1.

Las peticiones de decisión prejudicial acumuladas en este procedimiento guardan una estrecha relación con las de los asuntos C‑793/19, SpaceNet, C‑794/19, Telekom Deutschland, y C‑140/20, Commissioner of the Garda Síochána y otros, sobre las que también presento mis conclusiones con esta misma fecha. ( 2 )

2.

En las conclusiones SpaceNet y Telekom Deutschland y Commissioner of the Garda Síochána expongo las razones que me inducen a sugerir al Tribunal de Justicia una respuesta al Bundesverwaltungsgericht (Tribunal Supremo de lo contencioso administrativo, Alemania) y a la Supreme Court (Tribunal Supremo, Irlanda) en la línea de la jurisprudencia sobre la Directiva 2002/58/CE ( 3 )«recapitulada» en la sentencia La Quadrature du Net. ( 4 )

3.

Es cierto, sin embargo, que las dos peticiones de decisión prejudicial remitidas por la Cour de Cassation (Tribunal de Casación, Francia) no tienen como objeto inmediato la Directiva 2002/58, sino la Directiva 2003/6/CE ( 5 ) y el Reglamento (UE) n.o 596/2014. ( 6 )

4.

Ahora bien, lo que en estos dos procedimientos se ventila es, sustancialmente, lo mismo que en aquellos otros reenvíos prejudiciales, a saber, si los Estados miembros pueden imponer la obligación de conservar de manera generalizada e indiferenciada los datos de tráfico de las comunicaciones electrónicas. ( 7 )

5.

Por eso, aunque en esta ocasión entren en juego la Directiva 2003/6 y el Reglamento n.o 596/2014 (con los que se pretende combatir las operaciones calificables de abuso del mercado), ( 8 ) estimo aplicable en este contexto la jurisprudencia del Tribunal de Justicia condensada en la sentencia La Quadrature du Net.

6.

Según el artículo 1 («Ámbito de aplicación y objetivo»):

«1.   La presente Directiva establece la armonización de las disposiciones nacionales necesaria para garantizar un nivel equivalente de protección de las libertades y los derechos fundamentales y, en particular, del derecho a la intimidad y la confidencialidad, en lo que respecta al tratamiento de los datos personales en el sector de las comunicaciones electrónicas, así como la libre circulación de tales datos y de los equipos y servicios de comunicaciones electrónicas en la [Unión].

2.   Las disposiciones de la presente Directiva especifican y completan la Directiva 95/46/CE [del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31)] a los efectos mencionados en el apartado 1. Además, protegen los intereses legítimos de los abonados que sean personas jurídicas.

3.   La presente Directiva no se aplicará a las actividades no comprendidas en el ámbito de aplicación del [TFUE], como las reguladas por las disposiciones de los títulos V y VI del Tratado de la Unión Europea, ni, en cualquier caso, a las actividades que tengan por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dichas actividades estén relacionadas con la seguridad del mismo) y a las actividades del Estado en materia penal».

7.

El artículo 2 («Definiciones») prescribe:

«Salvo disposición en contrario, serán de aplicación a efectos de la presente Directiva las definiciones que figuran en la Directiva 95/46/CE y en la Directiva 2002/21/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas (Directiva marco) [DO 2002, L 108, p. 33].

Además, a efectos de la presente Directiva se entenderá por:

[…]

[…]».

8.

El artículo 15 especifica en su apartado 1:

«Los Estados miembros podrán adoptar medidas legales para limitar el alcance de los derechos y las obligaciones que se establecen en los artículos 5 y 6, en los apartados 1 a 4 del artículo 8 y en el artículo 9 de la presente Directiva, cuando tal limitación constituya una medida necesaria proporcionada y apropiada en una sociedad democrática para proteger la seguridad nacional (es decir, la seguridad del Estado), la defensa, la seguridad pública, o la prevención, investigación, descubrimiento y persecución de delitos o la utilización no autorizada del sistema de comunicaciones electrónicas a que se hace referencia en el apartado 1 del artículo 13 de la Directiva 95/46/CE. Para ello, los Estados miembros podrán adoptar, entre otras, medidas legislativas en virtud de las cuales los datos se conserven durante un plazo limitado justificado por los motivos establecidos en el presente apartado. Todas las medidas contempladas en el presente apartado deberán ser conformes con los principios generales del derecho comunitario, incluidos los mencionados en los apartados 1 y 2 del artículo 6 del Tratado de la Unión Europea».

9.

Con arreglo al artículo 11:

«Sin perjuicio de las competencias propias de las autoridades judiciales, cada Estado miembro designará a una autoridad administrativa única encargada de garantizar la aplicación de las disposiciones adoptadas de conformidad con la presente Directiva.

