CONCLUSIONES DEL ABOGADO GENERAL
M. CAMPOS SÁNCHEZ-BORDONA
presentadas el 15 de enero de 2020 ( 1 )
Asunto C‑623/17
Privacy International
contra
Secretary of State for Foreign and Commonwealth Affairs,
Secretary of State for the Home Department,
Government Communications Headquarters,
Security Service,
Secret Intelligence Service
[Petición de decisión prejudicial planteada por el Investigatory Powers Tribunal (Tribunal de los poderes de investigación, Reino Unido)]
«Cuestión prejudicial — Tratamiento de datos de carácter personal y protección de la vida privada en el sector de las comunicaciones electrónicas — Directiva 2002/58/CE — Ámbito de aplicación — Artículo 1, apartado 3 — Artículo 15, apartado 3 — Carta de los Derechos Fundamentales de la Unión Europea — Artículos 7, 8, 51 y 52, apartado 1 — Artículo 4 TUE, apartado 2 — Transmisión generalizada e indiferenciada a los servicios de seguridad de datos de conexión de los usuarios de un servicio de comunicaciones electrónicas»
1. |
El Tribunal de Justicia ha mantenido en los últimos años una línea jurisprudencial constante sobre la conservación y el acceso a los datos personales, de la que son hitos destacados:
|
2. |
Esas sentencias (en particular, la segunda) preocupan a las autoridades de algunos Estados miembros, pues, a su entender, tienen como consecuencia despojarlos de un instrumento que reputan imprescindible para la salvaguarda de la seguridad nacional y para la lucha contra el terrorismo. De ahí que algunos de esos Estados miembros aboguen por la revocación o la matización de aquella jurisprudencia. |
3. |
Determinados órganos jurisdiccionales de los Estados miembros han puesto de relieve esa misma preocupación en cuatro reenvíos prejudiciales, ( 7 ) cuyas conclusiones presento con esta misma fecha. |
4. |
Los cuatro asuntos plantean, ante todo, el problema de la aplicación de la Directiva 2002/58 a actividades relacionadas con la seguridad nacional y la lucha contra el terrorismo. Si aquella Directiva rigiese en ese contexto, habría de dilucidarse, acto seguido, en qué medida pueden los Estados miembros restringir los derechos de privacidad que protege. En último lugar, se deberá analizar hasta qué punto las diferentes normativas nacionales (la británica, ( 8 ) la belga ( 9 ) y la francesa ( 10 )) sobre esta materia se atienen al derecho de la Unión, tal como ha sido interpretado por el Tribunal de Justicia. |
I. Marco normativo
A. Derecho de la Unión
5. |
Me remito al apartado correspondiente de mis conclusiones en los asuntos C‑511 y C‑512/18. |
B. Derecho nacional (aplicable al supuesto litigioso)
1. Telecommunications Act 1984 ( 11 )
6. |
Con arreglo al artículo 94, el secretario de Estado puede dirigir a un operador de una red pública de comunicaciones electrónicas las instrucciones generales o específicas que considere necesarias en interés de la seguridad nacional o de las relaciones con el Gobierno de un país o territorio situado fuera del Reino Unido. |
2. Data Retention and Investigatory Powers Act 2014 ( 12 )
7. |
El artículo 1 establece: «(1) El secretario de Estado puede, mediante una orden de conservación, requerir a un operador de telecomunicaciones públicas la conservación de datos de comunicación relevantes, si considera que dicho requerimiento es necesario y proporcionado respecto de uno o varios de los objetivos contemplados en los apartados (a) a (h) del artículo 22, apartado 2, de la Regulation of Investigatory Powers Act 2000 [(Ley de 2000 sobre la regulación de los poderes de investigación; en lo sucesivo, «RIPA»)]. (2) Una orden de conservación puede:
(3) El secretario de Estado puede, por vía de reglamento, adoptar más disposiciones relativas a la conservación de los datos pertinentes relativos a las comunicaciones. (4) Estas disposiciones pueden referirse, en particular, a:
