Retención de datos de tráfico, intimidad y procesos penales

En 1997 se constituyó el Comité de Expertos para la realización en el ámbito del Consejo de Europa de un Convenio internacional sobre cibercrimen, que sería firmado en Budapest en noviembre de 2001. Durante su tramitación se abrieron al debate algunas de las propuestas del texto, entre las que figuraba la retención y almacenamiento de los datos de tráfico de las comunicaciones por un período de hasta dos años. El rechazo a esa propuesta, basado en la afectación al derecho a la intimidad, fue tan severo que el texto final se conformó con el almacenamiento por un período de noventa días, a los meros efectos de la facturación entre compañías por servicios de roaming.

Poco después, la Directiva 2005/29/CE, de protección de datos, incurría en una fascinante contradicción bajo la cual, al tiempo que se prohibía el almacenamiento masivo de datos de tráfico de las comunicaciones para fines distintos de la facturación entre compañías y por período limitado a noventa días, se permitía a los Estados miembros la creación de normas que permitiesen dicho almacenamiento hasta por dos años a los efectos de la prevención del delito.

Esa contradicción en sus términos acabó plasmándose en la Directiva 2006/24/CE, sobre conservación de datos gestados o tratados en el ámbito de las comunicaciones electrónicas. Una norma de habilitación a los Estados Miembro para fabricar, ya sin tapujos, normas que permitiesen que cada conexión a Internet, cada llamada, cada toque de móvil, quedase registrado en gigantescas bases de datos, por si un día fuese necesario acceder a ellas para prevenir el delito. Nada se decía de la exigencia de autorización judicial para acceder a dichos datos, ni de si el tiempo de almacenamiento debía variar en función de los datos, ni si aplicaba a todos los ciudadanos por igual o debía discriminarse de algún modo.

Europa y un grupo de expertos

Europa cuenta con un grupo de expertos en protección de datos. Desde hace décadas, dicho grupo, viene advirtiendo de los riesgos para la intimidad que genera la acumulación de datos del tráfico de las comunicaciones en los servidores de los prestadores de servicios. Porque la acumulación de datos del tráfico de las comunicaciones pone en riesgo elementos de intimidad del individuo que únicamente deberían poder ser controlados bajo el paraguas del principio de proporcionalidad: ponderando la necesidad concreta (nunca abstracta o, mejor, no solo) de la medida de retención, su duración, la existencia o no de alternativas a medidas que suponen un riesgo para los derechos fundamentales. El rastro de una comunicación, es decir, cuándo se estableció y con quien, cuánto duró y cuál fue el siguiente destino del comunicante, es una información demasiado preciada como para privar a los individuos de su derecho al secreto. Europa siempre había caminado en esa dirección. La misma dirección a la que renunció en 2006 para garantizar nuestra libertad.

(Foto: E&J)

Mientras la Directiva se trasponía con mayor o menor fortuna a los ordenamientos de los Estados Miembro, el Tribunal de Justicia de la Unión Europea (TJUE), mascullaba su primer golpe a la Directiva: el 8 de abril de 2014 declaró su nulidad sobre la base de una más que evidente lesión del derecho a la intimidad de los ciudadanos de la Unión. Baste una sola frase de la resolución para comprender la preocupación del Tribunal: “que la conservación de los datos y su posterior utilización se efectúen sin que el abonado o el usuario registrado hayan sido informados de ello puede generar en las personas afectadas el sentimiento de que su vida privada es objeto de una vigilancia constante”.

El 21 de diciembre de 2016 el TJUE volvía a pronunciarse al hilo de una cuestión prejudicial y no sólo reafirmó la nulidad de la Directiva de 2006, sino que alertó de la radical oposición al artículo 8 del Convenio Europeo de Derechos Humanos de cualquier norma de trasposición a los Estados Miembro gestada a imagen y semejanza de aquella Directiva.

En su resolución de 20 de septiembre de 2022, el TJUE vuelve a confirmar su doctrina. La sala contencioso-administrativa del Tribunal Supremo Alemán interrogó al TJUE, como cuestión prejudicial, si la normativa alemana de trasposición de la Directiva, que establece períodos mucho más restringidos (cuatro y diez semanas de almacenamiento en función de los datos) y para datos mucho más selectivos que los que establecía la Directiva de 2006, es acorde al Derecho de la Unión.

