SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala)

de 4 de octubre de 2024 ( *1 )

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales — Directiva (UE) 2016/680 — Artículo 3, punto 2 — Concepto de “tratamiento” — Artículo 4 — Principios relativos al tratamiento de datos personales — Artículo 4, apartado 1, letra c) — Principio de “minimización de datos” — Artículos 7, 8, 47 y 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea — Exigencia de que una limitación al ejercicio de un derecho fundamental debe ser “establecida por la ley” — Proporcionalidad — Apreciación de la proporcionalidad a la luz de todos los elementos pertinentes — Control previo por un órgano jurisdiccional o una autoridad administrativa independiente — Artículo 13 — Información que debe ponerse a disposición del interesado o que se le debe proporcionar — Límites — Artículo 54 — Derecho a la tutela judicial efectiva contra el responsable o el encargado del tratamiento — Investigación policial por tráfico de estupefacientes — Intento de desbloqueo de un teléfono móvil por las autoridades policiales para acceder, a efectos de la investigación, a los datos contenidos en ese teléfono»

En el asunto C‑548/21,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Landesverwaltungsgericht Tirol (Tribunal Regional de lo Contencioso-Administrativo del Tirol, Austria), mediante resolución de 1 de septiembre de 2021, recibida en el Tribunal de Justicia el 6 de septiembre de 2021, en el procedimiento entre

Bezirkshauptmannschaft Landeck,

EL TRIBUNAL DE JUSTICIA (Gran Sala),

integrado por el Sr. K. Lenaerts, Presidente, el Sr. L. Bay Larsen, Vicepresidente, la Sra. K. Jürimäe, los Sres. C. Lycourgos, E. Regan, T. von Danwitz y Z. Csehi y la Sra. O. Spineanu-Matei, Presidentes de Sala, y los Sres. P. G. Xuereb (Ponente), I. Jarukaitis, A. Kumin, N. Jääskinen y M. Gavalec, Jueces;

Abogado General: Sr. M. Campos Sánchez-Bordona;

Secretario: Sr. C. Di Bella, administrador;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 16 de enero de 2023;

consideradas las observaciones presentadas:

–	en nombre del Gobierno austriaco, por el Sr. A. Posch, la Sra. J. Schmoll y los Sres. K. Ibili y E. Riedl, en calidad de agentes;

–	en nombre del Gobierno danés, por el Sr. M. P. B. Jespersen y las Sras. V. Pasternak Jørgensen, M. Søndahl Wolff e Y. T. Thyregod Kollberg, en calidad de agentes;

–	en nombre del Gobierno alemán, por los Sres. J. Möller y M. Hellmann, en calidad de agentes;

–	en nombre del Gobierno estonio, por la Sra. M. Kriisa, en calidad de agente;

–	en nombre de Irlanda, por la Sra. M. Browne, Chief State Solicitor, el Sr. A. Joyce y la Sra. M. Lane, en calidad de agentes, asistidos por el Sr. R. Farrell, SC, el Sr. D. Fennelly, BL, y el Sr. D. O’Reilly, Solicitor;

–	en nombre del Gobierno francés, por el Sr. R. Bénard, las Sras. A. Daniel y A.‑L. Desjonquères y el Sr. J. Illouz, en calidad de agentes;

–	en nombre del Gobierno chipriota, por la Sra. I. Neophytou, en calidad de agente;

–	en nombre del Gobierno húngaro, por la Sra. Zs. Biró-Tóth y el Sr. M. Z. Fehér, en calidad de agentes;

–	en nombre del Gobierno neerlandés, por las Sras. M. K. Bulterman, A. Hanje y M. J. Langer, en calidad de agentes;

–	en nombre del Gobierno polaco, por el Sr. B. Majczyna, en calidad de agente;

–	en nombre del Gobierno finlandés, por la Sra. A. Laine, en calidad de agente;

–	en nombre del Gobierno sueco, por el Sr. J. Lundberg, las Sras. H. Eklinder, C. Meyer-Seitz, A. M. Runeskjöld, M. Salborn Hodgson, R. Shahsavan Eriksson y H. Shev y el Sr. O. Simonsson, en calidad de agentes;

–	en nombre del Gobierno noruego, por el Sr. F. Bergsjø, las Sras. H. Busch y K. Moe Winther y el Sr. P. Wennerås, en calidad de agentes;

–	en nombre de la Comisión Europea, por los Sres. G. Braun, S. L. Kalėda, H. Kranenborg y F. Wilman, en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 20 de abril de 2023;

dicta la siguiente

Sentencia

La petición de decisión prejudicial tiene por objeto la interpretación de los artículos 5 y 15, apartado 1, de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO 2002, L 201, p. 37), en su versión modificada por la Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (DO 2009, L 337, p. 11) (en lo sucesivo, «Directiva 2002/58»), en relación con los artículos 7, 8, 11, 41, 47 y 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»).

Esta petición se ha presentado en el contexto de un litigio entre CG y la Bezirkshauptmannschaft Landeck (Administración del Distrito de Landeck, Austria) relativo a la incautación del teléfono móvil de CG por las autoridades policiales y a los intentos de estas, en el marco de una investigación por tráfico de estupefacientes, de desbloquear el teléfono para acceder a los datos que contenía.

Marco jurídico

Derecho de la Unión

Directiva 2002/58

El artículo 1 de la Directiva 2002/58, titulado «Ámbito de aplicación y objetivo», dispone lo siguiente:

«1. La presente Directiva establece la armonización de las disposiciones nacionales necesaria para garantizar un nivel equivalente de protección de las libertades y los derechos fundamentales y, en particular, del derecho a la intimidad y la confidencialidad, en lo que respecta al tratamiento de los datos personales en el sector de las comunicaciones electrónicas, así como la libre circulación de tales datos y de los equipos y servicios de comunicaciones electrónicas en la Comunidad.

[…]

3. La presente Directiva no se aplicará a las actividades no comprendidas en el ámbito de aplicación del Tratado [FUE], como las reguladas por las disposiciones de los títulos V y VI del Tratado [UE], ni, en cualquier caso, a las actividades que tengan por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dichas actividades estén relacionadas con la seguridad del mismo) y a las actividades del Estado en materia penal.»

Con arreglo al artículo 3 de la citada Directiva, titulado «Servicios afectados»:

«La presente Directiva se aplicará al tratamiento de datos personales en relación con la prestación de servicios de comunicaciones electrónicas disponibles al público en las redes públicas de comunicaciones de la Comunidad, incluidas las redes públicas de comunicaciones que den soporte a dispositivos de identificación y recopilación de datos.»

El artículo 5 de dicha Directiva, cuyo epígrafe es «Confidencialidad de las comunicaciones», dispone en su apartado 1:

«Los Estados miembros garantizarán, a través de la legislación nacional, la confidencialidad de las comunicaciones y de los datos de tráfico asociados a ellas, realizadas a través de las redes públicas de comunicaciones y de los servicios de comunicaciones electrónicas disponibles al público. En particular, prohibirán la escucha, la grabación, el almacenamiento u otros tipos de intervención o vigilancia de las comunicaciones y los datos de tráfico asociados a ellas por personas distintas de los usuarios, sin el consentimiento de los usuarios interesados, salvo cuando dichas personas estén autorizadas legalmente a hacerlo de conformidad con el apartado 1 del artículo 15. El presente apartado no impedirá el almacenamiento técnico necesario para la conducción de una comunicación, sin perjuicio del principio de confidencialidad.»

El artículo 15 de esta misma Directiva, con el epígrafe «Aplicación de determinadas disposiciones de la Directiva 95/46/CE», enuncia en su apartado 1:

«Los Estados miembros podrán adoptar medidas legales para limitar el alcance de los derechos y las obligaciones que se establecen en los artículos 5 y 6, en los apartados 1 a 4 del artículo 8 y en el artículo 9 de la presente Directiva, cuando tal limitación constituya una medida necesaria, proporcionada y apropiada en una sociedad democrática para proteger la seguridad nacional (es decir, la seguridad del Estado), la defensa, la seguridad pública, o la prevención, investigación, descubrimiento y persecución de delitos o la utilización no autorizada del sistema de comunicaciones electrónicas a que se hace referencia en el apartado 1 del artículo 13 de la Directiva 95/46/CE [del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31)]. Para ello, los Estados miembros podrán adoptar, entre otras, medidas legislativas en virtud de las cuales los datos se conserven durante un plazo limitado justificado por los motivos establecidos en el presente apartado. Todas las medidas contempladas en el presente apartado deberán ser conformes con los principios generales del Derecho comunitario, incluidos los mencionados en los apartados 1 y 2 del artículo 6 [TUE].»

Directiva (UE) 2016/680

Los considerandos 2, 4, 7, 10, 11, 15, 26, 37, 44, 46 y 104 de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO 2016, L 119, p. 89), tienen la siguiente redacción:

«(2)

Los principios y normas relativos a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales deben, cualquiera que sea su nacionalidad o residencia, respetar sus libertades y derechos fundamentales, en particular el derecho a la protección de los datos personales. La presente Directiva pretende contribuir a la consecución de un espacio de libertad, seguridad y justicia.

[…]

(4)

Debe ser facilitada la libre circulación de datos personales entre las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública en el seno de la Unión [Europea] y la transferencia de estos datos personales a terceros países y organizaciones internacionales, al tiempo que se garantiza un alto nivel de protección de los datos personales. Estos avances exigen el establecimiento de un marco más sólido y coherente para la protección de datos personales en la Unión Europea, que cuente con el respaldo de una ejecución estricta.

[…]

(7)

Para garantizar la eficacia de la cooperación judicial en materia penal y de la cooperación policial, es esencial asegurar un nivel uniforme y elevado de protección de los datos personales de las personas físicas y facilitar el intercambio de datos personales entre las autoridades competentes de los Estados miembros. A tal efecto, el nivel de protección de los derechos y libertades de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública, debe ser equivalente en todos los Estados miembros. La protección eficaz de los datos personales en toda la Unión requiere tanto el fortalecimiento de los derechos de los interesados y de las obligaciones de quienes tratan dichos datos personales, como el fortalecimiento de los poderes equivalentes para supervisar y garantizar el cumplimiento de las normas relativas a la protección de los datos personales en los Estados miembros.

