Edición provisional
CONCLUSIONES DEL ABOGADO GENERAL
M. CAMPOS SÁNCHEZ-BORDONA
presentadas el 18de noviembre de 2021(1)
Asuntos acumulados C‑793/19 y C‑794/19
Bundesrepublik Deutschland
contra
SpaceNet AG (C‑793/19)
Telekom Deutschland GmbH (C‑794/19)
[Peticiones de decisión prejudicial planteadas por el Bundesverwaltungsgericht (Tribunal Supremo de lo contencioso administrativo, Alemania)]
«Cuestión prejudicial— Telecomunicaciones— Tratamiento de datos de carácter personal y protección de la vida privada en el sector de las comunicaciones electrónicas— Directiva 2002/58/CE — Artículo 15, apartado1— Artículo 4TUE, apartado2 — Carta de los Derechos Fundamentales de la Unión Europea— Artículos 6, 7, 8, 11 y 52, apartado1— Conservación generalizada e indiferenciada de los datos de conexión a los fines de la represión de las infracciones penales graves o de la prevención de un riesgo concreto para la seguridad nacional»
1.Estas peticiones de decisión prejudicial, a las que se suma la del asunto C‑140/20,(2) ponen de manifiesto, una vez más, la preocupación suscitada en algunos Estados miembros por la jurisprudencia del Tribunal de Justicia sobre la conservación y el acceso a los datos personales generados en el sector de las comunicaciones electrónicas.
2.En las conclusiones de los asuntos C‑511/18 y C‑512/18, La Quadrature du Net y otros,(3) y C‑520/18, Ordre des barreaux francophones et germanophone y otros,(4) señalé como hitos más destacados de esa jurisprudencia, hasta aquel momento, los siguientes:
—La sentencia de 8 de abril de 2014, Digital Rights Ireland y otros,(5) que declaró la invalidez de la Directiva 2006/24/CE(6) por cuanto comportaba una injerencia desproporcionada en los derechos reconocidos por los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»).
—La sentencia de 21 de diciembre de 2016, Tele2 Sverige y Watson y otros,(7) en la que se declaró que el artículo 15, apartado 1, de la Directiva 2002/58/CE(8) se opone a una normativa nacional que prevea la conservación generalizada e indiferenciada de los datos de tráfico y de localización a los efectos de la lucha contra la criminalidad grave.
—La sentencia de 2 de octubre de 2018, Ministerio Fiscal,(9) que confirmó la interpretación del artículo 15, apartado 1, de la Directiva 2002/58, precisando la importancia del principio de proporcionalidad al respecto.
3.En 2018, algunos órganos jurisdiccionales de ciertos Estados miembros se dirigieron al Tribunal de Justicia, en sendas peticiones de decisión prejudicial, reflejando sus dudas sobre si aquellas sentencias (de 2014, 2016 y 2018) pudieran despojar a las autoridades estatales de un instrumento necesario para la salvaguardia de la seguridad nacional y la lucha contra la criminalidad y el terrorismo.
4.Cuatro de esas peticiones de decisión prejudicial dieron lugar a las sentencias Privacy International(10) y La Quadrature du Net y otros,(11) ambas de 6 de octubre de 2020, que corroboraron, sustancialmente, la doctrina de la sentencia Tele2 Sverige, si bien introdujeron algunos matices complementarios.
5.Por su origen (la Gran Sala del Tribunal de Justicia), por su contenido y por su afán de explicar pormenorizadamente, en diálogo con los órganos judiciales de reenvío, los motivos que, pese a todo, justifican las tesis en ellas expuestas, podría esperarse que esas dos sentencias «recapitulativas» de 6 de octubre de 2020 hubieran zanjado el debate. A cualquier otra petición de decisión prejudicial sobre el mismo tema correspondería, pues, un auto motivado de los previstos en el artículo 99 del Reglamento de Procedimiento del Tribunal de Justicia.
6.Sin embargo, antes del 6 de octubre de 2020, se habían registrado en el Tribunal de Justicia otras tres peticiones de decisión prejudicial (las dos acumuladas en este procedimiento y la del asunto C‑140/20) cuyo contenido volvía a cuestionar la jurisprudencia establecida en relación con el artículo 15, apartado 1, de la Directiva 2002/58.
7.El Tribunal de Justicia hizo saber a los órganos judiciales de reenvío las sentencias de 6 de octubre de 2020, por si deseaban retirar sus peticiones de decisión prejudicial. Ante su insistencia en mantenerlas, como después expondré,(12) se ha optado por no aplicar el artículo 99 del Reglamento de Procedimiento y que la Gran Sala del Tribunal de Justicia las responda.
I.Marco normativo
A.Derecho de la Unión. Directiva 2002/58
8.Según el apartado 1 del artículo 5 («Confidencialidad de las comunicaciones»):
«Los Estados miembros garantizarán, a través de la legislación nacional, la confidencialidad de las comunicaciones, y de los datos de tráfico asociados a ellas, realizadas a través de las redes públicas de comunicaciones y de los servicios de comunicaciones electrónicas disponibles al público. En particular, prohibirán la escucha, la grabación, el almacenamiento u otros tipos de intervención o vigilancia de las comunicaciones y los datos de tráfico asociados a ellas por personas distintas de los usuarios, sin el consentimiento de los usuarios interesados, salvo cuando dichas personas estén autorizadas legalmente a hacerlo de conformidad con el apartado 1 del artículo 15. El presente apartado no impedirá el almacenamiento técnico necesario para la conducción de una comunicación, sin perjuicio del principio de confidencialidad».
9.El artículo 6 («Datos de tráfico») preceptúa:
«1.Sin perjuicio de lo dispuesto en los apartados 2, 3 y 5 del presente artículo y en el apartado 1 del artículo 15, los datos de tráfico relacionados con abonados y usuarios que sean tratados y almacenados por el proveedor de una red pública de comunicaciones o de un servicio de comunicaciones electrónicas disponible al público deberán eliminarse o hacerse anónimos cuando ya no sea necesario a los efectos de la transmisión de una comunicación.
2.Podrán ser tratados los datos de tráfico necesarios a efectos de la facturación de los abonados y los pagos de las interconexiones. Se autorizará este tratamiento únicamente hasta la expiración del plazo durante el cual pueda impugnarse legalmente la factura o exigirse elpago.
10.El artículo 15 («Aplicación de determinadas disposiciones de la Directiva 95/46/CE»)(13) prevé en su apartado1:
«Los Estados miembros podrán adoptar medidas legales para limitar el alcance de los derechos y las obligaciones que se establecen en los artículos 5 y 6, en los apartados 1 a 4 del artículo 8 y en el artículo 9 de la presente Directiva, cuando tal limitación constituya una medida necesaria proporcionada y apropiada en una sociedad democrática para proteger la seguridad nacional (es decir, la seguridad del Estado), la defensa, la seguridad pública, o la prevención, investigación, descubrimiento y persecución de delitos o la utilización no autorizada del sistema de comunicaciones electrónicas a que se hace referencia en el apartado 1 del artículo 13 de la Directiva 95/46/CE. Para ello, los Estados miembros podrán adoptar, entre otras, medidas legislativas en virtud de las cuales los datos se conserven durante un plazo limitado justificado por los motivos establecidos en el presente apartado. Todas las medidas contempladas en el presente apartado deberán ser conformes con los principios generales del derecho comunitario, incluidos los mencionados en los apartados 1 y 2 del artículo 6 del Tratado de la Unión Europea».
