Agencia Estatal Boletín Oficial del Estado

Comentario

En esta importante sentencia el Tribunal de Justicia declara la invalidez de la Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la Privacidad UE‑EE. UU (Decisión CPT), en relación con los arts. 7 (respeto a la vida privada y familiar) y 8 (protección de datos de carácter personal) de la Carta de Derechos Fundamentales de la Unión Europea.

El interesado, residente en Austria, es usuario de Facebook desde 2008. Los datos de los usuarios de Facebook residentes en el territorio de la Unión se transfieren total o parcialmente por parte de Facebook Irlanda a servidores de Facebook Inc. situados en el territorio de Estados Unidos, donde son objeto de tratamiento, y pueden ser consultados por parte de las autoridades norteamericanas. Por ello, el 25 de junio de 2013, el interesado presentó ante la autoridad de protección de datos de Irlanda, donde está la sucursal de Facebook en la Unión, una solicitud de prohibición de la transferencia de sus datos a Estados Unidos, fundamentada en que el Derecho y práctica de este no garantizaban una protección eficiente de sus datos personales, frente a las actividades de vigilancia de las autoridades nacionales. De resultas de dicha reclamación, y tras su desestimación por estar la transferencia amparada en la Decisión 2000/520, que entendía que EEUU ofrecía un nivel de protección adecuado, en vía judicial se planteó una cuestión prejudicial que llevó al Tribunal de Justicia a declarar la invalidez de la Decisión 2000/520 – Puerto Seguro (Sentencia de 6 de octubre de 2015, Schrems, C-362/14). Esta decisión llevó a la anulación de la desestimación, y la autoridad de la protección de datos instó al interesado a replantear la reclamación dado que la transferencia se fundamentaba ahora en la Decisión CPT. El interesado alegó que el Derecho de EEUU obliga a Facebook Inc. a poner a disposición de las autoridades del país los datos personales que se le transfieren, que pueden ser sometidos a diferentes programas de vigilancia que vulnerarían los arts. 7, 8 y 47 de la CDFUE, lo que no podía quedar amparado por la Decisión CPT. La autoridad de protección de datos consideró que la transferencia de datos podía ser incompatible con los arts. 7 y 8 CDFUE al no proveer el Derecho estadounidense vías de recurso compatibles con el art. 47 de la Carta, y que la Decisión CPT no lo subsanaba.

El Tribunal precisa que, aunque las cuestiones prejudiciales se refieren a disposiciones de la Directiva 95/46, la autoridad de protección de datos irlandesa aún no había resuelto la reclamación cuando se derogó y sustituyó esta Directiva por el RGDP, por lo que corresponde contestar atendiendo a las disposiciones el RGPD (apartados 76-79).

La transferencia de datos a un país tercero constituye un tratamiento de datos personales realizado en el territorio del Estado miembro, de forma que le es aplicable el RGPD (apartado 83), y no entra dentro de los supuestos de exclusión. En particular, excluye la aplicación de la seguridad nacional (art. 4.2 TUE, art. 2.1 y 2 RGPD), en la medida en que esto atañe únicamente a la seguridad de los Estados miembros de la Unión (apartado 81).

Asimismo, razona que el RGPD exige que el Estado tercero al que se transfieren datos garantice un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión por el mismo Reglamento “interpretado a la luz de la Carta”,  y la evaluación del nivel de protección debe tomar en consideración tanto las estipulaciones contractuales como también, en caso de acceso de las autoridades del tercer Estado, los elementos pertinentes del sistema jurídico del mismo (apartados 90-105); de forma que si no se garantiza dicha protección exigida por el Derecho de la Unión por otros medios, la autoridad  de control competente está obligada a suspender o prohibir la transferencia a ese tercer Estado (apartado 121).

Aunque la Decisión CPT (art. 1) establece que se considera que las cláusulas tipo de protección de datos incluidas en el anexo de la misma ofrecen garantías suficientes de protección de la vida privada y de los derechos y libertades fundamentales, en relación con el art. 26.2 de la Directiva, hoy art. 46.1 y 2 letra c) del RGPD, y aunque se celebre un contrato que haga referencia a las mismas y vincule al responsable del tratamiento en Estado miembro, y al destinatario de la transferencia en el tercer estado, considera el Tribunal de Justicia que se ha acreditado que éstas no vinculan a las autoridades de éste (apartado 125); de forma que pueden existir situaciones en las que estas cláusulas podrían no servir de forma suficiente para garantizar una protección efectiva de los datos personases en la práctica (apartado 126).

