Tratamiento de los datos personales en el sector de las comunicaciones electrónicas con motivo de un proceso penal

01 · Hechos

La Sentencia del Tribunal de Justicia de 2 de marzo de 2021, Prokuratuur (C-746/18), trae causa de una cuestión prejudicial planteada en el contexto de un litigio penal en Estonia. Dicho proceso fue incoado contra una persona por el cargo, entre otros, de utilización fraudulenta de la tarjeta bancaria de un tercero. La condena a esta ciudadana se basó en los atestados policiales confeccionados a partir de datos obtenidos de las comunicaciones electrónicas mantenidas.

La obtención de esos datos se produjo en virtud del derecho nacional estonio, concretamente, la Ley de Comunicaciones Electrónicas, que prevé la obligación de los proveedores de servicios de conservar los datos relativos a las comunicaciones de los usuarios.

Los datos fueron obtenidos del proveedor de servicios de telecomunicaciones electrónicas tras la autorización de la Fiscalía y se referían a datos relativos a los números de teléfono de la investigada y a distintas identidades internacionales del equipo móvil de esta, respecto a un período de tiempo concreto.

Tras la condena en primera instancia y en apelación, finalmente, la condenada interpuso recurso de casación refutando, entre otras cosas, la admisibilidad de los atestados policiales elaborados a partir de los datos recabados del proveedor de servicios de comunicaciones electrónicas.

Las cuestiones prejudiciales giran en torno a (i) si el acceso de las autoridades a los datos electrónicos de los ciudadanos representa una injerencia tan grave que deba limitarse solo a la lucha contra la delincuencia grave, (ii) si la cantidad de datos accesibles influye en el grado de injerencia, (iii) si la injerencia en la privacidad de los usuarios puede estar justificada si existen objetivos de prevención, investigación, descubrimiento y persecución de los delitos y, por último, si el Ministerio Fiscal estonio puede ser considerado autoridad independiente, como para que pueda autorizar la injerencia sobre los datos electrónicos de los usuarios.

02 · Pronunciamientos

En primer lugar, para las dos primeras cuestiones prejudiciales, la sentencia examina el derecho nacional estonio, concretamente, la Ley de Comunicaciones Electrónicas que obliga a los proveedores de servicios a la conservación generalizada e indiferenciada de los datos de tráfico y localización (rastrear e identificar el origen y el destino de comunicaciones, fechas, horas, duración y naturaleza de la comunicación, identificar equipos, frecuencia) para cualquier tipo de delito y analiza, asimismo, la Directiva 2002/58/CE de 12 julio de 2002 (modificada en 2009) relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas.

El Tribunal de Justicia, como ha venido declarando en diversas sentencias previas, se opone a medidas legislativas nacionales que establezcan la conservación generalizada e indiferenciada de los mencionados datos con carácter preventivo. El acceso a los datos sobre comunicaciones electrónicas solo puede estar justificado por el interés general, y, por ello, debería analizarse la gravedad de la pretendida injerencia en relación con el interés general perseguido.

En vista de lo anterior, como el acceso a los datos de tráfico o de localización de los usuarios, prevista en la Ley de Comunicaciones Electrónicas estonia supone una injerencia grave de sus derechos fundamentales, recogidos en artículos 7 y 8 de la Carta de los Derechos Fundamentales de la UE, de conformidad con el principio de proporcionalidad, solo la lucha contra la delincuencia grave y la prevención de amenazas graves contra la seguridad pública pueden justificar tales injerencias.

La sentencia indica, en cambio, que los meros datos no vinculados con las comunicaciones realizadas y obtenidos sobre la identidad civil de los usuarios, no pueden considerarse injerencia grave, ya que ninguna información sobre la vida privada de los usuarios se desprende de dichos datos. La injerencia en esos casos podría estar justificada para el objetivo de prevenir, investigar, descubrir y perseguir delitos en general, sin necesidad de que los mismos sean graves.

(Imagen: Pixabay)

Entiende en definitiva el TJ que el conjunto de datos que se pueden almacenar en virtud de la Ley de Comunicaciones Electrónicas estonia conllevaría la extracción de conclusiones precisas sobre la vida privada de las personas cuyos datos se han conservado, sobre sus hábitos, su vida cotidiana, lugares de residencia, desplazamientos, etc., independientemente de la cantidad de datos recabados.

En relación con la última cuestión prejudicial, sobre si el Ministerio Fiscal estonio puede ser considerado una autoridad administrativa independiente que pueda autorizar el acceso de las fuerzas policiales a los datos de las comunicaciones electrónicas de los usuarios, la sentencia se opone a una normativa nacional que atribuya tal competencia al Ministerio Fiscal.

Precisamente, aunque entre las funciones del Fiscal esté la de actuar de manera independiente, lo cierto es que el Ministerio Fiscal no dispone de una postura neutral en el procedimiento, ya que ejerce la acusación pública ante el órgano jurisdiccional y, por tanto, es parte en el procedimiento judicial.

Deduce la sentencia, por tanto, que el Ministerio Fiscal estonio no puede llevar a cabo el control previo sobre la injerencia de los datos de comunicaciones electrónicas que afectan a la privacidad de los usuarios.

Por último, la sentencia indica que la falta de control del Ministerio Fiscal no puede suplirse con un control posterior, por ejemplo, de un órgano jurisdiccional, ya que el control independiente debería realizarse desde el inicio, esto es, antes de cualquier acceso a los datos privados de los usuarios, salvo en caso de urgencia debidamente justificada.

03 · Comentario

Esta sentencia del TJ, junto con otras de años anteriores, viene a consolidar su doctrina de oposición a normas nacionales que recojan la conservación de datos de comunicaciones electrónicas de forma generalizada e indiferenciada, como es el caso de la ley estonia, aunque también podría predicarse de la ley española (Ley 25/2007 de 18 de octubre).

La sentencia viene a establecer que las autoridades pueden acceder a los datos de las comunicaciones electrónicas de los usuarios, tanto para la prevención como para la investigación, descubrimiento y persecución de cualquier tipo de delito.

No obstante, la injerencia que se produzca en la privacidad de los usuarios, y, en definitiva, en los derechos fundamentales de los mismos, debería depender de si el delito es grave o no. Por tanto, debemos estar al principio de proporcionalidad.

Lo que no ha establecido el TJ es qué tipos de delitos son considerados graves y, por tanto, parece estar al arbitrio de los propios estados miembros.