El Tribunal de Justicia de la Unión Europea en su Sentencia de 8 de abril de 2014, respondiendo a dos peticiones de decisión prejudicial planteadas por la High Court (Irlanda) y el Verfassungsgerichtshof (Austria), ha declarado inválida la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE, por contravenir la Carta de Derechos Fundamentales de la Unión Europea.
Según el tribunal, la Directiva 2006/24:
a) Abarca de manera generalizada a todas las personas, medios de comunicación electrónica y datos relativos al tráfico sin que se establezca ninguna diferenciación, limitación o excepción en función del objetivo de lucha contra los delitos graves.
b) Afecta con carácter global a todas las personas que utilizan servicios de comunicaciones electrónicas, sin que las personas cuyos datos se conservan se encuentren, ni siquiera indirectamente, en una situación que pueda dar lugar a acciones penales.
c) No exige ninguna relación entre los datos cuya conservación se establece y una amenaza para la seguridad pública y, en particular, la conservación no se limita a datos referentes a un período temporal o zona geográfica determinados o a un círculo de personas concretas que puedan estar implicadas de una manera u otra en un delito grave, ni a personas que por otros motivos podrían contribuir, mediante la conservación de sus datos, a la prevención, detección o enjuiciamiento de delitos graves.
d) No fija ningún criterio objetivo que permita delimitar el acceso de las autoridades nacionales competentes a los datos y su utilización posterior con fines de prevención, detección o enjuiciamiento de delitos.
e) No precisa las condiciones materiales y de procedimiento correspondientes para el acceso de las autoridades nacionales competentes a los datos y su utilización posterior, ni establece ningún criterio objetivo que permita limitar el número de personas que disponen de la autorización de acceso y utilización posterior de los datos conservados a lo estrictamente necesario teniendo en cuenta el objetivo perseguido.
f) Prescribe la conservación de los datos durante un período mínimo de seis meses sin que se establezca ninguna distinción entre las categorías de datos en función de su posible utilidad para el objetivo perseguido o de las personas afectadas.
g) No contiene garantías suficientes que permitan asegurar una protección eficaz de los datos conservados contra los riesgos de abuso y contra cualquier acceso y utilización ilícitos respecto de tales datos.en lo que respecta a las reglas relativas a la seguridad y a la protección de los datos conservados.
h) No obliga a que los datos en cuestión se conserven en el territorio de la Unión, por lo que no puede considerarse que el control del cumplimiento de los requisitos de protección y seguridad está plenamente garantizado por una autoridad independiente.
Por todo ello la Sentencia se pronuncia en el sentido que debe considerarse que la Directiva 2006/24 constituye una injerencia en los derechos fundamentales de gran magnitud y especial gravedad en el ordenamiento jurídico de la Unión y declara inválida la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE.
Jordi Bacaria Martrus
Managing Partner – Global Legal Data
jbacaria@legal-data.net