Por ello, la sentencia examina si el contenido de la Decisión CPT se ajusta a las exigencias del RGPD interpretado a la luz de la Carta. Razona que si bien la Comisión estima en su evaluación (considerando 136 de la Decisión CPT) que EEUU garantiza un nivel adecuado de protección de los datos personales transferidos, y que existe una tutela judicial efectiva frente a las injerencias en los derechos fundamentales; esta apreciación se ha puesto en cuestión, dado que las injerencias resultantes de los programas de vigilancia no garantizan un nivel de protección sustancial equivalente al previsto en la Carta.

Estima que el acceso a los datos personales de una persona física para su conservación o su utilización afecta al derecho fundamental garantizado en el art. 7 de la Carta, derecho al respeto a su vida privada, “que atañe a toda información relativa a una persona física identificada o identificable”, y dichos tratamientos están comprendidos en el ámbito también del art. 8 CDFUE y deben cumplir los requisitos establecidos en el mismo; de forma que la comunicación a una autoridad púbica constituye una injerencia de ambos derechos, que solo sería admisible con respeto al principio de proporcionalidad: deben tratarse de limitaciones necesarias, que respondan a objetivos de interés general reconocidos por la Unión o a la necesidad de proteger los derechos y libertades de los demás, deben establecerse por ley  -lo que exige que la base legal que permite la injerencia defina en si misma el alcance de la limitación- y no deben exceder de lo estrictamente necesario. Estas garantías no se cumplen en los programas de vigilancia de las autoridades de EEUU que habilitan un tratamiento sin limitaciones y sin suficientes garantías para las personas no nacionales de los Estados Unidos, y como consecuencia no se garantiza un nivel de protección sustancialmente equivalente al de la CDFUE;  no siendo suficiente la posible actuación de la figura del Defensor del Pueblo en el ámbito del Escudo de Privacidad, puesto que no garantiza una tutela judicial efectiva a través de una vía de recurso ante un órgano independiente con garantías sustancialmente equivalentes a las exigidas en el art. 47 CDFUE; lo que motiva que declare la invalidez de la decisión CPT (apartados 150-202).

Comentario

El Tribunal de Justicia resuelve varios asuntos acumulados que tienen por objeto analizar la compatibilidad de diversas obligaciones impuestas a proveedores de comunicaciones electrónicas en el marco de la seguridad nacional, la lucha contra la delincuencia y de la protección de la seguridad pública, en elación con el art. 15.1 de la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas, y de los derechos al respeto a la vida privada, que incluye el secreto a las comunicaciones (art. 7 CDFUE) y el derecho a la protección de datos (art. 8 CDFUE), resolviendo cuestiones planteadas por el Consejo de Estado de Francia y el Tribunal Constitucional de Bélgica.

Determina, en primer lugar, la aplicabilidad de la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas a las medidas adoptadas para la protección de la seguridad interior y exterior de los Estados (seguridad nacional) para el tratamiento de datos por parte de proveedores de servicios de comunicaciones electrónicas. A diferencia de la Directiva 95/46, de cuyo ámbito de aplicación se excluye con carácter general el tratamiento de datos en el marco de la seguridad nacional (Sentencia de 30 de mayo de 2006, Parlamento/Consejo y Comisión, C-317/04, ap.56-59); en la Directiva 2002/58 no hay una exclusión general de estas actividades, sino que la exclusión se limita al tratamiento de datos efectuado por los poderes públicos. De forma que, un tratamiento de datos realizado por los proveedores de servicios de comunicación electrónica, incluyendo el derivado de obligaciones impuestas por poderes públicos, estaría dentro del ámbito de aplicación, lo que sería coherente con la delimitación de las previsiones del RGPD, que sustituye a la Directiva 95/46, y cuyo marco complementa precisamente la Directiva 2002/58/CE (ap. 93-104).

Entiende el Tribunal que la mera conservación de los datos de tráfico y de localización de las comunicaciones, por sí misma, constituye una injerencia en los derechos al respeto a la vida privada (art. 7 CDFUE) y al derecho a la protección de datos de carácter personal (art. 8 CDFUE), y ello con independencia del carácter sensible de la información, o de que se sufran o no inconvenientes por la injerencia, o del uso posterior de los datos, puesto que la mera conservación constituye un tipo concreto y diferente de injerencia. Y es que los datos de tráfico y de localización pueden relevar información sobre un número considerable de aspectos de la vida privada de las personas, que pueden permitir extraer conclusiones precisas sobre la vida de las personas y su perfil con información sensible, de forma que dicha conservación pueda vulnerar por sí misma el derecho al respeto de las comunicaciones (art. 7 CDFUE) y disuadir a los usuarios de los medios de comunicación de ejercer su libertad de expresión (art. 11 CDFUE), citando la Sentencia de 8 de abril de 2014, Digital Rights, C-293/12, ap. 28. Además de que esta conservación puede afectar también a las personas cuyas comunicaciones estén sujetas a secreto profesional, o incluso a las personas denunciantes cuyas actividades estén protegidas por la Directiva 2019/1937 (ap. 118).