[…]

(10)

En la Declaración n.o 21 relativa a la protección de datos de carácter personal en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial, aneja al acta final de la Conferencia Intergubernamental que adoptó el Tratado de Lisboa, la Conferencia reconoció que podrían requerirse normas específicas sobre protección de datos personales y libre circulación de los mismos en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial basada en el artículo 16 [TFUE], en razón de la naturaleza específica de dichos ámbitos.

(11)

Conviene por lo tanto que esos ámbitos estén regulados por una directiva que establezca las normas específicas relativas a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública[, respetando la naturaleza específica de estas actividades]. Entre dichas autoridades competentes no solo se deben incluir autoridades públicas tales como las autoridades judiciales, la policía u otras fuerzas y cuerpos de seguridad, sino también cualquier otro organismo o entidad en que el Derecho del Estado miembro haya confiado el ejercicio de la autoridad y las competencias públicas a los efectos de la presente Directiva. Cuando dicho organismo o entidad trate datos personales con fines distintos de los previstos en la presente Directiva, se aplica el Reglamento (UE) 2016/679 [del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46 (Reglamento general de protección de datos) (DO 2016, L 119, p. 1)]. Así pues, el Reglamento [2016/679] se aplica en los casos en los que un organismo o entidad recopile datos personales con otros fines y proceda a su tratamiento para el cumplimiento de una obligación jurídica a la que esté sujeto. […]

[…]

(15)

A fin de garantizar el mismo nivel de protección de las personas físicas a través de derechos jurídicamente exigibles en toda la Unión y evitar divergencias que dificulten el intercambio de datos personales entre las autoridades competentes, la presente Directiva debe establecer normas armonizadas para la protección y la libre circulación de los datos personales tratados con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública. La aproximación de las legislaciones de los Estados miembros no debe debilitar la protección de datos personales que ya se ofrece, sino que, por el contrario, debe tratar de garantizar un alto nivel de protección dentro de la Unión. No se debe impedir a los Estados miembros que ofrezcan garantías mayores que las establecidas en la presente Directiva para la protección de los derechos y libertades del interesado con respecto al tratamiento de sus datos personales por parte de las autoridades competentes.

[…]

(26)

[…] Los datos personales deben ser adecuados y pertinentes en relación con los fines para los que se tratan, lo cual requiere, en particular, que se garantice que los datos personales recogidos no son excesivos ni se conservan más tiempo del que sea necesario para los fines con los que se tratan. Los datos personales solo deberían ser objeto de tratamiento si la finalidad del tratamiento no puede lograrse razonablemente por otros medios. […]

[…]

(37)

Especial protección merecen los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento puede generar riesgos importantes para los derechos y las libertades fundamentales. Dichos datos personales deben incluir aquellos que pongan de manifiesto el origen racial o étnico, entendiéndose que el término “origen racial” empleado en la presente Directiva no implica la aceptación por parte de la Unión Europea de teorías que traten de determinar la existencia de razas humanas diferentes. Tales datos personales no deben ser objeto de tratamiento, salvo que el tratamiento esté supeditado a las garantías adecuadas de protección de los derechos y libertades del interesado que se establecen en la legislación y esté permitido en los casos autorizados por la ley; o, si no está ya autorizado por dicha legislación, que el tratamiento sea necesario para proteger los intereses vitales del interesado o de otra persona, o que el tratamiento se refiera a datos que el interesado ya ha hecho públicos de forma manifiesta. Entre las garantías adecuadas de protección de los derechos y libertades del interesado pueden figurar, por ejemplo, la posibilidad de recopilar tales datos únicamente en relación con otros datos de la persona física afectada, la posibilidad de proteger adecuadamente los datos recopilados, el establecimiento de normas más estrictas para el acceso a los datos por parte del personal de la autoridad competente, o la prohibición de transmisión de dichos datos. El tratamiento de este tipo de datos también debe estar jurídicamente permitido si el interesado ha acordado de forma explícita que el tratamiento de los datos resulte especialmente intrusivo para las personas. Sin embargo, el consentimiento del interesado no debe constituir en sí mismo un fundamento jurídico para que las autoridades competentes procedan al tratamiento de datos personales sensibles como los mencionados.

[…]

(44)

Debe permitirse a los Estados miembros adoptar medidas legislativas que retrasen, limiten u omitan que se facilite información a los interesados o que limiten, total o parcialmente, el acceso de los interesados a sus datos personales, en la medida en que dichas medidas sean necesarias y proporcionadas en una sociedad democrática y mientras sigan siéndolo, con el debido respeto a los derechos fundamentales y los intereses legítimos de la persona física afectada, con el fin de no entorpecer las indagaciones, investigaciones o procedimientos oficiales o judiciales, de no perjudicar la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, de proteger la seguridad pública o la seguridad nacional o de salvaguardar los derechos y las libertades de terceros. El responsable del tratamiento debe evaluar, mediante un análisis individual y específico de cada caso, si procede o no restringir, total o parcialmente, el derecho de acceso.

[…]

(46)

Toda restricción de los derechos del interesado debe cumplir con lo dispuesto en la Carta y el [Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, firmado en Roma el 4 de noviembre de 1950], según los ha interpretado la jurisprudencia del Tribunal de Justicia [de la Unión Europea] y del Tribunal Europeo de Derechos Humanos, respectivamente, y, en particular, respetar el contenido esencial de los citados derechos y libertades.

[…]

(104)

La presente Directiva respeta los derechos fundamentales y observa los principios reconocidos en la Carta, consagrados en el [Tratado FUE], en particular el derecho al respeto de la vida privada y familiar, el derecho a la protección de los datos personales y el derecho a la tutela judicial efectiva y a un juez imparcial. Las limitaciones aplicadas a estos derechos son conformes al artículo 52, apartado 1, de la Carta ya que son necesarias para alcanzar objetivos de interés general reconocidos por la Unión o responden a la necesidad de proteger los derechos y libertades de terceros.»

El artículo 1 de esta Directiva, titulado «Objeto y objetivos», en sus apartados 1 y 2 dispone:

«1. La presente Directiva establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales por parte de las autoridades competentes, con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública.

2. De conformidad con la presente Directiva, los Estados miembros deberán:

a)	proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales, y

garantizar que el intercambio de datos personales por parte de las autoridades competentes en el interior de la Unión, en caso de que el Derecho de la Unión o del Estado miembro exijan dicho intercambio, no quede restringido ni prohibido por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.»

El artículo 2 de dicha Directiva, que lleva por título «Ámbito de aplicación», enuncia lo siguiente en sus apartados 1 y 3:

«1. La presente Directiva se aplica al tratamiento de datos personales por parte de las autoridades competentes a los fines establecidos en el artículo 1, apartado 1.

[…]

3. La presente Directiva no se aplica al tratamiento de datos personales:

a)	en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;

[…]».

De conformidad con el artículo 3 de la referida Directiva, titulado «Definiciones»:

«A efectos de la presente Directiva se entenderá por:

“datos personales”: toda información sobre una persona física identificada o identificable (“el interesado”); se considerará persona física identificable a toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, unos datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

“tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

[…]

“autoridad competente”:

a)	toda autoridad pública competente para la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluidas la protección y prevención frente a amenazas para la seguridad pública, o

cualquier otro órgano o entidad a quien el Derecho del Estado miembro haya confiado el ejercicio de la autoridad pública y las competencias públicas a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales o ejecución de sanciones penales, incluidas la protección y prevención frente a amenazas para la seguridad pública;

[…]».

El artículo 4 de la Directiva 2016/680, titulado «Principios relativos al tratamiento de datos personales», establece en su apartado 1:

«Los Estados miembros dispondrán que los datos personales sean:

a)	tratados de manera lícita y leal;

b)	recogidos con fines determinados, explícitos y legítimos, y no ser tratados de forma incompatible con esos fines;

c)	adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados;

[…]».

El artículo 6 de esta Directiva, bajo la rúbrica «Distinción entre diferentes categorías de interesados», prescribe:

«Los Estados miembros dispondrán que el responsable del tratamiento, cuando corresponda y en la medida de lo posible, establezca una distinción clara entre los datos personales de las distintas categorías de interesados, tales como:

a)	personas respecto de las cuales existan motivos fundados para presumir que han cometido o van a cometer una infracción penal;

b)	personas condenadas por una infracción penal;

c)	víctimas de una infracción penal o personas respecto de las cuales determinados hechos den lugar a pensar que puedan ser víctimas de una infracción penal, y

terceras partes involucradas en una infracción penal como, por ejemplo, personas que puedan ser citadas a testificar en investigaciones relacionadas con infracciones penales o procesos penales ulteriores, o personas que puedan facilitar información sobre infracciones penales, o personas de contacto o asociados de una de las personas mencionadas en las letras a) y b).»

El artículo 10 de dicha Directiva, que se titula «Tratamiento de categorías especiales de datos personales», está redactado en los siguientes términos:

«El tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, así como el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual o las orientaciones sexuales de una persona física solo se permitirá cuando sea estrictamente necesario, con sujeción a las salvaguardias adecuadas para los derechos y libertades del interesado y únicamente cuando:

a)	lo autorice el Derecho de la Unión o del Estado miembro;

b)	sea necesario para proteger los intereses vitales del interesado o de otra persona física, o

c)	dicho tratamiento se refiera a datos que el interesado haya hecho manifiestamente públicos.»

Con arreglo al artículo 13 de la Directiva 2016/680, titulado «Información que debe ponerse a disposición del interesado o que se le debe proporcionar»:

«1. Los Estados miembros dispondrán que el responsable del tratamiento de los datos ponga a disposición del interesado al menos la siguiente información:

a)	la identidad y los datos de contacto del responsable del tratamiento;

b)	en su caso, los datos de contacto del delegado de protección de datos;

c)	los fines del tratamiento a que se destinen los datos personales;

d)	el derecho a presentar una reclamación ante la autoridad de control y los datos de contacto de la misma;

e)	la existencia del derecho a solicitar del responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o su supresión, o la limitación de su tratamiento.

2. Además de la información indicada en el apartado 1, los Estados miembros dispondrán por ley que el responsable del tratamiento de los datos proporcione al interesado, en casos concretos, la siguiente información adicional, a fin de permitir el ejercicio de sus derechos:

a)	la base jurídica del tratamiento;

b)	el plazo durante el cual se conservarán los datos personales o, cuando esto no sea posible, los criterios utilizados para determinar ese plazo;

c)	cuando corresponda, las categorías de destinatarios de los datos personales, en particular en terceros países u organizaciones internacionales;

d)	cuando sea necesario, más información, en particular cuando los datos personales se hayan recogido sin conocimiento del interesado.