A pesar de las restricciones, el TJUE recuerda que el Derecho de la Unión: (i) “se opone a una legislación nacional que establezca, con carácter preventivo, a efectos de la lucha contra la delincuencia grave y la prevención de amenazas graves contra la seguridad pública, una conservación generalizada e indiferenciada de los datos de tráfico y de localización”; (ii) “no se opone a una legislación nacional que permita, a efectos de la protección de la seguridad nacional, recurrir a un requerimiento efectuado a los proveedores de servicios de comunicaciones electrónicas para que procedan a una conservación generalizada e indiferenciada de los datos de tráfico y de localización, en situaciones en las que el Estado miembro en cuestión se enfrenta a una amenaza grave para la seguridad nacional”.

Y, bajo estas premisas, responde al Tribunal Supremo alemán que: ese “conjunto de datos de tráfico y de localización conservados durante, respectivamente, diez y cuatro semanas puede permitir extraer conclusiones muy precisas sobre la vida privada de las personas cuyos datos se conservan, como los hábitos de la vida cotidiana, los lugares de estancia permanentes o temporales, los desplazamientos diarios u otros, las actividades ejercidas, las relaciones sociales de esas personas y los medios sociales que frecuentan, y, en particular, establecer un perfil de estas personas”.

TJUE. (Foto: Archivo)

El TJUE concreta, así, su doctrina de 2016. Y envía un mensaje alto y claro a todos los Estados Miembro, incluido lógicamente España: cualquier parecido de su legislación nacional con la Directiva de 2006 implica una clara confrontación con el Derecho de la Unión y, en particular, con el derecho a la intimidad de los ciudadanos. España mantiene vigente su Ley 25/2007, de 18 de octubre, sobre conservación de datos relativos a las comunicaciones electrónicas, luego desarrollada en cuanto al acceso a esos datos por los artículos 588 ter j y ss. de la LECrim., en la redacción dada en octubre de 2015.

La STS 54/2024, de 18 de enero, revisa la adecuación de nuestra norma de trasposición y el complemento operado por la reforma de 2015 sobre el artículo 588 ter, letra j) y ss. de la LECrim. La Sala se recrea en el establecimiento en la ley española de un control judicial para al acceso a los datos almacenados, y proclama que son objeto de custodia por el proveedor de servicios, sin referencia alguna a qué norma le obliga a practicar qué tipo de custodia y bajo qué medidas de seguridad. La resolución se detiene en la incapacidad del proveedor de acceder por sí mismo a esa información, o manipularla o procesarla, así como el hecho de que solo puede accederse a ella en caso de delitos graves, que el 588 LECrim. ha rebajado a delitos con mínimo de pena máxima de tres años.

Pero la resolución ignora la clave de bóveda de la nulidad, que es el hecho mismo de la obligación de retención, que al TJUE resulta insoportable para una razonable vigencia del derecho a la intimidad: “que la conservación de los datos y su posterior utilización se efectúen sin que el abonado o el usuario registrado hayan sido informados de ello puede generar en las personas afectadas el sentimiento de que su vida privada es objeto de una vigilancia constante”. Este es el elemento fundamental. El almacenamiento mismo.

Mientras la Sala Segunda considera un éxito español que “(i) La ley española obliga a la conservación de datos de tráfico y localización durante un año…”, el TJUE contesta a Alemania que la conservación durante cuatro o diez semanas permite sacar conclusiones sobre la vida privada de las personas y excede por lo tanto de la actuación proporcionada de un Estado en relación con un derecho esencial para la convivencia comunitaria: la intimidad.

La Sala Segunda pudo haber elevado cuestión prejudicial, pero a la vista del precedente alemán, la respuesta habría sido francamente previsible. De la eventual nulidad que pueda declarar el Tribunal Constitucional conforme a la reiterada y contumaz jurisprudencia del TJUE podrían derivar graves nulidades en procesos penales alimentados por dichos datos desde su inicio. Una lesión inaceptable del derecho a la intimidad del ciudadano y un riesgo innecesario para la realización de la Justicia, apoyada en normas claramente contrarias a los compromisos internacionales suscritos por nuestro país. Un aliciente para una reforma serena pero urgente.