Esto lleva a una ponderación entre la protección del secreto de las comunicaciones, con el derecho a la seguridad (art. 6 CDFUE) interpretado en relación con el art. 5 CEDH, conforme a lo previsto en el art. 52.3 CDFUE, del que no cabe deducir la existencia de una obligación de los poderes públicos a adoptar medidas específicas para la sanción de determinados delitos, y del derecho a la vida privada y familiar (art. 7 CDFUE) del que derivan obligaciones positivas de los poderes públicos para la adopción de medidas jurídicas de protección de la vida privada y familiar (Sentencia de 18 de junio de 2020, Comisión contra Hungría, C-78/19, ap. 123). Las medidas permitidas deben ser necesarias, proporcionadas y apropiadas a una sociedad democrática, diferenciando en función del objetivo de protección.

Seguridad Nacional. Dada la importancia del objetivo de la protección de la seguridad nacional (art. 4.2 TUE) puede justificar medidas de injerencia más graves en los derechos fundamentales, incluyendo medidas que permitan instar a los proveedores de comunicaciones electrónicas a la conservación de datos de tráfico y datos de localización de usuarios, incluso de forma general e indiscriminada, cuando haya una amenaza, pero debe limitarse temporalmente a lo estrictamente necesario, y la conservación debe estar sujeta a limitaciones, y acompañada de garantías estrictas que permitan proteger de forma eficaz los datos de las personas afectadas, no pudiendo tratarse de una conservación de carácter sistemático. Además, es necesario que el recurso a esta injerencia se limite a la existencia de una amenaza grave a la seguridad nacional, y que sea objeto de un control efectivo sobre la existencia de dicha circunstancia y del respeto de las condiciones y garantías debidas, bien a través de un órgano jurisdiccional, o bien de una entidad administrativa independiente, cuya decisión tenga un carácter vinculante (ap. 134-139).

Lucha contra la delincuencia y de la protección de la seguridad pública. En este ámbito, las medidas legislativas que establecen la conservación preventiva de los datos de tráfico y de los datos de localización deben ajustarse al principio de proporcionalidad, con una conservación selectiva de los datos de tráfico y de localización que esté delimitada, sobre la base de elementos objetivos y no discriminatorios, y por un periodo limitado pues su duración no debe exceder lo que sea estrictamente necesario para el objetivo perseguido, y las circunstancias que las justifican, sin perjuicio de que puedan ser objeto de renovación si es necesario (ap.140-151).

También se pronuncia sobre las medidas legislativas que establecen la conservación generalizada e indiferenciada de las direcciones IP y de los datos relativos a la identidad civil a efectos de la lucha contra la delincuencia y de la protección de la seguridad pública, y de la seguridad nacional. Entiende que el Derecho de la UE permite, a efectos de la protección de la seguridad nacional, de la lucha contra la delincuencia grave y de la prevención de las amenazas graves contra la seguridad pública, una conservación generalizada e indiferenciada de las direcciones IP atribuidas al origen de una conexión, para un período temporalmente limitado a lo estrictamente necesario; así como también  una conservación generalizada e indiferenciada de los datos relativos a la identidad civil de los usuarios de medios de comunicaciones electrónicas. También, y a efectos de la lucha contra la delincuencia grave y, por tanto, a fortiori, de la protección de la seguridad nacional, cabe recurrir a un requerimiento efectuado a los proveedores de servicios de comunicaciones electrónicas, sujeto a un control jurisdiccional efectivo, para que se realice una conservación rápida de los datos de tráfico y de localización durante un período determinado

Asimismo, estudia la obligación de recurrir al análisis automatizado y a la recopilación en tiempo real de los datos de tráfico y de localización, entendiendo que es posible el recurso al análisis automatizado cuando se limite a las situaciones de amenaza grave para la seguridad nacional que resulte real y actual o previsible, pudiendo ser objeto de control por un órgano jurisdiccional, o una entidad administrativa independiente, cuya decisión tenga carácter vinculante, y que controle la existencia de la amenaza y las condiciones y garantías establecidas; y también una recopilación en tiempo real de los datos de tráfico y de localización, cuando se limite a personas de las que se sospeche fundadamente que están implicadas en actividades terroristas, siempre que esté sujeto a un control previo por parte de un órgano jurisdiccional o una entidad administrativa independiente, cuya decisión tenga carácter vinculante que compruebe su necesidad (ap. 183-192).