3. Los Estados miembros podrán adoptar medidas legislativas por las que se retrase, limite u omita la puesta a disposición del interesado de la información en virtud del apartado 2 siempre y cuando dicha medida constituya una medida necesaria y proporcional en una sociedad democrática, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos de la persona física afectada, para:

a)	evitar que se obstaculicen indagaciones, investigaciones o procedimientos oficiales o judiciales;

b)	evitar que se cause perjuicio a la prevención, detección, investigación o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales;

c)	proteger la seguridad pública;

d)	proteger la seguridad nacional;

e)	proteger los derechos y libertades de otras personas.

[…]»

El artículo 54 de la citada Directiva, bajo la rúbrica «Derecho a la tutela judicial efectiva contra el responsable o el encargado del tratamiento», establece:

«Sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control con arreglo al artículo 52, los Estados miembros reconocerán el derecho que asiste a todo interesado a la tutela judicial efectiva si considera que sus derechos establecidos en disposiciones adoptadas con arreglo a la presente Directiva han sido vulnerados como consecuencia de un tratamiento de sus datos personales no conforme con esas disposiciones.»

Derecho austriaco

El artículo 27, apartado 1, de la Suchtmittelgesetz (Ley de Estupefacientes), de 5 de septiembre de 1997 (BGBl. I, 112/1997), en su versión aplicable al litigio principal, dispone:

«Cualquier persona que, de manera ilegal,

1.	adquiera, posea, produzca, transporte, importe, exporte, ofrezca, entregue o facilite estupefacientes a otra persona

[…]

será condenada a una pena de prisión de hasta un año o a una multa de hasta 360 días.

[…]»

El artículo 17 del Strafgesetzbuch (Código Penal), de 1 de enero de 1975 (BGBl., 60/1974), en su versión aplicable al litigio principal (en lo sucesivo, «StGB»), prevé:

«(1) Los delitos graves son actos dolosos castigados con cadena perpetua o con una pena de prisión superior a tres años.

(2) Todas las demás infracciones penales son delitos menos graves o leves.»

El artículo 18 de la Strafprozessordnung (Código de Procedimiento Penal), de 30 de diciembre de 1975 (BGBl., 631/1975), en su versión aplicable al litigio principal (en lo sucesivo, «StPO»), prevé:

«(1) La Policía judicial desempeñará funciones al servicio de la administración de justicia penal (artículo 10, apartado 1, punto 6, de la Bundes–Verfassungsgesetz [(Ley Constitucional Federal)]).

(2) Las investigaciones de la Policía judicial serán responsabilidad de las autoridades de seguridad, cuya organización y competencia territorial se rigen por las disposiciones de la Sicherheitspolizeigesetz [(Ley sobre la Policía de Seguridad)] relativas a la organización de la administración de la seguridad pública.

(3) Los órganos del servicio de seguridad pública (artículo 5, párrafo segundo, de la [Ley sobre la Policía de Seguridad]) prestarán el servicio ejecutivo de la Policía judicial, que consiste en investigar y perseguir las infracciones penales con arreglo a lo dispuesto en la presente Ley.

[…]»

19	El artículo 99, apartado 1, de la StPO dispone: «La Policía judicial investiga de oficio o sobre la base de una denuncia, debiendo atenerse a las órdenes del Ministerio Fiscal y de los órganos jurisdiccionales (artículo 105, apartado 2).»

Litigio principal y cuestiones prejudiciales

El 23 de febrero de 2021, a raíz de un control de estupefacientes, funcionarios de la Oficina Aduanera de Innsbruck (Austria) intervinieron un paquete dirigido a CG que contenía ochenta y cinco gramos de cannabis. Dicho paquete fue transmitido, para su examen, a la Comisaría Central de Policía de St. Anton am Arlberg (Austria).

El 6 de marzo de 2021, dos agentes de policía de dicha Comisaría efectuaron un registro en el domicilio de CG, durante el cual le interrogaron acerca del remitente del paquete. En el transcurso de dicho registro, los funcionarios de policía pidieron acceder a los datos de conexión del teléfono móvil de CG. Ante la negativa de este, los agentes de policía se incautaron del teléfono móvil, que contenía una tarjeta SIM y una tarjeta SD, y entregaron a CG el acta de la incautación.

A continuación, ese teléfono móvil fue enviado, para su desbloqueo, a un experto de la Comisaría de Policía del Distrito de Landeck (Austria). Dado que dicho experto no consiguió desbloquearlo, el teléfono móvil fue enviado a la Bundeskriminalamt (Oficina Central de Policía Judicial) de Viena (Austria), en donde se intentó de nuevo desbloquearlo.

23	La incautación del teléfono móvil de CG y los posteriores intentos de analizar su contenido se llevaron a cabo por propia iniciativa de los agentes de policía, sin que fueran autorizados por el Ministerio Fiscal o por un juez.

El 31 de marzo de 2021, CG interpuso un recurso ante el Landesverwaltungsgericht Tirol (Tribunal Regional de lo Contencioso-Administrativo del Tirol, Austria), que es el órgano jurisdiccional remitente, en el que impugnaba la legalidad de la incautación de su teléfono móvil. El teléfono fue devuelto a CG el 20 de abril de 2021.

CG no fue informado inmediatamente de los intentos de análisis del contenido de su teléfono móvil. Solo tuvo conocimiento de ellos cuando el agente de policía que se incautó del teléfono móvil y emprendió, acto seguido, las actuaciones dirigidas a analizar los datos digitales que contenía fue interrogado como testigo en el procedimiento pendiente ante el órgano jurisdiccional remitente. Esos intentos tampoco se documentaron en el expediente de la Policía judicial.

Habida cuenta de estos elementos, el órgano jurisdiccional remitente se pregunta, en primer lugar, si, a la vista de los apartados 52 a 61 de la sentencia de 2 de octubre de 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788), y de la jurisprudencia citada en dichos apartados, el artículo 15, apartado 1, de la Directiva 2002/58, a la luz de los artículos 7 y 8 de la Carta, debe interpretarse en el sentido de que un acceso completo y no controlado a todos los datos contenidos en un teléfono móvil, a saber, los datos de conexión, el contenido de las comunicaciones, las fotografías y el historial de navegación, que pueden ofrecer una imagen muy detallada y exhaustiva de casi todos los ámbitos de la vida privada del interesado, constituye una injerencia en los derechos fundamentales consagrados en los citados artículos 7 y 8 suficientemente grave como para que deba limitarse dicho acceso, en el ámbito de la prevención, la investigación, el descubrimiento y la persecución de delitos, a la lucha contra los delitos graves.

A este respecto, dicho órgano jurisdiccional precisa que la infracción que se imputa a CG en el procedimiento de investigación penal objeto del litigio principal está contemplado en el artículo 27, apartado 1, de la Ley de Estupefacientes y está castigado con una pena de prisión de un año como máximo y solo constituye, según la clasificación del artículo 17 del StGB, un delito menos grave.

En segundo lugar, tras recordar las enseñanzas derivadas de los apartados 48 a 54 de la sentencia de 2 de marzo de 2021, Prokuratuur (Condiciones de acceso a los datos relativos a las comunicaciones electrónicas) (C‑746/18, EU:C:2021:152), y de la jurisprudencia citada en dichos apartados, el órgano jurisdiccional remitente se pregunta si el artículo 15, apartado 1, de la Directiva 2002/58 se opone a una normativa nacional, como la que resulta de las disposiciones del artículo 18 en relación con el artículo 99, apartado 1, de la StPO, en virtud de las cuales, en el curso de un procedimiento de investigación penal, la Policía judicial puede obtener, sin la autorización de un juez o de una entidad administrativa independiente, un acceso completo y no controlado a todos los datos digitales contenidos en un teléfono móvil.

En tercer y último lugar, después de subrayar que el artículo 18 de la StPO, en relación con su artículo 99, apartado 1, no impone ninguna obligación a las autoridades policiales de documentar las operaciones de análisis digital de un teléfono móvil, ni siquiera de informar a su propietario de la existencia de tales operaciones, de modo que este pueda, en su caso, oponerse a ellas mediante un recurso judicial preventivo o a posteriori, el órgano jurisdiccional remitente se pregunta acerca de la compatibilidad de estas disposiciones de la StPO con el principio de igualdad de armas y el derecho a la tutela judicial efectiva en el sentido del artículo 47 de la Carta.

En estas circunstancias, el Landesverwaltungsgericht Tirol (Tribunal Regional de lo Contencioso-Administrativo del Tirol) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1)

¿Debe interpretarse el artículo 15, apartado 1, de la Directiva [2002/58] (en su caso, en relación con su artículo 5), en su versión modificada por la Directiva [2009/136], a la luz de los artículos 7 y 8 de la [Carta], en el sentido de que el acceso por las autoridades públicas a los datos almacenados en teléfonos móviles constituye una injerencia en los derechos fundamentales consagrados en dichos artículos de la Carta suficientemente grave como para que deba limitarse dicho acceso, en el ámbito de la prevención, la investigación, el descubrimiento y la persecución de delitos, a la lucha contra la delincuencia grave?

¿Debe interpretarse el artículo 15, apartado 1, de la Directiva [2002/58], en su versión modificada por la Directiva [2009/136], en relación con los artículos 7, 8, 11 y 52, apartado 1, de la [Carta], en el sentido de que se opone a una normativa nacional como el artículo 18 de la [StPO] en relación con el artículo 99, apartado 1, de esa misma Ley, que permite a las autoridades de seguridad obtener por sí mismas, en el marco de un procedimiento de investigación penal, sin autorización de un órgano jurisdiccional o de una autoridad administrativa independiente, un acceso completo e incontrolado a todos los datos digitales almacenados en un teléfono móvil?

¿Debe interpretarse el artículo 47 de la [Carta], en su caso en relación con los artículos 41 y 52 de esta, en el sentido de que, desde el punto de vista de la igualdad de armas y de la tutela judicial efectiva, se opone a la normativa de un Estado miembro, como el artículo 18 de la [StPO], en relación con el artículo 99, apartado 1, de esa misma Ley, que permite el análisis digital de un teléfono móvil sin que el interesado sea informado previamente o, al menos, después de que se haya adoptado dicha medida?»

