State Agency Official State Gazette

Comentario

El Tribunal de Justicia resuelve varios asuntos acumulados que tienen por objeto analizar la compatibilidad de diversas obligaciones impuestas a proveedores de comunicaciones electrónicas en el marco de la seguridad nacional, la lucha contra la delincuencia y de la protección de la seguridad pública, en elación con el art. 15.1 de la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas, y de los derechos al respeto a la vida privada, que incluye el secreto a las comunicaciones (art. 7 CDFUE) y el derecho a la protección de datos (art. 8 CDFUE), resolviendo cuestiones planteadas por el Consejo de Estado de Francia y el Tribunal Constitucional de Bélgica.

Determina, en primer lugar, la aplicabilidad de la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas a las medidas adoptadas para la protección de la seguridad interior y exterior de los Estados (seguridad nacional) para el tratamiento de datos por parte de proveedores de servicios de comunicaciones electrónicas. A diferencia de la Directiva 95/46, de cuyo ámbito de aplicación se excluye con carácter general el tratamiento de datos en el marco de la seguridad nacional (Sentencia de 30 de mayo de 2006, Parlamento/Consejo y Comisión, C-317/04, ap.56-59); en la Directiva 2002/58 no hay una exclusión general de estas actividades, sino que la exclusión se limita al tratamiento de datos efectuado por los poderes públicos. De forma que, un tratamiento de datos realizado por los proveedores de servicios de comunicación electrónica, incluyendo el derivado de obligaciones impuestas por poderes públicos, estaría dentro del ámbito de aplicación, lo que sería coherente con la delimitación de las previsiones del RGPD, que sustituye a la Directiva 95/46, y cuyo marco complementa precisamente la Directiva 2002/58/CE (ap. 93-104).

Entiende el Tribunal que la mera conservación de los datos de tráfico y de localización de las comunicaciones, por sí misma, constituye una injerencia en los derechos al respeto a la vida privada (art. 7 CDFUE) y al derecho a la protección de datos de carácter personal (art. 8 CDFUE), y ello con independencia del carácter sensible de la información, o de que se sufran o no inconvenientes por la injerencia, o del uso posterior de los datos, puesto que la mera conservación constituye un tipo concreto y diferente de injerencia. Y es que los datos de tráfico y de localización pueden relevar información sobre un número considerable de aspectos de la vida privada de las personas, que pueden permitir extraer conclusiones precisas sobre la vida de las personas y su perfil con información sensible, de forma que dicha conservación pueda vulnerar por sí misma el derecho al respeto de las comunicaciones (art. 7 CDFUE) y disuadir a los usuarios de los medios de comunicación de ejercer su libertad de expresión (art. 11 CDFUE), citando la Sentencia de 8 de abril de 2014, Digital Rights, C-293/12, ap. 28. Además de que esta conservación puede afectar también a las personas cuyas comunicaciones estén sujetas a secreto profesional, o incluso a las personas denunciantes cuyas actividades estén protegidas por la Directiva 2019/1937 (ap. 118).

Esto lleva a una ponderación entre la protección del secreto de las comunicaciones, con el derecho a la seguridad (art. 6 CDFUE) interpretado en relación con el art. 5 CEDH, conforme a lo previsto en el art. 52.3 CDFUE, del que no cabe deducir la existencia de una obligación de los poderes públicos a adoptar medidas específicas para la sanción de determinados delitos, y del derecho a la vida privada y familiar (art. 7 CDFUE) del que derivan obligaciones positivas de los poderes públicos para la adopción de medidas jurídicas de protección de la vida privada y familiar (Sentencia de 18 de junio de 2020, Comisión contra Hungría, C-78/19, ap. 123). Las medidas permitidas deben ser necesarias, proporcionadas y apropiadas a una sociedad democrática, diferenciando en función del objetivo de protección.

Seguridad Nacional. Dada la importancia del objetivo de la protección de la seguridad nacional (art. 4.2 TUE) puede justificar medidas de injerencia más graves en los derechos fundamentales, incluyendo medidas que permitan instar a los proveedores de comunicaciones electrónicas a la conservación de datos de tráfico y datos de localización de usuarios, incluso de forma general e indiscriminada, cuando haya una amenaza, pero debe limitarse temporalmente a lo estrictamente necesario, y la conservación debe estar sujeta a limitaciones, y acompañada de garantías estrictas que permitan proteger de forma eficaz los datos de las personas afectadas, no pudiendo tratarse de una conservación de carácter sistemático. Además, es necesario que el recurso a esta injerencia se limite a la existencia de una amenaza grave a la seguridad nacional, y que sea objeto de un control efectivo sobre la existencia de dicha circunstancia y del respeto de las condiciones y garantías debidas, bien a través de un órgano jurisdiccional, o bien de una entidad administrativa independiente, cuya decisión tenga un carácter vinculante (ap. 134-139).