Comentario

En este asunto se trata de dilucidar si el mecanismo de “ventanilla única” previsto en el Reglamento General de Protección de Datos (arts. 55.1, 56-58 y 60-66), permite a las autoridades de protección de datos o autoridades de control de los Estados miembros que no sean la autoridad principal de control, en el ámbito de tratamiento transfronterizo de datos, poner en conocimiento de los órganos jurisdiccionales infracciones en materia de  protección de datos, así como iniciar o ejercitar acciones judiciales.

Subraya el Tribunal que el fundamento del RGPD es el art. 16 TFUE que consagra el derecho a la protección de datos de carácter personal, y que autoriza al Parlamento Europeo y al Consejo de la UE a establecer normas sobre protección de datos de personas físicas en relación con el tratamiento de dichos datos, y el propio Reglamento recuerda en su considerando 1 el carácter fundamental del derecho a la protección de datos, que viene también establecido en el art. 8.1 de la Carta de Derechos Fundamentales de la Unión Europea (apartado 44), atribuyendo el Reglamento tanto a las instituciones europeas como a las autoridades competentes de los Estados miembros, la misión de garantizar un nivel elevado de protección de los derechos en materia de protección de datos  contemplados en los arts. 16 TFUE, y 8 CDFUE (apartado 45).

Explica la sentencia que el mecanismo de ventanilla única, establecido en el art. 56.1 RGPD, realiza un reparto de competencias para los tratamientos transfronterizos entre una autoridad de control principal y las demás, de forma que la principal sería la autoridad de control del establecimiento principal o único del responsable o encargado del tratamiento, y establece un mecanismo de cooperación para tratar de buscar el consenso entre autoridades de control, y llegar a una decisión única; si bien se establecen algunas excepciones. Así, en primer lugar, el tratamiento de una reclamación en materia de tratamiento transfronterizo y una posible vulneración del RGPD en caso de que se refiera únicamente a un establecimiento situado en su Estado miembro o únicamente afecte de forma sustancial a personas interesadas de su Estado miembro (art. 56.2 RGPD); en segundo lugar, cuando se trate del procedimiento de urgencia (art. 66 RGPD); y, en tercer lugar, cuando la autoridad principal de control informada decida no tratar el caso, que se tratará por la otra autoridad bajo las normas de asistencia mutua y de cooperación en el marco de cooperación conjuntas (art. 56.5 RGPD). Pero fuera de estas excepciones, si una autoridad de control que no sea la principal pudiera ejercer las facultades previstas, se podría menoscabar el objetivo y efecto útil del mecanismo de ventanilla única (apartado 65).

Entiende el Tribunal que este mecanismo y procedimiento no produce una vulneración de los derechos contemplados en los arts. 7, 8 y 47 de la CDFUE. En primer lugar, y en relación con el derecho a la vida privada y familiar y el derecho a la protección de datos puesto que precisamente, el mecanismo de ventanilla única y la normas de reparto de competencias decisorias entre la autoridad de control principal y las demás autoridades de control, se entienden sin perjuicio de la responsabilidad de cada una de ellas de contribuir a un elevado nivel de protección, respetando la normas y exigencias de cooperación, lo que significa que el mecanismo de ventanilla única no puede llevar a que una autoridad de control no asuma la responsabilidad que le corresponde en virtud del RGPD, en particular cuando se trate de una autoridad de control principal (apartados 67-68). Y tampoco se produce vulneración del art. 47 CDFUE puesto que el RGPD no excluye el derecho de cualquier persona a interponer un recurso judicial contra una decisión vinculante de una autoridad de control que le afecte o contra la no reclamación que hubiera presentado ante la autoridad de control (apartados 69-70).

De esta forma, concluye la sentencia que una autoridad de control que no sea la principal tendrá la competencia para poner en conocimiento de los órganos jurisdiccionales cualquier supuesta infracción del RGPD y, en su caso, iniciar o ejercitar acciones judiciales, en materia de tratamiento transfronterizo de datos, siempre que se trate de alguna de las situaciones en las que el RGPD le confiere la competencia para adoptar una decisión en la que declare que el tratamiento incumple las normas del RGPD y siempre que se respeten los procedimientos de cooperación y coherencia (apartado 75); correspondiendo al órgano jurisdiccional nacional determinar si las normas de reparto de competencias, así como los procedimientos y mecanismos pertinentes, se aplicaron de forma correcta (apartado 73).

Además, cuando tenga esta facultad, la podrá ejercer tanto con respecto al establecimiento principal del responsable del tratamiento que se encuentre en el Estado miembro de dicha autoridad, como también con respecto a otro establecimiento de ese responsable, siempre que la acción judicial tenga por objeto un tratamiento de datos efectuado en el contexto de las actividades de ese establecimiento (apartado 96). 