B.Derecho nacional
1.Telekommunikationsgesetz (Ley de telecomunicaciones; en lo sucesivo, «TKG»)
11.El artículo 113a, apartado 1, señala:
«Las obligaciones relativas a la conservación, utilización y seguridad de los datos de tráfico definidas en los artículos 113b a 113g se refieren a los operadores que proveen a los usuarios finales servicios de telecomunicación accesibles al público».
12.El artículo 113b recoge:
«(1)Los operadores a los que se refiere el artículo 113a deben conservar los datos en el territorio nacional de la siguiente manera:
1.durante diez semanas si se trata de los datos a los que se refieren los apartados 2y3,
2.durante cuatro semanas si se trata de los datos de localización a los que se refiere el apartado4.
(2)Los proveedores de servicios telefónicos accesibles al público conservarán
1.el número de llamada u otra identificación de las líneas de origen y de destino, así como de cualquier otra línea utilizada en caso de redirección o de desvío de llamada,
2.la fecha y la hora del inicio y el fin de la comunicación, con indicación de la zona horaria,
3.las indicaciones relativas al servicio utilizado cuando puedan utilizarse servicios diferentes en el marco del servicio telefónico,
4.además, en el caso de servicios de telefonía móvil,
a)la identificación internacional del usuario móvil de la línea de origen y de destino,
b)la identificación internacional de las terminales de origen y de destino,
c)la fecha y la hora de la primera activación del servicio, con indicación de la zona horaria si se trata de servicios de pago anticipado,
5.así como, en el caso de los servicios de telefonía por internet, las direcciones IP (protocolo internet) de la línea de origen y de destino y los números de identificación asignados.
El primer párrafo se aplicará mutatis mutandis
1.en caso de comunicación por SMS, mensaje multimedia o similar; en este caso, las indicaciones referidas en el párrafo primero, punto 2, se sustituyen por el momento del envío y de la recepción del mensaje;
2.a las llamadas sin respuesta o infructuosas en razón de una intervención del gestor de la red [...].
(3)Los proveedores de servicios de acceso a internet accesibles al público conservarán
1.la dirección IP asignada al abonado a los fines de la utilización de internet,
2.la identificación clara de la conexión que permite el acceso a internet, así como el número de identificación atribuido,
3.la fecha y la hora del comienzo y el fin de la utilización de internet desde la dirección IP asignada, con indicación de la zona horaria.
(4)En caso de utilización de servicios de telefonía móvil, habrá de conservarse la designación de las células telefónicas utilizadas al inicio de la comunicación por quien hace la llamada y por quien la recibe. Por lo que hace a los servicios de acceso a internet accesibles al público, habrá de conservarse, en caso de utilización móvil, la designación de las células telefónicas utilizadas al inicio de la conexión a internet. Conviene igualmente conservar los datos que permiten conocer la posición geográfica y las direcciones de radiación máxima de las antenas que sirven a la célula telefónica concernida.
(5)El contenido de la comunicación, los datos relativos a los sitios internet consultados y los datos de los servicios de correo electrónico no pueden ser conservados en virtud de la presente disposición.
(6)Los datos subyacentes a las comunicaciones contempladas en el artículo 99, apartado 2, no pueden ser conservados en virtud de la presente disposición. Esto se aplica, mutatis mutandis, a las comunicaciones telefónicas procedentes de las entidades contempladas en el artículo 99, apartado 2. El artículo 99, apartado 2, frases segunda a séptima, se aplica mutatis mutandis.[(14)]
13.A tenor del artículo113c:
«(1)Los datos conservados en virtud del artículo 113b pueden
1.ser transmitidos a una autoridad represiva cuanto esta solicite la transmisión invocando una disposición legal que la autorice a reunir los datos contemplados en el artículo 113b a los fines de la represión de infracciones penales particularmente graves;
2.ser transmitidos a una autoridad de seguridad de los Länder cuando esta solicite la transmisión invocando una disposición legal que la autorice a reunir los datos contemplados en el artículo 113b a los fines de la prevención de un riesgo concreto para la integridad física, la vida o la libertad de una persona o bien para la existencia del Estado federal o del Land;
3.ser utilizados por el proveedor de servicios de telecomunicaciones accesibles al público para el suministro de informaciones a título del artículo 113, apartado 1, tercera frase.
(2)Los datos conservados en virtud del artículo 113b no pueden ser utilizados, por quienes están sujetos a las obligaciones establecidas en el artículo 113a, apartado 1, a otros fines que no sean los contemplados en el apartado1.
14.Con arreglo al artículo113d:
«El destinatario de la obligación prevista en el artículo 113a, apartado 1, debe velar por que los datos conservados de conformidad con el artículo 113b, apartado 1, en virtud de la obligación de conservación estén protegidos, por medidas técnicas y de organización conformes al estado de la técnica, contra el control y la utilización no autorizados. Estas medidas comprenden en particular:
1.la utilización de un procedimiento de encriptación particularmente seguro,
2.el almacenamiento en infraestructuras de almacenamiento distintas, separadas de las afectas a funciones operacionales corrientes,
3.el almacenamiento, dotado de un nivel de protección elevado contra los ciberataques, en sistemas informáticos de tratamiento de datos desconectados,
4.la restricción del acceso a las instalaciones utilizadas para el tratamiento de datos a las personas que dispongan de una habilitación especial conferida por el responsable de la obligacióny
5.la obligación de hacer intervenir, durante el acceso a los datos, al menos a dos personas que dispongan de una habilitación especial conferida por el responsable de la obligación».
15.El artículo113e reza:
«(1)El responsable de la obligación prevista en el artículo113a, apartado1, debe velar por que, a los fines del control de la protección de datos, se consigne cada acceso, y en particular la lectura, la copia, la modificación, la eliminación y el cierre, a los datos conservados de conformidad con el artículo113b, apartado1, en virtud de la obligación de conservación. Deben consignarse
1.la hora del acceso,
2.las personas que acceden a los datos,
3.el objeto y la naturaleza del acceso.
(2)Los datos consignados no pueden ser utilizados a otros fines que los del control de la protección de los datos.
(3)El responsable de la obligación prevista en el artículo113a, apartado1, debe velar por que los datos consignados se eliminen al cabo de un año».
2.Strafprozessordnung (Ley de enjuiciamiento criminal; en lo sucesivo, «StPO»)
16.El artículo 100g establece:
(2)Si determinados hechos permiten sospechar que alguien ha cometido, en calidad de autor o de cómplice, una de las infracciones penales particularmente graves contempladas en la segunda frase o, en los casos en los que la tentativa de una infracción es punible, ha intentado cometerla y si la infracción es también particularmente grave en el caso concreto, los datos relativos al tráfico, conservados de conformidad con el artículo 113b de la [TKG], pueden ser recogidos en el caso de que la investigación sobre los hechos o la localización de la persona investigada serían excesivamente difíciles o inviables por otros medios y si la recolección de los datos es proporcional a la importancia del asunto.