Procedimiento ante el Tribunal de Justicia

El 20 de octubre de 2021, el Tribunal de Justicia dirigió una solicitud de información al órgano jurisdiccional remitente en la que le pedía que le indicara si la Directiva 2016/680 podría ser pertinente en el litigio principal y, en su caso, que señalara las disposiciones de Derecho nacional de transposición de dicha Directiva al Derecho austriaco que podrían ser aplicables en el caso de autos.

El 11 de noviembre de 2021, el órgano jurisdiccional remitente respondió a esa solicitud señalando, en particular, que los preceptos de la citada Directiva debían observarse en el presente asunto. Esta respuesta fue notificada, junto con la resolución de remisión, a los interesados mencionados en el artículo 23 del Estatuto del Tribunal de Justicia de la Unión Europea.

El 8 de noviembre de 2022, el Tribunal de Justicia, de conformidad con el artículo 61 de su Reglamento de Procedimiento, solicitó a los participantes en la fase oral del procedimiento que concentraran sus informes orales en la Directiva 2016/680 y que respondieran, en la vista oral, a ciertas preguntas relacionadas con dicha Directiva.

Sobre la solicitud de reapertura de la fase oral del procedimiento

Tras la presentación de las conclusiones del Abogado General, el Gobierno austriaco formuló, mediante escrito presentado en la Secretaría del Tribunal de Justicia el 17 de mayo de 2023, una petición de rectificación de tales conclusiones alegando que reflejaban de manera inexacta la posición que había expresado en sus observaciones tanto escritas como orales y contenían errores de hecho.

Ese Gobierno expone, por una parte, que el punto 50 de las conclusiones del Abogado General, en relación con la nota 14 de las mismas, da a entender que, según dicho Gobierno, un intento de acceso a los datos contenidos en un teléfono móvil, como el que es objeto del litigio principal, no puede constituir un tratamiento de datos personales en el sentido del artículo 3, punto 2, de la Directiva 2016/680. Ahora bien, el mismo Gobierno indica que sostuvo lo contrario en la vista ante el Tribunal de Justicia, adhiriéndose expresamente a la tesis mantenida por la Comisión Europea en sus observaciones escritas, según la cual se desprende de una interpretación sistemática de la citada Directiva, a la luz de sus objetivos, que esta no solo regula los tratamientos propiamente dichos, sino también las operaciones que se realizan con anterioridad, tales como un intento de tratamiento, sin que la aplicación de la referida Directiva esté supeditada al requisito de que el intento de tratamiento haya tenido éxito.

Por otra parte, el Gobierno austriaco aduce que el punto 27 de las conclusiones del Abogado General se basa en hechos erróneos, ya que da a entender que los intentos de tratamiento mencionados en el apartado 22 de la presente sentencia no se documentaron en el expediente de la Policía judicial. A este respecto, dicho Gobierno precisa que, contrariamente a lo que resulta del citado punto 27 y de la petición de decisión prejudicial, en sus observaciones escritas señaló que tales intentos de tratamiento se habían consignado en dos informes elaborados por los agentes de policía encargados de la investigación en el asunto principal y que esos informes habían sido unidos posteriormente al expediente del Ministerio Fiscal.

Mediante decisión del Presidente del Tribunal de Justicia de 23 de mayo de 2023, la petición del Gobierno austriaco relativa a la rectificación de las conclusiones del Abogado General fue recalificada como una solicitud de reapertura de la fase oral del procedimiento en el sentido del artículo 83 del Reglamento de Procedimiento.

Procede recordar a este respecto, por una parte, que ni el Estatuto del Tribunal de Justicia de la Unión Europea ni el Reglamento de Procedimiento contemplan la posibilidad de que los interesados mencionados en el artículo 23 de dicho Estatuto formulen observaciones en respuesta a las conclusiones presentadas por el Abogado General. Por otra parte, en virtud del artículo 252 TFUE, párrafo segundo, el Abogado General presenta públicamente, con toda imparcialidad e independencia, conclusiones motivadas sobre los asuntos que, de conformidad con dicho Estatuto, requieran su intervención. El Tribunal de Justicia no está vinculado ni por las conclusiones del Abogado General ni por la motivación que este desarrolla para llegar a las mismas. Por consiguiente, el hecho de que una parte interesada no esté de acuerdo con las conclusiones del Abogado General no constituye en sí mismo un motivo que justifique la reapertura de la fase oral, sin importar cuáles sean las cuestiones que examine en sus conclusiones (sentencia de 14 de marzo de 2024, f6 Cigarettenfabrik, C‑336/22, EU:C:2024:226, apartado 25 y jurisprudencia citada).

Es cierto que, con arreglo al artículo 83 de su Reglamento de Procedimiento, el Tribunal de Justicia podrá ordenar en todo momento, tras oír al Abogado General, la reapertura de la fase oral del procedimiento, en particular si estima que la información de que dispone es insuficiente o cuando una parte haya invocado ante él, tras el cierre de esta fase, un hecho nuevo que pueda influir decisivamente en su resolución, o también cuando el asunto deba resolverse basándose en un argumento que no fue debatido.

No obstante, en el presente asunto, el Tribunal de Justicia considera que dispone, al término de la fase escrita del procedimiento y de la vista celebrada ante él, de todos los elementos necesarios para pronunciarse sobre la presente petición de decisión prejudicial. Además, los elementos invocados por el Gobierno austriaco en apoyo de su solicitud de reapertura de la fase oral del procedimiento no constituyen hechos nuevos que puedan influir decisivamente en la resolución que debe dictar en el caso de autos.

En lo que atañe, más concretamente, a los elementos de hecho señalados en el apartado 36 de la presente sentencia, conviene recordar que, en el marco de un procedimiento prejudicial, al Tribunal de Justicia no le corresponde determinar si se han demostrado los hechos alegados, sino únicamente interpretar las disposiciones pertinentes del Derecho de la Unión (véase, en este sentido, la sentencia de 31 de enero de 2023, Puig Gordi y otros, C‑158/21, EU:C:2023:57, apartado 36). En efecto, según la jurisprudencia del Tribunal de Justicia, las cuestiones sobre la interpretación del Derecho de la Unión son planteadas por el juez nacional en el marco fáctico y normativo definido bajo su responsabilidad y no corresponde al Tribunal de Justicia verificar su exactitud [véase, en este sentido, la sentencia de 18 de junio de 2024, Bundesrepublik Deutschland (Efecto de una resolución por la que se concede el estatuto de refugiado),C‑753/22, EU:C:2024:524, apartado 44 y jurisprudencia citada].

42	En estas circunstancias, el Tribunal de Justicia considera, oído el Abogado General, que no procede ordenar la reapertura de la fase oral del procedimiento.

Sobre la admisibilidad de la petición de decisión prejudicial

43	Varias de las partes interesadas que han presentado observaciones en el presente procedimiento han cuestionado la admisibilidad de la petición de decisión prejudicial en su conjunto o de algunas de las cuestiones prejudiciales planteadas por el órgano jurisdiccional remitente.

En primer lugar, los Gobiernos austriaco, francés y sueco alegan que la resolución de remisión no reúne los requisitos establecidos en el artículo 94 del Reglamento de Procedimiento, puesto que no contiene los elementos de hecho y de Derecho necesarios para dar una respuesta útil al órgano jurisdiccional remitente.

En segundo lugar, el Gobierno austriaco sostiene, por una parte, que, mediante las cuestiones prejudiciales segunda y tercera, el órgano jurisdiccional remitente desea que se dilucide, en esencia, si las disposiciones de los artículos 18 y 99 de la StPO, conjuntamente consideradas, son conformes con el Derecho de la Unión. Pues bien, dicho Gobierno señala que, dado que tales disposiciones no regulan las condiciones en que debe realizarse el análisis de los soportes de datos incautados, estas cuestiones no guardan relación alguna con el objeto del litigio principal. Por otra parte, alega que, en virtud del Derecho austriaco, es necesaria una resolución del Ministerio Fiscal para proceder a la incautación de un teléfono móvil o para intentar acceder a los datos contenidos en dicho teléfono. Por tanto, el citado órgano jurisdiccional debería apreciar una infracción del Derecho austriaco, de modo que las cuestiones planteadas por ese órgano jurisdiccional no son necesarias para resolver el litigio y, por consiguiente, no procede pronunciarse sobre la petición de decisión prejudicial.

Procede recordar con carácter preliminar que, según reiterada jurisprudencia, en el marco de la cooperación entre el Tribunal de Justicia y los órganos jurisdiccionales nacionales establecida en el artículo 267 TFUE, corresponde exclusivamente al órgano jurisdiccional nacional que conoce del litigio y que debe asumir la responsabilidad de la decisión jurisdiccional que debe adoptarse apreciar, a la luz de las particularidades del asunto, tanto la necesidad de una decisión prejudicial para poder dictar su sentencia como la pertinencia de las cuestiones que plantea al Tribunal de Justicia. Por consiguiente, cuando las cuestiones planteadas se refieren a la interpretación del Derecho de la Unión, el Tribunal de Justicia está, en principio, obligado a pronunciarse (sentencia de 24 de julio de 2023, Lin, C‑107/23 PPU, EU:C:2023:606, apartado 61 y jurisprudencia citada).

De ello se sigue que las cuestiones relativas al Derecho de la Unión gozan de una presunción de pertinencia. El Tribunal de Justicia solo puede abstenerse de pronunciarse sobre una cuestión prejudicial planteada por un órgano jurisdiccional nacional cuando resulte evidente que la interpretación del Derecho de la Unión solicitada no guarda relación alguna ni con la realidad ni con el objeto del litigio principal, cuando el problema sea de naturaleza hipotética o cuando el Tribunal de Justicia no disponga de los elementos de hecho y de Derecho necesarios para dar una respuesta útil a las cuestiones que se le hayan planteado (sentencia de 24 de julio de 2023, Lin, C‑107/23 PPU, EU:C:2023:606, apartado 62 y jurisprudencia citada).

En primer lugar, en cuanto a la alegación basada en el incumplimiento de los requisitos previstos en el artículo 94 del Reglamento de Procedimiento, ha de señalarse que, con arreglo a reiterada jurisprudencia, recogida actualmente en dicho artículo 94, letras a) y b), la necesidad de lograr una interpretación del Derecho de la Unión que sea útil para el juez nacional exige que este defina el contexto fáctico y normativo en el que se inscriben las cuestiones prejudiciales que plantea o que, al menos, explique los supuestos de hecho en los que se basan tales cuestiones. Por otro lado, es indispensable, como se establece en el citado artículo 94, letra c), que la petición de decisión prejudicial exponga las razones que han llevado al órgano jurisdiccional remitente a preguntarse sobre la interpretación o la validez de determinadas disposiciones del Derecho de la Unión, así como la relación que, a su juicio, existe entre dichas disposiciones y la normativa nacional aplicable en el litigio principal (sentencia de 21 de diciembre de 2023, European Superleague Company, C‑333/21, EU:C:2023:1011, apartado 59 y jurisprudencia citada).

