La justicia europea anula la ley de datos de la UE por "incompatible" con derechos fundamentales
- Es una injerencia de "especial gravedad" a la privacidad y protección de datos
- La directiva se aprobó en 2006 como respuesta a los problemas de seguridad
El Tribunal de Justicia de la Unión Europea (TJUE) ha declarado "inválida" la directiva que obliga a los operadores de telefonía a conservar los datos de las telecomunicaciones hasta dos años para la lucha contra el terrorismo y los delitos graves.
Así, considera que constituye "una injerencia de gran magnitud y especial gravedad" en los derechos fundamentales a la privacidad y a la protección de datos.
La directiva del Parlamento y del Consejo Europeo se aprobó en 2006 como respuesta a los problemas urgentes de seguridad detectados tras los atentados terroristas del 11 de marzo en Madrid en 2004 y del 7 de julio en Londres en 2005.
La norma obliga a los proveedores a conservar los datos de tráfico y de localización, así como aquellos necesarios para identificar al abonado o al usuario. En cambio, no autoriza la conservación del contenido de la comunicación ni de la información consultada.
Datos que se conservaban
El fallo del TJUE responde a sendas cuestiones prejudiciales presentadas desde Irlanda y Austria.
El Tribunal de Justicia señala, en primer lugar, que los datos que se conservaban permitían saber con qué persona y de qué modo se ha comunicado un abonado o un usuario registrado, determinar el momento de la comunicación y el lugar desde el que ésta se ha producido y conocer la frecuencia de las comunicaciones del abonado o del usuario registrado con determinadas personas durante un período concreto.
"Estos datos, considerados en su conjunto, pueden proporcionar indicaciones muy precisas sobre la vida privada de las personas cuyos datos se conservan, como los hábitos de la vida cotidiana, los lugares de residencia permanentes o temporales, los desplazamientos diarios u otros, las actividades realizadas, las relaciones sociales y los medios sociales frecuentados", denuncia el fallo.
Injerencia grave en la vida privada
"Al imponer la conservación de estos datos y al permitir el acceso a las autoridades nacionales competentes -prosigue el Tribunal-, la directiva se inmiscuye de manera especialmente grave en los derechos fundamentales al respeto de la vida privada y a la protección de datos de carácter personal".
"Además, el hecho de que la conservación y la utilización posterior de los datos se efectúen sin que el abonado o el usuario registrado sea informado de ello puede generar en las personas afectadas el sentimiento de que su vida privada es objeto de una vigilancia constante", resalta la sentencia.
El Tribunal de Justicia admite que la conservación de los datos "responde efectivamente a un objetivo de interés general, a saber, la lucha contra la delincuencia grave y, en definitiva, la seguridad pública". Sin embargo, estima que se han sobrepasado los límites que exige el respeto del principio de proporcionalidad.
"La injerencia amplia y especialmente grave de la directiva en los derechos fundamentales que se trata no está suficientemente regulada para garantizar que dicha injerencia se limite efectivamente a lo estrictamente necesario", apunta la sentencia.
Así, la directiva "abarca de manera generalizada a todas las personas, medios de comunicación electrónica y datos relativos al tráfico sin que se establezca ninguna diferenciación, limitación o excepción en función del objetivo de lucha contra los delitos graves".
En segundo lugar, la directiva "no fija ningún criterio objetivo que permita garantizar que las autoridades nacionales competentes únicamente tendrán acceso a los datos y podrán utilizarlos para prevenir, detectar o reprimir penalmente delitos que, por la magnitud y la gravedad de la injerencia en los derechos fundamentales en cuestión, puedan considerarse suficientemente graves para justificar tal injerencia".
En particular, el acceso a los datos no se supedita al control previo de un órgano jurisdiccional o de un organismo administrativo autónomo.
En tercer lugar, en lo que atañe al período de conservación de los datos, la norma prescribe un período de entre seis y dos años sin precisar "los criterios objetivos con arreglo a los que debe determinarse el periodo de conservación para garantizar que se limite a lo estrictamente necesario".
Sin garantías de protección de datos
El Tribunal de Justicia considera asimismo que la directiva no contiene garantías suficientes que permitan asegurar una protección eficaz de los datos contra los riesgos de abuso y contra cualquier acceso y utilización ilícitos de los datos.
"En particular, autoriza a los proveedores de servicios a tener en cuenta consideraciones económicas al determinar el nivel de seguridad que aplican -especialmente en lo que respecta a los costes de aplicación de las medidas de seguridad- y no garantiza la destrucción definitiva de los datos al término de su período de conservación", señala el fallo.
Finalmente, la sentencia censura que la directiva no obliga a que los datos se conserven en el territorio de la Unión Europea.