(4)No se autoriza la recolección de datos relativos al tráfico con arreglo al apartado 2 […] que pueda llevar a informaciones sobre las que la persona afectada podría negarse a prestar testimonio [...]».
17.El artículo 101a, apartado 1, somete a autorización judicial la recolección de datos relativos al tráfico con arreglo al artículo 100g de la StPO. En virtud del artículo 101a, apartado 2, de esa misma Ley, la decisión judicial debe ponderar la necesidad y la pertinencia de la medida en el caso concreto, cuya adopción ha de notificarse a los participantes en la comunicación (artículo 101, apartado 6, de la StPO).
II.Hechos, litigios y preguntas prejudiciales
18.SpaceNet AG y Telekom Deutschland GmbH son sociedades que prestan, en la República Federal de Alemania, servicios de acceso a internet disponibles al público.
19.Esas dos sociedades acudieron al Verwaltungsgericht (Tribunal de lo contencioso administrativo, Alemania) oponiéndose a la obligación de almacenar los datos de tráfico de las telecomunicaciones de sus clientes a partir del 1 de julio de 2017, impuesta por el artículo 113a, apartado 1, en relación con el artículo 113b, de laTKG.
20.Estimadas sus respectivas pretensiones en primera instancia, la Agencia federal de redes interpuso sendos recursos de casación («Revision») ante el Bundesverwaltungsgericht (Tribunal Supremo de lo contencioso administrativo), que, antes de dictar sentencia, ha acordado plantear en cada uno de los dos procedimientos esta pregunta prejudicial:
«¿Debe interpretarse el artículo 15 de la Directiva 2002/58/CE, a la luz de los artículos 7, 8, 11 y 52, apartado1, de la Carta […], por un lado, y del artículo 6 de la Carta […] y del artículo 4[TUE], por otro, en el sentido de que se opone a una normativa nacional que obliga a los proveedores de servicios de comunicaciones electrónicas disponibles al público a conservar los datos de tráfico y de localización de los usuarios finales de dichos servicios, cuando:
—la obligación en cuestión no está sujeta a ninguna condición específica, ya sea geográfica, temporal o espacial;
—en el caso de prestación de servicios de telefonía disponibles al público (incluida la transmisión de mensajes breves, multimedia o similares y de llamadas perdidas o no respondidas), la obligación en cuestión tiene por objeto los siguientes datos:
—el número de teléfono u otra identificación de la línea de origen y de destino y, en caso de redirección o desvío de llamada, de las demás líneas intervinientes;
—la fecha y hora de inicio y fin de la comunicación o, en caso de transmisión de mensajes breves, multimedia o similares, la hora de envío y recepción del mensaje, con indicación de la zona horaria;
—datos del servicio utilizado, en caso de que en el marco del servicio telefónico puedan utilizarse distintos servicios;
—en caso de servicios de telefonía móvil, además:
—la identificación internacional del usuario móvil para la línea de origen y de destino;
—la identificación internacional del terminal de origen y de destino;
—la fecha y hora de la primera activación del servicio, con indicación de la zona horaria, en caso de servicios de pago anticipado;
—denominación de las células utilizadas al inicio de la comunicación por la línea de origen y de destino;
—en caso de servicios de telefonía por internet, además, las direcciones de protocolo de Internet de la línea de origen y de destino y las identificaciones de usuario asignadas;
—en el caso de prestación de servicios de acceso a internet disponibles al público, la obligación de almacenamiento tiene por objeto los siguientes datos:
—la dirección de protocolo de internet asignada al usuario para cada uso de internet;
—una identificación exclusiva de la línea utilizada para el uso de internet, y la identificación de usuario asignada;
—la fecha y hora de inicio y fin del uso de internet con la dirección de protocolo de internet asignada, con indicación de la zona horaria;
—en caso de uso móvil, la denominación de la célula utilizada al inicio de la conexión;
—no se permite almacenar los siguientes datos:
—el contenido de la comunicación;
—datos de los sitios web visitados;
—datos de los servicios de correo electrónico;
—datos relativos a comunicaciones a o desde determinadas líneas de personas, autoridades u organizaciones de ámbitos sociales o religiosos;
—el plazo de conservación de los datos de localización, es decir, la denominación de la célula utilizada, es de cuatro semanas; para los demás datos, el plazo es de diez semanas;
—se garantiza una protección efectiva de los datos almacenados frente a cualquier uso indebido y frente a cualquier acceso no autorizado, y
—solo se permite la utilización de los datos almacenados con fines de investigación de delitos graves y para la prevención de un riesgo concreto para la vida, la integridad física o la libertad de las personas o para la seguridad de la Federación o de un Land, con excepción de la dirección de protocolo de internet asignada al usuario para cada uso de internet, cuya utilización se autoriza en el marco de transmisiones de extractos de la base de datos con fines de investigación de cualquier tipo de delito y para prevenir riesgos para la seguridad pública y el orden público y no obstaculizar las funciones de los servicios de inteligencia?»
21.Según explica el órgano judicial de reenvío, la regulación de la obligación controvertida se modificó por una Ley de 10 de diciembre de 2015,(15) cuya aprobación era necesaria tras:
—la sentencia del Bundesverfassungsgericht (Tribunal Constitucional Federal, Alemania) de 2 de marzo de 2010,(16) por la que se declararon inconstitucionales las disposiciones anteriores relativas a la conservación de datos;y
—la declaración de nulidad de la Directiva 2006/24, para cuya transposición se habían adoptado esas disposiciones.
22.El tribunal de reenvío considera que la obligación de almacenamiento controvertida restringe los derechos recogidos en el artículo 5, apartado 1, el artículo 6, apartado 1, y el artículo 9, apartado 1, de la Directiva 2002/58. En su opinión, dicha restricción únicamente estaría justificada si pudiera ampararse en el artículo 15, apartado 1, de esa Directiva.
23.Para el tribunal a quo, no obstante la doctrina de la sentencia Tele2 Sverige, la obligación objeto de litigio pudiera encontrar fundamento en el artículo 15, apartado 1, de la Directiva 2002/58,pues:
—Las normas nacionales aplicables no exigen el almacenamiento de todos los datos de tráfico de telecomunicaciones de todos los usuarios y abonados en relación con todos los medios de comunicación electrónicos.
—Esas normas han reducido sustancialmente (hasta un máximo de diez semanas) el plazo de almacenamiento, respecto del previsto en las legislaciones analizadas en la sentencia Tele2 Sverige y del contemplado en la Directiva 2006/24, lo que hace más difícil la elaboración de perfiles.
—Se han impuesto estrictas limitaciones en materia de protección, de acceso y de utilización de los datos almacenados.
—El legislador se habría circunscrito a cumplir los deberes de actuación que comporta el derecho a la seguridad (artículo 6 de la Carta).(17)
—Si, con carácter general, el almacenamiento de datos «sin motivo»(18) no pudiera ampararse en el artículo 15, apartado 1, de la Directiva 2002/58 (esto es, si fuera irrelevante la forma en la que se legisle sobre los medios de telecomunicación afectados, los tipos de datos almacenados, la duración del almacenamiento, las condiciones para el acceso a esos datos y la protección frente a los riesgos de uso indebido), se vería mermado de manera sustancial el margen de actuación del legislador nacional en un ámbito que, como el relativo a la persecución de los delitos y a la seguridad pública, sigue siendo, con arreglo al artículo 4TUE, apartado 2, tercera frase, responsabilidad exclusiva de los Estados miembros.