[…] (5) El período máximo previsto en aplicación del apartado 4, letra b), no debe exceder de 12 meses a contar desde la fecha indicada en relación con los datos a los que conciernen los reglamentos a los que se refiere el apartado 3. (6) Un operador de telecomunicaciones públicas que conserve datos pertinentes relativos a las comunicaciones en aplicación del presente artículo no puede divulgar esos datos a menos que:
(7) El secretario de Estado puede, por vía reglamentaria, adoptar disposiciones respecto de cualesquiera de las disposiciones adoptadas (o susceptibles de ser adoptadas) en aplicación del apartado 4, letras (d) a (g) o del apartado 6, en relación con los datos relativos a las comunicaciones conservadas por proveedores de servicios de telecomunicaciones en aplicación de un código de buenas prácticas en virtud del artículo 102 de la Ley de 2001 sobre la lucha antiterrorista, la criminalidad y la seguridad [Anti-terrorism, Crime and Security Act 2001]». |
3. RIPA
8. |
El artículo 21 señala: «[…] (4) En el presente capítulo se entiende por “datos relativos a las comunicaciones” cualesquiera de las nociones siguientes:
[…] (6) En esta sección, el concepto “dato relativo al tráfico”, en relación con cualquier comunicación se refiere a:
[…]» |
9. |
El artículo 22 prescribe: «(1) Este artículo se aplica cuando una persona responsable a los fines del presente capítulo considera que es necesario, por las razones enumeradas en el apartado 2 del presente artículo, obtener todo dato de comunicación. (2) Es necesario por razones comprendidas en el presente apartado obtener los datos de comunicación si son necesarios
(4) A reserva del apartado 5, la persona responsable, cuando le parezca que un operador de telecomunicaciones o un operador postal está en posesión de datos, podría estarlo o podría ser capaz de estarlo, puede exigir al operador de telecomunicación o al operador postal que:
(5) La persona responsable no debe autorizar con arreglo al apartado 3 ni requerir en virtud del apartado 4, salvo si considera que la obtención de los datos en cuestión que resultan de un comportamiento autorizado o exigido en virtud de una autorización o de una demanda es proporcionado con el fin perseguido por la obtención de los datos». |
10. |
A tenor del artículo 65, cabe recurrir ante el Investigatory Powers Tribunal (Tribunal de los poderes de investigación, Reino Unido) si hay razón para pensar que se han obtenido datos de manera inapropiada. |
II. Hechos y cuestiones prejudiciales
11. |
Según el tribunal a quo, el litigio principal versa sobre la adquisición y el uso por las United Kingdom Security and Intelligence Agencies (Agencias de seguridad y de inteligencia del Reino Unido; en lo sucesivo, «ASI») de datos objeto de comunicación masiva. |
12. |
Estos datos se refieren a «quién» usa el teléfono e internet, y a «cuándo, dónde, cómo y con quién» los usa. Comprenden la ubicación de los teléfonos móviles y fijos desde los que se realizan o reciben llamadas, así como de los ordenadores desde los que se accede a internet. No incluyen el contenido de las comunicaciones, que únicamente puede obtenerse por orden judicial. |
13. |
La demandante en el proceso principal (Privacy International, organización no gubernamental de defensa de los derechos humanos) ha entablado una acción ante el órgano jurisdiccional remitente, por entender que la adquisición y la utilización de los mencionados datos por las ASI vulneran el derecho al respeto de la vida privada consagrado en el artículo 8 del Convenio Europeo de Derechos Humanos (en lo sucesivo, «CEDH») y son contrarios al derecho de la Unión. |
14. |
Las autoridades demandadas ( 13 ) alegan que el ejercicio de su competencia en este ámbito es legítimo y esencial, en particular, para proteger la seguridad nacional. |
15. |
Según las informaciones contenidas en el auto de remisión, al amparo de las instrucciones emitidas por el secretario de Estado conforme al artículo 94 de la Ley de 1984, las ASI reciben los datos de comunicación masiva a través de los operadores de las redes públicas de comunicaciones electrónicas. |
