en General, Protección de datos de carácter personal, Sociedad de la información

La Directiva sobre conservación de datos es inválida

Autor: Eric Gracia. Abogado en Derecho.com


El pasado 8 de abril de 2014 el Tribunal de Justicia de la Unión Europea (en adelante, “TJUE”) dictó una sentencia declarando inválida la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE (en adelante, “Directiva 2006/24/CE”).

1. ¿Por qué el TJUE ha invalidado la Directiva 2006/24/CE?

La Directiva 2006/24/CE regula la conservación de determinados datos generados o tratados por los proveedores de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones, con el fin de que dichos datos estén disponibles para prevenir, investigar, detectar y enjuiciar delitos graves. No obstante, el TJUE entiende que:

a) El conjunto de datos que debe conservar un operador puede proporcionar indicaciones muy precisas sobre la vida privada de las personas cuyos datos se conservan, como los hábitos de la vida cotidiana, los lugares de residencia permanentes o temporales, los desplazamientos diarios u otros, las actividades realizadas, las relaciones sociales y los medios sociales frecuentados. Ello supone inmiscuirse de forma grave en los derechos fundamentales al respeto de la vida privada y a la protección de datos de carácter personal.

b) Si bien la Directiva 2006/24/CE persigue un fin de interés general (la lucha contra la delincuencia grave), en su redacción se sobrepasaron los límites que exige el respeto al principio de proporcionalidad:

– La Directiva 2006/24/CE abarca de manera generalizada a todas las personas, medios de comunicación electrónica y datos relativos al tráfico, sin que se establezca ninguna diferenciación, limitación o excepción en función del objetivo de lucha contra los delitos graves;

No fija ningún criterio objetivo que permita garantizar que las autoridades nacionales competentes únicamente tendrán acceso a los datos y podrán utilizarlos para prevenir, detectar o reprimir penalmente delitos que, por la magnitud y la gravedad de la injerencia en los derechos fundamentales en cuestión, puedan considerarse suficientemente graves para justificar tal injerencia;

– Establece un periodo de conservación de los datos que oscila entre un mínimo de seis meses hasta un máximo de veinticuatro meses, sin precisar criterios objetivos en base a los cuales fijar un plazo concreto que resulte estrictamente necesario.

c) La Directiva 2006/24/CE no contiene garantías suficientes que permitan asegurar una protección eficaz de los datos contra los riesgos de abuso y contra cualquier acceso y utilización ilícitos de los datos:

– Los proveedores de servicios pueden alegar motivos económicos para determinar el nivel de medidas de seguridad que aplican a los datos.

No obliga a que los datos se conserven en el territorio de la Unión Europea.

2. ¿A partir de qué momento debe considerarse inválida la Directiva 2006/24/CE?

Dado que el TJUE no ha limitado en el tiempo su sentencia, la declaración de invalidez retrotrae sus efectos a la fecha de entrada en vigor de la Directiva 2006/24/CE.

3. ¿Qué ocurrirá ahora con la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones (en adelante, “Ley 25/2007”)?

La Ley 25/2007 es la norma mediante la cual España transpuso a su ordenamiento jurídico la Directiva 2006/24/CE. En este sentido, la sentencia del TJUE no extiende la invalidez a Ley 25/2007, por lo que deberán ser los tribunales españoles quienes, caso por caso, determinen si se respeta o no el principio de proporcionalidad de conformidad con lo dictado por el TJUE.

Lógicamente, si se modifica la Directiva 2006/24/CE, entonces España sí deberá modificar en consecuencia la Ley 25/2007.

4. ¿Deben los operadores españoles seguir conservando los datos tal y como les obliga a hacerlo la Ley 25/2007?

Por el momento sí.

Consulte el comunicado de prensa del TJUE aquí.
Consulte el texto íntegro de la sentencia (inglés) aquí.

_____________________________________________________________________
Si necesita asistencia legal sobre éste u otros asuntos, puede contactar con nosotros llamando al 902 01 44 02