—Se ha de procurar la coherencia entre los derechos garantizados por la Carta y los reconocidos por el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales (en lo sucesivo, «CEDH»), interpretados por el Tribunal Europeo de Derechos Humanos (en lo sucesivo, «TEDH»), sin perjuicio de la autonomía del derecho de la Unión y de la autoridad del Tribunal de Justicia.
III.Procedimiento ante el Tribunal de Justicia
24.Las peticiones de decisión prejudicial se registraron en el Tribunal de Justicia el 29 de octubre de2019.
25.Han depositado observaciones escritas SpaceNet, Telekom Deutschland, los Gobiernos alemán, danés, español, estonio, finlandés, francés, irlandés, neerlandés, polaco y sueco, así como la Comisión.
26.Requerido el tribunal de reenvío para que se pronunciara sobre la eventual retirada de la cuestión prejudicial, una vez dictada la sentencia La Quadratura du Net, manifestó, el 13 de enero de 2021, su propósito de mantenerla, pues no podía entenderse resuelta con aquella sentencia.
27.La vista pública, celebrada conjuntamente con la del asunto conexo C‑140/20, tuvo lugar el 13 de septiembre de 2021, habiendo comparecido, además de quienes han presentado observaciones escritas en este procedimiento, la Agencia federal de redes y el Supervisor Europeo para la Protección de Datos.
IV.Análisis
A.Consideración preliminar
28.El tratamiento de estas dos peticiones de decisión prejudicial puede hacerse analizándolas tal como fueron planteadas en principio, o bien atendiendo preferentemente a las consideraciones que el tribunal de reenvío ha invocado, al responder al Tribunal de Justicia el 13 de enero de 2021, para justificar su mantenimiento, tras conocer la sentencia La Quadrature duNet.
29.Aun cuando abordaré de modo sucinto los extremos más relevantes de las peticiones originarias de decisión prejudicial, me centraré en el análisis de los motivos por los que, a juicio del tribunal de reenvío, sigue siendo pertinente la intervención del Tribunal de Justicia. En síntesis, todos esos motivos se apoyan en que la situación normativa de base difiere de la examinada en la sentencia La Quadrature duNet.
30.En su comunicación de 13 de enero de 2021, el tribunal de reenvío adujo estos argumentos:
—Las disparidades entre las normas alemanas respecto de las francesas y las belgas sobre las que recayó la sentencia La Quadrature du Net son apreciables. A tenor de las primeras, no se conservan los datos relativos a los sitios internet consultados, los del correo electrónico y los correspondientes a las comunicaciones hacia o desde servicios de atención telefónica de carácter social o religioso.
—Otra disparidad aún más significativa radica en que la duración del almacenamiento, según el artículo 113b, apartado 1, de la TKG es de cuatro o de diez semanas, no de un año. Ese factor disminuye el riesgo de que se pueda dibujar un perfil global de las personas afectadas.
—Las normas alemanas brindan una protección eficaz de los datos conservados frente a los peligros de abuso y de acceso ilícito.
—Tras un reciente pronunciamiento del Bundesverfassungsgericht (Tribunal Constitucional) sobre el artículo 113 de la TKG,(19) la vigencia de ese precepto habría quedado sometida a condiciones cuya compatibilidad con el derecho de la Unión no sería fácil de determinar.
—Subsisten incertidumbres en cuanto a las exigencias del derecho de la Unión sobre las direcciones IP, pues la sentencia La Quadrature du Net no permite deducir con claridad si se excluye de manera general su conservación, observándose una cierta tensión entre sus apartados 168 y155.
B.Aplicabilidad de la Directiva 2002/58
31.La República de Irlanda y los Gobiernos francés, neerlandés, polaco y sueco sostienen, en esencia, que la Directiva 2002/58 no se aplica a normativas nacionales como la controvertida en estos litigios. Al tener por objeto la protección de la seguridad nacional y la prevención y la represión de las infracciones penales graves, esas normativas corresponden al ámbito de la competencia exclusiva de los Estados miembros, de acuerdo con el artículo 4TUE, apartado2.
32.La objeción ha sido rechazada, con claridad, por el Tribunal de Justicia en la sentencia La Quadrature du Net, al declarar que «una normativa nacional que impone a los proveedores de servicios de comunicaciones electrónicas la obligación de conservar los datos de tráfico y de localización a efectos de la protección de la seguridad nacional y de la lucha contra la delincuencia, como las controvertidas en los litigios principales, está comprendida en el ámbito de aplicación de la Directiva 2002/58».(20)
33.El órgano judicial de reenvío acoge esta premisa al corroborar la apreciación del tribunal de instancia y añadir que la aplicabilidad de la Directiva 2005/58 en este supuesto había sido «establecida definitivamente» por la sentencia Tele2 Sverige.(21)
34.No me extenderé, por tanto, sobre este punto, acerca del que tuve ocasión de manifestarme en su momento, en la línea asumida por el Tribunal de Justicia, en las conclusiones La Quadrature duNet.(22)
C.Conservación generalizada e indiferenciada versus conservación selectiva de los datos de tráfico y de localización.
35.La idea medular de la jurisprudencia del Tribunal de Justicia en relación con la Directiva 2002/58 es que los usuarios de los medios de comunicación electrónicos tienen derecho a contar con que, en principio, sus comunicaciones y los datos relativos a ellas permanezcan anónimos y no puedan registrarse, salvo que medie su consentimiento.(23)
36.El artículo 15, apartado 1, de la Directiva 2002/58 admite excepciones a la obligación de garantizar la confidencialidad y a las obligaciones correspondientes, en los términos que más adelante transcribiré. La sentencia La Quadrature du Net se extiende en el examen de la conciliación de esas excepciones con los derechos fundamentales cuyo ejercicio puede verse afectado.(24)
37.La conservación generalizada e indiscriminada de los datos de trafico únicamente podría justificarse, de acuerdo con el Tribunal de Justicia, en el objetivo de la protección de la seguridad nacional, cuya importancia «supera la de los demás objetivos contemplados en el artículo 15, apartado 1, de la Directiva 2002/58».(25)
38.En ese caso (seguridad nacional), el Tribunal de Justicia ha declarado que el artículo 15, apartado 1, de la Directiva 2002/58, en relación con los artículos 7, 8, 11 y 52, apartado 1, de la Carta, «no se opone, en principio, a una medida legislativa que autoriza a las autoridades competentes a instar a los proveedores de servicios de comunicaciones electrónicas a proceder a la conservación de los datos de tráfico y de los datos de localización del conjunto de los usuarios de los medios de comunicaciones electrónicas durante un período limitado, siempre que existan circunstancias suficientemente concretas que permitan considerar que el Estado miembro en cuestión se enfrenta a una amenaza grave […] para la seguridad nacional que resulte real y actual o previsible».(26)
39.Dichas prescripciones dan lugar, ciertamente, a un régimen más riguroso y estricto que el que se desprende de la jurisprudencia del TEDH en relación con el artículo 8 del CEDH. Que «el sentido y el alcance de los derechos» de la Carta correspondientes a los del CEDH hayan de ser iguales a los que les confiere este último no obsta, con arreglo al artículo 52, apartado 3, in fine, de la Carta, a que el derecho de la Unión conceda una protección más extensa.