[…]».

10.

A tenor del artículo 12:

«1.   La autoridad competente deberá estar dotada de todas las competencias de supervisión e inspección necesarias para el ejercicio de sus funciones. […]

2.   Sin perjuicio de lo dispuesto en el apartado 7 del artículo 6, las competencias mencionadas en el apartado 1 del presente artículo se ejercerán de conformidad con la normativa nacional e incluirán al menos el derecho a:

[…]

[…]».

11.

El Reglamento contiene estos considerandos:

[…]

[…]

[…]

[…]».

12.

El artículo 1 («Objeto») recoge:

«El presente Reglamento establece un marco normativo común en el ámbito de las operaciones con información privilegiada, la comunicación ilícita de información privilegiada y la manipulación de mercado (abuso de mercado), así como medidas para impedir el abuso de mercado a fin de garantizar la integridad de los mercados financieros de la Unión y reforzar la protección de los inversores y su confianza en esos mercados».

13.

El artículo 3 («Definiciones») señala en su apartado 27 que, a sus efectos, se entenderá por «registros de tráfico de datos»«los registros del tráfico de datos definidos en el artículo 2, párrafo segundo, letra b), de la Directiva 2002/58 […]».

14.

El artículo 22 («Autoridades competentes») prescribe:

«Sin perjuicio de las competencias de las autoridades judiciales, cada Estado miembro designará una autoridad administrativa única que asumirá las competencias relativas al presente Reglamento […]».

15.

El artículo 23 («Facultades de las autoridades competentes») indica:

«[…]

2.   Para el ejercicio de las funciones previstas en el presente Reglamento, se deberá dotar a las autoridades competentes, de conformidad con la legislación nacional, al menos de las siguientes facultades en materia de supervisión e investigación:

[…]

[…]

3.   Los Estados miembros velarán por que se adopten las medidas apropiadas para que las autoridades competentes dispongan de todas las facultades de supervisión e investigación necesarias para el desempeño de sus funciones.

[…]

4.   La notificación de información a la autoridad competente con arreglo al presente Reglamento no se considerará infracción de ninguna restricción de comunicación de información impuesta por vía contractual o por cualquier disposición legal, reglamentaria o administrativa, ni implicará para la persona que notifique ningún tipo de responsabilidad en relación con dicha notificación».

16.

De acuerdo con el artículo 28 («Protección de datos»):

«En relación con el tratamiento de datos de carácter personal en el marco del presente Reglamento, las autoridades competentes ejercerán las funciones con las que den cumplimiento al presente Reglamento de conformidad con las disposiciones legislativas, reglamentarias o administrativas nacionales de transposición de la Directiva 95/46/CE. En lo que atañe al tratamiento de datos de carácter personal por la [Autoridad Europea de Valores y Mercados (AEVM)]en el marco del presente Reglamento, la AEVM cumplirá con lo dispuesto en el Reglamento (CE) n.o 45/2001 [del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO 2001 L 8, p. 1)].

Los datos de carácter personal se conservarán durante un período máximo de cinco años».

17.

El artículo L. 621‑10, párrafo primero, del CMF, en la versión vigente en el momento de los hechos, preceptuaba:

«Cuando sea necesario a efectos de la investigación o la inspección, los investigadores o inspectores podrán solicitar que se les haga entrega de cualquier documento en cualquier soporte. Asimismo, los investigadores podrán solicitar los datos conservados y tratados por los operadores de telecomunicaciones en el marco del artículo L. 34‑1 del code des postes et des communications électroniques (Código de correos y comunicaciones electrónicas; en lo sucesivo «CPCE») y los prestadores de servicios mencionados en el artículo 6, apartado I, puntos 1 y 2 de la loi n.o 2004‑575 du 21 juin 2004 pour la confiance dans l’économie numérique (Ley n.o 2004‑575, de 21 de junio de‑2004, de fomento de la confianza en la economía digital [Ley no 2004‑575]) y recibir una copia de dichos datos».

18.

Según el artículo L. 621‑10‑2 del CMF aplicable en el caso:

«Para la investigación de los abusos de mercado […] los investigadores podrán solicitar los datos conservados y tratados por los operadores de telecomunicaciones, en las condiciones y con los límites previstos en el artículo L. 34‑1 del [CPCE], y por los prestatarios mencionados en los números 1 y 2 del apartado I del artículo 6 de la [Ley n.o 2004‑575].

La comunicación de los datos mencionados en el párrafo primero del presente artículo será objeto de una autorización previa por un controlador de las demandas de datos de conexión.

[…]».

19.