16. |
Dichos datos incluyen información sobre el tráfico y la ubicación, así como sobre las actividades sociales, comerciales y financieras, las comunicaciones y los viajes de los usuarios. Las ASI conservan esos datos, una vez en su poder, de manera segura, empleando técnicas (por ejemplo, el filtrado y la agregación) generalizadas, esto es, no dirigidas a objetivos específicos y conocidos. |
17. |
El órgano jurisdiccional remitente considera probado que esas técnicas son esenciales para la labor de las ASI en la lucha contra las amenazas graves a la seguridad pública, en especial, el terrorismo, el espionaje y la proliferación nuclear. La capacidad de adquirir y usar los datos, por parte de las ASI, es clave para proteger la seguridad nacional del Reino Unido. |
18. |
Para el tribunal de reenvío, las medidas controvertidas se ajustan al derecho interno y al artículo 8 del CEDH. Duda, sin embargo, sobre su compatibilidad con el derecho de la Unión, a la vista de la sentencia Tele2 Sverige y Watson. |
19. |
En este contexto, dicho órgano jurisdiccional eleva al Tribunal de Justicia las siguientes preguntas prejudiciales:
|
20. |
El tribunal de remisión contextualiza sus preguntas en estos términos:
|
III. Procedimiento ante el Tribunal de Justicia
21. |
La cuestión prejudicial se registró en el Tribunal de Justicia el 31 de octubre de 2017. |
22. |
Han depositado observaciones escritas los Gobiernos alemán, belga, británico, checo, chipriota, español, estonio, francés, húngaro, irlandés, letón, neerlandés, noruego, polaco, portugués y sueco, así como la Comisión. |
23. |
El 9 de septiembre de 2019 tuvo lugar una vista pública, celebrada conjuntamente con las de los asuntos C‑511/18, C‑512/18, y C‑520/18, en la que comparecieron las partes de los cuatro reenvíos prejudiciales, los Gobiernos antes citados, así como la Comisión y el Supervisor europeo para la protección de datos personales. |
IV. Análisis
A. Sobre el ámbito de aplicación de la Directiva 2002/58 y la exclusión de la seguridad nacional (primera pregunta prejudicial)
24. |
En las conclusiones que con esta misma fecha presento en los asuntos C‑511/18 y C‑512/18, explico los motivos por los que, a mi juicio, la Directiva 2002/58 «se aplica, en principio, cuando los proveedores de servicios electrónicos se ven obligados por la ley a conservar los datos de sus abonados y a permitir a las autoridades públicas que accedan a ellos. No cambia esta tesis que las obligaciones se impongan a los proveedores por razones de seguridad nacional». ( 15 ) |
25. |
Al desarrollar mis argumentos, abordo la incidencia de las sentencias del Tribunal de Justicia de 30 de mayo de 2006, Parlamento/Consejo y Comisión, ( 16 ) y Tele2 Sverige y Watson, auspiciando una interpretación integradora de ambas. ( 17 ) |
26. |
En esas mismas conclusiones, una vez afirmada la aplicabilidad de la Directiva 2002/58, examino la exclusión de la seguridad nacional que consta en ella y la incidencia del artículo 4 TUE, apartado 2. ( 18 ) |
27. |
Sin perjuicio de lo que a continuación expondré, me remito a lo ya dicho en las reiteradas conclusiones y en las del asunto C‑520/18. |
1. La aplicación de la Directiva 2002/58 en este asunto
28. |
A tenor de las normas controvertidas en este litigio, los proveedores de servicios de comunicaciones electrónicas son destinatarios de una obligación que implica, además de su conservación, un tratamiento de los datos que poseen a causa del servicio que prestan a los usuarios de las redes públicas de comunicaciones de la Unión. ( 19 ) |
29. |
En efecto, los mencionados operadores han de transmitir, obligatoriamente, aquellos datos a las ASI. Lo que aquí se suscita es si el artículo 15, apartado 1, de la Directiva 2002/58 consiente que esa transmisión, dado su objetivo, se excluya, sin más, del derecho de la Unión. |
30. |