40.Por lo demás, la doctrina del TEDH en sus sentencias de 25 de mayo de2021, Big Brother Watch y otros c. Reino Unido(27) y Centrum för Rättvisa c. Suecia,(28) así como en la de 4 de diciembre de 2015, Zakharov c. Rusia(29) concierne a supuestos que, como ha sido la postura predominante entre las partes durante la vista, no son equiparables a los debatidos en los reenvíos prejudiciales aquí debatidos. La solución a estos debe encontrarse aplicando normativas nacionales que se reputen conformes con la regulación exhaustiva de la Directiva 2002/58, tal como la interpreta el Tribunal de Justicia.
41.Sea cual sea la opinión sobre la invocación de la seguridad nacional, en la sentencia La Quadrature du Net, como motivo para levantar, bajo ciertas condiciones, la interdicción de conservación generalizada e indiferenciada de los datos de tráfico y de localización (a mi juicio, los límites marcados por el Tribunal de Justicia son excesivamente amplios), se han de respetar las prescripciones enumeradas en los apartados 137 a 139 de esa sentencia.
42.Fuera de esa hipótesis, habrá de analizarse si la regulación nacional se sustenta en criterios lo suficientemente selectivos como para atenerse a las condiciones que, de acuerdo con la jurisprudencia de Tribunal de Justicia, pueden justificar una injerencia especialmente grave, como la conservación de datos, en los derechos fundamentales afectados.
43.La conservación selectiva de los datos de tráfico y de localización(30) es la piedra angular del razonamiento de las sentencias del Tribunal de Justicia en esta materia. Esa selección puede hacerse en función de las categorías de personas afectadas(31) o basarse en un criterio geográfico,(32) entre otros.
44.Tanto el órgano judicial de reenvío como la mayoría de las partes que han presentado observaciones coinciden en poner de manifiesto las dificultades que comportan los criterios indicados por el Tribunal de Justicia. Yo mismo señalé algunas de esas dificultades(33) en las conclusiones Ordre des barreaux francophones et germanophone.(34)
45.Ahora bien, no cabe excluir fórmulas de conservación selectivas fundamentadas en esos criterios que puedan resultar eficaces y, al tiempo, no discriminatorias. Corresponde a los legisladores nacionales, y no al Tribunal de Justicia, diseñarlas de una manera respetuosa con los derechos fundamentales garantizados por la Carta.(35)
46.Insisto, por lo demás, en que sería erróneo deducir que los criterios personal y geográfico son los únicos compatibles con el artículo 15, apartado 1, de la Directiva 2002/58, a la luz de los derechos protegidos en la Carta.
47.Aun cuando el Gobierno francés sostiene que se han demostrado ineficaces,(36) tampoco creo que puedan desdeñarse las modalidades propuestas por los grupos de trabajo reunidos en el seno del Consejo(37) para definir normas de conservación y acceso compatibles con la jurisprudencia del Tribunal de Justicia.(38)
48.En mi opinión, debería preferirse una conservación temporal de algunas categorías de datos de tráfico y de localización, restringidas en función de las necesidades estrictas de seguridad, que no permitieran, en su conjunto, obtener una imagen precisa y detallada de la vida de las personas afectadas. Eso significa, en la práctica, que de las dos categorías principales (datos de tráfico y datos de localización) han de conservarse solo, mediante los filtros oportunos, los datos mínimos que se reputen absolutamente imprescindibles para la prevención y el control eficaces de la delincuencia y para salvaguardar la seguridad nacional.(39)
49.En todo caso, repito, corresponde a los Estados miembros o a las instituciones de la Unión llevar a cabo, por vía legislativa (con la ayuda de sus propios expertos), este ejercicio de selección, abandonando cualquier tentativa de imponer un almacenamiento generalizado e indiferenciado de todos los datos de tráfico y de localización.(40)
50.Por eso, en las conclusiones Ordre des barreaux francophones et germanophone afirmaba que «la dificultad legislativa —que reconozco— de configurar con precisión los casos y las condiciones en las que cabe realizar una conservación selectiva no justifica que los Estados miembros, haciendo de la excepción una norma, conviertan la conservación generalizada de datos personales en el principio medular de sus legislaciones. Si así fuera, se admitiría la vigencia indefinida de un menoscabo relevante del derecho a la protección de los datos personales».(41)
D.Apartado 168 de la sentencia La Quadrature duNet
51.En este contexto, los elementos indispensables para responder al tribunal de reenvío se desprenden, a mi juicio, directamente de la jurisprudencia del Tribunal de Justicia en relación con el artículo 15, apartado 1, de la Directiva 2002/58, objeto de recapitulación en la sentencia La Quadrature duNet.
52.He de recordar, pues, ante todo, la doctrina del Tribunal de Justicia en esa sentencia, cuyo apartado 168 la sintetizaasí:
«El artículo 15, apartado 1, de la Directiva 2002/58, en relación con los artículos 7, 8, 11 y 52, apartado 1, de la Carta, debe interpretarse en el sentido de que se opone a medidas legislativas que establezcan, para los fines previstos en dicho artículo 15, apartado 1, con carácter preventivo, una conservación generalizada e indiferenciada de los datos de tráfico y de localización. En cambio, dicho artículo 15, apartado 1, en relación con los artículos 7, 8, 11 y 52, apartado 1, de la Carta, no se opone a medidas legislativas:
—que permitan, a efectos de la protección de la seguridad nacional, recurrir a un requerimiento efectuado a los proveedores de servicios de comunicaciones electrónicas para que procedan a una conservación generalizada e indiferenciada de los datos de tráfico y de localización, en situaciones en las que el Estado miembro en cuestión se enfrenta a una amenaza grave para la seguridad nacional que resulte real y actual o previsible, pudiendo ser objeto la decisión que contenga dicho requerimiento de un control efectivo bien por un órgano jurisdiccional, bien por una entidad administrativa independiente, cuya decisión tenga carácter vinculante, que tenga por objeto comprobar la existencia de una de estas situaciones, así como el respecto de las condiciones y de las garantías que deben establecerse, y teniendo en cuenta que dicho requerimiento únicamente podrá expedirse por un período temporalmente limitado a lo estrictamente necesario, pero que podrá renovarse en caso de que persista dicha amenaza;
—que prevean, a efectos de la protección de la seguridad nacional, de la lucha contra la delincuencia grave y de la prevención de las amenazas graves contra la seguridad pública, una conservación selectiva de los datos de tráfico y de localización que esté delimitada, sobre la base de elementos objetivos y no discriminatorios, en función de las categorías de personas afectadas o mediante un criterio geográfico, para un período temporalmente limitado a lo estrictamente necesario, pero que podrá renovarse;
—que prevean, a efectos de la protección de la seguridad nacional, de la lucha contra la delincuencia grave y de la prevención de las amenazas graves contra la seguridad pública, una conservación generalizada e indiferenciada de las direcciones IP atribuidas al origen de una conexión, para un período temporalmente limitado a lo estrictamente necesario;
—que prevean, a efectos de la protección de la seguridad nacional, de la lucha contra la delincuencia y de la protección de la seguridad pública, una conservación generalizada e indiferenciada de los datos relativos a la identidad civil de los usuarios de medios de comunicaciones electrónicas,y
—que permitan, a efectos de la lucha contra la delincuencia grave y, a fortiori, de la protección de la seguridad nacional, recurrir a un requerimiento efectuado a los proveedores de servicios de comunicaciones electrónicas, mediante una decisión de la autoridad competente sujeta a un control jurisdiccional efectivo, para que procedan, durante un período determinado, a la conservación rápida de los datos de tráfico y de localización de que dispongan estos proveedores de servicios,
siempre que dichas medidas garanticen, mediante normas claras y precisas, que la conservación de los datos en cuestión está supeditada al respeto de las condiciones materiales y procesales correspondientes y que las personas afectadas disponen de garantías efectivas contra los riesgos de abuso».