A tenor del artículo L. 34‑1 del CPCE vigente en el momento de los hechos:

«[…]

II. Los operadores de comunicaciones electrónicas […] eliminarán o anonimizarán todos los datos de tráfico, sin perjuicio de lo estipulado en los apartados III […]

[…]

III. A efectos de la investigación, la comprobación y la persecución de delitos […] podrán aplazarse durante un período máximo de un año las operaciones dirigidas a eliminar o a anonimizar determinadas categorías de datos técnicos. […]

[…]

VI. Los datos conservados y tratados en las condiciones definidas en los apartados III, IV y V versarán exclusivamente sobre la identificación de los usuarios de los servicios suministrados por los proveedores, sobre las características técnicas de las comunicaciones facilitadas por estos últimos y sobre la localización de los equipos terminales.

No podrán referirse en ningún caso al contenido de las correspondencias intercambiadas o las informaciones consultadas, bajo cualquier forma, en el marco de dichas comunicaciones.

[…]».

20.

El artículo R. 10‑13 del CPCE disponía:

«I. Con arreglo al apartado III del artículo L. 34‑1, los operadores de comunicaciones electrónicas conservarán, a los fines de la investigación, de la constatación y de la persecución de delitos:

II. En el caso de las actividades de telefonía, el operador conservará los datos mencionados en el apartado II y, además, los que permitan identificar el origen y la localización de la comunicación.

III. Los datos mencionados en el presente artículo se conservarán durante un año desde el día de su registro.

[…]».

21.

El tribunal de reenvío precisa que tales datos de conexión son aquellos que, generados o tratados como consecuencia de una comunicación, atañen a las circunstancias de esta y a los usuarios del servicio, con exclusión de cualquier indicación sobre el contenido de los mensajes.

22.

Los hechos que están en la base de estos dos reenvíos prejudiciales coinciden en lo sustancial.

23.

Mediante un escrito de acusación de 22 de mayo de 2014, se inició una instrucción judicial para investigar actuaciones tipificadas como delitos de uso de información privilegiada y encubrimiento.

24.

Los días 23 y 25 de septiembre de 2015, l’Autorité des marchés financiers (Autoridad de los Mercados Financieros; en lo sucesivo, «AMF») envió al Ministerio Fiscal una comunicación a la que adjuntaba documentos procedentes de una investigación, llevada a cabo por ella, que incluían, en particular, datos personales relativos a la utilización de líneas telefónicas.

25.

Para recabar los datos relativos a la utilización de esas líneas telefónicas, los agentes de la AMF se basaron en el artículo L. 621‑10 del CMF.

26.

A raíz de esa comunicación, mediante tres escritos de acusación complementarios de 29 de septiembre, 22 de diciembre de 2015 y 23 de noviembre de 2016, se amplió el objeto de la instrucción para incluir determinados títulos e instrumentos financieros conexos, por los mismos delitos y por hechos tipificados como complicidad delictiva, corrupción y blanqueo de capitales.

27.

Acusados de los delitos de uso de información privilegiada y blanqueo de capitales por hechos relacionados con dichos títulos, VD y SR interpusieron recurso de anulación, interesando la exclusión de documentos procesales por infracción, entre otros, de los artículos 7, 8, 11 y 52 de la Carta y del artículo 15 de la Directiva 2002/58.

28.

Desestimadas sus pretensiones por sendas sentencias, de 20 de diciembre de 2018 y 7 de marzo de 2019, de la chambre de l’instruction de la cour d’appel de Paris, 2e section (Sala de instrucción del Tribunal de apelación de París, sección 2.a, Francia), los acusados las recurrieron ante la Cour de cassation (Tribunal de Casación), que eleva al Tribunal de Justicia estas preguntas prejudiciales:

29.

Las peticiones de decisión prejudicial se registraron en el Tribunal de Justicia, respectivamente, el 24 de julio de 2020 y el 20 de agosto de 2020.

30.

Han depositado observaciones escritas VD, SR, los Gobiernos español, estonio, francés, irlandés, polaco y portugués, así como la Comisión Europea.

31.

En la vista pública celebrada el 14 de septiembre de 2021 comparecieron VD, SR, los Gobiernos francés, danés, estonio, español e irlandés, la Comisión Europea y el Supervisor Europeo para la Protección de Datos.

32.

La normativa nacional relevante en estos dos procedimientos ha sido objeto de determinados pronunciamientos jurisdiccionales internos que es oportuno mencionar.

33.

El tribunal de reenvío ha puesto de manifiesto que el párrafo primero del artículo L. 621‑10 del CMF fue declarado inconstitucional por sentencia del Conseil constitutionnel (Consejo Constitucional) de 21 de julio de 2017. ( 9 )

34.