Lucha contra la delincuencia y de la protección de la seguridad pública. En este ámbito, las medidas legislativas que establecen la conservación preventiva de los datos de tráfico y de los datos de localización deben ajustarse al principio de proporcionalidad, con una conservación selectiva de los datos de tráfico y de localización que esté delimitada, sobre la base de elementos objetivos y no discriminatorios, y por un periodo limitado pues su duración no debe exceder lo que sea estrictamente necesario para el objetivo perseguido, y las circunstancias que las justifican, sin perjuicio de que puedan ser objeto de renovación si es necesario (ap.140-151).

También se pronuncia sobre las medidas legislativas que establecen la conservación generalizada e indiferenciada de las direcciones IP y de los datos relativos a la identidad civil a efectos de la lucha contra la delincuencia y de la protección de la seguridad pública, y de la seguridad nacional. Entiende que el Derecho de la UE permite, a efectos de la protección de la seguridad nacional, de la lucha contra la delincuencia grave y de la prevención de las amenazas graves contra la seguridad pública, una conservación generalizada e indiferenciada de las direcciones IP atribuidas al origen de una conexión, para un período temporalmente limitado a lo estrictamente necesario; así como también  una conservación generalizada e indiferenciada de los datos relativos a la identidad civil de los usuarios de medios de comunicaciones electrónicas. También, y a efectos de la lucha contra la delincuencia grave y, por tanto, a fortiori, de la protección de la seguridad nacional, cabe recurrir a un requerimiento efectuado a los proveedores de servicios de comunicaciones electrónicas, sujeto a un control jurisdiccional efectivo, para que se realice una conservación rápida de los datos de tráfico y de localización durante un período determinado

Asimismo, estudia la obligación de recurrir al análisis automatizado y a la recopilación en tiempo real de los datos de tráfico y de localización, entendiendo que es posible el recurso al análisis automatizado cuando se limite a las situaciones de amenaza grave para la seguridad nacional que resulte real y actual o previsible, pudiendo ser objeto de control por un órgano jurisdiccional, o una entidad administrativa independiente, cuya decisión tenga carácter vinculante, y que controle la existencia de la amenaza y las condiciones y garantías establecidas; y también una recopilación en tiempo real de los datos de tráfico y de localización, cuando se limite a personas de las que se sospeche fundadamente que están implicadas en actividades terroristas, siempre que esté sujeto a un control previo por parte de un órgano jurisdiccional o una entidad administrativa independiente, cuya decisión tenga carácter vinculante que compruebe su necesidad (ap. 183-192).

Comentario

Se trata de dos asuntos acumulados en los que la Gran Sala del Tribunal tiene oportunidad de volver a examinar una normativa nacional que establece obligaciones a los operadores de servicios de comunicación de conservar datos de tráfico y de localización relativos a las telecomunicaciones de sus clientes, desde la perspectiva del art. 15.1 de la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas, a la luz de los artículos 7 (respeto a la vida privada y familiar, que incluye el secreto de las comunicación),  8 (protección de datos de carácter personal), y 11 (libertad de expresión y de información), como ya había tenido ocasión en la STJUE de 6 de octubre de 2020, La Quadrature du Net y otros, C‑511/18.

Precisamente, una vez dictada esta sentencia, el órgano jurisdiccional que había remitido esta cuestión con anterioridad planteó la necesidad de su resolución pues, si bien aquí la obligación de conservación establecida está referida a un número menor de datos y a un periodo inferior de conservación que en el asunto La Quadrature du Net y otros, C‑511/18, se mantenían dudas sobre la compatibilidad de la normativa nacional con el Derecho de la Unión por, en opinión del órgano jurisdiccional remitente, una incoherencia entre los apartados 155 y 168 de dicha sentencia, pues le suscitaba la duda de si el Tribunal de Justica exige para la conservación de las direcciones IP, que haya un motivo de conservación relacionado con la seguridad nacional, la lucha contra delincuencia grave o de seguridad pública, o si la conservación específica de las direcciones IP estaría permitida incluso sin la existencia de uno de esos concretos motivos.

Recuerda el Tribunal que la conservación generalizada de las direcciones IP constituye una injerencia grave en los derechos fundamentales protegidos en los arts. 7 y 8 CDFUE, puesto que pueden permitir conocer y extraer conclusiones precisas sobre la vida privada del usuario, con efectos disuasorios sobre el ejercicio de la libertad de expresión (art. 11 CDFUE). Por ello, aunque esta conservación no parece en principio contraria al art. 15.1 de la Directiva 2002/58, a la luz de la Carta, siempre que se sujete a un respeto riguroso de las condiciones materiales y procesales que deben regular la utilización de tales datos; esta conservación solo puede estar justificada en los motivos de la lucha contra la delincuencia grave, la prevención de las amenazas graves a la seguridad pública, o la seguridad nacional (apartados 101 y 102, con remisión a los apartados 155 y 156 del asunto C‑511/18).