E.Evaluación de la legislación controvertida en estos reenvíos prejudiciales, a la luz de la sentencia La Quadrature duNet
53.Según el tribunal de reenvío, al que compete en exclusiva su interpretación, la legislación alemana prescribe «la conservación, sin ningún motivo, generalizada y sin distinción personal, temporal y geográfica, de gran parte de los datos de tráfico de las telecomunicaciones relevantes».(42)
54.La normativa nacional controvertida no se circunscribe a autorizar a las autoridades competentes a instar la conservación de los datos de tráfico y de localización durante un período limitado: es el legislador el que impone directamente, y de manera indefinida, la obligación de conservarlos.
55.Sentada esta premisa, aquel tribunal ha enumerado, en su comunicación de 13 de enero de 2021, las disparidades entre las normas nacionales y las contempladas en la sentencia La Quadrature du Net, que podrían abocar a una solución diferente de la entonces adoptada.
56.Procederé al análisis de esas disparidades en el mismo orden en el que el tribunal de reenvío las expone, pero antes debo reconocer que el legislador alemán se ha aplicado con seriedad a la tarea de acomodar la normativa nacional a las exigencias que nacen, en este ámbito, de la doctrina establecida por el Tribunal de Justicia.
57.Como el órgano judicial de reenvío destaca, la normativa controvertida es fruto de una modificación legislativa propiciada por la jurisprudencia del Bundesverfassunsgericht (Tribunal Constitucional) y por los efectos de la doctrina asentada en la sentencia Digital Rights.
58.Son, pues, dignos de elogio los progresos en la legislación nacional controvertida, tributarios de una decidida voluntad de acomodación a la doctrina del Tribunal de Justicia.
59.Sin embargo, el afán legislativo quizás ha puesto el acento más en los aspectos relativos a la protección y al acceso a los datos conservados, pero no tanto en los relativos a la delimitación selectiva de aquellos cuya conservación se impone.
1.Tipología de los datos conservados
60.La tipología de los datos conservados (no se almacenan los relativos a los sitios internet consultados, los del correo electrónico y los correspondientes a las comunicaciones hacia o desde servicios de atención telefónica de carácter social o religioso) no impide, a mi juicio, ignorar que la obligación de almacenamiento generalizada e indiferenciada se extiende a un amplísimo conjunto de otros muchos datos de tráfico y de localización, similar, en su conjunto, al examinado en la sentencia La Quadrature duNet.
61.En este sentido, es casi irrelevante, por sus características particulares y su muy escasa incidencia en el cómputo global,(43) que se excluyan los datos relativos a comunicaciones hacia ciertas líneas de asistencia telefónica, a cargo de personas, autoridades u organizaciones de ámbitos sociales o religiosos.
62.Tampoco resulta determinante que la obligación de conservar no alcance a los contenidos (sean los de los sitios visitados en internet o de los correos electrónicos), pues la sentencia La Quadrature du Net no se refería a ellos, sino a los datos de tráfico y de localización de las comunicaciones electrónicas.
2.Duración de la obligación de conservar los datos
63.La disparidad más significativa con las normas nacionales analizadas en la sentencia La Quadrature du Net atañe a la duración del almacenamiento que, según el artículo 113b, apartado 1, de la TKG, es de cuatro o de diez semanas (cuatro semanas en el caso de los datos de localización y diez semanas para los restantes), no de unaño.
64.Tanto el tribunal de reenvío como algunos Gobiernos personados insisten en esa circunstancia, resaltando que la normativa controvertida reduce sensiblemente el plazo de conservación de los datos. Para el tribunal de reenvío, la menor duración disminuye el riesgo de que se pueda dibujar un perfil global de las personas afectadas.
65.Como sostuve en las conclusiones Ordre des barreaux francophones et germonophone, haciéndome eco, justamente, de la normativa nacional que ahora nos ocupa, se impone que los datos conservados solo puedan ser retenidos durante un período limitado,(44) en función de su pertenencia a una categoría o a otras.(45)
66.Ahora bien, si la limitación temporal del período de conservación constituye un elemento relevante para valorar la normativa controvertida, esa circunstancia no puede subsanar que en ella se impone una conservación generalizada e indiferenciada de los datos de tráfico y de localización.
67.Ya he expuesto que, de acuerdo con la jurisprudencia del Tribunal de Justicia, fuera del supuesto justificado por la defensa de la seguridad nacional, solo cabe un almacenamiento selectivo de los datos relativos a las comunicaciones electrónicas, a causa del grave riesgo que comportaría su conservación generalizada.
68.Ese riesgo ha sido, en definitiva, el que ha inspirado la jurisprudencia del Tribunal de Justicia en la materia: «los datos de tráfico y de localización pueden revelar información sobre un número considerable de aspectos de la vida privada de las personas de que se trate, incluida información de carácter sensible, como la orientación sexual, las opiniones políticas, las creencias religiosas, filosóficas, sociales u otras y el estado de salud, dado que estos datos gozan, además, de una protección particular en el derecho de la Unión. Considerados en su conjunto, estos datos pueden permitir extraer conclusiones muy precisas sobre la vida privada de las personas cuyos datos se han conservado, como los hábitos de la vida cotidiana, los lugares de residencia permanentes o temporales, los desplazamientos diarios u otros, las actividades realizadas, sus relaciones sociales y los círculos sociales que frecuentan. En particular, estos datos proporcionan medios para determinar el perfil de las personas afectadas, información tan sensible, a la luz del respeto de la vida privada, como el propio contenido de las comunicaciones».(46)
69.Ciertamente, y como afirma el tribunal de reenvío, una conservación muy limitada en el tiempo puede hacer más difícil la elaboración de perfiles.
