La Directiva 2006/24/CE de Conservación de datos y el artículo 52, apartado 1 de la Carta Europea de los Derechos Fundamentales: Opinión del Abogado General


 

María Suárez Pliego

Suárez de la Dehesa Abogados

Como consecuencia de las cuestiones prejudiciales planteadas por Irlanda y Austria (asuntos C-293/12 y C-594/12) sobre la compatibilidad entre las obligaciones de conservación de los datos de carácter personal por parte de los Proveedores de Servicios de Comunicaciones, de la Directiva 2006/24/CE, y las Directivas 95/46/CE y 2002/58/CE, el Abogado General designado ha presentado su opinión cuyo resumen realizamos en este artículo.

La Directiva 2006/24/CE de 24 de marzo de 2.006 (conservación de datos personales) impone a los proveedores de servicios de las comunicaciones una obligación de recopilación y conservación, durante un tiempo determinado, de un número considerable de datos generados o tratados en el marco de las comunicaciones electrónicas efectuadas por los ciudadanos en todo el territorio de la Unión, para garantizar la disponibilidad de dichos datos con fines de investigación y enjuiciamiento de actividades delictivas graves.

En el procedimiento de referencia las cuestiones prejudiciales que se plantean en ambos asuntos esencialmente son:

a) si las obligaciones establecidas en la Directiva 2006/24/CE de recopilación y conservación de datos, durante un período de tiempo predeterminado en ella, es proporcionada; es decir, si es necesaria y adecuada para alcanzar el objetivos que persigue: permitir que determinados datos estén disponibles con fines de investigación, detección y enjuiciamiento de delitos graves y/o garantizar el buen funcionamiento del mercado interior;

b) si la Directiva 2006/24/CE es compatible con los derechos fundamentales a la protección de datos personales y a la libertad de expresión reconocidos en los artículos 7, 8 y 11 de la Carta Europea de los Derechos Fundamentales.

El Abogado General básicamente concluye que tal y como la Directiva 2006/24/CE regula la obligación de recopilación y conservación de datos por parte de los proveedores de servicios de comunicaciones electrónicas, es incompatible con el artículo 52, apartado 1 de la Carta Europea de Derechos Fundamentales, proponiendo al legislador que en un plazo razonable adopte las medidas necesarias para subsanar la declaración de invalidez de la Directiva.

Para el Abogado General la Directiva 2006/24/CE responde a un interés legítimo: la investigación de actividades delictivas graves; sin embargo, la falta de juicio de proporcionalidad con el derecho fundamental al respeto a la vida privada, la ausencia de unos principios generales que regulen la forma de conservación y acceso a los datos y la extensión desproporcionada del plazo de duración de conservación de los datos, le llevan al rechazo, en base a las siguientes razones:

1.- La Directiva 2006/24/CE no sólo supone una injerencia en el derecho a la protección de datos de carácter personal regulado en el artículo 8 de la Carta Europea de los Derechos Fundamentales, sino también en el derecho al respeto a la vida privada regulado en el artículo 7 de la Carta Europea de los Derechos Fundamentales.

El Abogado General diferencia dos tipos de datos personales: a) los datos personales sin más, que son por ejemplo los que aparecen en un documento de identidad a los que denomina “neutrales”, y b) los datos que se refieren esencialmente a la vida privada: circunstancias de la vida privada de una persona pueden materializarse en forma de datos que pueden ser objeto de tratamiento informático.

En este sentido el Tribunal Europeo de los Derechos Humanos ha considerado que la Directiva 2006/24 constituye una injerencia al derecho al respeto a la vida privada, con independencia de la utilización que se haga de los datos. Simplemente la recopilación y conservación de los datos ya supone una injerencia.

En consecuencia, como los proveedores de servicios de comunicaciones electrónicas no sólo recopilan y conservan datos personales en el sentido más estricto del término, sino datos que se refieren a la vida privada, el legislador de la UE cuando redactó la Directiva debería haberse planteado si la misma era también proporcional con el derecho fundamental al respeto a la vida privada, lo que no hizo.

2.- Dada la injerencia en los derechos fundamentales y la obligación de transposición de la Directiva por los Estados Miembros, la Directiva debería haber regulado en forma de principios la muy amplia delegación conferida a los Estados Miembros respecto al acceso a los datos y su explotación mediante la adopción de especificaciones en forma de principios; no debiendo dejar por completo a los estados Miembros que regulen los principios que deben regir aquellas disposiciones que suponen una injerencia en los derechos fundamentales.

