La justicia europea se opone a la recogida indiferenciada de datos digitales

COMUNICADO DE PRENSA n.o 123/20

Sentencias en el asunto C-623/17 Privacy International y en los asuntos acumulados C-511/18 La Quadrature du Net y otros y C-512/18, French Data Network y otros, así como C-520/18 Ordre des bars francophones y ea de habla alemana

El Tribunal de Justicia confirma que el Derecho de la Unión excluye la normativa nacional que exija a un proveedor de servicios de comunicaciones electrónicas, con el fin de combatir las infracciones en general o de salvaguardar la seguridad nacional, la transmisión o almacenamiento generalizado e indiferenciado de datos relacionados con el tráfico y la ubicación.

Por otra parte, en situaciones en las que un Estado miembro se enfrente a una amenaza grave para la seguridad nacional que resulte real y actual o previsible, puede derogar la obligación de garantizar la confidencialidad de los datos relacionados con las comunicaciones. datos electrónicos mediante la imposición, a través de medidas legislativas, de un almacenamiento generalizado e indiferenciado de estos datos por un período limitado a lo estrictamente necesario, pero renovable en caso de persistencia de la amenaza. En lo que respecta a la lucha contra la delincuencia grave y la prevención de amenazas graves para la seguridad pública, un Estado miembro también puede prever la conservación selectiva de dichos datos, así como su rápida conservación. Tal injerencia en los derechos fundamentales debe ir acompañada de garantías efectivas y supervisada por un juez o una autoridad administrativa independiente. Asimismo, está abierto a un Estado Miembro realizar un almacenamiento generalizado e indiferenciado de las direcciones IP atribuidas a la fuente de una comunicación siempre que el período de almacenamiento se limite a lo estrictamente necesario o proceder al almacenamiento generalizado y datos indiferenciados relativos a la identidad civil de los usuarios de los medios electrónicos de comunicación, sin que esta se limite en este último caso a un plazo determinado.
En los últimos años, el Tribunal de Justicia se ha pronunciado en varias sentencias sobre conservación y acceso a datos personales en el ámbito de las comunicaciones electrónicas. La jurisprudencia resultante, en particular la sentencia Tele2 Sverige y Watson y otros, en la que consideró en particular que los Estados miembros no podían imponer a los proveedores de servicios de comunicaciones electrónicas una obligación general e indiscriminada de conservación de los datos de tráfico y localización, ha despertado la preocupación de algunos Estados, por temor a verse privados de un instrumento que consideran necesario para salvaguardar la seguridad nacional y combatir la delincuencia.

En este contexto, el Tribunal de Poderes de Investigación (Privacy International, C-623/17), el Consejo de Estado (Francia) (La Quadrature du Net y otros, asuntos acumulados C-511/18 y C-512/18), así como el Tribunal Constitucional (Bélgica) (Auto de los colegios de abogados francófonos y germanoparlantes y otros, C-520/18) fueron sometidos a litigios sobre la legalidad de los reglamentos adoptados por determinados Estados miembros en estos ámbitos, que establecen, en particular, la obligación de los proveedores de servicios de comunicaciones electrónicas de transmitir a una autoridad pública o de conservar de forma generalizada o indiscriminada los datos de los usuarios relacionados con el tráfico y la ubicación.

Mediante dos sentencias dictadas en Gran Sala, el 6 de octubre de 2020, la Corte resolvió en primer lugar que la directiva de “privacidad y comunicaciones electrónicas” se aplica a las regulaciones nacionales que exigen que los proveedores de servicios de comunicaciones electrónicas procedan, a los efectos de desde la protección de la seguridad nacional y la lucha contra la delincuencia, hasta el tratamiento de datos personales, como su transmisión a las autoridades públicas o su almacenamiento. Además, si bien confirma su jurisprudencia resultante de la sentencia Tele2 Sverige y Watson y otros, sobre la naturaleza desproporcionada del almacenamiento generalizado e indiferenciado de datos relacionados con el tráfico y la ubicación, el Tribunal proporciona detalles, en particular, por lo que se refiere a la el alcance de las competencias conferidas por dicha Directiva a los Estados miembros en lo que respecta a la conservación de dichos datos para los fines antes mencionados.