70.Sin embargo, la mayor o menor dificultad a ese respecto no solo está en función del tiempo de conservación, sino también de la cantidad y la calidad de los datos conservados: a mayor número de datos, mayor será la posibilidad de obtener información sensible durante períodos de tiempo cuya extensión dependerá, por su parte, de la evolución de las técnicas de seguimiento, de correlación y de evaluación del conjunto de los datos relativos a las comunicaciones electrónicas. Lo que hoy puede resultar un tiempo insuficiente para la acumulación de informaciones que faciliten la elaboración de perfiles, puede ser más que sobrado para conseguirlo en un futuro más o menos inmediato.(47)
71.En todo caso, y según el Tribunal de Justicia, «la injerencia en los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta que supone el acceso por parte de una autoridad pública a un conjunto de datos de tráfico o de localización que pueden facilitar información sobre las comunicaciones efectuadas por un usuario de un medio de comunicación electrónica o sobre la localización de los equipos terminales que utilice es, en todo caso, grave, con independencia de la duración del período para el que se solicite el acceso a dichos datos y de la cantidad o naturaleza de los datos disponibles en ese período, cuando […] ese conjunto de datos pueda permitir extraer conclusiones precisas sobre la vida privada de las personas afectadas».(48)
72.En definitiva, estimo que, a pesar de las diferencias señaladas por el tribunal de remisión, las similitudes sobre este aspecto entre la normativa controvertida en los procesos a quibus y las legislaciones implicadas en los procedimientos que dieron lugar a la sentencia La Quadrature du Net no permiten prescindir de la doctrina de esta última.
3.Protección de los datos frente a su acceso ilícito
73.Las normas alemanas, afirma el tribunal de reenvío, brindan una protección eficaz de los datos conservados frente a los peligros de abuso y de acceso ilícito.
74.Sin desmerecer el esfuerzo normativo en cuanto a la protección de los datos y a su acceso, no puede olvidarse que, para el Tribunal de Justicia, «la conservación de los datos de tráfico y de localización constituye, por sí sola […] una injerencia en los derechos fundamentales al respeto de la vida privada y a la protección de datos de carácter personal».(49) En ese sentido, «el acceso a tales datos constituye, cualquiera que sea la utilización posterior que se haga de ellos, una injerencia distinta» en los citados derechos fundamentales.(50)
75.No es, por tanto, relevante para lo que aquí importa que el régimen de protección de los datos conservados previsto por el legislador alemán: a)garantice de manera efectiva la indemnidad de esos datos; b)circunscriba las condiciones de acceso con rigor y eficacia, limitando el círculo de quienes pueden acceder a ellos; y c)solo admita la utilización de los datos almacenados con fines de investigación de delitos graves y para la prevención de riesgos concretos para la vida o la libertad de las personas o la seguridad del Estado.
76.Lo verdaderamente decisivo es que, como también reitera el órgano judicial de reenvío, la obligación de conservación controvertida, en sí misma considerada, no está sujeta a ninguna condición específica.
4.Incidencia de la sentencia del Bundesverfassungsgericht (Tribunal Constitucional) de 27 de mayo de2020
77.El tribunal de reenvío alude a un pronunciamiento del Bundesverfassungsgericht (Tribunal Constitucional) sobre el artículo 113 de la TKG,(51) a resultas del que, tras declarar su inconstitucionalidad, la vigencia de ese precepto habría quedado sometida a condiciones cuya compatibilidad con el derecho de la Unión no sería fácil de determinar.
78.El Tribunal de Justicia nada tiene que decir, en este momento, sobre los efectos de aquella sentencia y mucho menos sobre los contornos de las nuevas normas que el legislador alemán haya de aprobar (o haya aprobado, en su caso).
79.Si, como asegura el tribunal de reenvío, ha de pronunciar su sentencia de «Revision» atendiendo al derecho vigente en la fecha en la que se dicte, habrá de discernir por sí mismo sobre su compatibilidad con el derecho de la Unión a la luz de la jurisprudencia del Tribunal de Justicia recaída en relación con la protección de los datos de las comunicaciones electrónicas.
5.Direcciones IP
80.Según el tribunal de reenvío, del apartado 168 de la sentencia La Quadrature du Net se desprendería que el Tribunal de Justicia exige para las direcciones IP un motivo de conservación vinculado al objetivo de la salvaguarda de la seguridad nacional, la lucha contra la criminalidad grave y la prevención de las amenazas graves contra la seguridad pública. Sin embargo, del apartado 155 se deduciría que esas direcciones IP pueden conservarse sin necesidad de que medie un motivo específico, siendo únicamente la utilización de los datos conservados lo que demandaría un motivo vinculado a aquel objetivo.
81.No entiendo, sin embargo, que exista esa tensión (mucho menos, una contradicción). Si en el apartado 155 se afirma que la conservación generalizada e indiferenciada de las direcciones IP atribuidas al origen de una conexión «no parece, en principio, contraria al artículo 15, apartado 1, de la Directiva 2002/58», a renglón seguido se declara, en el apartado 156, que, «habida cuenta del carácter grave de la injerencia en los derechos fundamentales […] que supone esta conservación, solo la lucha contra la delincuencia grave y la prevención de las amenazas graves a la seguridad pública pueden, al igual que la protección de la seguridad nacional, justificar esta injerencia […]».
82.De la conjunción de los apartados 155 y 156 de la sentencia La Quadratura du Net surge, pues, la respuesta coherente que, en su apartado 168, el Tribunal de Justicia dio a las preguntas prejudiciales entonces planteadas sobre la conservación de las direccionesIP.
83.En la vista se han puesto de relieve ciertos problemas —que, a juicio de algunos intervinientes, requerirían una clarificación por parte del Tribunal de Justicia— sobre la conservación de las direcciones IP. La solución a esos problemas (entre otros, los provocados por la disparidad entre las direcciones IP dinámicas y las estáticas, así como por la incidencia del protocolo Ipv6) excede, en mi opinión, de lo que consulta el tribunal de reenvío, cuyas peticiones iniciales de decisión prejudicial(52) y cuya comunicación de 13 de enero de 2021 tienen, sobre este pormenor, un alcance mucho más limitado.
V.Conclusión
84.A tenor de lo expuesto, sugiero al Tribunal de Justicia responder al Bundesverwaltungsgericht (Tribunal Supremo de lo contencioso administrativo, Alemania) en estos términos:
«El artículo 15, apartado 1, de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), en la versión modificada por la Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, en relación con los artículos 7, 8, 11 y 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea y del artículo 4TUE, apartado 2, debe interpretarse en el sentido de que se opone a una normativa nacional que obliga a los proveedores de servicios de comunicaciones electrónicas disponibles al público a conservar, de modo preventivo, general e indiferenciado, los datos de tráfico y de localización de los usuarios finales de dichos servicios para objetivos distintos de la de protección de la seguridad nacional ante una amenaza grave que resulte real y actual o previsible».
1Lengua original: español.
2Asunto C‑140/20, Commissioner of the Garda Síochána y otros, sobre el que también presento conclusiones con esta misma fecha.
3En lo sucesivo, «conclusiones La Quadrature du Net» (EU:C:2020:6).
4En lo sucesivo, «conclusiones Ordre des barreaux francophones et germanophone», (EU:C:2020:7).
5Asuntos C‑293/12 y C‑594/12 (EU:C:2014:238; en lo sucesivo, «sentencia Digital Rights»).
6Directiva del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE (DO 2006, L105, p.54).
7Asuntos C‑203/15 y C‑698/15 (EU:C:2016:970; en lo sucesivo, «sentencia Tele2 Sverige»).
8Directiva del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO 2002, L201, p.37), en la versión modificada por la Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (DO 2009, L337, p.11).
9Asunto C‑207/16 (EU:C:2018:788).
10Asunto C‑623/17 (EU:C:2020:790).
11Asuntos C‑511/18, C‑512/18 y C‑520/18 (EU:C:2020:791; en lo sucesivo, «sentencia La Quadrature du Net»).