Por ello, razona el Tribunal de Justicia, siguiendo las Conclusiones del Abogado General, no existe contradicción entre los apartados 155 y 168 de la sentencia de 6 de octubre de 2020, pues del apartado 155, en relación con el 156 y el 168 de la misma, “se desprende claramente que solo la lucha contra la delincuencia grave y la prevención de amenazas graves a la seguridad pública pueden, al igual que la protección de la seguridad nacional, justificar la conservación generalizada e indiferenciada de las direcciones IP atribuidas al origen de una conexión, con independencia de si las personas afectadas pueden tener una relación, al menos indirecta, con los objetivos que se persiguen.” (apartado 103).

En relación con las medidas legislativas que establecen una conservación selectiva y una conservación rápida de los datos de tráfico y de localización, el Tribunal las entiende compatibles con el Derecho de la Unión siempre que la conservación selectiva de los datos de tráfico y de localización esté delimitada, sobre la base de elementos objetivos y no discriminatorios, en función de las categorías de personas afectadas o mediante un criterio geográfico, para un período temporalmente limitado a lo estrictamente necesario, pero que puede renovarse (apartados 114-120).

Asimismo, la sentencia viene a analizar diferentes opciones que puede adoptar el legislador nacional en relación con la conservación de datos de tráfico y de localización (apartado 75), considerando que estas medidas pueden utilizarse de forma conjunta, siempre que se respeten los límites de la estricta necesidad (apartado 121).

En cualquier caso, las medidas deben observar los requisitos de aptitud y necesidad, así como de proporcionalidad de las medidas en relación con el objetivo perseguido (apartado 122), por ello no cabe la adopción de medidas que suponga una injerencia tan grave como el establecimiento de una conservación de los datos de tráfico y de localización de prácticamente toda la población sin que los datos de las personas afectadas puedan guardar alguna relación, al menos indirecta, con el objetivo perseguido, como ya estableció en la Sentencia de 5 de abril de 2022, Commissioner of An Garda Síochána y otros, C‑140/20, apartado 95 (apartado 124).

Asimismo, entiende que no cabe el acceso a los datos de tráfico y localización, conservados de manera generalizada e indiferenciada al amparo del art. 15 de la Directiva, a efectos de la lucha contra la delincuencia grave, puesto que estos datos se han conservado para hacer frente a una amenaza grave contra la seguridad nacional que resulte real y actual o previsible, conforme  al jurisprudencia de la sentencia de 6 de octubre de 2020; de forma que una autorización de acceso para la lucha contra la delincuencia grave, de una relevancia menor que la que justificó la conservación, sería contrario a la jerarquía de objetivos de integres general, ya que no cabe una conservación generaliza e indiferencia para la lucha contra la delincuencia grave, y de otra forma se privaría de efecto a dicha prohibición  (apartados 126-130).

Comentario

La Sentencia garantiza la impenetrabilidad de las comunicaciones para terceros, ya sean éstos públicos o privados, tanto en lo referido al contenido del mensaje. Como a la identidad de los interlocutores o corresponsales. Se declara así vulnerado el art. 8 del Convenio al no haberse observado las garantías previstas por la ley.

Comentario

CONTEXTO

Este caso gira en torno al derecho reconocido en el artículo 8 CEDH, correspondiente al respeto a la vida privada y la correspondencia, y en concreto, sobre la confidencialidad de las comunicaciones privadas. Surge tras el acceso y posterior divulgación del contenido de correos electrónicos que se habían enviado a una cuenta bajo el dominio de un partido político (upyd.es).

La formación política sospechaba que algunos de sus miembros estaban participando en negociaciones con otra fuerza política rival que podía perjudicar a la organización. Por este motivo, contrató a una empresa privada con la finalidad de detectar irregularidades que hubieran podido ser cometidas por sus miembros. La empresa tuvo acceso a los buzones de correo pertenecientes a su dominio corporativo y reflejó los resultados de su investigación en un informe. Éste fue enviado a una selección de miembros de la formación política y terminó siendo objeto de divulgación.

Para el análisis del caso, es relevante indicar que la empresa contratada utilizó un sistema de búsqueda que permitía rastrear y seleccionar a través de palabras clave los contenidos relacionados con las irregularidades que se esperaban encontrar. Es decir, no se trató de una revisión sistemática de los emails almacenados en las cuentas de correo investigadas.

El recurrente había enviado comunicaciones desde su correo personal a cuentas del dominio corporativo, por lo que parte de sus contenidos fueron reflejados en el informe. Tras acudir a la vía penal, el caso fue archivado y los posteriores recursos que interpuso en el ámbito interno no prosperaron.