En el presente asunto, por lo que se refiere al marco fáctico, el órgano jurisdiccional remitente precisó, en su petición de decisión prejudicial, que las autoridades policiales austriacas, tras incautarse del teléfono móvil de CG en el marco de una investigación policial por tráfico de estupefacientes, intentaron en dos ocasiones acceder a los datos contenidos en ese teléfono, por iniciativa propia, sin disponer de una autorización previa al efecto del Ministerio Fiscal o de un juez. Señaló asimismo que CG solo tuvo conocimiento de estos intentos de acceso a los datos contenidos en su teléfono móvil en el momento en que oyó la declaración de un agente de policía. Por último, indicó que estos intentos de acceso tampoco se habían documentado en el expediente instruido por la Policía judicial.

En cuanto al marco normativo, el órgano jurisdiccional remitente precisa que las disposiciones nacionales citadas en la resolución de remisión permitían intentar acceder a los datos contenidos en un teléfono móvil con el fin de prevenir, investigar, detectar y perseguir infracciones penales, sin limitar esta posibilidad únicamente a la lucha contra los delitos graves, sin someter el intento de acceso a un control previo por un juez o una entidad administrativa independiente y sin prever que las personas afectadas fuesen informadas de dicho intento con objeto, en particular, de poder oponerse al mismo interponiendo un recurso judicial.

Además, dicho órgano jurisdiccional precisó, como resulta de los apartados 26 a 29 de la presente sentencia, los motivos que le llevaron a plantear su petición de decisión prejudicial al Tribunal de Justicia y la relación que, a su juicio, existe entre las disposiciones del Derecho de la Unión y de la Carta mencionadas en dicha petición y los preceptos de Derecho austriaco aplicables, en su opinión, al litigio principal.

52	Así pues, a la luz de los elementos señalados en los apartados 49 a 51 de la presente sentencia, puede considerarse que la petición de decisión prejudicial cumple los requisitos establecidos en el artículo 94 del Reglamento de Procedimiento.

En segundo lugar, en relación con las alegaciones basadas en que las disposiciones de Derecho austriaco mencionadas en las cuestiones prejudiciales segunda y tercera carecen de pertinencia y en que el órgano jurisdiccional remitente debería haber apreciado una infracción del Derecho austriaco, procede recordar que no corresponde al Tribunal de Justicia pronunciarse sobre la interpretación de las disposiciones nacionales ni juzgar si la interpretación o aplicación que hace de ellas el órgano jurisdiccional nacional es correcta, ya que tal interpretación es competencia exclusiva de este último [sentencia de 15 de junio de 2023, Getin Noble Bank (Suspensión de la ejecución de un contrato de crédito), C‑287/22, EU:C:2023:491, apartado 32 y jurisprudencia citada].

En el caso de autos, se desprende de la petición de decisión prejudicial y, en particular, del tenor de las cuestiones prejudiciales que el órgano jurisdiccional remitente considera, por una parte, que dichas disposiciones de Derecho austriaco son aplicables al litigio principal y, por otra parte, que, con arreglo al Derecho austriaco, está permitido intentar acceder a los datos contenidos en un teléfono móvil sin autorización previa del Ministerio Fiscal o de un juez, tal como sucedió en el procedimiento principal. Conforme a la jurisprudencia citada en el apartado anterior, no corresponde al Tribunal de Justicia pronunciarse sobre la interpretación de tales disposiciones.

55	De ello se deduce que las cuestiones prejudiciales planteadas por el órgano jurisdiccional remitente son admisibles.

Sobre el fondo

El Gobierno austriaco alega, en sus observaciones escritas, que el Tribunal de Justicia no es competente para responder a las cuestiones prejudiciales primera y segunda, ya que se refieren a la interpretación de los artículos 5 y 15, apartado 1, de la Directiva 2002/58, cuando es evidente que dicha Directiva no es aplicable al litigio principal. En la vista, varios Gobiernos sostuvieron que no era posible reformular las cuestiones prejudiciales a la luz de la Directiva 2016/680. En particular, el Gobierno austriaco subrayó que el hecho de que esta última Directiva no contuviera disposiciones equivalentes a los artículos 5 y 15, apartado 1, de la Directiva 2002/58 impedía esa reformulación. El Gobierno francés afirmó, por su parte, que uno de los límites a la facultad de reformular cuestiones prejudiciales estriba en el derecho de los Estados miembros a presentar observaciones escritas. En efecto, según este último Gobierno, ese derecho quedaría privado de toda eficacia si el marco jurídico del procedimiento pudiera modificarse radicalmente al ser reformuladas las cuestiones prejudiciales por el Tribunal de Justicia.

Debe recordarse a este respecto que el Tribunal de Justicia ha declarado, basándose en particular en los artículos 1, apartados 1 y 3, y 3 de la Directiva 2002/58, que cuando los Estados miembros aplican directamente medidas que suponen excepciones a la confidencialidad de las comunicaciones electrónicas, sin imponer obligaciones de tratamiento a los proveedores de servicios de tales comunicaciones, la protección de los datos de las personas afectadas no está regulada por la Directiva 2002/58, sino únicamente por el Derecho nacional, sin perjuicio de la aplicación de la Directiva 2016/680 (sentencias de 6 de octubre de 2020, Privacy International, C‑623/17, EU:C:2020:790, apartado 48, y de 6 de octubre de 2020, La Quadrature du Net y otros, C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791, apartado 103).

58	Pues bien, consta que el litigio principal versa sobre el intento de acceso a los datos personales contenidos en un teléfono móvil realizado directamente por las autoridades policiales, sin que se hubiera solicitado la intervención de ningún proveedor de servicios de comunicaciones electrónicas.

59	Por consiguiente, es evidente que este litigio no está comprendido en el ámbito de aplicación de la Directiva 2002/58, a la que se refieren las cuestiones prejudiciales primera y segunda.

No obstante, debe recordarse que, según reiterada jurisprudencia, en el marco del procedimiento de cooperación entre los órganos jurisdiccionales nacionales y el Tribunal de Justicia establecido por el artículo 267 TFUE, corresponde a este proporcionar al juez nacional una respuesta útil que le permita dirimir el litigio del que conoce. Desde este punto de vista, corresponde al Tribunal de Justicia reformular, en su caso, las cuestiones prejudiciales que se le han planteado. Además, el Tribunal de Justicia puede tener que tomar en consideración normas del Derecho de la Unión a las que el juez nacional no se haya referido en el enunciado de sus cuestiones [sentencias de 15 de julio de 2021, Ministrstvo za obrambo, C‑742/19, EU:C:2021:597, apartado 31 y jurisprudencia citada, y de 18 de junio de 2024, Generalstaatsanwaltschaft Hamm (Solicitud de extradición de un refugiado a Turquía), C‑352/22, EU:C:2024:521, apartado 47].

En efecto, el hecho de que un órgano jurisdiccional nacional, en el plano formal, haya formulado una cuestión prejudicial refiriéndose a determinadas disposiciones del Derecho de la Unión no impide que el Tribunal de Justicia proporcione a ese órgano jurisdiccional todos los elementos de interpretación que puedan permitirle resolver el asunto del que conoce, aun cuando no haya hecho referencia a ellos al formular sus cuestiones. A este respecto, corresponde al Tribunal de Justicia deducir del conjunto de elementos aportados por el órgano jurisdiccional nacional y, especialmente, de la motivación de la resolución de remisión los elementos del Derecho de la Unión que requieren una interpretación, teniendo en cuenta el objeto del litigio (sentencia de 22 de junio de 2022, Volvo y DAF Trucks, C‑267/20, EU:C:2022:494, apartado 28 y jurisprudencia citada).

Es cierto que, con arreglo a reiterada jurisprudencia, la información proporcionada en la resolución de remisión no solo debe servir para que el Tribunal de Justicia pueda dar respuestas útiles, sino también para que los Gobiernos de los Estados miembros, así como las demás partes interesadas, tengan la posibilidad de presentar observaciones conforme al artículo 23 del Estatuto del Tribunal de Justicia de la Unión Europea (sentencia de 21 de diciembre de 2023, Royal Antwerp Football Club, C‑680/21, EU:C:2023:1010, apartado 32 y jurisprudencia citada).

Sin embargo, tal como resulta de los apartados 31 a 33 de la presente sentencia, en respuesta a la solicitud de información dirigida por el Tribunal de Justicia al órgano jurisdiccional remitente, este último indicó que la Directiva 2016/680 es aplicable al litigio principal. Las partes interesadas pudieron pronunciarse, en sus observaciones escritas, sobre la interpretación de la citada Directiva y su pertinencia para el asunto principal. Además, de cara a la vista oral, el Tribunal de Justicia solicitó a los participantes en la fase oral del procedimiento que respondieran, en dicha vista, a determinadas preguntas relativas a la referida Directiva. En particular, les invitó a pronunciarse sobre la pertinencia del artículo 4 de la Directiva para responder a la primera cuestión prejudicial y sobre la pertinencia de los artículos 13 y 54 de la misma para responder a la tercera cuestión prejudicial.

Por consiguiente, la circunstancia de que las cuestiones prejudiciales primera y segunda se refieran a la interpretación de los artículos 5 y 15, apartado 1, de la Directiva 2002/58, y no a la Directiva 2016/680, no se opone a la reformulación de las cuestiones planteadas por el órgano jurisdiccional remitente a la luz de las disposiciones pertinentes, en el presente asunto, de esta última Directiva ni, por tanto, a la competencia del Tribunal de Justicia para responder a tales cuestiones.

Esta conclusión no queda desvirtuada por la alegación de Irlanda y de los Gobiernos francés y noruego de que el intento de acceso a los datos personales no está comprendido en el ámbito de aplicación de la Directiva 2016/680, puesto que esta solo se aplica a los tratamientos efectivamente realizados.

Dichos Gobiernos alegan, a este respecto, que la interpretación de las disposiciones de la citada Directiva no es de utilidad para resolver el litigio principal, ni tampoco la interpretación de la Carta, en la medida en que esta solo es aplicable cuando los Estados miembros aplican el Derecho de la Unión.

