Derechos Fundamentales de la Unión Europea: el derecho fundamental al respeto de la vida privada y el derecho fundamental a la protección de datos de carácter personal.

La High Court debe pronunciarse sobre un litigio entre la sociedad irlandesa Digital Rights y las autoridades irlandesas relativo a la legalidad de medidas nacionales sobre la conservación de datos referentes a comunicaciones electrónicas. El Verfassungsgerichtshof conoce de varios recursos en materia constitucional interpuestos por el Gobierno del Land de Carintia, los Sres. Seitlinger y Tschohl y otros 11.128 demandantes. En estos recursos se solicita la anulación de la disposición nacional que transpone la Directiva en el Derecho austriaco.
Mediante su sentencia de hoy, el Tribunal de Justicia declara inválida la Directiva.

El Tribunal de Justicia señala, en primer lugar, que los datos que han de conservarse permiten saber con qué persona y de qué modo se ha comunicado un abonado o un usuario registrado, determinar el momento de la comunicación y el lugar desde el que ésta se ha producido y conocer la frecuencia de las comunicaciones del abonado o del usuario registrado con determinadas personas durante un período concreto. Estos datos, considerados en su conjunto, pueden proporcionar indicaciones muy precisas sobre la vida privada de las personas cuyos datos se conservan, como los hábitos de la vida cotidiana, los lugares de residencia permanentes o temporales, los desplazamientos diarios u otros, las actividades realizadas, las relaciones sociales y los medios sociales frecuentados.

El Tribunal de Justicia considera que, al imponer la conservación de estos datos y al permitir el acceso a las autoridades nacionales competentes, la Directiva se inmiscuye de manera especialmente grave en los derechos fundamentales al respeto de la vida privada y a la protección de datos de carácter personal. Además, el hecho de que la conservación y la utilización posterior de los datos se efectúen sin que el abonado o el usuario registrado sea informado de ello puede generar en las personas afectadas el sentimiento de que su vida privada es objeto de una vigilancia constante.

El Tribunal de Justicia examina, a continuación, si esta injerencia en los derechos fundamentales está justificada.
Afirma que la conservación de datos que impone la Directiva no puede vulnerar el contenido esencial de los derechos fundamentales al respeto de la vida privada y a la protección de datos de carácter personal. En efecto, la Directiva no permite conocer el contenido de las comunicaciones electrónicas como tal y establece que los proveedores de servicios o de redes deben respetar ciertos principios de protección y de seguridad de los datos.
Además, la conservación de los datos para su posible transmisión a las autoridades nacionales competentes responde efectivamente a un objetivo de interés general, a saber, la lucha contra la delincuencia grave y, en definitiva, la seguridad pública.
Sin embargo, el Tribunal de Justicia estima que, al adoptar la Directiva sobre la conservación de datos, el legislador de la Unión sobrepasó los límites que exige el respeto del principio de proporcionalidad.

A este respecto, el Tribunal de Justicia indica que, debido, por una parte, al importante papel que desempeña la protección de los datos de carácter personal en lo que respecta al derecho fundamental al respeto de la vida privada y, por otra parte, a la magnitud y gravedad de la injerencia en este derecho que supone la Directiva, la facultad de apreciación de legislador de la Unión resulta reducida, por lo que el control de dicha facultad debe ser estricto.
Si bien la conservación de datos que impone la Directiva puede considerarse adecuada para conseguir el objetivo que ésta persigue, la injerencia amplia y especialmente grave de la Directiva en los derechos fundamentales de que se trata no está suficientemente regulada para garantizar que dicha injerencia se límite efectivamente a lo estrictamente necesario.
En efecto, en primer lugar, la Directiva abarca de manera generalizada a todas las personas, medios de comunicación electrónica y datos relativos al tráfico sin que se establezca ninguna diferenciación, limitación o excepción en función del objetivo de lucha contra los delitos graves.

En segundo lugar, la Directiva no fija ningún criterio objetivo que permita garantizar que las autoridades nacionales competentes únicamente tendrán acceso a los datos y podrán utilizarlos para prevenir, detectar o reprimir penalmente delitos que, por la magnitud y la gravedad de la injerencia en los derechos fundamentales en cuestión, puedan considerarse suficientemente graves para justificar tal injerencia. Por el contrario, la Directiva se limita a remitir de manera general a los «delitos graves» definidos por cada Estado miembro en su ordenamiento jurídico interno. Además, la Directiva no define las condiciones materiales y procesales en las que las autoridades nacionales competentes pueden tener acceso a los datos y utilizarlos posteriormente. En particular, el acceso a los datos no se supedita al control previo de un órgano jurisdiccional o de un organismo administrativo autónomo.
En tercer lugar, en lo que atañe al período de conservación de los datos, la Directiva prescribe un período mínimo de seis meses sin establecer ninguna distinción entre las categorías de datos en función de las personas afectadas o de la posible utilidad de los datos con respecto al objetivo perseguido. Además, este período oscila entre seis meses como mínimo y veinticuatro meses como máximo, sin que la Directiva precise los criterios objetivos con arreglo a los que debe determinarse el período de conservación para garantizar que se limite a lo estrictamente necesario.
El Tribunal de Justicia considera asimismo que la Directiva no contiene garantías suficientes que permitan asegurar una protección eficaz de los datos contra los riesgos de abuso y contra cualquier acceso y utilización ilícitos de los datos. En particular, señala que la Directiva autoriza a los proveedores de servicios a tener en cuenta consideraciones económicas al determinar el nivel de seguridad que aplican (especialmente en lo que respecta a los costes de aplicación de las medidas de seguridad) y que no garantiza la destrucción definitiva de los datos al término de su período de conservación.

Por último, el Tribunal de Justicia censura que la Directiva no obliga a que los datos se conserven en el territorio de la Unión. Por lo tanto, la Directiva no garantiza plenamente el control del cumplimiento de los requisitos de protección y de seguridad por una autoridad independiente, como se exige expresamente en la Carta. Dicho control, efectuado sobre la base del Derecho de la Unión, constituye un elemento esencial del respeto a la protección de las personas en lo que respecta al tratamiento de datos personales.