LAS PARTES Y SUS ARGUMENTOS PRINCIPALES

Las partes son el demandante y el Gobierno español. El recurrente enfatizaba el carácter privado de la cuenta de correo electrónico desde la que había enviado emails y que, pese a su condición de miembro del partido, no existía una relación de dependencia con la organización que justificase su vigilancia. A su vez, argumentaba que este aspecto no se había tenido en cuenta en el archivo de la causa penal.

Por el contrario, el Gobierno alegaba que la expectativa de privacidad perdía vigencia en el momento en el que se enviaban emails a una cuenta de correo corporativo. A su vez, argumentaba que la organización política tenía el derecho a supervisar la conducta de sus miembros por su potencial afectación negativa, lo que se veía reforzado por la existencia de un deber de lealtad como miembro de la formación. Con relación al proceso penal, defendía que la resolución que se ponía en duda estaba debidamente fundamentada.

ADMISIBILIDAD

La discusión sobre la admisibilidad de la demanda giró, principalmente, sobre el agotamiento de los recursos en el ámbito interno. El Gobierno español mantenía que los hechos no tenían suficiente entidad, por lo que existían alternativas a la vía penal en el orden civil y mediante la impugnación de las decisiones de los órganos del partido. Sostenía que no haber sido utilizadas, no se había dado la oportunidad de haber reparado una eventual violación de sus derechos. En contraposición, el demandante defendía que la vía penal era la adecuada y la más coherente al existir un marco normativo que otorga protección a estos derechos a través de la sanción penal. El TEDH desestimó las alegaciones del Gobierno al entender que la utilización de la vía penal no era completamente inapropiada atendiendo al objeto de la controversia.

VALORACIÓN DEL TRIBUNAL

a) Principios generales

El TEDH procede a exponer los principios generales sobre el artículo 8 CEDH y recuerda que el respeto a la vida privada y la correspondencia abarca el contenido de los emails de carácter profesional o enviados desde el lugar de trabajo. También remarca que la protección de estos derechos tiene como principal destinatario a los poderes públicos, pero cuando se trata de relaciones entre particulares también surge una obligación positiva de los Estados para garantizarlos.

Para ello, el TEDH señala que los Estados disponen de margen de apreciación para adoptar medidas a través de un marco legislativo que busque el equilibrio entre los distintos intereses en juego. No obstante, subraya que debe existir una disuasión efectiva mediante sanciones penales ante violaciones graves de aspectos esenciales de la vida privada.

b) Aplicación al caso

El TEDH observa que el caso responde a una intromisión grave en la vida privada y la correspondencia y parte de considerar que los hechos se producen en el contexto de la membresía a un partido político. El TEDH niega que este tipo de relaciones sea equivalente al nexo que existe entre un empleador y un empleado, en cuya relación hay derechos y obligaciones recíprocas, pero también una posición de subordinación. Sin embargo, tampoco descarta que los partidos políticos puedan ejercer cierto poder de supervisión y disciplina con base en un deber de lealtad política, siempre que no se incurra en abuso.

En todo caso, delimita que su misión es verificar si el Estado cumplió con sus obligaciones positivas para garantizar el respeto a estos derechos. Para ello, tendrá en cuenta el marco legislativo y la resolución de los distintos procedimientos que se activaron en el ámbito interno.

i) Sobre el marco normativo, el TEDH recalca que el recurrente no cuestionaba la calidad de las normas penales y que la legislación española ofrece su protección mediante alternativas en el orden civil, cuya efectividad tampoco se había puesto en cuestión.

ii) Sobre los procedimientos seguidos ante los tribunales españoles, señala que el recurrente no manifestó sus dudas sobre la efectividad de la investigación penal, sino que sus objeciones consistían en que las resoluciones carecían de suficiente razonamiento y de consideración a sus alegaciones.

Por ello, el TEDH examina el recorrido de sus distintos recursos y observa que en las argumentaciones se tuvieron en cuenta aspectos como la finalidad de detección de irregularidades, el carácter limitado de la investigación a través de una búsqueda basada en términos específicos; o que las normas internas de uso de los correos electrónicos corporativos recogían la posibilidad de supervisión. También que no se había probado suficientemente la comisión de delitos al no quedar demostrada la persecución de finalidades distintas a la detección de irregularidades o la participación en la divulgación del informe. Así, el TEDH determina que la argumentación y la evaluación de los tribunales no fueron arbitrarias o irrazonables y que, en estas circunstancias, su misión no es sustituir a las autoridades nacionales.

Con todo, el TEDH concluye que la protección que brinda el Estado a la vida privada y la correspondencia como parte de sus obligaciones positivas de garantía y dentro de su margen de apreciación no se puede poner en cuestión.

FALLO

Con base en este razonamiento, el TEDH declara que no existió violación del artículo 8 CEDH.