Sin embargo, cuando no resulta evidente que la interpretación de un acto del Derecho de la Unión no guarde ninguna relación con la realidad o el objeto del litigio principal, como sucede con la Directiva 2016/680 en el presente asunto, la objeción basada en que dicho acto no es aplicable al asunto principal se refiere al fondo de las cuestiones prejudiciales (véase, por analogía, la sentencia de 24 de julio de 2023, Lin, C‑107/23 PPU, EU:C:2023:606, apartado 66 y jurisprudencia citada).

68	Así pues, conviene examinar previamente si el intento de acceso por las autoridades policiales a los datos contenidos en un teléfono móvil está comprendido en el ámbito de aplicación material de dicha Directiva.

Sobre la aplicación de la Directiva 2016/680 a un intento de acceso a los datos contenidos en un teléfono móvil

El artículo 2, apartado 1, de la Directiva 2016/680 define su ámbito de aplicación material. Según este precepto, la Directiva «se aplica al tratamiento de datos personales por parte de las autoridades competentes a los fines establecidos en [su] artículo 1, apartado 1», a saber, en particular, «con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales».

El artículo 3, punto 2, de dicha Directiva define el concepto de «tratamiento» como «cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la […] extracción, consulta» o la «difusión o cualquier otra forma de habilitación de acceso».

Así pues, se desprende del propio tenor del artículo 3, punto 2, de la Directiva 2016/680 y, en particular, del empleo de las expresiones «cualquier operación», «o conjunto de operaciones» y «cualquier otra forma de habilitación de acceso» que el legislador de la Unión quiso dar un alcance amplio al concepto de «tratamiento» y, por tanto, al ámbito de aplicación material de dicha Directiva. Esta interpretación se ve corroborada por el carácter no exhaustivo, expresado por el vocablo «como», de las operaciones mencionadas en dicha disposición [véase, por analogía, la sentencia de 24 de febrero de 2022, Valsts ieņēmumu dienests (Tratamiento de datos personales con fines fiscales), C‑175/20, EU:C:2022:124, apartado 35].

Por tanto, estos elementos textuales militan en favor de una interpretación según la cual, cuando las autoridades policiales se incautan de un teléfono y lo manipulan con el fin de extraer y consultar los datos personales que contiene, inician un tratamiento en el sentido del artículo 3, punto 2, de la Directiva 2016/680, aunque tales autoridades no consigan, por razones técnicas, acceder a esos datos.

Esta interpretación es corroborada por el contexto en el que se inscribe el artículo 3, punto 2, de la Directiva 2016/680. En efecto, en virtud del artículo 4, apartado 1, letra b), de dicha Directiva, los Estados miembros dispondrán que los datos personales sean recogidos con fines determinados, explícitos y legítimos y no sean tratados de forma incompatible con esos fines. Esta última disposición consagra el principio de limitación de los fines [véase, en este sentido, la sentencia de 26 de enero de 2023, Ministerstvo na vatreshnite raboti (Registro de datos biométricos y genéticos por la Policía), C‑205/21, EU:C:2023:49, apartado 122]. Pues bien, la efectividad de este principio exige necesariamente que la finalidad de la recogida de los datos sea determinada desde el momento en que las autoridades competentes intenten acceder a los datos personales, ya que ese intento, si tiene éxito, puede permitir a tales autoridades, en particular, recoger, extraer o consultar inmediatamente los datos de que se trate.

74	En cuanto a sus objetivos, la Directiva 2016/680 persigue en particular, tal como resulta de sus considerandos 4, 7 y 15, garantizar un nivel elevado de protección de los datos personales de las personas físicas.

Pues bien, este objetivo se vería menoscabado si un intento de acceso a los datos personales contenidos en un teléfono móvil no pudiera calificarse de «tratamiento» de esos datos. En efecto, interpretar la Directiva 2016/680 en ese sentido expondría a las personas afectadas por el intento de acceso a un riesgo significativo de que no pudiera evitarse ya la vulneración de los principios establecidos en dicha Directiva.

Procede señalar asimismo que tal interpretación es conforme con el principio de seguridad jurídica que, con arreglo a reiterada jurisprudencia del Tribunal de Justicia, exige que la aplicación de las normas de Derecho sea previsible para los justiciables, en especial cuando puedan tener consecuencias desfavorables (sentencia de 27 de junio de 2024, Gestore dei Servizi Energetici,C‑148/23, EU:C:2024:555, apartado 42 y jurisprudencia citada). Efectivamente, una interpretación en virtud de la cual la aplicabilidad de la Directiva 2016/680 dependiera del éxito del intento de acceso a los datos personales contenidos en un teléfono móvil generaría, tanto para las autoridades nacionales competentes como para los justiciables, una incertidumbre incompatible con dicho principio.

De lo anterior resulta que un intento de acceso a los datos contenidos en un teléfono móvil, por parte de las autoridades policiales a fin de realizar una investigación en materia penal, como el que es objeto del litigio principal, está comprendido en el ámbito de aplicación de la Directiva 2016/680, tal como señaló el Abogado General en el punto 53 de sus conclusiones.

Sobre las cuestiones prejudiciales primera y segunda

En sus cuestiones prejudiciales primera y segunda, el órgano jurisdiccional remitente se refirió expresamente, por un lado, al artículo 15, apartado 1, de la Directiva 2002/58, que exige en particular que las medidas legales cuya adopción permite a los Estados miembros, que limiten el alcance de los derechos y obligaciones establecidos en diversas disposiciones de la misma Directiva, constituyan una medida necesaria, proporcionada y apropiada en una sociedad democrática para proteger la seguridad nacional (es decir, la seguridad del Estado), la defensa, la seguridad pública, o la prevención, investigación, descubrimiento y persecución de delitos o la utilización no autorizada del sistema de comunicaciones electrónicas, y, por otro lado, al artículo 52, apartado 1, de la Carta, que consagra el principio de proporcionalidad en el contexto de la limitación del ejercicio de los derechos y libertades reconocidos por la Carta.

Pues bien, a tenor del artículo 4, apartado 1, letra c), de la Directiva 2016/680, los Estados miembros deben disponer que los datos personales sean adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados. Así pues, esta disposición exige que los Estados miembros respeten el principio de «minimización de datos», que refleja el principio de proporcionalidad (sentencia de 30 de enero de 2024, Direktor na Glavna direktsia Natsionalna politsia pri MVR — Sofia, C‑118/22, EU:C:2024:97, apartado 41 y jurisprudencia citada).

De ello se sigue que, en particular, la recogida de datos personales en el marco de un procedimiento penal y su conservación por las autoridades policiales, para los fines enunciados en el artículo 1, apartado 1, de dicha Directiva, deben respetar, como todo tratamiento comprendido en su ámbito de aplicación, dicho principio (sentencia de 30 de enero de 2024, Direktor na Glavna direktsia Natsionalna politsia pri MVR — Sofia, C‑118/22, EU:C:2024:97, apartado 42 y jurisprudencia citada).

Así pues, ha de considerarse que, mediante sus cuestiones prejudiciales primera y segunda, que conviene examinar conjuntamente, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 4, apartado 1, letra c), de la Directiva 2016/680, interpretado a la luz de los artículos 7, 8 y 52, apartado 1, de la Carta, se opone a una normativa nacional que concede a las autoridades competentes la posibilidad de acceder a los datos contenidos en un teléfono móvil con el fin de prevenir, investigar, detectar y perseguir infracciones penales en general y que no somete el ejercicio de esta posibilidad a un control previo por parte de un juez o de una entidad administrativa independiente.

Con carácter preliminar, debe señalarse que, tal como se desprende de los considerandos 2 y 4 de la Directiva 2016/680, al tiempo que establece un marco para la protección de los datos personales sólido y coherente con el fin de garantizar el respeto del derecho fundamental a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales que les conciernan, reconocido en el artículo 8, apartado 1, de la Carta y en el artículo 16 TFUE, apartado 1, dicha Directiva pretende contribuir a la consecución de un espacio de libertad, seguridad y justicia dentro de la Unión [véase, en este sentido, la sentencia de 25 de febrero de 2021, Comisión/España (Directiva datos personales — Ámbito penal), C‑658/19, EU:C:2021:138, apartado 75].

83	Para ello, la Directiva 2016/680 persigue en particular, como ya se ha indicado en el apartado 74 de la presente sentencia, garantizar un nivel elevado de protección de los datos personales de las personas físicas.

Debe recordarse a este respecto que, como pone de relieve el considerando 104 de la Directiva 2016/680, las limitaciones que esta Directiva permite aplicar al derecho a la protección de los datos personales, contemplado en el artículo 8 de la Carta, así como al derecho al respeto de la vida privada y familiar, protegido por el artículo 7 de la Carta, deben interpretarse de conformidad con las exigencias del artículo 52, apartado 1, de la Carta, que incluyen el respeto del principio de proporcionalidad (véase, en este sentido, la sentencia de 30 de enero de 2024, Direktor na Glavna direktsia Natsionalna politsia pri MVR — Sofia, C‑118/22, EU:C:2024:97, apartado 33).

En efecto, estos derechos fundamentales no constituyen prerrogativas absolutas, sino que deben considerarse según su función en la sociedad y ponderarse con otros derechos fundamentales. De conformidad con el artículo 52, apartado 1, de la Carta, toda limitación al ejercicio de tales derechos fundamentales debe ser establecida por la ley y respetar el contenido esencial de esos derechos fundamentales y el principio de proporcionalidad. En virtud de este último principio, solo podrán introducirse limitaciones cuando sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás. Dichas limitaciones no deben exceder de lo estrictamente necesario y la normativa controvertida que conlleve la injerencia debe establecer reglas claras y precisas que regulen el alcance y la aplicación de la medida en cuestión (sentencia de 30 de enero de 2024, Direktor na Glavna direktsia Natsionalna politsia pri MVR — Sofia, C‑118/22, EU:C:2024:97, apartado 39 y jurisprudencia citada).

Por lo que respecta, en primer lugar, al objetivo de interés general que puede justificar una limitación al ejercicio de los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta, como la que se deriva de la normativa controvertida en el procedimiento principal, procede subrayar que, en principio, debe considerarse que un tratamiento de datos personales en el marco de una investigación policial dirigida a sancionar una infracción penal, como un intento de acceso a los datos contenidos en un teléfono móvil, responde efectivamente a un objetivo de interés general reconocido por la Unión, en el sentido del artículo 52, apartado 1, de la Carta.