Comentario

Se trata de dos asuntos acumulados en los que la Gran Sala del Tribunal tiene oportunidad de volver a examinar una normativa nacional que establece obligaciones a los operadores de servicios de comunicación de conservar datos de tráfico y de localización relativos a las telecomunicaciones de sus clientes, desde la perspectiva del art. 15.1 de la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas, a la luz de los artículos 7 (respeto a la vida privada y familiar, que incluye el secreto de las comunicación),  8 (protección de datos de carácter personal), y 11 (libertad de expresión y de información), como ya había tenido ocasión en la STJUE de 6 de octubre de 2020, La Quadrature du Net y otros, C‑511/18.

Precisamente, una vez dictada esta sentencia, el órgano jurisdiccional que había remitido esta cuestión con anterioridad planteó la necesidad de su resolución pues, si bien aquí la obligación de conservación establecida está referida a un número menor de datos y a un periodo inferior de conservación que en el asunto La Quadrature du Net y otros, C‑511/18, se mantenían dudas sobre la compatibilidad de la normativa nacional con el Derecho de la Unión por, en opinión del órgano jurisdiccional remitente, una incoherencia entre los apartados 155 y 168 de dicha sentencia, pues le suscitaba la duda de si el Tribunal de Justica exige para la conservación de las direcciones IP, que haya un motivo de conservación relacionado con la seguridad nacional, la lucha contra delincuencia grave o de seguridad pública, o si la conservación específica de las direcciones IP estaría permitida incluso sin la existencia de uno de esos concretos motivos.

Recuerda el Tribunal que la conservación generalizada de las direcciones IP constituye una injerencia grave en los derechos fundamentales protegidos en los arts. 7 y 8 CDFUE, puesto que pueden permitir conocer y extraer conclusiones precisas sobre la vida privada del usuario, con efectos disuasorios sobre el ejercicio de la libertad de expresión (art. 11 CDFUE). Por ello, aunque esta conservación no parece en principio contraria al art. 15.1 de la Directiva 2002/58, a la luz de la Carta, siempre que se sujete a un respeto riguroso de las condiciones materiales y procesales que deben regular la utilización de tales datos; esta conservación solo puede estar justificada en los motivos de la lucha contra la delincuencia grave, la prevención de las amenazas graves a la seguridad pública, o la seguridad nacional (apartados 101 y 102, con remisión a los apartados 155 y 156 del asunto C‑511/18).

Por ello, razona el Tribunal de Justicia, siguiendo las Conclusiones del Abogado General, no existe contradicción entre los apartados 155 y 168 de la sentencia de 6 de octubre de 2020, pues del apartado 155, en relación con el 156 y el 168 de la misma, “se desprende claramente que solo la lucha contra la delincuencia grave y la prevención de amenazas graves a la seguridad pública pueden, al igual que la protección de la seguridad nacional, justificar la conservación generalizada e indiferenciada de las direcciones IP atribuidas al origen de una conexión, con independencia de si las personas afectadas pueden tener una relación, al menos indirecta, con los objetivos que se persiguen.” (apartado 103).

En relación con las medidas legislativas que establecen una conservación selectiva y una conservación rápida de los datos de tráfico y de localización, el Tribunal las entiende compatibles con el Derecho de la Unión siempre que la conservación selectiva de los datos de tráfico y de localización esté delimitada, sobre la base de elementos objetivos y no discriminatorios, en función de las categorías de personas afectadas o mediante un criterio geográfico, para un período temporalmente limitado a lo estrictamente necesario, pero que puede renovarse (apartados 114-120).

Asimismo, la sentencia viene a analizar diferentes opciones que puede adoptar el legislador nacional en relación con la conservación de datos de tráfico y de localización (apartado 75), considerando que estas medidas pueden utilizarse de forma conjunta, siempre que se respeten los límites de la estricta necesidad (apartado 121).

En cualquier caso, las medidas deben observar los requisitos de aptitud y necesidad, así como de proporcionalidad de las medidas en relación con el objetivo perseguido (apartado 122), por ello no cabe la adopción de medidas que suponga una injerencia tan grave como el establecimiento de una conservación de los datos de tráfico y de localización de prácticamente toda la población sin que los datos de las personas afectadas puedan guardar alguna relación, al menos indirecta, con el objetivo perseguido, como ya estableció en la Sentencia de 5 de abril de 2022, Commissioner of An Garda Síochána y otros, C‑140/20, apartado 95 (apartado 124).