El Conseil constitutionnel (Consejo Constitucional) pospuso, sin embargo, los efectos de la declaración de inconstitucionalidad al 31 de diciembre de 2018.

35.

En el ínterin, el legislador nacional introdujo en el CMF el artículo L. 621‑10‑2, por el que instauró un régimen de autorización previa, a cargo de una autoridad administrativa independiente, para acceder a los datos de conexión.

36.

Según el tribunal de reenvío:

37.

En esa tesitura, la Cour de cassation (Tribunal de Casación) concluye que la «única cuestión que se plantea se refiere a la posibilidad de retrasar los efectos de la incompatibilidad del artículo L. 621‑10 del [CMF]». ( 12 )

38.

El tribunal de reenvío no pregunta, pues, por la compatibilidad del artículo L. 621‑10 del CMF con el derecho de la Unión, sino que, partiendo de su incompatibilidad con varios preceptos de la Carta, solo quiere saber si, al igual que ha sucedido en el derecho interno con los efectos de la declaración de inconstitucionalidad de aquel precepto, es posible también retrasar los efectos jurídicos correspondientes a su disconformidad con el derecho de la Unión. Ese es el objeto de la tercera pregunta prejudicial.

39.

Con posterioridad al planteamiento de estas dos peticiones de decisión prejudiciales, el Conseil d’État (Consejo de Estado) dictó sentencia, el 21 de abril de 2021, ( 13 ) en el procedimiento durante cuya tramitación se planteó la petición de decisión prejudicial que dio lugar a la sentencia La Quadrature du Net.

40.

En esa sentencia, el Conseil d’État (Consejo de Estado) ha resuelto descartar la aplicación del artículo L. 34‑1 del CPCE y conminar al Gobierno para que, en el plazo de seis meses, derogue el artículo R. 10‑13 del CPCE, por cuanto no limitan debidamente las finalidades de la obligación de conservación generalizada e indiferenciada de los datos de tráfico y de localización. ( 14 )

41.

El Conseil d’État (Consejo de Estado) ha aludido al ajuste de las normas nacionales aquí controvertidas con la Directiva 2002/58. A su parecer, de la respuesta ofrecida por el Tribunal de Justicia en la sentencia La Quadrature du Net se infiere que debían bien inaplicarse (écarter) en el proceso principal (así, el artículo L. 34‑1 del CPCE), ( 15 ) bien derogarse (así, el artículo R. 10‑13 del CPCE). ( 16 )

42.

La relevancia de la sentencia La Quadrature du Net para responder a la primera pregunta prejudicial de estos reenvíos es tanto más acusada cuanto que en aquella sentencia ya se tuvo en cuenta, entre otros preceptos, el artículo R. 10‑13 del CPCE, ( 17 ) que, junto con el artículo L. 34‑I del mismo CPCE, son la clave para aplicar el artículo L. 621‑10 del CMF.

43.

Recordaré que, para recabar los datos relativos a la utilización de las líneas telefónicas empleadas por los sospechosos de las infracciones sobre las que versaba la investigación sobre un posible abuso de mercado, los agentes de la autoridad administrativa se basaron, justamente, en el artículo L. 621‑10 del CMF.

44.

Como ya he avanzado, el tribunal de reenvío quiere saber si la normativa nacional controvertida es compatible con la Directiva 2003/6 y con el Reglamento n.o 596/2014, en la medida en que una y otro puedan ofrecer un fundamento específico para la obligación de conservación de los datos, distinto del contenido en la Directiva 2002/58.

45.

Si esto es así, estimo que las peticiones de decisión prejudicial no han perdido su objeto, pese a la incidencia que sobre aquella normativa nacional pudieran tener las sentencias de los órganos jurisdiccionales franceses antes reseñadas:

46.

En efecto, el Conseil d’État (Consejo de Estado) no se ha circunscrito a imponer al Gobierno la obligación de derogar el artículo R. 10‑13 del CPCE en el plazo de seis meses, sino que explícitamente le conmina a «limitar las finalidades perseguidas por estos artículos y a adaptar el marco reglamentario relativo a la conservación de los datos de conexión». ( 19 )

47.

En consecuencia, el pronunciamiento del Tribunal de Justicia en cuanto al fondo podrá ser de utilidad al tribunal de reenvío, ya que:

48.

La primera pregunta prejudicial atañe al artículo 12, apartado 2, letras a) y d), de la Directiva 2003/6 y al artículo 23, apartado 2, letras g) y h), del Reglamento n.o 596/2014.

49.

Esos preceptos consienten que las autoridades administrativas competentes soliciten a las empresas de comunicaciones electrónicas (y, en su caso, a las empresas de servicios de inversión, entidades de crédito o entidades financieras), los registros ( 20 ) existentes sobre tráfico de datos y sobre datos telefónicos, cuando haya una sospecha razonable de que se ha cometido una infracción de abuso de mercado y esos registros puedan resultar relevantes para su investigación.