En primer lugar, el Tribunal se ocupa de despejar las dudas sobre la aplicabilidad de la Directiva sobre privacidad y comunicaciones electrónicas planteadas en el contexto de los presentes casos. De hecho, varios Estados miembros que han presentado observaciones escritas al Tribunal de Justicia han expresado una opinión disidente a este respecto. Alegaron, en particular, que dicha Directiva no sería aplicable a las normativas nacionales en cuestión, en la medida en que su finalidad es salvaguardar la seguridad nacional, que es de su competencia exclusiva, como lo demuestra en particular el Artículo 4, apartado 2, tercera frase, TUE. El Tribunal considera, sin embargo, que la normativa nacional que exige a los proveedores de servicios de comunicaciones electrónicas que conserven los datos relacionados con el tráfico y la ubicación o que los transmitan a las autoridades nacionales de seguridad e inteligencia para tal fin entra dentro del ámbito de aplicación. de la directiva.

A continuación, el Tribunal reitera que la “Directiva sobre privacidad y comunicaciones electrónicas” no permite la derogación de la obligación en principio de garantizar la confidencialidad de las comunicaciones electrónicas y de los datos relacionados con ellas y de la prohibición de almacenar dichos datos para convertirse en el regla. Esto implica que esta directiva no autoriza a los Estados miembros a adoptar, entre otras cosas por motivos de seguridad nacional, medidas legislativas destinadas a limitar el alcance de los derechos y obligaciones previstos por esta directiva, en particular la obligación de garantizar la confidencialidad de los datos. comunicaciones y tráfico de datos, solo de conformidad con los principios generales del Derecho de la Unión, incluido el principio de proporcionalidad, y los derechos fundamentales garantizados por la Carta.

En este contexto, la Corte considera, por un lado, en el caso Privacy International, que la directiva sobre “privacidad y comunicaciones electrónicas”, leída a la luz de la Carta, excluye las regulaciones nacionales que exigen a los proveedores servicios de comunicaciones electrónicas, con miras a salvaguardar la seguridad nacional, la transmisión generalizada e indiferenciada a los servicios de seguridad e inteligencia de datos de tráfico y localización.

Por otro lado, en los asuntos acumulados La Quadrature du Net y otros, así como en el auto de exclusión francófono y germanoparlante, el Tribunal considera que la misma Directiva excluye medidas legislativas que exijan a los prestadores de servicios de comunicaciones Almacenamiento electrónico, como medida preventiva, generalizado e indiferenciado de datos relacionados con el tráfico y la ubicación. En efecto, estas obligaciones de transmisión y conservación generalizada e indiferenciada de tales datos constituyen una injerencia particularmente grave en los derechos fundamentales garantizados por la Carta, sin que el comportamiento de las personas cuyos datos se trate tenga ningún vínculo con el objetivo perseguido por las regulaciones en cuestión. Del mismo modo, el Tribunal interpreta el artículo 23, apartado 1, del Reglamento general de protección de datos, interpretado a la luz de la Carta, en oposición a la normativa nacional que exige a los proveedores de servicios acceso a servicios de comunicación en línea para el público y a proveedores de servicios de alojamiento almacenamiento generalizado e indiferenciado, en particular, de datos personales relacionados con estos servicios.

Por otra parte, el Tribunal considera que, en situaciones en las que el Estado miembro en cuestión se enfrenta a una grave amenaza a la seguridad nacional que resulta ser real y actual o previsible, la Directiva sobre privacidad y comunicaciones electrónicas, leída en a la luz de la Carta, no excluye exigir a los proveedores de servicios de comunicaciones electrónicas que mantengan los datos relacionados con el tráfico y la ubicación de manera generalizada e indiscriminada. En este contexto, la Corte precisa que la decisión que disponga esta medida cautelar, por un período limitado a lo estrictamente necesario, debe estar sujeta a un control efectivo, ya sea por un tribunal o por una entidad administrativa independiente, cuya decisión sea con efecto vinculante, con el fin de verificar la existencia de una de estas situaciones así como el cumplimiento de las condiciones y garantías otorgadas.

En esas mismas condiciones, dicha Directiva no se opone al análisis automatizado de los datos, en particular los relativos al tráfico y la ubicación, de todos los usuarios de los medios de comunicación electrónica.