Asimismo, entiende que no cabe el acceso a los datos de tráfico y localización, conservados de manera generalizada e indiferenciada al amparo del art. 15 de la Directiva, a efectos de la lucha contra la delincuencia grave, puesto que estos datos se han conservado para hacer frente a una amenaza grave contra la seguridad nacional que resulte real y actual o previsible, conforme  al jurisprudencia de la sentencia de 6 de octubre de 2020; de forma que una autorización de acceso para la lucha contra la delincuencia grave, de una relevancia menor que la que justificó la conservación, sería contrario a la jerarquía de objetivos de integres general, ya que no cabe una conservación generaliza e indiferencia para la lucha contra la delincuencia grave, y de otra forma se privaría de efecto a dicha prohibición  (apartados 126-130).

Comentario

La cuestión prejudicial se suscita por la negativa de la Dirección General de Policía Nacional del Ministerio del Interior de Bulgaria a cancelar la inscripción del interesado en el registro policial de los investigados por delitos públicos dolosos tras su rehabilitación tras una condena penal firme, en relación con las previsiones de la Directiva (UE) 2016/680 que establece las normas para la protección de las personas en lo que respecta de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos.

Razona el Tribunal -con carácter preliminar- que la ley que prevé el registro policial de datos biométricos y genéticos lo hace no solo con objeto de tratamiento en el ámbito de aplicación de la Directiva 2016/680, sino también en el marco de la protección de la seguridad nacional, lo queda está excluido del ámbito de aplicación de la Directiva, exclusión que debe ser objeto de interpretación estricta, debiendo el órgano jurisdiccional remitente cerciorarse del objeto de tratamiento de los datos del interesado (apartado 38).

La sentencia recuerda que los derechos fundamentales de respeto a la vida privada y de protección de datos de carácter personal (arts. 7 y 8 CDFUE) no constituyen “prerrogativas absolutas”, sino que deben considerarse según su función en la sociedad y ser objeto de ponderación con otros derechos fundamentales, pudiendo ser objeto de limitación, establecida por ley -que debe establecer reglas claras y precias en relación con el alcance y aplicación de las medidas- que respete su contenido esencial y el principio de proporcionalidad, exigiendo éste que las limitaciones sean necesarias y responsan efectivamente a objetivos de interés general reconocidos por la Unión, o bien a la necesidad de protección de los derechos y libertades de los demás, no debiendo exceder lo de estrictamente necesario, y estableciendo reglas (apartado 39).

Tanto la recogida como la conservación de datos personales en el ámbito de aplicación de la Directiva 2016/680 debe respetar estos requisitos, y en particular en relación con la conservación debe ser durante un período no superior al necesario para los fines del tratamiento (art. 4.1 e) Directiva 2016/690). La ley búlgara permite la conservación de estos datos únicamente para la investigación operativa con vistas a su comparativa con otros datos recogidas en investigaciones relativas a otras infracciones, conservación que puede estar justificada para estos fines, en opinión del Tribunal, aunque se trate de su conservación tras una condena penal firme, en la medida en que la persona puede estar implicada en delitos diferentes a los que fueron condenados, y esta conservación puede contribuir al interés general de prevención, investigación y enjuiciamiento de infracciones penales (considerando 27 Directiva 2016/680).

Ahora bien, en relación particular al plazo de conservación, si bien parece ser que solo en el supuesto de condena firme por delito púbico doloso se produce una conservación de los datos hasta el fallecimiento de la persona interesada, encuentra el Tribunal, siguiendo las Conclusiones del Abogado General, que dado que no todas las personas condenadas mediante sentencia firme por este tipo de delitos presentan el mismo grado de riesgo de implicación en otros delitos, no se justificaría un plazo uniforme de conservación de los datos, pudiendo estar justificado en algunos casos y no en otros, por lo que se vulneraría el principio de minimización de datos (art. 5.1 letra c) Directiva 2016/680).

Además, en este caso, la conservación incluye tanto datos biométricos como genéticos, y el Tribunal de Justicia recuerda que ya ha declarado en jurisprudencia anterior que la normativa nacional que establece la recogida sistemática de datos biométricos y genéticos con carácter general de cualquier persona investigada por delito público doloso vulnera, en principio, el requisito de necesidad establecido en el art. 10 de la directiva (Sentencia de 26 de enero de 2023, Ministerstvo na vatreshnite raboti (Registro de datos biométricos y genéticos por la Policía), C‑205/21, apartado 129.

Trae a colación la jurisprudencia del TEDH, que consideró una vulneración de los derechos fundamentales la conservación con carácter general e indiferenciado de huellas dactilares, muestras biológicas y perfiles de ADN de personas sospechosas de delitos pero no condenadas (la STEDH de 4 de diciembre de 2008, S. y Marper c. Reino Unido, CE:ECHR:2008:1204JUD003056204, apartados 125 y 126).