En segundo lugar, en cuanto al requisito del carácter necesario de tal limitación, como subraya, en esencia, el considerando 26 de la Directiva 2016/680, no se cumple este requisito cuando el objetivo de interés general perseguido puede alcanzarse de manera tan eficaz por otros medios menos atentatorios respecto de los derechos fundamentales de los interesados (véase, en este sentido, la sentencia de 30 de enero de 2024, Direktor na Glavna direktsia Natsionalna politsia pri MVR — Sofia, C‑118/22, EU:C:2024:97, apartado 40 y jurisprudencia citada).

En cambio, el requisito de necesidad se cumple cuando el objetivo perseguido por el tratamiento de datos en cuestión no puede alcanzarse razonablemente con igual eficacia por otros medios menos atentatorios respecto de los derechos fundamentales de los interesados, en particular respecto de los derechos al respeto de la vida privada y familiar y a la protección de los datos personales, garantizados por los artículos 7 y 8 de la Carta [sentencia de 26 de enero de 2023, Ministerstvo na vatreshnite raboti (Registro de datos biométricos y genéticos por la Policía), C‑205/21, EU:C:2023:49, apartado 126 y jurisprudencia citada].

En tercer lugar, el carácter proporcionado de la limitación al ejercicio de los derechos fundamentales garantizados por los artículos 7 y 8 de la Carta, derivada de tales tratamientos, implica una ponderación del conjunto de elementos pertinentes en el caso de autos (véase, en este sentido, la sentencia de 30 de enero de 2024, Direktor na Glavna direktsia Natsionalna politsia pri MVR — Sofia, C‑118/22, EU:C:2024:97, apartados 62 y 63 y jurisprudencia citada).

Entre tales elementos se encuentran, en particular, la gravedad de la limitación impuesta al ejercicio de los derechos fundamentales en cuestión, que depende de la naturaleza y la sensibilidad de los datos a los que puedan acceder las autoridades policiales competentes; la importancia del objetivo de interés general perseguido por dicha limitación; la relación existente entre el propietario del teléfono móvil y la infracción penal de que se trate o la pertinencia de los datos en cuestión para comprobar los hechos.

En lo que se refiere, en primer lugar, a la gravedad de la limitación de los derechos fundamentales resultante de una normativa como la controvertida en el litigio principal, se desprende de la resolución de remisión que esa normativa permite a las autoridades policiales competentes acceder, sin autorización previa, a los datos contenidos en un teléfono móvil.

Tal acceso puede abarcar, en función del contenido del teléfono móvil de que se trate y de las decisiones tomadas por las autoridades policiales, no solo los datos sobre el tráfico y la localización, sino también las fotografías y el historial de la navegación por Internet realizada con ese teléfono, o incluso una parte del contenido de las comunicaciones efectuadas con dicho teléfono, en particular los mensajes conservados en él.

El acceso a este conjunto de datos puede permitir extraer conclusiones muy precisas sobre la vida privada del interesado, como sus hábitos de vida cotidiana, los lugares de residencia permanente o temporal, los desplazamientos diarios o de otro tipo, las actividades ejercidas, las relaciones sociales de esa persona y los círculos sociales que frecuenta.

Por último, no cabe descartar que los datos contenidos en un teléfono móvil puedan incluir datos especialmente sensibles, tales como datos personales que revelen el origen racial o étnico, las opiniones políticas y las convicciones religiosas o filosóficas, sensibilidad que justifica la protección específica que exige al respecto el artículo 10 de la Directiva 2016/680, que se extiende también a los datos que desvelan indirectamente, mediante un ejercicio intelectual de deducción o de cruce de datos, informaciones de esta naturaleza [véase, por analogía, la sentencia de 5 de junio de 2023, Comisión/Polonia (Independencia y vida privada de los jueces), C‑204/21, EU:C:2023:442, apartado 344].

95	La injerencia en los derechos fundamentales garantizados por los artículos 7 y 8 de la Carta que puede producirse por la aplicación de una normativa como la controvertida en el litigio principal debe, por tanto, considerarse grave o incluso especialmente grave.

Por lo que respecta, en segundo lugar, a la importancia del objetivo perseguido, debe señalarse que la gravedad de la infracción investigada constituye uno de los parámetros fundamentales para examinar la proporcionalidad de la grave injerencia que se deriva del acceso a los datos personales contenidos en un teléfono móvil y que permiten extraer conclusiones precisas sobre la vida privada del interesado.

No obstante, considerar que solo la lucha contra la delincuencia grave puede justificar el acceso a los datos contenidos en un teléfono móvil limitaría las facultades de investigación de las autoridades competentes, en el sentido de la Directiva 2016/680, con respecto a las infracciones penales en general. Ello ocasionaría un incremento del riesgo de impunidad de dichas infracciones, habida cuenta de la importancia que pueden tener tales datos para las investigaciones penales. Así pues, tal limitación iría en contra de la naturaleza específica de las funciones desempeñadas por esas autoridades para los fines enunciados en el artículo 1, apartado 1, de la citada Directiva, tal como señalan sus considerandos 10 y 11, y perjudicaría al objetivo perseguido por dicha Directiva de establecer un espacio de libertad, seguridad y justicia dentro de la Unión.

Ahora bien, estas consideraciones se entienden sin perjuicio del requisito, resultante del artículo 52, apartado 1, de la Carta, según el cual cualquier limitación al ejercicio de un derecho fundamental deberá ser «establecida por la ley», requisito que implica que la base jurídica que autorice tal limitación habrá de definir con suficiente claridad y precisión su alcance [véase, en este sentido, la sentencia de 26 de enero de 2023, Ministerstvo na vatreshnite raboti (Registro de datos biométricos y genéticos por la Policía), C‑205/21, EU:C:2023:49, apartado 65 y jurisprudencia citada].

99	Para cumplir este requisito, incumbe al legislador nacional definir de manera suficientemente precisa los elementos que deben tenerse en cuenta, en particular la naturaleza o las categorías de las infracciones en cuestión.

100

En lo que atañe, en tercer lugar, a la relación existente entre el propietario del teléfono móvil y la infracción penal en cuestión, así como a la pertinencia de los datos de que se trata para constatar los hechos, se desprende del artículo 6 de la Directiva 2016/680 que el concepto de «interesado» abarca distintas categorías de personas, a saber, en resumen, las personas respecto de las cuales existan motivos fundados para presumir que han cometido o van a cometer una infracción penal, las personas condenadas por una infracción penal, las víctimas o potenciales víctimas de infracciones penales, así como los terceros involucrados en una infracción penal que puedan ser citados a testificar en investigaciones relacionadas con infracciones penales o procesos penales ulteriores. Según dicho artículo, los Estados miembros están obligados a disponer que el responsable del tratamiento, cuando corresponda y en la medida de lo posible, establezca una distinción clara entre los datos personales de las distintas categorías de interesados.

101

A este respecto, en lo que concierne, en particular, al acceso a los datos contenidos en el teléfono móvil de la persona sometida a una investigación penal, como sucede en el asunto principal, es preciso que existan elementos objetivos y suficientes que apoyen sospechas razonables en su contra en el sentido de que ha cometido, está cometiendo o planea cometer un delito o está implicada de una u otra manera en un delito.

102

En particular, para garantizar el respeto del principio de proporcionalidad en cada caso concreto ponderando todos los elementos pertinentes, es esencial que, cuando el acceso por las autoridades nacionales competentes a los datos personales entrañe el riesgo de una injerencia grave o especialmente grave en los derechos fundamentales del interesado, ese acceso esté sometido al control previo de un órgano jurisdiccional o de una entidad administrativa independiente.

103

Este control previo requiere que el órgano jurisdiccional o la entidad administrativa independiente encargada de efectuarlo disponga de todas las atribuciones y ofrezca todas las garantías necesarias para conciliar los diferentes intereses legítimos y derechos concurrentes. En el caso concreto de una investigación penal, tal control exige que ese órgano jurisdiccional o esa entidad esté en condiciones de ponderar adecuadamente, por una parte, los intereses legítimos relacionados con las necesidades de la investigación en el marco de la lucha contra la delincuencia y, por otra parte, los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales de aquellos a cuyos datos afecte el acceso.

104

Este control independiente, en una situación como la mencionada en el apartado 102 de la presente sentencia, debe tener lugar antes de cualquier intento de acceso a los datos en cuestión, salvo en supuestos de urgencia debidamente justificados, en cuyo caso el control debe efectuarse en breve plazo. En efecto, un control posterior incumple el objetivo del control previo, que consiste en impedir que se autorice un acceso a los datos de que se trate que exceda de los límites de lo estrictamente necesario.

105

En particular, el órgano jurisdiccional o la entidad administrativa independiente que intervenga en el control previo efectuado a raíz de una solicitud de acceso motivada comprendida en el ámbito de aplicación de la Directiva 2016/680 debe estar facultado para denegar o limitar ese acceso cuando estime que la injerencia en los derechos fundamentales que ese acceso constituye es desproporcionada teniendo en cuenta todos los elementos pertinentes.

106

Por tanto, debe denegarse o restringirse el acceso, por las autoridades policiales competentes, a los datos contenidos en un teléfono móvil si, teniendo en cuenta la gravedad de la infracción y las necesidades de la investigación, no parece justificado el acceso al contenido de las comunicaciones o a datos sensibles.

107

En lo que atañe, en particular al tratamiento de datos sensibles, procede tener en cuenta los requisitos establecidos por el artículo 10 de la Directiva 2016/680, cuya finalidad es garantizar una mayor protección con respecto a tales tratamientos que pueden generar, como se desprende del considerando 37 de dicha Directiva, riesgos importantes para las libertades y los derechos fundamentales, como el derecho al respeto de la vida privada y el derecho a la protección de los datos personales, garantizados por los artículos 7 y 8 de la Carta. A estos efectos, como resulta del propio tener de dicho artículo 10, el requisito de que el tratamiento de tales datos «solo» se permitirá «cuando sea estrictamente necesario» debe interpretarse en el sentido de que define unas condiciones reforzadas de licitud del tratamiento de datos sensibles, a la luz de las condiciones que se derivan de los artículos 4, apartado 1, letras b) y c), y 8, apartado 1, de esa Directiva, que se refieren únicamente a la «necesidad» de un tratamiento de datos comprendido, con carácter general, en el ámbito de aplicación de dicha Directiva [sentencia de 26 de enero de 2023, Ministerstvo na vatreshnite raboti (Registro de datos biométricos y genéticos por la Policía), C‑205/21, EU:C:2023:49, apartados 116 y 117 y jurisprudencia citada].