50.

La premisa de la que parte el tribunal de reenvío es que el acceso a esos registros presupone que «el legislador nacional obliga a las empresas de telecomunicaciones electrónicas a conservar con carácter temporal pero de forma generalizada los datos de conexión con el fin de que la autoridad administrativa […] obtenga de la empresa de telecomunicaciones los registros existentes sobre datos de tráfico […] permitiendo, en particular, realizar un seguimiento de los contactos establecidos por los interesados antes de que surgieran las sospechas».

51.

Pues bien, sobre la obligación de conservar de manera generalizada e indiferenciada los datos de conexión en ámbitos distintos de la seguridad nacional (por lo que aquí importa, en el ámbito de la lucha contra el abuso de mercado) tiene plena vigencia la jurisprudencia del Tribunal de Justicia, recapitulada en la sentencia La Quadrature du Net.

52.

Ciertamente, la doctrina de la sentencia La Quadrature du Net se ha fijado en relación con la Directiva 2002/58, mientras que las normas traídas ahora a colación por la Cour de cassation (Tribunal de Casación) son la Directiva 2093/6 y el Reglamento n.o 596/2014.

53.

Sin embargo, la Directiva 2002/58 constituye la disposición de referencia en cuanto atañe, como indica su título, al «tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas».

54.

Tanto la Directiva 2003/6 (cuyo objeto propio son las operaciones con información privilegiada y la manipulación del mercado) como el Reglamento n.o 596/2014 (consagrado al abuso de mercado) incluyen preceptos que, como los enunciados en la primera pregunta de los presentes reenvíos, conciernen al tratamiento de los registros de tráfico de datos.

55.

Son, por tanto, normas que, a ese específico respecto, puramente instrumental de su finalidad y de su objeto, deben interpretarse en el marco del régimen instaurado por la Directiva 2002/58.

56.

Así se desprende, en mi opinión, de los artículos 12, apartado 2, letra d), de la Directiva 2003/6 y 23, apartado 2, letras g) y h), del Reglamento n.o 596/2014:

57.

A mi juicio, ninguno de estos preceptos otorga habilitaciones específicas —distintas de las contempladas en la Directiva 2002/58— para conservar datos. Se circunscriben a autorizar a las administraciones competentes el acceso a los datos conservados (existentes) con arreglo a la normativa que disciplina, de manera general, el tratamiento de esos datos personales en el sector de las comunicaciones electrónicas, es decir, la Directiva 2002/58.

58.

Tampoco el artículo 28 del Reglamento n.o 596/2014 (cuya interpretación, por lo demás, no demanda el tribunal de reenvío) podría esgrimirse como una supuesta base jurídica autónoma para imponer la obligación de conservación de datos en este ámbito.

59.

Ese artículo, bajo la rúbrica «Protección de datos» y, una vez más, en cuanto al «tratamiento de datos de carácter personal»:

60.

El silencio de la Directiva 2003/6 y del Reglamento n.o 596/2014 en materia de la conservación de datos impuesta a los operadores de comunicaciones electrónicas es comprensible, a la vista de su cercanía temporal con la Directiva 2002/58. El legislador europeo contaba ya con esta última como marco exhaustivo de referencia para perfilar los contornos (y las excepciones) de aquella obligación, lo que hacía innecesario un régimen propio de conservación para combatir los abusos de mercado.

61.

De ahí que la interpretación hecha por el Tribunal de Justicia de la Directiva 2002/58 haya de extenderse, con naturalidad, a la conservación de datos que, estando en poder de los operadores de comunicaciones electrónicas, pueden utilizar las autoridades de investigación en el marco de la lucha contra los abusos de mercado.

62.

Los «registros existentes» a los que aluden la Directiva 2003/6 y el Reglamento n.o 596/2014 solo pueden ser los «registros lícitamente existentes», es decir, los realizados de conformidad con la Directiva 2002/58. Es esta Directiva la que, en el derecho de la Unión «establece, en particular, la armonización de las disposiciones nacionales necesarias para garantizar un nivel equivalente de protección de las libertades y los derechos fundamentales y, en particular, del derecho a la intimidad y la confidencialidad, en lo que respecta al tratamiento de los datos personales en el sector de las comunicaciones electrónicas». ( 26 )

63.

La licitud de los «registros existentes» solo puede justificarse cuando, en definitiva, su existencia esté amparada por lo que prescribe la Directiva 2002/58.

64.