12Punto 30 de estas conclusiones.
13Directiva del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L281, p.31).
14Las comunicaciones a las que se refiere el artículo 99, apartado 2, de la TKG son comunicaciones con personas, autoridades y organizaciones de carácter social o religioso que ofrecen a interlocutores, en principio anónimos, servicios de asistencia telefónica en casos de situaciones de urgencia psicológica o social y que están sujetas a obligaciones de confidencialidad particulares. De acuerdo con el artículo 99, apartado 2, frases segunda a cuarta, de la TKG, esa excepción está condicionada a la inscripción en una lista gestionada por la Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Agencia federal de las redes de electricidad, gas, telecomunicaciones, correos y ferrocarriles; en lo sucesivo, «Agencia federal de redes»), previa acreditación de la naturaleza de sus servicios mediante certificación expedida por una entidad, un organismo o una fundación de derecho público.
15Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten (Ley de introducción de una obligación y un plazo máximo de almacenamiento de datos de tráfico).
161BvR256/08, 1BvR263/08, 1BvR586/08 (DE:BVerfG:2010:rs20100302.1bvr025608).
17Según el tribunal de reenvío, la jurisprudencia del Tribunal de Justicia no cierra tajantemente el paso a que los legisladores nacionales puedan establecer, tras una adecuada ponderación, un almacenamiento de datos sin motivo (si es preciso, complementada con un estricto régimen de acceso), que tenga en cuenta el riesgo potencial específico que se deriva de los nuevos medios de telecomunicación.
18Esta es la expresión literal que utiliza el tribunal de reenvío.
19Sentencia de 27 de mayo de 2020, 1BvR1873/13, 1BvR2618/13 (DE:BVerfG:2020:rs20200527.1bvr187313). Conforme a esa sentencia, el artículo 113 de la TKG es incompatible con los artículos 2, apartado 1, y 10, apartado 1, de la Grundgesetz (Ley Fundamental) y solo puede aplicarse hasta la adopción de nuevas reglas, como máximo hasta el 31 de diciembre de2021.
20Sentencia La Quadrature du Net, apartado104.
21Apartado 19, letraa), del auto de reenvío.
22Conclusiones La Quadrature du Net, puntos 40 a90.
23Sentencia La Quadrature du Net, apartado109.
24Ibidem, apartados 111 a133.
25Sentencia La Quadrature du Net, apartado136.
26Ibidem, apartado 137 (cursiva añadida). Así es, continúa el Tribunal de Justicia, «aun cuando dicha medida se refiera, de modo indiscriminado, a todos los usuarios de medios de comunicaciones electrónicas sin que estos parezcan, a primera vista, guardar relación […] con una amenaza para la seguridad nacional de dicho Estado miembro», procediendo entonces «considerar que la existencia de dicha amenaza puede, por sí sola, establecer esa relación» (loc. ult. cit.).
27CE:ECHR:2021:0525JUD005817013.
28CE:ECHR:2021:0525JUD003525208.
29CE:ECHR:2015:1204JUD004714306.
30Sentencia La Quadrature du Net, apartado 147: «el artículo 15, apartado 1, de la Directiva 2002/58, en relación con los artículos 7, 8, 11 y 52, apartado 1, de la Carta, no se opone a que un Estado miembro adopte una normativa que permita, con carácter preventivo, una conservación selectiva de los datos de tráfico y de localización a efectos de la lucha contra la delincuencia grave y de la prevención de las amenazas graves a la seguridad pública, así como a efectos de la protección de la seguridad nacional, siempre que dicha conservación de los datos esté limitada a lo estrictamente necesario en relación con las categorías de datos que deban conservarse, los medios de comunicación a que se refieran, las personas afectadas y el período de conservación establecido». Cursiva añadida.
31Sentencia La Quadrature du Net, apartados 148 y149.
32Sentencia La Quadrature du Net, apartado150.
33Además de su insuficiencia, la posibilidad de que aboquen a la instauración de un régimen de sospecha general sobre algunos segmentos de población o a la estigmatización de zonas geográficas.
34Conclusiones Ordre des barreaux francophones et germanophone, puntos 88y89.
35Ibidem, punto90.
36Apartado 47 de su escrito de observaciones. Apreciación en la que también han insistido algunos Gobiernos durante la vista.
37Groupe Échange d’informations et protection des données (DAPIX). Del mismo parecer se ha declarado el Gobierno sueco en el apartado 21 de su escrito de observaciones.
38En el punto 92 de las conclusiones Ordre des barreaux francophones et germanophone destaqué que aquellos grupos de trabajo han valorado, como vías de exploración, la limitación de las categorías de datos conservados; la pseudonimización de los datos; la implantación de períodos de conservación limitados; la exclusión de algunas categorías de proveedores de servicios de comunicaciones electrónicas; las autorizaciones de almacenamiento renovables; la obligación de conservar los datos almacenados dentro de la Unión o el control sistemático y regular por parte de una autoridad administrativa independiente de las garantías ofrecidas por los prestadores de servicios de comunicaciones electrónicas contra el uso indebido de los datos.
39Conclusiones Ordre des barreaux francophones et germanophone, puntos 93y94.
40Ibidem, punto95.
41Ibidem, punto104.
42Apartado 25b, letrab), del original alemán del auto de reenvío.
43En la vista, el Gobierno alemán cifró en 1300 el número de las entidades cuyas comunicaciones electrónicas están excluidas de la obligación de conservación y aclaró que la exclusión no puede aplicarse a los profesionales sujetos a deberes de secreto profesional (como los abogados o los médicos), dado el elevado número de estos.
44Conclusiones Ordre des barreaux francophones et germonophone, punto 96. Se evita de esta manera que «permitan proporcionar una imagen detallada de la vida de las personas afectadas. Ese período de conservación debe, además, adaptarse en función de la naturaleza de los datos, para que los que proporcionen información más precisa sobre los estilos de vida y los hábitos de esas personas se almacenen durante un período de tiempo más corto».
45Ibidem, punto 97. «En otras palabras, la diferenciación del período de conservación de cada categoría de datos, en función de su utilidad para alcanzar los objetivos de seguridad, es una vía que se debe explorar. Al circunscribir el tiempo durante el que unas y otras categorías de datos se almacenan simultáneamente (y, por lo tanto, pueden utilizarse para hallar correlaciones que revelen el estilo de vida de las personas afectadas) se amplía la protección del derecho que preserva el artículo 8 de la Carta».
46Sentencia La Quadrature du Net, apartado117.
47Como se puso de manifiesto en la vista, incluso un período de diez semanas de acumulación de metadatos (datos de tráfico y de localización) podría ser suficiente para identificar pautas de la actuación del abonado que, por su repetición, revelarían rasgos sensibles de su personalidad y de su vida.
48Sentencia de 2 de marzo de 2021, Prokuratuur (Condiciones de acceso a los datos relativos a las comunicaciones electrónicas) (C‑746/18, EU:C:2021:152), apartado 39. Cursiva añadida.
49Sentencia La Quadrature du Net, apartado115.
50Ibidem, apartado 116. Sin cursiva en el original.
51Véase la nota 19 de estas conclusiones.
52Apartado30 del auto de reenvío.