En mi opinión, no es así. La conservación de los referidos datos seguida de su ulterior transmisión se puede calificar de tratamiento de datos personales realizado por los proveedores de servicios de telecomunicaciones electrónicas, por lo que se inscriben con naturalidad en el ámbito de aplicación de la Directiva 2002/58. |
31. |
Las razones de seguridad nacional no pueden anteponerse a esa constatación, como sugiere el órgano judicial remitente, con la consecuencia de que la obligación controvertida no quedaría comprendida en el ámbito de aplicación del derecho de la Unión. A mi parecer, repito, se impone a los proveedores un tratamiento de datos, en relación con la prestación de servicios de comunicaciones electrónicas disponibles al público en las redes públicas de comunicaciones de la Unión, que es justamente el ámbito de la Directiva 2002/58, según prescribe su artículo 3, apartado 1. |
32. |
Sentada esta premisa, el debate se desplaza no ya a las actividades de las ASI (que, como antes he advertido, podrían situarse extramuros del derecho de la Unión si no afectasen a los operadores de comunicaciones electrónicas), sino a la conservación y a la ulterior transmisión de los datos en poder de dichos operadores. Desde esta perspectiva, lo que entra en juego son los derechos fundamentales garantizados por la Unión. |
33. |
El factor clave para dirimir ese debate es, una vez más, el deber de conservación generalizada e indiferenciada de los datos cuyo acceso se facilita a las autoridades públicas. |
2. La apelación a la seguridad nacional
34. |
Como en este asunto el órgano de reenvío hace especial hincapié en la actividad de las ASI que afectan a la seguridad nacional, me permito reproducir algunos de los puntos de mis conclusiones de esta misma fecha en los asuntos C‑511/18 y C‑512/18, sobre este extremo:
[…]
[…]
[…]
|
3. Las consecuencias de aplicar en este asunto la sentencia Tele2 Sverige y Watson
35. |
El órgano judicial de reenvío se ha centrado en la interpretación hecha por el Tribunal de Justicia en la sentencia Tele2 Sverige y Watson, exponiendo las dificultades que, en su opinión, comportaría su aplicación a este asunto. |
36. |
La sentencia Tele2 Sverige y Watson indicó, en efecto, las condiciones que ha de satisfacer una normativa nacional que instaure la obligación de conservar datos de tráfico y de localización, para su ulterior acceso por las autoridades públicas. |
37. |
Al igual que en los asuntos C‑511/18 y C‑512/18, y por análogos motivos, considero que las normas nacionales sobre las que versa este reenvío no se atienen a las condiciones recogidas en la sentencia Tele2 Sverige y Watson, pues implican una conservación generalizada e indiferenciada de datos personales que facilita un detallado relato de la vida de las personas afectadas, durante un amplio período de tiempo. |
38. |
En las conclusiones de aquellos dos asuntos me planteo si sería posible matizar o completar la doctrina expuesta en dicha sentencia, dadas sus consecuencias para la lucha contra el terrorismo o para la protección del Estado frente a otras amenazas análogas contra la seguridad nacional. |
39. |
Me permito también reproducir a continuación algunos de los puntos de aquellas conclusiones, en los que, básicamente, sostengo que, siendo posible matizar la mencionada doctrina, procede confirmarla en lo sustancial:
|
B. Sobre la segunda cuestión prejudicial
40. |
El órgano judicial de reenvío formula su segunda pregunta por si la contestación a la primera fuera afirmativa. En tal caso, querría saber qué «otros requisitos además de los impuestos por el CEDH» o los que derivan de la sentencia Tele2 Sverige y Watson deberían exigirse. |
41. |
Asevera, en este sentido, que la imposición de las condiciones de la sentencia Tele2 Sverige y Watson, «redundaría en perjuicio de la eficacia de las medidas adoptadas por las ASI para salvaguardar la seguridad nacional». |
42. |