En este sentido el Abogado General critica que la única obligación que se impone a los proveedores de servicios de las comunicaciones en relación con el almacenamiento de los datos es la prevista en el artículo 8 de la Directiva 2006/24/CE sea que “puedan transmitirse sin demora cuando las autoridades competentes así lo soliciten”.

Asimismo señala que deberían respetarse unos principios mínimos respecto de la protección y seguridad de los datos; por ejemplo no establece la obligación de que sean los proveedores de servicios de comunicaciones quienes almacenen los datos, lo que hoy por hoy supone un riesgo potencial elevado; por ejemplo, podría darse el caso de que un proveedor de servicios de comunicaciones tuviera almacenados los datos en la nube, subcontratando el servicio, ya que la ley lo único que dice es que los almacenen de tal forma que los puedan transmitir sin demora cuando las autoridades lo precisen.

A su criterio, la Directiva 2006/24 debería definir los principios que deben presidir la definición, establecimiento, aplicación y control del respeto y garantía de los derechos fundamentales. Por ello considera que como mínimo la Directiva debería haber establecido los siguientes principios:

– orientar sobre la intensidad de la causa de la injerencia, especificando mejor qué concretas actividades delictivas graves pueden justificar el acceso a los datos;

– indicar el modo en que los Estados miembros deben regular la autorización de acceso a los datos conservados, limitando el acceso exclusivamente a las autoridades judiciales, como órgano independiente;

– establecer como principio la posibilidad de que los Estados Miembros previesen excepciones al acceso a los datos conservados o incluso requisitos de acceso más estrictos;

– determinar las facultades para que los Estados Miembros para determinar la obligación de cancelación de los datos una vez transcurrido el plazo de conservación;

– derecho de las personas afectadas a ser informadas del acceso a sus datos, una vez excluido el riesgo.

3.- En cuanto al período de conservación de los datos, la Directiva establece un mínimo de 6 meses y un máximo de 2 años, lo que supone que la injerencia en el derecho fundamental se produzca de manera continuada, por lo que habrá que justificar la medida y determinar si es proporcional.

En efecto, la Directiva excluye de su ámbito el contenido de las comunicaciones, pero la recopilación y sobre todo la conservación de los datos en gigantescas bases de datos, crea unas condiciones de vigilancia que, aunque sólo se ejerza en el momento de la explotación, amenaza de forma permanente durante todo su período de conservación el derecho de los ciudadanos europeos al secreto de su vida privada.

La preocupación del Abogado General reside en el tipo de datos que se conservan, de tal forma que no son los propiamente personales sino datos cualificados que determinan fielmente una parte importante de los comportamientos de una persona, y que pertenecen exclusivamente a su vida privada; así como que el hecho de que esa ingente cantidad de datos de carácter personal que tienen que ver con la vida privada de las personas conservados durante tanto tiempo puedan verse amenazados y existan fines ilícitos en la conservación, al serlo por entidades privadas sobre las que recae el cumplimiento de la mayoría de las obligaciones.

En este punto el Abogado General diferencia entre el período de conservación que se mide en meses y el período de tiempo que se medie en años. El primero corresponde al que se sitúa en la fase de vida que se percibe como presente, y el segundo al que se sitúa en el período de vida que se percibe como memoria; para concluir que la conservación de datos referidos a la memoria histórica de una persona no está justificada en la Directiva, proponiendo que la injerencia se limite a un período inferior a un año.

CONCLUSION

Evidentemente, la reflejada es, de forma sintética, la opinión del Abogado General; tendremos que esperar la decisión que adopte el Tribunal de Justicia de las Comunidades Europeas, a la que habrá que estar especialmente atentos toda vez que de resolverse en el sentido que propone el Abogado General, el efecto inmediato será que el legislador de la Unión Europea deberá adoptar las medidas necesarias para modificar la Directiva en el sentido propuesto, estableciendo los principios generales en base a los cuales los Estados Miembros deben regular la obligación de conservación de datos por parte de los proveedores de servicios de comunicaciones electrónicas, además de reducir el plazo de conservación de los datos a un período inferior al año.