La justicia europea anula la norma que obliga a operadores a conservar datos de telecomunicaciones

El Tribunal de Justicia de la Unión Europea (TJUE) ha declarado este martes «inválida» la directiva que obliga a los operadores de telefonía a conservar los datos de las telecomunicaciones hasta dos años para la lucha contra el terrorismo y los delitos graves por considerar que constituye «una injerencia de gran magnitud y especial gravedad» en los derechos fundamentales a la privacidad y a la protección de datos.

La directiva en cuestión se aprobó en 2006 como respuesta a los problemas urgentes de seguridad detectados tras los atentados terroristas del 11-M en Madrid en 2004 y del 7-J en Londres en 2005. La norma obliga a los proveedores a conservar los datos de tráfico y de localización, así como aquellos necesarios para identificar al abonado o al usuario. En cambio, no autoriza la conservación del contenido de la comunicación ni de la información consultada.

El fallo del TJUE responde a sendas cuestiones prejudiciales presentadas desde Irlanda y Austria.

El Tribunal de Justicia señala, en primer lugar, que los datos que han de conservarse permiten saber con qué persona y de qué modo se ha comunicado un abonado o un usuario registrado, determinar el momento de la comunicación y el lugar desde el que ésta se ha producido y conocer la frecuencia de las comunicaciones del abonado o del usuario registrado con determinadas personas durante un período concreto.

«Estos datos, considerados en su conjunto, pueden proporcionar indicaciones muy precisas sobre la vida privada de las personas cuyos datos se conservan, como los hábitos de la vida cotidiana, los lugares de residencia permanentes o temporales, los desplazamientos diarios u otros, las actividades realizadas, las relaciones sociales y los medios sociales frecuentados», denuncia el fallo.

«Al imponer la conservación de estos datos y al permitir el acceso a las autoridades nacionales competentes -prosigue el Tribunal-, la directiva se inmiscuye de manera especialmente grave en los derechos fundamentales al respeto de la vida privada y a la protección de datos de carácter personal».

«Además, el hecho de que la conservación y la utilización posterior de los datos se efectúen sin que el abonado o el usuario registrado sea informado de ello puede generar en las personas afectadas el sentimiento de que su vida privada es objeto de una vigilancia constante», resalta la sentencia.

El Tribunal de Justicia admite que la conservación de los datos «responde efectivamente a un objetivo de interés general, a saber, la lucha contra la delincuencia grave y, en definitiva, la seguridad pública». Sin embargo, estima que se han sobrepasado los límites que exige el respeto del principio de proporcionalidad.

«La injerencia amplia y especialmente grave de la directiva en los derechos fundamentales de que se trata no está suficientemente regulada para garantizar que dicha injerencia se límite efectivamente a lo estrictamente necesario», apunta la sentencia. Así, la directiva «abarca de manera generalizada a todas las personas, medios de comunicación electrónica y datos relativos al tráfico sin que se establezca ninguna diferenciación, limitación o excepción en función del objetivo de lucha contra los delitos graves».

En segundo lugar, la directiva «no fija ningún criterio objetivo que permita garantizar que las autoridades nacionales competentes únicamente tendrán acceso a los datos y podrán utilizarlos para prevenir, detectar o reprimir penalmente delitos que, por la magnitud y la gravedad de la injerencia en los derechos fundamentales en cuestión, puedan considerarse suficientemente graves para justificar tal injerencia». En particular, el acceso a los datos no se supedita al control previo de un órgano jurisdiccional o de un organismo administrativo autónomo.

En tercer lugar, en lo que atañe al período de conservación de los datos, la norma prescribe un período de entre seis y dos años sin precisar «los criterios objetivos con arreglo a los que debe determinarse el período de conservación para garantizar que se limite a lo estrictamente necesario».

El Tribunal de Justicia considera asimismo que la directiva no contiene garantías suficientes que permitan asegurar una protección eficaz de los datos contra los riesgos de abuso y contra cualquier acceso y utilización ilícitos de los datos. «En particular, autoriza a los proveedores de servicios a tener en cuenta consideraciones económicas al determinar el nivel de seguridad que aplican (especialmente en lo que respecta a los costes de aplicación de las medidas de seguridad) y no garantiza la destrucción definitiva de los datos al término de su período de conservación», señala el fallo.

Finalmente, la sentencia censura que la directiva no obliga a que los datos se conserven en el territorio de la Unión.