La Corte agregó que la directiva sobre “privacidad y comunicaciones electrónicas”, leída a la luz de la Carta, no excluye la adopción de medidas legislativas que permitan el uso de la conservación dirigida, temporalmente limitada a lo estrictamente necesario, de los datos de tráfico. y el lugar, que se delimita, en base a elementos objetivos y no discriminatorios, según las categorías de personas interesadas o mediante un criterio geográfico. Asimismo, esta directiva no excluye que las medidas que prevean el almacenamiento generalizado e indiferenciado de direcciones IP atribuidas a la fuente de una comunicación, siempre que el período de almacenamiento se limite a lo estrictamente necesario, ni a los que prevean un tal retención de datos relacionados con la identidad civil de los usuarios de medios electrónicos de comunicación, en este último caso, los Estados miembros no están obligados a limitar temporalmente la retención. Además, dicha Directiva no se opone a una medida legislativa que permita el recurso al almacenamiento rápido de los datos disponibles para los proveedores de servicios cuando surjan situaciones en las que surja la necesidad de conservar dichos datos más allá de los plazos. retención legal de datos con el fin de esclarecer delitos graves o atentados contra la seguridad nacional, cuando estos delitos o atentados ya hayan sido notificados o cuando pueda sospecharse razonablemente de su existencia.

Además, la Corte dictaminó que la directiva sobre "privacidad y comunicaciones electrónicas", leída a la luz de la Carta, no excluye las regulaciones nacionales que exigen que los proveedores de servicios de comunicaciones electrónicas utilicen la recopilación de datos en tiempo real. en particular, datos relacionados con el tráfico y la ubicación, cuando esta recopilación se limite a personas respecto de las cuales exista una razón válida para sospechar que están involucradas, de una forma u otra, en actividades terrorismo y está sujeta a control previo, realizado ya sea por un tribunal o por una entidad administrativa independiente, cuya decisión tiene efecto vinculante, asegurando que dicha recopilación en tiempo real solo esté autorizada dentro del límite de lo estrictamente necesario.

En caso de emergencia, el control debe realizarse lo más rápido posible.

Por último, el Tribunal aborda la cuestión del mantenimiento de los efectos a lo largo del tiempo de las normativas nacionales consideradas incompatibles con el Derecho de la UE. En este sentido, considera que un órgano jurisdiccional nacional no puede aplicar una disposición de su Derecho nacional que le faculte para limitar en el tiempo los efectos de una declaración de ilegalidad que le incumba, en relación con regulaciones nacionales que exigen a los proveedores de servicios de comunicaciones electrónicas que mantengan un almacenamiento general e indiferenciado de los datos de tráfico y ubicación, considerados incompatibles con la directiva de “privacidad y comunicaciones electrónicas”, leída a la luz de la Carta.

Dicho esto, para dar una respuesta útil al órgano jurisdiccional nacional, el Tribunal recuerda que la admisibilidad y valoración de las pruebas que se han obtenido conservando datos contrarios al Derecho de la UE, en el en el contexto de procedimientos penales incoados contra personas sospechosas de actos delictivos graves, está, en el estado actual del Derecho de la Unión, sujeto únicamente al Derecho nacional. Sin embargo, el Tribunal precisa que la Directiva sobre "vida privada y comunicaciones electrónicas", interpretada a la luz del principio de efectividad, obliga al tribunal penal nacional a excluir las pruebas obtenidas mediante una retención generalizada e indiferenciada de datos relativos a tráfico y ubicación incompatibles con el Derecho de la Unión, en el contexto de tales procedimientos penales, si las personas sospechosas de actos delictivos no pueden adoptar una posición efectiva sobre estas pruebas.

Descarga la decisión
https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-10/cp200123fr.pdf

Virginie Gastine Menou
RIESGOS Y USTED
http://www.risquesetvous.fr/
https://www.linkedin.com/company/risques-et-vous

¡Comparte el artículo en las redes!

Artículos reciente:

Nombramiento - Elena Sokolovskaya

Riesgo y fraude | Pagos | Fintech LinkedIn Presenta una oferta de trabajo: https://graces.community/recruters/ Consulta las ofertas que más te convengan: https://job.graces.community/login

FMI: Perspectivas económicas regionales en Europa

Este informe describe los desarrollos recientes y las perspectivas económicas de los países de varias regiones. También se ocupa de las políticas que conducen a resultados económicos regionales y especifica los problemas a los que se enfrentan los responsables de la toma de decisiones.

FMI: Monitor Fiscal

Acción presupuestaria para combatir la pandemia COVID-19
Una hoja de ruta para las medidas presupuestarias a tomar durante las diferentes fases de la pandemia
Inversiones públicas para la recuperación

es_ESEspañol
es_ESEspañol fr_FRFrançais en_USEnglish