La conservación de datos, el TJUE y límites en el acceso a datos recopilados en comunicaciones electrónicas

En un viejo clásico de este blog, traigo hoy una reciente sentencia a propósito de la Conservación de Datos, del Tribunal de Justicia de la UE en la que se analiza la aplicabilidad de la norma estonia a la investigación y persecución de delitos graves y el acceso a los datos obtenidos.

Lógicamente, esto lo pongo en relación con la compatibilidad de la norma española (incluyendo la parte relativa a infracciones civiles contra la propiedad intelectual que se está cuestionando también en el TJUE en el procedimiento que ha servido para paralizar el caso Euskaltel) y el convencimiento que, personalmente, mantengo desde casi la aprobación de la Ley 25/2007 de los graves problemas que tiene con el derecho comunitario.

Pues bien, en la sentencia del caso C‑746/18, seguido contra un ciudadano acusado de varios delitos no graves (robos o hurtos, básicamente), básicamente, lo que señala la sentencia como hechos relevantes es que:

"Para condenar a H. K. por tales hechos, el Viru Maakohus (Tribunal de Primera Instancia de Viru) se basó, entre otros, en varios atestados confeccionados a partir de datos relativos a las comunicaciones electrónicas, con arreglo al artículo 1111, apartado 2, de la Ley de Comunicaciones Electrónicas, recabados por la autoridad investigadora de un proveedor de servicios de telecomunicaciones electrónicas durante el procedimiento de instrucción, después de haber obtenido varias autorizaciones al efecto del Viru Ringkonnaprokuratuur (Fiscalía de Distrito de Viru, Estonia), de conformidad con el artículo 901 de la Ley de Enjuiciamiento Criminal. Estas autorizaciones, concedidas el 28 de enero y el 2 de febrero de 2015, el 2 de noviembre de 2015 y el 25 de febrero de 2016, se referían a datos relativos a varios números de teléfono de H. K. y a distintas identidades internacionales del equipo móvil de esta, respecto al período comprendido entre el 1 de enero y el 2 de febrero de 2015, al 21 de septiembre de 2015, y al período comprendido entre el 1 de marzo de 2015 y el 19 de febrero de 2016."

La conclusión a la que llega el TJUE es que:

"El artículo 15, apartado 1, de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), en su versión modificada por la Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, en relación con los artículos 7, 8, 11 y 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea, debe interpretarse en el sentido de que se opone a una normativa nacional que autoriza el acceso de autoridades públicas a un conjunto de datos de tráfico o de localización que pueden facilitar información sobre las comunicaciones efectuadas por un usuario de un medio de comunicación electrónica o sobre la localización de los equipos terminales que utilice y permitir extraer conclusiones precisas sobre su vida privada, a efectos de la prevención, la investigación, el descubrimiento y la persecución de delitos, sin que dicho acceso se limite a procedimientos que tengan por objeto la lucha contra la delincuencia grave o la prevención de amenazas graves contra la seguridad pública, y ello con independencia de la duración del período para el que se solicite acceder a los citados datos y de la cantidad o naturaleza de los datos disponibles en ese período.

2) El artículo 15, apartado 1, de la Directiva 2002/58, en su versión modificada por la Directiva 2009/136, en relación con los artículos 7, 8, 11 y 52, apartado 1, de la Carta de los Derechos Fundamentales, debe interpretarse en el sentido de que se opone a una normativa nacional que atribuye competencia al Ministerio Fiscal —cuya función es dirigir el procedimiento de instrucción penal y ejercer, en su caso, la acusación pública en un procedimiento posterior— para autorizar el acceso de una autoridad pública a los datos de tráfico y de localización a efectos de la instrucción penal.

A mas y mas, hay que recordar que estas consideraciones ya están presentes en la sentencia de  la Gran Sala, de octubre de 2020, caso Quadrature du net, en la que la compatibilidad con el ordenamiento jurídico comunitario lo sea cuando la recopilación masiva y no discriminada de información de los usuarios sea "en situaciones en las que el Estado miembro en cuestión se enfrenta a una amenaza grave para la seguridad nacional que resulte real y actual o previsible".

 

A este respecto, hay que señalar que en España, esa recopilación prevista en las normas no tiene ningún tipo de límite, pues de hecho se amplió a supuestos de delitos ordinarios, como la investigación de cualquiera que suceda en internet, con independencia de la pena o de la amenaza para la seguridad general de la población como criterio. Ahora bien, en esta sentencia el conflicto no se da en la mera recopilación, sino en el acceso al conjunto de los datos recopilados, aspecto ya tratado en la cuestión prejudicial de la AP de Tarragona, por ejemplo.

Es decir, que las solicitudes de acceso a la información conservada por los operadores deben tener en cuenta la lesión que tal recopilación provoca y limitar la solicitud de acceso de manera proporcionada. No es extraño ver solicitudes de los juzgados a operadoras en que el conjunto de datos que se pretende excede, con mucho, aquellos estrictamente necesarios.

Podemos ver, por ejemplo, solicitudes genéricas de acceso a datos en rangos horarios, por antenas de telefonía móvil o peticiones que exponen muchos datos del usuario que los meramente relativos al momento en que se detecta el delito, por ejemplo.

Es este acceso excesivo el que es cuestionado por esta sentencia. Por eso dice, en su considerando 38º:

"Por consiguiente, para cumplir el requisito de proporcionalidad, según el cual las excepciones a la protección de los datos personales y las restricciones a dicha protección deben establecerse sin sobrepasar los límites de lo estrictamente necesario (sentencia de 6 de octubre de 2020, La Quadrature du Net y otros, C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791, apartado 130 y jurisprudencia citada), corresponde a las autoridades nacionales competentes garantizar, en cada supuesto, que tanto las categorías de datos contemplados como la duración para la que se solicita el acceso a los mismos se limiten, en función de las circunstancias del caso, a lo estrictamente necesario a efectos de la investigación de que se trate."

Esto nos sitúa ante la necesidad de que el tribunal que solicita el acceso acote y razone el alcance de la medida, y no se establezca una suerte de concesión "copia-pega" de otras anteriores a todos los datos solicitados en los oficios policiales, por ejemplo.

 

Así, podríamos solicitar la anulación de la incorporación al proceso de pruebas obtenidas con este exceso de información, en relación a lo investigado, si el juzgado las solicita y obtiene.

En lo que respecta a la consideración final sobre la potestad del Ministerio Fiscal para autorizar o solicitar este acceso, ciertamente no es el mismo caso que en España, pero sería bueno tener en cuenta como se configuran ciertas cuestiones en el TJUE en relación a las potestades de la Fiscalía en el caso de que se quiera modificar su estatuto y otorgarles la instrucción de los delitos, como sucede en Estonia.