Y, sin embargo, considera que la conservación de los datos biométricos  y genéticos de personas que han sido condenadas por sentencia firme, incluso hasta su fallecimiento, puede cumplir con el carácter de estricta necesidad precisamente parara posibilitar la investigación de delitos (apartado 66), pero para ello sería necesario que se tomara en consideración la naturaleza y gravedad del delito, de forma que la conservación general e indiferenciada tiene aquí un carácter “excesivamente amplio” teniendo en cuenta los fines de tratamiento (apartado 67), y aquí es donde se produce la colisión con el Derecho de la Unión.

La norma nacional debería permitir una adecuada revisión de los plazos para valorar si la conservación sigue siendo necesaria, lo que no se cumple. De forma que la sentencia concluye que la conservación -tal y como está contemplada en la normativa nacional de este caso -de datos biométricos y genéticos, relativos a personas que han recibido una condena penal firme por un delito público doloso hasta el fallecimiento, incluso en el supuesto de rehabilitación, sería contraria a las previsiones del artículo 4.1 letras c) y e), de la Directiva 2016/680, en relación con los artículos 5, 10, 13.2 letra b), y 16.2 y3, de la misma directiva en a la luz de los arts. 7 y 8 de la Carta (apartados 70-72).

Comentario

En este relevante asunto una pareja de personas del mismo sexo, en este caso mujeres, una de nacionalidad búlgara y otra de nacionalidad británica, se pusieron a residir en España tras contraer matrimonio en Gibraltar, y aquí nació su hija, expidiendo las autoridades españolas certificado de nacimiento en el que se menciona a ambas progenitoras como “madre”. La progenitora de nacionalidad búlgara solicitó al municipio de Sofía la expedición de un certificado de nacimiento de la hija para la expedición de un documento de identidad búlgaro, acompañando el asiento del Registro Civil de Barcelona relativo al certificado de nacimiento con traducción al búlgaro, jurada y legalizada.

El municipio de Sofía solicitó pruebas de la filiación relativas a la identidad de la madre biológica, a lo que la interesada respondió indicando que no estaba obligada a facilitar dicha información conforme a la normativa búlgara. El municipio denegó la expedición del certificado por falta de información sobre la identidad de la madre biológica de la menor, además de que la mención de dos progenitores de sexo femenino en un certificado de nacimiento era contraria al orden público de Bulgaria porque no permite matrimonios entre personas del mismo sexo.

Tras el recurso contencioso-administrativo interpuesto por la interesada, el Tribunal de lo Contencioso-Administrativo de Sofía plantea la cuestión prejudicial. Entiende, el tribunal remitente, que la negativa a la expedición del certificado de nacimiento si bien no tiene incidencia en la nacionalidad de la menor, y de su ciudadanía de la Unión, plantea dudas, pues dado el certificado emitido por un Estado miembro que menciona a dos madres, podría dificultar la expedición de un documento de identidad búlgaro y obstaculizar, por tanto, el ejercicio del derecho de la menor a la libre circulación.

El Tribunal de Justicia recuerda la vocación del estatuto de ciudadanía de la Unión de convertirse en un estatuto fundamental de los nacionales de los Estados miembros de la Unión; y que tanto quien ostenta la ciudadanía y ha ejercido su libertad de circulación y residencia en un Estado miembro distinto al de origen (por todas, Sentencia de 5 de junio de 2018, Coman y otros, C-673/16, apartado 31); como también quien ha nacido en el Estado miembro de acogida de sus progenitores y que nunca ha ejercitado este derecho a la libre circulación (Sentencia de 2 de octubre de 2019, Bajratari, C-93/18, apartado 26), puede invocar los derechos inherentes al estatuto de ciudadano en relación con el Estado de origen (apartado 42).

De esta forma, toda persona que ostenta la ciudadanía de la Unión tiene derecho a circular y residir libremente en el territorio de los Estados miembros (art. 21.1 TFUE), con las limitaciones y condiciones establecidas en los Tratados y en la normativa de desarrollo; y adicionalmente los Estados miembros tienen la obligación de expedir a sus ciudadanos un documento de identidad o un pasaporte para permitir el ejercicio de este derecho, conforme al art. 4.3 de la Directiva 2004/38 (apartado 43).

Así, en este caso, las autoridades búlgaras están obligadas a la expedición de un documento de identidad o un pasaporte para la menor, en el que conste su nacionalidad y su apellido, conforme resulta del certificado de nacimiento expedido por las autoridades españolas (apartado 44).

Se trata de un desarrollo importante de la doctrina previa del Tribunal de Justicia que ya había declarado que el art. 21.1 se opone a que las autoridades de un Estado miembro denieguen, con fundamento en su Derecho interno, el reconocimiento del apellido de un niño tal como ha sido determinado e inscrito en otro Estado miembro en el que ese niño nació y reside desde entonces (Sentencia de 14 de octubre de 2008, Grunkin y Paul, C‑353/06, apartado 39).