El Gobierno francés se opone a este planteamiento. Alega que la respuesta del Tribunal de Justicia debe ceñirse a la interpretación de la Directiva 2003/6 y del Reglamento n.o 596/2014. Una y otro autorizarían a los Estados miembros, de manera implícita, a implantar una obligación de conservación generalizada e indiferenciada. En otro caso, quedaría gravemente perjudicado su efecto útil.

65.

No comparto los alegatos del Gobierno francés, pero, incluso de acogerlos, lo cierto es que esa pretendida «habilitación implícita» no dejaría de estar sujeta a las condiciones a las que, de acuerdo con la jurisprudencia del Tribunal de Justicia, están sometidos los Estados miembros cuando utilizan la posibilidad de imponer la obligación de una conservación generalizada e indiferenciada de datos con arreglo a la Directiva 2002/58.

66.

En otras palabras, de aceptar, en hipótesis, que la Directiva 2003/6 y el Reglamento n.o 596/2014 arbitrasen un fundamento autónomo para la conservación de los datos (quod non), esa conservación estaría sometida a las mismas condiciones que habrían de disciplinarla si su apoyo se encontrara en cualquier otra disposición normativa de la Unión.

67.

Así es porque, en última instancia, esas condiciones derivan de la salvaguarda de los derechos fundamentales garantizados por la Carta, a cuyo respeto remiten la Directiva 2003/6 y el Reglamento n.o 596/2014. Son esos derechos, justamente, los que ha esgrimido el Tribunal de Justicia en la jurisprudencia de La Quadrature du Net.

68.

El propio Gobierno francés y cuantos han intervenido en este procedimiento no han podido evitar referirse a la doctrina recogida en esta última sentencia. En unos casos (como el Gobierno portugués o la Comisión), resaltando que brinda la pauta para responder a estas preguntas prejudiciales; en otros (como, en particular, el Gobierno irlandés), solicitando explícitamente su revisión.

69.

El debate ocasionado por este procedimiento se ha centrado, pues, en si se ha de corroborar o revisar la doctrina del Tribunal de Justicia en relación con la licitud de la conservación generalizada e indiferenciada de datos de tráfico y de localización en el ámbito de las comunicaciones electrónicas.

70.

Como he defendido en las conclusiones Commissioner of the Garda Síochána y SpaceNet y Telekom Deutschland, de esta misma fecha, no creo pertinente la revisión de la jurisprudencia del Tribunal de Justicia en relación con el artículo 15, apartado 1, de la Directiva 2002/58.

71.

En este contexto, los elementos indispensables para responder al tribunal de reenvío se desprenden, a mi juicio, directamente de la jurisprudencia del Tribunal de Justicia que ha recapitulado la sentencia La Quadrature du Net.

72.

He de recordar, pues, ante todo, la doctrina del Tribunal de Justicia en esa sentencia, cuyo apartado 168 la sintetiza así:

«El artículo 15, apartado 1, de la Directiva 2002/58, en relación con los artículos 7, 8, 11 y 52, apartado 1, de la Carta, debe interpretarse en el sentido de que se opone a medidas legislativas que establezcan, para los fines previstos en dicho artículo 15, apartado 1, con carácter preventivo, una conservación generalizada e indiferenciada de los datos de tráfico y de localización. En cambio, dicho artículo 15, apartado 1, en relación con los artículos 7, 8, 11 y 52, apartado 1, de la Carta, no se opone a medidas legislativas:

siempre que dichas medidas garanticen, mediante normas claras y precisas, que la conservación de los datos en cuestión está supeditada al respeto de las condiciones materiales y procesales correspondientes y que las personas afectadas disponen de garantías efectivas contra los riesgos de abuso».

73.

La idea medular de la jurisprudencia del Tribunal de Justicia en relación con la Directiva 2002/58 es que los usuarios de los medios de comunicación electrónicos tienen derecho a contar con que, en principio, sus comunicaciones y los datos relativos a ellas permanezcan anónimos y no puedan registrarse, salvo que medie su consentimiento. ( 27 )

74.

El artículo 15, apartado 1, de la Directiva 2002/58 admite excepciones a la obligación de garantizar la confidencialidad. La sentencia La Quadrature du Net se extiende en el examen de la conciliación de esas excepciones con los derechos fundamentales cuyo ejercicio puede verse afectado. ( 28 )

75.

La conservación generalizada e indiscriminada de los datos de trafico únicamente podría justificarse, de acuerdo con el Tribunal de Justicia, en el objetivo de la protección de la seguridad nacional, cuya importancia «supera la de los demás objetivos contemplados en el artículo 15, apartado 1, de la Directiva 2002/58». ( 29 )

76.