108

Así, por una parte, el empleo del adverbio «solo» delante de la expresión «cuando sea estrictamente necesario» hace hincapié en que el tratamiento de categorías especiales de datos, en el sentido del citado artículo 10, solo podrá considerarse necesario en un número limitado de supuestos. Por otra parte, el carácter «estricto» de la necesidad de un tratamiento de tales datos conlleva que esa necesidad se aprecie de un modo especialmente riguroso [sentencia de 26 de enero de 2023, Ministerstvo na vatreshnite raboti (Registro de datos biométricos y genéticos por la Policía), C‑205/21, EU:C:2023:49, apartado 118].

109

Pues bien, en el caso de autos, el órgano jurisdiccional remitente señala que las autoridades policiales austriacas están facultadas, en el curso de un procedimiento de investigación penal, para acceder a los datos contenidos en un teléfono móvil. Precisa asimismo que este acceso no está sujeto, en principio, a la autorización previa de un órgano jurisdiccional o de una autoridad administrativa independiente. No obstante, corresponde únicamente a dicho órgano jurisdiccional extraer las consecuencias, para el litigio principal, de las precisiones efectuadas, en particular, en los apartados 102 a 108 de la presente sentencia.

110

De las consideraciones anteriores se desprende que procede responder a las cuestiones prejudiciales primera y segunda que el artículo 4, apartado 1, letra c), de la Directiva 2016/680, a la luz de los artículos 7, 8 y 52, apartado 1, de la Carta, debe interpretarse en el sentido de que no se opone a una normativa nacional que concede a las autoridades competentes la posibilidad de acceder a los datos contenidos en un teléfono móvil con el fin de prevenir, investigar, detectar y perseguir infracciones penales en general, si dicha normativa:

–	define de manera suficientemente precisa la naturaleza o las categorías de las infracciones de que se trate,

–	garantiza el respeto del principio de proporcionalidad y

–	somete el ejercicio de esta posibilidad, salvo en casos de urgencia debidamente justificados, al control previo de un órgano jurisdiccional o de una entidad administrativa independiente.

Sobre la tercera cuestión prejudicial

111

De la resolución de remisión se desprende que, mediante su tercera cuestión prejudicial, el órgano jurisdiccional pretende, en esencia, determinar si CG debería haber sido informado de los intentos de acceder a los datos contenidos en su teléfono móvil para que pudiera ejercer su derecho a la tutela judicial efectiva garantizado por el artículo 47 de la Carta.

112

A este respecto, las disposiciones pertinentes de la Directiva 2016/680 son, por una parte, el artículo 13, titulado «Información que debe ponerse a disposición del interesado o que se le debe proporcionar», y, por otra parte, el artículo 54, titulado «Derecho a la tutela judicial efectiva contra el responsable o el encargado del tratamiento».

113

Es importante recordar asimismo que, como pone de relieve el considerando 104 de la Directiva 2016/680, las limitaciones introducidas por esta Directiva al derecho a la tutela judicial efectiva y a un juez imparcial, protegido por el artículo 47 de la Carta, deben interpretarse de conformidad con las exigencias del artículo 52, apartado 1, de la Carta, que incluyen el respeto del principio de proporcionalidad.

114

Por tanto, procede considerar que, mediante su tercera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si los artículos 13 y 54 de la Directiva 2016/680, a la luz de los artículos 47 y 52, apartado 1, de la Carta, deben interpretarse en el sentido de que se oponen a una normativa nacional que permite a las autoridades competentes en materia penal intentar acceder a los datos contenidos en un teléfono móvil sin informar de ello al interesado.

115

Del artículo 13, apartado 2, letra d), de la Directiva 2016/680 se desprende que, además de la información indicada en el apartado 1 que debe ponerse a disposición del interesado, como la identidad del responsable del tratamiento, los fines de dicho tratamiento y el derecho a presentar una reclamación ante la autoridad de control, los Estados miembros dispondrán por ley que el responsable del tratamiento proporcione al interesado, a fin de permitir el ejercicio de sus derechos, cuando sea necesario, más información, en particular cuando los datos personales se hayan recogido sin conocimiento del interesado.

116

El artículo 13, apartado 3, letras a) y b), de la Directiva 2016/680 autoriza, sin embargo, al legislador nacional a limitar u omitir la puesta a disposición del interesado de la información en virtud del apartado 2, «siempre y cuando dicha medida constituya una medida necesaria y proporcional en una sociedad democrática, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos de la persona física afectada», en particular, para «evitar que se obstaculicen indagaciones, investigaciones o procedimientos oficiales o judiciales» o «evitar que se cause perjuicio a la prevención, detección, investigación o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales».

117

Por último, cabe señalar que el artículo 54 de la Directiva 2016/680, que refleja el artículo 47 de la Carta, obliga a los Estados miembros a prever que, cuando una persona considere que sus derechos establecidos en disposiciones adoptadas con arreglo a dicha Directiva han sido vulnerados como consecuencia de un tratamiento de sus datos personales no conforme con esas disposiciones, dicha persona tendrá derecho a la tutela judicial efectiva.

118

Según la jurisprudencia, el derecho a la tutela judicial efectiva, garantizado en el artículo 47 de la Carta, exige, en principio, que el interesado pueda conocer los motivos de la resolución adoptada con respecto a él, a fin de permitir que este defienda sus derechos en las mejores condiciones posibles y decida con pleno conocimiento de causa sobre la conveniencia de someter el asunto al juez competente, así como para poner a este último en condiciones de ejercer plenamente el control de la legalidad de esa resolución [sentencia de 16 de noviembre de 2023, Ligue des droits humains (Comprobación del tratamiento de datos por la autoridad de control), C‑333/22, EU:C:2023:874, apartado 58].

119

Si bien este derecho no constituye una prerrogativa absoluta y, de conformidad con el artículo 52, apartado 1, de la Carta, podrá ser objeto de limitaciones, es a condición de que tales limitaciones estén establecidas por la ley, respeten el contenido esencial de los derechos y libertades en cuestión y, con sujeción al principio de proporcionalidad, sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás [sentencia de 16 de noviembre de 2023, Ligue des droits humains (Comprobación del tratamiento de datos por la autoridad de control), C‑333/22, EU:C:2023:874, apartado 59].

120

Por consiguiente, de las disposiciones citadas en los apartados 115 a 119 de la presente sentencia se desprende que incumbe a las autoridades nacionales competentes que hayan sido autorizadas, por un juez o una autoridad administrativa independiente, a acceder a los datos conservados informar a los interesados, en el marco de los procedimientos nacionales aplicables, de los motivos en los que se basa dicha autorización, a partir del momento en que esa información ya no pueda poner en peligro las investigaciones realizadas por dichas autoridades, y poner a su disposición toda la información indicada en el artículo 13, apartado 1, de la Directiva 2016/680. Esta información es, en efecto, necesaria para que esas personas puedan ejercer, en particular, el derecho a la tutela judicial, contemplado expresamente en el artículo 54 de la Directiva 2016/680 [véase, en este sentido, la sentencia de 17 de noviembre de 2022, Spetsializirana prokuratura (Conservación de los datos de tráfico y de localización), C‑350/21, EU:C:2022:896, apartado 70 y jurisprudencia citada].

121

En cambio, una normativa nacional que excluya, con carácter general, todo derecho a obtener tal información no es conforme con el Derecho de la Unión [véase, en este sentido, la sentencia de 17 de noviembre de 2022, Spetsializirana prokuratura (Conservación de los datos de tráfico y de localización), C‑350/21, EU:C:2022:896, apartado 71].

122

En el caso de autos, se desprende de la resolución de remisión que CG sabía que su teléfono móvil había sido incautado cuando las autoridades policiales austriacas intentaron en vano desbloquearlo para acceder a los datos que contenía. En estas circunstancias, no parece que informar a CG del hecho de que dichas autoridades iban a intentar acceder a tales datos pudiera perjudicar las investigaciones, por lo que debería haber sido informado previamente.

123

De las consideraciones precedentes se desprende que procede responder a la tercera cuestión prejudicial que los artículos 13 y 54 de la Directiva 2016/680, a la luz de los artículos 47 y 52, apartado 1, de la Carta, deben interpretarse en el sentido de que se oponen a una normativa nacional que autoriza a las autoridades competentes a intentar acceder a los datos contenidos en un teléfono móvil sin informar al interesado, en el marco de los procedimientos nacionales aplicables, de los motivos en los que se basa la autorización de acceso a dichos datos, concedida por un juez o una entidad administrativa independiente, a partir del momento en que la comunicación de esa información ya no pueda poner en peligro las funciones que incumben a tales autoridades en virtud de la citada Directiva.

Costas

124

Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo parte del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Gran Sala) declara:

El artículo 4, apartado 1, letra c), de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, a la luz de los artículos 7, 8 y 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea,

debe interpretarse en el sentido de que

no se opone a una normativa nacional que concede a las autoridades competentes la posibilidad de acceder a los datos contenidos en un teléfono móvil con el fin de prevenir, investigar, detectar y perseguir infracciones penales en general, si dicha normativa:

–	define de manera suficientemente precisa la naturaleza o las categorías de las infracciones de que se trate,

–	garantiza el respeto del principio de proporcionalidad y

–	somete el ejercicio de esta posibilidad, salvo en casos de urgencia debidamente justificados, al control previo de un órgano jurisdiccional o de una entidad administrativa independiente.

Los artículos 13 y 54 de la Directiva 2016/680, a la luz de los artículos 47 y 52, apartado 1, de la Carta de los Derechos Fundamentales,

deben interpretarse en el sentido de que

se oponen a una normativa nacional que autoriza a las autoridades competentes a intentar acceder a los datos contenidos en un teléfono móvil sin informar al interesado, en el marco de los procedimientos nacionales aplicables, de los motivos en los que se basa la autorización de acceso a dichos datos, concedida por un juez o una entidad administrativa independiente, a partir del momento en que la comunicación de esa información ya no pueda poner en peligro las funciones que incumben a tales autoridades en virtud de la citada Directiva.

Firmas

( *1 ) Lengua de procedimiento: alemán.