Además, constata que el Estado miembro de origen tiene la obligación de expedir un documento de identidad o un pasaporte (art. 3.4 Directiva 2004/38), y ello con independencia de que se expida o no un nuevo certificado de nacimiento para la menor, de forma que no cabe alegar el Derecho interno búlgaro para no expedir el certificado de nacimiento, cuando el mismo exige su previa expedición para expedir un documento de identidad o pasaporte; pues se debe garantizar el ejercicio del derecho a la libre circulación a una persona que esté en la situación de la menor (apartados 45-46).

Adicionalmente, y dado que el certificado de nacimiento expedido por las autoridades españolas acredita legalmente la existencia de un vínculo de filiación biológico o jurídico entre la menor y sus dos progenitoras, todos los Estados miembros deben reconocer dicha condición y  permitir que ejerzan su derecho a acompañar a la menor en el ejercicio del derecho de libre circulación, citando de forma analógica el Tribunal la Sentencia de 13 de septiembre de 2016, Rendón Marín, C-165/14, apartados 50-52 (apartado 49).

Aunque en la cuestión prejudicial el órgano remitente plantea que se podría dar una afectación del orden público y de la identidad nacional de Bulgaria, el Tribunal desestima esta posibilidad. Razona que, por un lado, el orden público debe ser interpretado de forma estricta, limitando su invocación a la existencia de una amenaza real y suficientemente grave a un interés fundamental de la sociedad; y, por otro lado, la identidad nacional no se ve afectada por la obligación de un Estado miembro de expedir un documento de identidad o un pasaporte a una menor nacional del mismo nacida en otro Estado miembro, cuyo certificado de nacimiento menciona a dos progenitoras de un mismo sexo, y de reconocer el vínculo de filiación, a efectos del ejercicio de los derecho contemplados en el art. 21 TFUE (apartados 55-56).

También tiene ocasión el Tribunal de pronunciarse, en esta sentencia, sobre la protección de la vida privada y familiar (art. 7 CDFUE) y de los derechos del niño, incluyendo el derecho a que se tenga en cuenta su interés superior (art. 24 CDFUE), que son fundamentales. Así, los derechos contemplados en el art. 7 CDFUE tienen el mismo sentido y alcance que los garantizados en el art. 8 CEDH en aplicación del art. 52.3 CDFUE, y el TEDH ha establecido que la vida familiar “es una cuestión de hecho que depende de la realidad práctica de vínculos personales estrechos y que la posibilidad de que un progenitor y su hijo estén juntos representa un elemento fundamental de la vida familiar”; así como el art. 24 CDFUE constituye una integración en el Derecho de la UE de los derechos del menor reconocidos en la Convención sobre los Derechos del niño, cuyas disposiciones deben tenerse en cuenta en su interpretación, y que incluye el principio de no discriminación, y a ser inscrito de forma inmediata tras su nacimiento, y a tener un nombre y adquirir una nacionalidad (apartados 59-64).

Y concluye, por ello, que en este caso también “sería contrario a los derechos fundamentales que los artículos 7 y 24 de la Carta garantizan al menor privarlo de la relación con uno de sus progenitores al ejercer su derecho a circular y residir libremente en el territorio de los Estados miembros o hacerle el ejercicio de ese derecho imposible o excesivamente difícil en la práctica debido a que sus progenitores son del mismo sexo.” (apartado 65).

De forma que la denegación de la expedición del certificado de nacimiento en este caso sería contraria al Derecho de la Unión, en primer lugar, por imposibilitar o hacer excesivamente difícil el ejercicio del derecho a la libre circulación de la menor, sino también, en segundo lugar, por vulnerar el derecho a la vida privada y familiar (art. 7 CDFUE) y los derechos del niño (art. 24 CDFUE). 

En resumen, determina el Tribunal de Justicia que el Estado miembro de origen está obligado a expedir a la menor un documento de identidad o un pasaporte sin exigir la expedición previa de un certificado de nacimiento por sus autoridades nacionales, así como también a reconocer, al igual que cualquier otro Estado miembro, el documento procedente del Estado miembro de acogida que permita a la menor ejercer su derecho a circular y residir libremente en el territorio de los Estados miembros con cualquiera de sus progenitoras.

Comentario

La Sentencia considera que otorgarle accesibilidad, a partir de una determinada fecha, a los datos médicos de determinados pacientes supone una violación del artículo 8 del Convenio y que la divulgación de la identidad y el estado de salud de la demandante en una sentencia judicial ha supuesto una flagrante violación de ese precepto. La demandante debe así ser indemnizada y el Estado infractor condenado.