En ese caso (seguridad nacional), el Tribunal de Justicia ha declarado que ese precepto, en relación con los artículos 7, 8, 11 y 52, apartado 1, de la Carta, «no se opone, en principio, a una medida legislativa que autoriza a las autoridades competentes a instar a los proveedores de servicios de comunicaciones electrónicas a proceder a la conservación de los datos de tráfico y de los datos de localización del conjunto de los usuarios de los medios de comunicaciones electrónicas durante un período limitado, siempre que existan circunstancias suficientemente concretas que permitan considerar que el Estado miembro en cuestión se enfrenta a una amenaza grave […] para la seguridad nacional que resulte real y actual o previsible». ( 30 )

77.

En especial, el Tribunal de Justicia entiende que el «objetivo de la protección de la seguridad nacional»«incluye la prevención y la represión de actividades que puedan desestabilizar gravemente las estructuras constitucionales, políticas, económicas o sociales fundamentales de un país, y, en particular, amenazar directamente a la sociedad, a la población o al propio Estado». ( 31 )

78.

Ahora bien, no se respetaría el sentido de la sentencia La Quadrature du Net si sus declaraciones respecto de la seguridad nacional pudieran extrapolarse a los delitos, incluso graves, que no atenten contra aquella, sino contra la seguridad pública u otros intereses jurídicamente protegidos.

79.

De ahí que el Tribunal de Justicia haya distinguido cuidadosamente entre las medidas legislativas nacionales que establecen la conservación preventiva, generalizada e indiferenciada, de los datos de tráfico y de localización para proteger la seguridad nacional (apartados 134 a 139 de la sentencia La Quadrature du Net) de las que atañen a la lucha contra la delincuencia y a la protección de la seguridad pública (apartados 140 a 151 de la misma sentencia). Unas y otras no pueden tener el mismo alcance, so pena de privar a esa distinción de cualquier sentido.

80.

Los instrumentos de conservación de datos de tráfico y de localización para la lucha contra la delincuencia grave se exponen, repito, en los apartados 140 a 151 de la sentencia La Quadrature du Net. A ellos hay que añadir, para la misma finalidad, los que autorizan la conservación preventiva de las direcciones IP y de los datos relativos a la identidad civil de la persona (apartados 152 a 159 de aquella sentencia), así como la «conservación rápida» de los datos de tráfico y de localización (apartados 160 a 166 de la mencionada sentencia).

81.

Sin duda, los abusos de mercado son del todo reprobables, pues dañan «la integridad de los mercados financieros y la confianza del público en los valores y los instrumentos derivados». En esa misma medida, pueden calificarse, según los casos, de infracciones punibles, y en los supuestos más señalados, de delitos graves. ( 32 )

82.

Por eso, al aludir a la cooperación mutua entre las autoridades competentes de los Estados miembros en la prevención y la lucha contra la delincuencia grave que afecte a dos o más Estados miembros o a un interés común protegido por una política de la Unión, el anexo I del Reglamento (UE) 2016/794 ( 33 ) engloba en aquel concepto, junto con otros conductas reprimibles, las «operaciones con información privilegiada y manipulación del mercado».

83.

Ahora bien, su carácter delictivo, incluso grave cuando concurra, es el mismo que pudieran tener otras muchas infracciones que afectan a intereses públicos relevantes y a políticas de la Unión. El anexo I del Reglamento 2016/794 enumera, entre otros ejemplos de delincuencia grave, el tráfico de estupefacientes; las actividades de blanqueo de capitales; el tráfico de inmigrantes; la trata de seres humanos; los secuestros, retenciones ilegales y toma de rehenes; los delitos contra los intereses financieros de la Unión; la violación de los derechos de propiedad industrial y falsificación de mercancías; los delitos informáticos, la corrupción y los delitos contra el medio ambiente, comprendida la contaminación procedente de buques.

84.

Los intereses públicos protegidos con la tipificación penal de algunas de aquellas conductas pueden tener tanta o mayor relevancia que los que se defienden al reprimir los abusos de mercado. Pero eso no significa que tales comportamientos impliquen una amenaza a la seguridad nacional, en el sentido de la sentencia La Quadrature du Net. ( 34 )

85.

Como sostuvo la Comisión en la vista, los objetivos de la Directiva 2003/6 y del Reglamento n.o 596/2014 tienden a la consecución de un mercado interior (en particular, en el sector de los mercados financieros), pero no a preservar la seguridad nacional. ( 35 )

86.

Extender la noción de «amenaza contra la seguridad nacional» a los delitos de abuso de mercado abriría la puerta a hacer lo mismo con otras muchas infracciones de intereses públicos no menos importantes, pero que difícilmente un tribunal penal encajaría en aquel concepto, mucho más restrictivo. Si el Tribunal de Justicia accediese a abrir esa puerta, el cuidadoso equilibrio que subyace en la sentencia La Quadrature du Net habría sido inútil.