Como la respuesta que sugiero a la primera pregunta es negativa, no resulta indispensable abordar la segunda. Esta última, como el propio tribunal de reenvío destaca, está supeditada a que se declaren compatibles con el derecho de la Unión «las técnicas de adquisición y tratamiento masivo automatizado» de los datos personales de todos los usuarios del Reino Unido, que los operadores de los servicios de comunicaciones electrónicas habrían de transmitir a las ASI. |
43. |
Si el Tribunal de Justicia estimara imprescindible responder a la segunda pregunta, entiendo que debería corroborar las aludidas condiciones de la sentencia Tele2 Sverige y Watson en relación con:
|
44. |
Bastaría, repito, confirmar esas condiciones, de obligada aplicación, por las razones que he expuesto en las conclusiones de los asuntos C‑511/18 y C‑512/18 y C‑520/18, sin necesidad de implantar «otras» adicionales, en el sentido al que se refiere el tribunal de reenvío. |
V. Conclusión
45. |
En virtud de todo lo anterior, propongo al Tribunal de Justicia responder al Investigatory Powers Tribunal (Tribunal de los poderes de investigación, Reino Unido) en estos términos: «El artículo 4 TUE y el artículo 1, apartado 3, de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), deben interpretarse en el sentido de que se oponen a una normativa nacional que imponga a un proveedor de redes de comunicación electrónica la obligación de facilitar a las agencias de seguridad e inteligencia de un Estado miembro los “datos objeto de comunicaciones masivas” que implican su previa recopilación generalizada e indiferenciada». Con carácter subsidiario: «El acceso, por parte de las agencias de seguridad e inteligencia de un Estado miembro, a los datos transmitidos por los proveedores de redes de comunicación electrónica debe ajustarse a las condiciones establecidas en la sentencia de 21 de diciembre de 2016, Tele2 Sverige y Watson (C‑203/15 y C‑698/15, EU:C:2016:970)». |
( 1 ) Lengua original: español.
( 2 ) Asuntos C‑293/12 y C‑594/12; en lo sucesivo, «sentencia Digital Rights, EU:C:2014:238.
( 3 ) Directiva del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE (DO 2006, L 105, p. 54).
( 4 ) Asuntos C‑203/15 y C‑698/15; en lo sucesivo, «sentencia Tele2 Sverige y Watson, EU:C:2016:970.
( 5 ) Directiva del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO 2002, L 201, p. 37).
( 6 ) Asunto C‑207/16; en lo sucesivo, «sentencia Ministerio FiscalEU:C:2018:788.
( 7 ) Además de este, se trata de los asuntos C‑511/18 y C‑512/18, La Quadrature du Net y otros, y C‑520/18, Ordre des barreaux francophones et germanophone y otros.
( 8 ) Asunto Privacy International, C‑623/17.
( 9 ) Asunto Ordre des barreaux francophones et germanophone y otros, C‑520/18.
( 10 ) Asuntos La Quadrature du Net y otros, C‑511/18 y C‑512/18.
( 11 ) Ley de 1984 sobre las telecomunicaciones; en lo sucesivo, «Ley de 1984».
( 12 ) Ley de 2014 sobre la conservación de datos y los poderes de investigación; en lo sucesivo, «DRIPA».
( 13 ) El Secretary of State for Foreign and Commonwealth Affairs (secretario de Estado para Asuntos Exteriores y de la Commonwealth), el Secretary of State for the Home Department (secretario de Estado para Asuntos de Interior) y las tres ASI del Reino Unido, a saber, la Government Communications Headquarters (Sede de Comunicaciones del Gobierno; GCHQ), el Security Service (Servicio de Seguridad; MI5), y el Secret Intelligence Service (Servicio Secreto de Inteligencia; MI6).
( 14 ) Id est, la jurisprudencia establecida en la sentencia Tele2 Sverige y Watson.
( 15 ) Conclusiones de los asuntos C‑511/18 y C‑512/18, punto 42.
( 16 ) Asuntos C‑317/04 y C‑318/04, EU:C:2006:346.
( 17 ) Conclusiones de los asuntos C‑511/18 y C‑512/18, puntos 44 a 76.
( 18 ) Ibidem, puntos 77 a 90.
( 19 ) En virtud del artículo 2 de la Directiva 2002/58, se aplican, a los efectos de esa Directiva, las definiciones que figuran en la Directiva 95/46. Con arreglo al artículo 2, letra b), de esta última, se entiende por «tratamiento de datos personales»«cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción» (cursiva añadida).