87.

En definitiva, los registros/grabaciones «existentes» a los que se refieren el artículo 12, apartado 2, letra d), de la Directiva 2003/6 y el artículo 23, apartado 2, letras g) y h), del Reglamento n.o 596/2914 no pueden ser sino los que la Directiva 2002/58, según la interpretación del Tribunal de Justicia, permite que se conserven para luchar contra la delincuencia grave y proteger la seguridad pública. En ningún caso pueden equiparase a los conservados de manera preventiva, generalizada e indiferenciada, para defender la seguridad nacional.

88.

Con la segunda pregunta prejudicial el tribunal de reenvío quiere saber si, en el supuesto de que la normativa francesa relativa a la conservación de los datos de conexión no fuese compatible con el derecho de la Unión, pueden mantenerse provisionalmente sus efectos.

89.

Dada la fecha de sus reenvíos, el tribunal a quo no pudo tomar en cuenta que la respuesta a sus dudas se encuentra en la sentencia (de 6 de octubre de 2020) La Quadrature du Net (en especial, en sus apartados 213 a 228), que, en este aspecto, se ha atenido a la jurisprudencia tradicional.

90.

De acuerdo con el Tribunal de Justicia, apreciada una infracción del artículo 15, apartado 1, de la Directiva 2002/58, en relación con los artículos 7, 8, 11 y 52, apartado 1, de la Carta, «el órgano jurisdiccional remitente no puede aplicar una disposición de su derecho nacional que le faculta para limitar en el tiempo los efectos de una declaración de ilegalidad que le corresponde efectuar, con arreglo a ese derecho, con respecto a la normativa nacional controvertida en el litigio principal». ( 36 )

91.

La razón es que «solo el Tribunal de Justicia puede, con carácter excepcional y en atención a consideraciones imperiosas de seguridad jurídica, suspender provisionalmente el efecto de exclusión que ejerce una norma de la Unión sobre el derecho nacional contrario a ella». ( 37 )«Limitación temporal de los efectos de la interpretación de este derecho dada por el Tribunal de Justicia [que] solo puede admitirse en la propia sentencia que resuelve sobre la interpretación solicitada», ( 38 ) lo que no ha sido el caso en la sentencia 8 de abril de 2014, Digital Rights Ireland y otros. ( 39 )

92.

En consecuencia, si el Tribunal de Justicia no ha creído pertinente la limitación temporal de los efectos de su interpretación de la Directiva 2002/58, el órgano judicial remitente no puede decidir la prórroga de la eficacia de una normativa nacional incompatible con las disposiciones del derecho de la Unión que, como sucede con la Directiva 2003/6 y el Reglamento n.o 596/2014, han de interpretarse a la luz de aquella primera Directiva.

93.

En la misma línea de la anterior, con su tercera pregunta prejudicial la Cour de Cassation (Tribunal de Casación) quiere saber si un órgano jurisdiccional nacional puede mantener provisionalmente los efectos de una normativa «que permite a los agentes de una autoridad administrativa independiente encargada de llevar a cabo investigaciones en materia de abuso de mercado obtener la comunicación de datos de conexión sin supeditar esta obtención de datos a un control previo por un órgano jurisdiccional o una autoridad administrativa independiente».

94.

La premisa de este interrogante es, de nuevo, que esa normativa, en sí misma, resulta incompatible con el derecho de la Unión. ( 40 ) Y así lo declara el propio tribunal de reenvío: aunque la AMF sea una autoridad administrativa independiente, «la facultad atribuida a sus investigadores de obtener los datos de conexión sin control previo de un órgano jurisdiccional o de otra autoridad independiente no era conforme con las exigencias de los artículos 7, 8 y 11 de la Carta […] tal como los ha interpretado el Tribunal de Justicia». ( 41 )

95.

A la misma solución conduce la sentencia del Tribunal de Justicia de 2 de marzo de 2021, Prokuratuur (Condiciones de acceso a los datos relativos a las comunicaciones electrónicas), ( 42 ) cuyos apartados 51 y siguientes recalcan que el acceso de las autoridades nacionales competentes a los datos conservados ha de supeditarse a un control previo, realizado bien por un órgano jurisdiccional, bien por una entidad administrativa independiente que tenga la condición de «tercero» respecto de la que solicita el acceso a esos datos.

96.

En estas condiciones, la contestación a la tercera pregunta prejudicial ha de ser idéntica a la de la segunda.

97.

A tenor de lo expuesto, sugiero al Tribunal de Justicia responder a la Cour de cassation (Tribunal de Casación, Francia) en los siguientes términos: