Volver a página de inicio

I. En qué consiste y cuáles son los sistemas de vigilancia masiva

Hace ya 8 años que, con las revelaciones del antiguo empleado de la NSA y de la CIA Edward Snowden a través de los periódicos The Guardian y The Washington Post, conocimos miles de documentos clasificados como alto secreto sobre varios programas de la NSA de vigilancia masiva como PRISM y Xkeyscore.

Estas filtraciones sacaron a la luz una serie de herramientas informáticas ultraavanzadas y tratados o alianzas internacionales para la recogida y vigilancia masiva de datos de tráfico que afectó a líderes mundiales, jefes de estado o empresarios de múltiples países. Así, estos sistemas de vigilancia no sólo funcionaban en Estados Unidos o espiaban a estadounidenses en el extranjero sino también a misiones diplomáticas extranjeras (2) .

PRISM, o su nombre técnico US984XN, es el nombre que recibe un programa clandestino de vigilancia electrónica de inteligencia de señales operado por la Agencia de Seguridad Nacional de los Estados Unidos (NSA) para la recogida masiva de comunicaciones, que recabaría las mismas de los servidores centrales de al menos nueve grandes compañías estadounidenses de Internet, bien sea con su colaboración voluntaria o a cambio de un cuantioso pago de millones de dólares. Este programa tendría acceso a correos electrónicos, historial de búsquedas, chats, llamada VOIP, contactos, geolocalización, registros de llamadas, metadatos, archivos en la nube y demás cuyos datos se obtendrían a través de la colaboración de empresas tecnológicas, Google, Facebook, Youtube, Apple, Yahoo, etc.

No obstante, los nombres de este tipo de programas clandestinos se suceden en las posteriores revelaciones y su evolución: XkeyScore, Upstream, Muscular, Tempora, Incenser, Turmoil, Echelon, Mystic o Bullrun (3) (4) .

PRISM (5) recoge y almacena las comunicaciones de Internet a partir de las demandas que la NSA emite a las empresas de Internet, amparándose en la Ley de enmiendas a FISA de 2008, para que las compañías entreguen todos los datos que coincidan con los términos de búsqueda aprobados por el Tribunal de Vigilancia Extranjera. Así, tendría acceso la NSA a metadatos relativos a IMEI, IMSI, SIM, fecha y hora llamada, duración, geolocalización, y contenido.

Por otro lado, programas como Xkeyscore (6) (7) permitiría la búsqueda y análisis de datos dentro de la recopilación y vigilancia que realizan otros como PRISM mediante un formulario. Un procesamiento que utiliza los resultados obtenidos del anterior para seleccionar aquellos archivos que fueran potencialmente más valiosos, de manera que los indexaba para que fueran estudiados por los analistas de la agencia. Recopila, contextualiza, organiza y permite buscar en los datos electrónicos. La búsqueda individualizada, a través de la identificación de marcadores únicos (los selectores o términos de búsqueda), de las comunicaciones da una serie de objetivos previamente seleccionados para adquirir una inteligencia eficaz, útil e individualizada dentro de una obtención masiva, generalizada e indiscriminada de datos. Se trata de un proceso automatizado que descarta cualquier información de manera inmediata que sea acorde con los parámetros establecidos.

UPSTREAM funcionaría en paralelo con el programa PRISM y sería capaz de interceptar el tráfico telefónico y de Internet de los principales cables y enrutadores, tanto nacionales como extranjeros. En palabras del TEDH, este programa permite la recolección de contenido y datos de comunicaciones desde la fibra óptica y la infraestructura perteneciente a los operadores de telecomunicaciones norteamericanos, si bien tiene un amplio acceso a datos globales, en particular de ciudadanos no americanos que también se verían incluidos. De igual manera la búsqueda en dicho mar de datos se realizaría por palabras clave o selectores.

Por otro lado, además, de la recolección de datos fruto de la colaboración de las grandes empresas de Internet, existirían otros sistemas que los norteamericanos habrían desarrollado y que les permitiría la recogida de todos los datos y comunicaciones que pasaban por sus infraestructuras de fibra óptica, como el denominado UPSTREAM.

Y es que las comunicaciones de Internet pasan primero por cables submarinos de fibra óptica de los operadores logísticos de Internet. Cada cable puede tener diversos portadores que en su conjunto forman Internet. Y a su vez, cada comunicación se divide en paquetes o unidades de datos que pueden ser transmitidas separadamente. De esta manera algunos, o todos, de los paquetes de comunicación enviados de una persona a otra, desde Reino Unido o extranjero pueden pasar por los cables de uno o más países según lo más óptimo para el operador. Con este sistema se tendría acceso tanto a metadatos como al contenido de las comunicaciones de que se trate.

Ambos sistemas serían complementarios (8) .

En palabras del Tribunal de Justicia de la Unión Europea, Caso Schrems (9) :

En el marco del programa PRISM, los proveedores de servicios de Internet están obligados, según las apreciaciones del referido órgano jurisdiccional, a proporcionar a la NSA todas las comunicaciones enviadas y recibidas por un «selector», de las cuales una parte se transmite también al FBI y a la Central Intelligence Agency (CIA) (Agencia Central de Inteligencia).

En lo que se refiere al programa Upstream, el antedicho órgano jurisdiccional ha observado que, en el marco de este programa, las empresas de telecomunicaciones que explotan la «red troncal» de Internet —es decir, la red de cables, conmutadores y enrutadores— están obligadas a permitir a la NSA copiar y filtrar los flujos de tráfico de Internet con el fin de recabar comunicaciones enviadas o recibidas por el nacional no americano al que corresponda un «selector» o que estén relacionadas con esa persona. En el marco de ese programa, conforme a las apreciaciones de ese mismo órgano jurisdiccional, la NSA tiene acceso tanto a los metadatos como al contenido de las comunicaciones de que se trate.

Por lo que se refiere a la E.O. 12333, el órgano jurisdiccional remitente observa que esta permite a la NSA acceder a datos «en tránsito» hacia los Estados Unidos, accediendo a los cables submarinos situados en el lecho del Atlántico, así como recabar y conservar esos datos antes de que lleguen a los Estados Unidos y estén sujetos a las disposiciones de la FISA. El órgano jurisdiccional remitente precisa que las actividades basadas en la E.O. 12333 no se rigen por la ley.

Por su parte, desde Reino Unido por parte del Cuartel General de Comunicaciones del Gobierno británico (GCHQ) y con la colaboración de la Agencia de Seguridad Nacional (NSA) de Estados Unidos se desarrolló e implantó el programa MUSCULAR que, a nivel de programación, sería una evolución de PRISM en cuanto que recogería más del doble de datos que el primero (10) . Se trata de la infiltración en las redes privadas de enlace entre los distintos centros de datos tanto de Yahoo como de Google repartidos por el mundo. Dos programas estrechamente relacionados son INCENSER y TURMOIL. TURMOIL, perteneciente a la NSA, es un sistema para procesar la información recogida por MUSCULAR, similar a la función que realizaría Xkeyscore.

Asimismo, el sistema TEMPORA (11) , originado y operado por el GCHQ, es una versión británica y agrandada del sistema UPSTREAM norteamericano, y va dirigido a recopilar cantidades ingentes de información de comunicación originada tanto en Internet como en llamadas de voz, principalmente a través de los cables de fibra óptica, el nodo troncal de Internet. La sentencia del TEDH analiza cómo las comunicaciones de Internet se realizan a través de cables submarinos de fibra óptica operados por las operadoras de telecomunicaciones, y cada cable tiene varios «portadores» lo que, sumados a los 100.000 existentes, supondría Internet en su conjunto. Cada comunicación está dividida en paquetes de unidades de datos que se transmiten separadamente por los múltiples portadores utilizando el camino más barato y rápido, por lo que hay comunicaciones enviadas, sean desde o fuera de Reino Unido, que pueden transmitirse por los portadores situados en uno o varios países. «TEMPORA» lo que permitiría sería grabar y almacenar una enorme cantidad de volumen de datos de los portadores situados en Reino Unido.

A través de «selectores» o identificadores específicos se pueden relacionar con objetivos conocidos y recoger todas las comunicaciones relacionadas, siendo descartadas las restantes. Así, las comunicaciones verdaderamente seleccionadas serían un pequeño porcentaje y no existiría capacidad para leer todas las comunicaciones intervenidas.

Estos sistemas de vigilancia masiva no sólo se han extendido entre USA y UK sino que ya desde los años 80 también principalmente a otros países de la Commonwealth, los denominados como «Cinco Ojos» (12) : Australia, Canadá y Nueva Zelanda a raíz de tratados internacionales con clasificación secreta como UKUSA (13) y que dieron lugar a la red de cooperación de inteligencia de señales ECHELON que data de la posguerra.

Hager (14) describía en 1996 ECHELON (15) como la red que integraba, aglutinaba y coordinaba un complejo sistema formado por multitud de estaciones secretas de interceptación de señales a nivel global, algunas de ellas especializadas en la interceptación y obtención de inteligencia de comunicaciones (COMINT) y que permitía que las computadoras en cada estación (denominadas «diccionarios») buscaran de forma automatizada comunicaciones que contuvieran o estuvieran relacionadas con palabras concretas introducidas por los analistas y operadores (selectores o términos de búsqueda) tales como: nombres, direcciones, cuentas de correo electrónico... y las registraran y transfirieran a las centrales de las 5 agencias: Australian Signals Directorate (ASD) de Australia, Communications Security Establishment (CSE) de Canadá, National Security Agency (NSA) de EE.UU., Government Communications Security Bureau (GCSB) de Nueva Zelanda y Government Communications Headquarters GCHQ del Reino Unido.

No obstante, si bien todas las referencias a estos sistemas son principalmente a países de la Commonwealth, no podemos olvidar que países europeos como Francia, Países Bajos o Suecia han sido colaboradores o socios internacionales de estos sistemas de espionaje de inteligencia de señales y habrían a su vez incluso desarrollado sistemas propios. Así por ejemplo, Frenchelon sería el sistema operado por la DGSE «Dirección General de Seguridad Exterior» francesa (16) y Project 6 o P6 sería un desarrollo conjunto germano-americano (17) .

En el caso de España, el documento secreto y oficial de la NSA titulado «Sharing computer network operations cryptologic information with foreign partners» (Compartiendo información de computación y criptología operacional con compañeros extranjeros) (18) clasifica la cooperación de los países en cuatro niveles.

España forma parte de un segundo grupo, el de «cooperación centrada», TIER 2 junto a otros 19 países, todos ellos europeos con excepción de Japón y Corea del Sur.

II. Tratamiento jurisprudencial de la vigilancia masiva

Si bien en un primer momento las revelaciones de Edward Snowden supusieron una gran conmoción social, política y jurídica, no obstante, 8 años después el contexto ha cambiado de lo que llegó a calificarse como una de las violaciones más grandes a la intimidad, de manera masiva, generalizada, desproporcionada y no individualizada.

Así, hay que recordar que esta recogida masiva e indiscriminada de información se realiza bajo la cobertura legal de la Ley Patriótica (Patriot Act (19) ), aprobada por el Congreso estadounidense tras los ataques del 11 de septiembre, y, sobre todo, de la Ley de vigilancia de extranjeros o FISA (Foreign Intelligence Surveillance Act (20) ), una norma de 1978 enmendada en numerosas ocasiones (la última vez en 2008). Esta ley establece un tribunal secreto (FISA Court (21) ), que es el que autoriza las operaciones de rastreo emprendidas por la NSA.

Por lo que respecta al artículo 702 de la FISA, dicho artículo permite al fiscal general y al director de los Servicios de Inteligencia Nacionales autorizar conjuntamente, previa aprobación del FISC, con el fin de obtener «información en materia de inteligencia exterior», la vigilancia de personas no nacionales de los Estados Unidos que se encuentren fuera del territorio de ese país y sirve, en particular, de fundamento a los programas de vigilancia PRISM y Upstream.

De igual manera, Reino Unido tiene su propia regulación sobre la vigilancia masiva, la RIPA 2000 la cual ha sido reformada por la Investigatory Powers Act 2016 (22) . Y Francia, Alemania, los Países Bajos, y Suecia tienen también legislaciones en la materia.

Por lo tanto, nos encontramos con un marco normativo cada vez más amplio en el derecho comparado, a pesar de que ello no evite obstáculos y discusiones jurídicas sobre si el control judicial del tribunal FISA es suficientemente exhaustivo, la problemática de una vigilancia masiva por cesión o cooperación en aquellos países sin regulación, o su realización directamente fuera de la jurisdicción de las potencias mencionadas.

En este sentido, cada vez se escucha más la posibilidad de una regulación europea de la vigilancia masiva en el camino hacia una NSA o CIA europea (23) y que, después de este artículo, veremos cómo podría tener todo el sentido tras la fijación de unas posibles bases por el TEDH y el TJUE. En definitiva, la mayor preocupación es la dependencia total de USA y UK en este tipo de sistemas, así como respecto a las grandes tecnológicas norteamericanas, y la búsqueda de la denominada «soberanía digital».

Como decíamos, se ha pasado de que el Alto Comisionado de Derechos Humanos en 2013 se muestre profundamente preocupado por los efectos negativos de la vigilancia e interceptación masiva de comunicaciones a gran escala, a que el mismo Comisionado, años después, elabore un informe según el cual la vigilancia electrónica a gran escala configura una injerencia a la privacidad que, para ser legítima, debe cumplir unos estándares de legalidad y proporcionalidad y debe estar sujeta a un cierto grado de supervisión en conexión con el derecho a recurso efectivo (24) .

Así, la tradicional teoría sobre los derechos fundamentales establece que dichos derechos no son absolutos y ceden ante determinados valores que en una sociedad democrática hacen necesaria su injerencia, como pueden ser la investigación de un hecho punible concreto, la prevención del delito o la protección de los derechos y libertades de los demás. De igual manera, las normas internacionales permiten también la injerencia sobre tales derechos por motivos de seguridad nacional, integridad e independencia territorial, paz y seguridad.

No obstante, como requisito sine qua non para una injerencia en derechos fundamentales siempre se requiere una necesaria regulación, en cuanto que los derechos fundamentales sólo pueden restringirse mediante una ley previa, con una serie de razones o justificaciones, y que no sean arbitrarias, irrazonables o desproporcionadas y con una serie de garantías y recursos. Todo ello, de acuerdo a los principios de legalidad, proporcionalidad, necesidad, especialidad, idoneidad, y excepcionalidad de la medida.

En este apartado veremos la basculación del TJUE desde una primera sentencia Digital Rights, donde se declaró nula la Directiva 2006/24 (LA LEY 3617/2006) debido a la obligación de los proveedores de Internet de conservación por hasta 2 años de los datos recogidos por su carácter generalizado y global, a la sentencia Quadrature du Net junto con otros casos, donde se establecen las bases de retención de datos y admitiendo ésta en supuestos de amenaza grave a la seguridad nacional.

Así, en la sentencia C-293/12 y C-594/1 (en lo sucesivo «Digital Rights» (LA LEY 36312/2014), el TJUE llegó a la conclusión en su sentencia Digital Rights de que dicha obligación de conservación de datos por hasta 2 años por los proveedores de internet con fines e investigación, detección y enjuiciamiento de delitos graves, vulneraba la protección de la vida privada y de las comunicaciones reconocida en el artículo 7 de la Carta de los Derechos Fundamentales de la Unión Europea (LA LEY 12415/2007) (en lo sucesivo CDFUE) así como a la protección de los datos de carácter personal establecida en el artículo 8 de ésta.

Las dos principales deficiencias observadas por el máximo intérprete del Derecho de la Unión en la norma en cuestión fueron: por un lado, el hecho de afectar con carácter global a todas las personas que utilizan servicios de comunicaciones electrónicas, con independencia de si se hallaren, o no, siquiera indirectamente, en una situación que pueda dar lugar a responsabilidades penales, e incluso a aquellas cuyas comunicaciones fueren objeto de un amparo específico como el secreto profesional; y, por el otro, la ausencia de criterio objetivo alguno que permitiera delimitar la proporcionalidad en el acceso a los datos conservados y su utilización posterior con fines de prevención, detección o enjuiciamiento de delitos, unos requisitos procedimentales (25) .

Partiendo de los anteriores argumentos, y añadiendo otras reflexiones conexas tales como las relacionadas con la insuficiente concreción de las reglas en materia de protección y la seguridad de los datos conservados, el TJUE acabó dictaminado que la Directiva 2006/24 (LA LEY 3617/2006) constituía «una injerencia en los derechos fundamentales de gran magnitud y especial gravedad en el ordenamiento jurídico de la Unión, sin que [tal] injerencia [estuviera] regulada de manera precisa por disposiciones que permitan garantizar que se limita efectivamente a lo estrictamente necesario.» Y ello con la correlativa consecuencia que, de la noche a la mañana, las diversas disposiciones nacionales acordadas para la transposición de la anterior norma, entre ellas la Ley 25/2007, de 18 de octubre (LA LEY 10470/2007), de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, pasaran lógicamente a quedar en entredicho; cuestionamiento este que la STJUE Tele 2 (26) hizo expreso en relación a la norma sueca objeto de discusión.

Sea como fuere, dicha resolución, además de servir para consolidar la todavía incipiente línea jurisprudencial inaugurada por la sentencia Digital Rights, también ofreció detalles en torno a los caracteres que habría de reunir una regulación nacional respetuosa con la interpretación del art. 15.1 de la Directiva 2002/48 (LA LEY 7809/2002) fijada por el TJUE. Más concretamente, este último apuntó a que ninguna norma que no supeditara el acceso a los datos conservados a un control previo por un órgano jurisdiccional o una autoridad administrativa independiente y sin exigir que los datos se conserven en el territorio de la Unión llegaría a resultar conforme al Derecho de esta. No obstante, abrió la puerta a que dicho acceso no quedara limitado en exclusiva, en el marco de la lucha contra la delincuencia, a los casos que revistiera el carácter de «grave» (27) .

Obsérvese, la progresiva evolución de la postura del Tribunal de Justicia: de analizar la obligación de conservación por parte de las entidades prestadoras de servicios de telecomunicaciones de una serie de datos obtenidos del uso de sus infraestructuras a ponderar las condiciones de acceso a tal información de las Autoridades nacionales encargadas de la lucha contra la criminalidad.

La primera de las sentencias Schrems fue la Sentencia del Tribunal de Justicia (Gran Sala) de 6 de octubre de 2015, en el asunto C-362/14 (LA LEY 133806/2015), en el procedimiento entre Maximillian Schrems y Data Protection Commissioner, con intervención de: Digital Rights Ireland Ltd.

Por su parte, cinco años después, la segunda Schrems tiene lugar en Sentencia del Tribunal de Justicia (Gran Sala) de 16 de julio de 2020 en el asunto C-311/18 (LA LEY 69249/2020), que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE (LA LEY 6/1957), por la High Court (Tribunal Superior, Irlanda), mediante resolución de 4 de mayo de 2018, recibida en el Tribunal de Justicia el 9 de mayo de 2018, en el procedimiento entre Data Protection Commissioner, y Facebook Ireland Ltd, Maximillian Schrems, con intervención de: The United States of America, Electronic Privacy Information Centre, BSA Business Software Alliance Inc., Digitaleurope, se pronunció sobre el cumplimiento de la legislación de protección de datos por las tecnológicas americanas así como la cesión por éstas a efectos de vigilancia masiva.

El Sr. Schrems, nacional austriaco y usuario de la red social Facebook planteó que todo residente de la Unión que desee utilizar Facebook debe aceptar un contrato con Facebook Ireland, filial de Facebook Inc., que a su vez está establecida en los Estados Unidos. Sin embargo, los datos personales de los usuarios de Facebook residentes en el territorio de la Unión se transfieren total o parcialmente a servidores pertenecientes a Facebook Inc., situados en el territorio de Estados Unidos, donde son objeto de tratamiento. Asimismo, el Sr. Schrems alegó, en particular, que el Derecho estadounidense obliga a Facebook Inc. a poner los datos personales que se le transfieren a disposición de las autoridades estadounidenses, como la National Security Agency (NSA) y la Federal Bureau of Investigation (FBI) en virtud de la normativa antes mencionada y para tratamiento de vigilancia masiva, artículo 702 de la FISA y en la E.O. 12333. El demandante solicitó al Comisario de Protección de Datos, que si Facebook no cumplía con la protección de datos, permitiendo la vigilancia masiva americana, se prohibiera la transferencia de datos de la filial europea a la matriz americana.

Hasta entonces, la cesión de datos se producía dentro del marco de la Decisión 2000/520 de la Comisión, que declaró que los Estados Unidos ofrecían un nivel adecuado de protección y Facebook Ireland explicó que una gran parte de los datos personales se transfería a Facebook Inc. basándose en cláusulas tipo de protección de datos recogidas en el anexo de la Decisión de la Comisión 2010/87/UE, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países (en lo sucesivo, «Decisión CPT»). Igualmente se cuestiona Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016 (LA LEY 12686/2016), con arreglo a la Directiva 95/46 (LA LEY 5793/1995) sobre la adecuación de la protección conferida por el Escudo de la Privacidad UE-EE. UU. (DO 2016, L 207, p. 1); en lo sucesivo, «Decisión EP» en cuanto que establece que «los Estados Unidos garantizan un nivel adecuado de protección de los datos personales transferidos desde la Unión a entidades autocertificadas [en los Estados Unidos]».

En la primera sentencia de 2015, el Tribunal de Luxemburgo entra a analizar si la normativa europea garantiza un nivel de protección adecuado. En principio, el Tribunal descartó que el sistema de autocertificación norteamericano fuese per se contrario al estándar de protección adecuado. Sin embargo, la Decisión consagraba la primacía de las exigencias de seguridad nacional y de la legislación interna estadounidense sobre los principios de puerto seguro. Eso significaba que las empresas autocertificadas debían dejar de cumplir estos principios si eran contradictorios con la normativa interna estadounidense. Así, no se establece en la normativa americana ni los límites o reglas a dichas injerencias ni un sistema de protección jurídico eficaz contra los riesgos de abuso y contra cualquier acceso o utilización ilícitos de éstos, desechando los mecanismos de arbitraje privado y los procedimientos ante la Comisión Federal de Comercio.

Además, y sobre todo, la protección del derecho fundamental al respeto de la vida privada al nivel de la Unión exige que las excepciones a la protección de los datos personales y las limitaciones de esa protección no excedan de lo estrictamente necesario (sentencia Digital Rights Ireland y otros, C-293/12 y C-594/12, EU:C:2014:238, apartado 52 y la jurisprudencia citada). No cumpliéndose este extremo en una normativa que autoriza de forma generalizada la conservación de la totalidad de los datos personales de todas las personas cuyos datos se hayan transferido desde la Unión a Estados Unidos, sin establecer ninguna diferenciación, limitación o excepción en función del objetivo perseguido y sin prever ningún criterio objetivo que permita circunscribir el acceso de las autoridades públicas a los datos y su utilización posterior a fines específicos, estrictamente limitados y propios para justificar la injerencia que constituyen tanto el acceso a esos datos como su utilización. Considerando además que acceder de forma generalizada al contenido de las comunicaciones electrónicas lesiona el contenido esencial del derecho fundamental al respeto de la vida privada garantizado por el artículo 7 de la Carta.

De igual manera, considera contrario al derecho europeo una normativa americana que no permita el ejercicio de derechos de rectificación o supresión y una ausencia de un control jurisdiccional efectivo, por lo que declara inválida la Decisión 2000/520 de la Comisión.

El TJUE, en su segunda sentencia, de 2020, ahonda en los motivos de la sentencia de 2015, si bien en este caso no menciona la privacidad, intimidad ni el principio de necesariedad o proporcionalidad en cuanto a conservación.

De igual manera, reconoce ab initio la posibilidad de una transferencia de datos personales a un tercer país mediante una decisión adoptada por la Comisión conforme a la cual ese tercer país, un territorio o uno o varios sectores específicos de ese tercer país garantizan un nivel de protección adecuado.

Y el Tribunal de Luxemburgo vuelve a realizar una evaluación de la normativa americana y el análisis de la Decisión CPT de 2010. El TJUE resolvió que no se ha puesto de manifiesto la existencia de ningún elemento que pueda afectar a la validez de dicha Decisión.

De igual manera, el TJUE declara inválida la Decisión EP de 2016 en cuanto que la normativa americana no permite el ejercicio de los derechos ARCO, no confiere a los interesados derechos exigibles a las autoridades estadounidenses ante los tribunales y, por lo tanto, no puede garantizar un nivel de protección sustancialmente equivalente al resultante de la Carta Europea.

Además, el TJUE critica que la recopilación «en bloque» de datos personales no sea de manera suficientemente clara y precisa en cuanto a su alcance «[…] de una cantidad relativamente grande de información o datos de inteligencia de señales en circunstancias en las que los servicios de inteligencia no puedan utilizar un identificador asociado a un criterio de selección específico […] para orientar la recopilación». E igualmente, también se reprocha que dicho acceso no sea objeto de ningún control judicial y se considera que la figura de la creación del Defensor del Pueblo en el ámbito del Escudo de la Privacidad no proporciona ninguna vía de recurso ante un órgano que ofrezca a las personas cuyos datos se transfieren a los Estados Unidos, garantías sustancialmente equivalentes a las exigidas en el artículo 47 de la Carta.

Sin embargo, 5 años después, el TJUE ya no habla de una vulneración por un acceso generalizado a comunicaciones electrónicas, sino que lo que se reprocha es la ausencia de unos derechos ARCO, una regulación clara y precisa, un control judicial y un procedimiento de revisión.

Estos requisitos o marco normativa que fija el TJUE para la operatividad legal de la vigilancia masiva con todas las garantías se plasman en su mayor esplendor en las sentencias de Privacy International-La Quadrature Du Net And Other y Ordre des barreaux francophones et germanophone and Others (C-623/17, Privacy International, and in Joined Cases C-511/18, LA Quadrature Du Net And Others, C-512/18, French Data Network and Others, and C-520/18, Ordre des barreaux francophones et germanophone and Others)

1. Casos de la Gran Sala del Tribunal de Justicia de la Unión Europea Quadruture Du Net and Others, Asuntos acumulados C-511/18, C-512/18 y C-520/18 TJUE, y Caso Privacy International and others C 623/17, ambas de 6 de octubre de 2020

De manera previa a este caso, debemos mencionar la Sentencia del Tribunal de Justicia (Gran Sala) de 6 de octubre de 2020 en el asunto C-623/17 (LA LEY 177790/2020), que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE (LA LEY 6/1957), por el Investigatory Powers Tribunal (Tribunal de las Facultades de Investigación, Reino Unido), mediante resolución de 18 de octubre de 2017, recibida en el Tribunal de Justicia el 31 de octubre de 2017, en el procedimiento entre Privacy International y Secretary of State for Foreign and Commonwealth Affairs, Secretary of State for the Home Department, Government Communications Headquarters, Security Service, Secret Intelligence Service.

Esta sentencia es fruto de dos cuestiones prejudiciales en el contexto de un litigio entre, por un lado, Privacy International y, por otro, el Secretary of State for Foreign and Commonwealth Affairs (Ministro de Asuntos Exteriores y de la Commonwealth, Reino Unido), el Secretary of State for the Home Departement (Ministro del Interior, Reino Unido),el Government Communications Headquarters (Centro Gubernamental de Comunicaciones, Reino Unido; en lo sucesivo, «GCHQ»), el Security Service (Servicio de Seguridad, Reino Unido; en lo sucesivo, «M15») y el Secret Intelligence Service (Servicio Secreto de Inteligencia, Reino Unido; en lo sucesivo, «M16»), relativo a la legalidad de una normativa que autoriza la adquisición y uso por parte de las agencias de seguridad e inteligencia de datos de comunicaciones masivos (bulk communications data).

La primera cuestión es si está comprendida en el ámbito de aplicación de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002 (LA LEY 9590/2002), relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) una normativa nacional que permite a una autoridad estatal obligar a los proveedores de servicios de comunicaciones electrónicas a transmitir a las agencias de seguridad e inteligencia datos de tráfico y de localización con el fin de proteger la seguridad nacional, a lo que el TJUE responde que sí.

La segunda cuestión es quizás la más importante, en ella se plantea si la regulación británica, la Regulation of Investigatory Powers Act 2000 (Ley de 2000 sobre la Regulación de las Facultades de Investigación) que permite a una autoridad estatal obligar a los proveedores de servicios de comunicaciones electrónicas a realizar una transmisión generalizada e indiferenciada de datos de tráfico y de datos de localización a las agencias de seguridad e inteligencia con el fin de proteger la seguridad nacional, se opone al artículo 15, apartado 1, de la Directiva 2002/58 (LA LEY 9590/2002) y al artículo 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (LA LEY 12415/2007).

El TJUE recuerda que hay excepciones al principio general de confidencialidad, tanto de las comunicaciones electrónicas como de los datos de tráfico asociados a ellas e implica, en particular, la prohibición, en principio, de que cualquier persona distinta de los usuarios almacene esas comunicaciones y datos sin el consentimiento de estos salvo en aquellos casos que dicha interceptación de las comunicaciones y datos constituya una medida necesaria, apropiada y proporcionada en una sociedad democrática para proteger la seguridad nacional, la defensa y la seguridad pública, o para la prevención, investigación, descubrimiento y persecución de delitos o de la utilización no autorizada del sistema de comunicaciones electrónicas.

No obstante, el Tribunal Europeo recuerda su jurisprudencia en cuanto que las excepciones a la protección de los datos personales y las restricciones a dicha protección se deben establecer sin sobrepasar los límites de lo estrictamente necesario.

De igual manera, recuerda los parámetros interpretativos del cumplimiento del requisito de proporcionalidad en una regulación legal: una normativa debe establecer reglas claras y precisas que regulen el alcance y la aplicación de la medida en cuestión e impongan unas exigencias mínimas, de modo que las personas cuyos datos personales resulten afectados dispongan de garantías suficientes que permitan proteger de manera eficaz esos datos frente a los riesgos de abuso. Dicha normativa debe ser legalmente imperativa en Derecho interno y, en particular, indicar en qué circunstancias y con arreglo a qué requisitos puede adoptarse una medida que contemple el tratamiento de tales datos, garantizando así que la injerencia se limite a lo estrictamente necesario. La necesidad de disponer de esas garantías es aún más importante cuando los datos personales se someten a un tratamiento automatizado, sobre todo cuando existe un riesgo elevado de acceso ilícito a ellos.

Y concluye que una transmisión de datos y comunicaciones a las agencias de seguridad e inteligencia, si bien podrían encuadrarse dentro de las excepciones previstas a la protección de datos, no obstante, cuando es de manera generalizada e indiferenciada, —como en este caso— la excepción se convierte en regla «mientras que el sistema previsto por la Directiva 2002/58 (LA LEY 9590/2002) exige que esa excepción siga siendo la excepción».

Así, la injerencia de la vigilancia masiva debe considerarse especialmente grave y puede generar en las personas afectadas el sentimiento de que su vida privada es objeto de una vigilancia constante. Asimismo, la conservación generalizada y el carácter sensible de la información de esos datos, su mera conservación por parte de los proveedores de servicios de comunicaciones electrónicas conlleva riesgos de abuso y de acceso ilícito.

De esta manera resume que, si bien la prevención y la represión de actividades que puedan desestabilizar gravemente las estructuras constitucionales, políticas, económicas o sociales fundamentales de un país, en particular las actividades que puedan amenazar directamente a la sociedad, a la población o al propio Estado, como las actividades terroristas, pueden permitir una injerencia en el secreto de las telecomunicaciones y la protección de datos, no obstante, dicha injerencia no puede dejar de ser proporcional ni sobrepasar los límites de lo estrictamente necesario. Para ello, la normativa interna debe establecer los requisitos materiales y procedimentales que regulen dicha injerencia, y criterios objetivos para definir las circunstancias y los requisitos de acceso a los datos y comunicaciones.

Por todo ello, la normativa nacional británica que obliga a los proveedores de servicios de comunicaciones electrónicas a comunicar a las agencias de seguridad e inteligencia mediante transmisión generalizada e indiferenciada datos de tráfico y de localización excede de los límites de lo estrictamente necesario y no puede considerarse justificada en una sociedad democrática, y por lo tanto es contrario al Derecho la Unión.

Así, en esta primera sentencia ya se declara contraria la RIPA al Derecho europeo, y comienzan a vislumbrarse una serie de requisitos que deben cumplir las regulaciones nacionales de vigilancia masiva para sobrepasar los estándares de proporcionalidad y necesariedad.

En este sentido pero, en este caso en Francia, es otra sentencia de la misma fecha, de 6 de octubre de 2020 y también de la Gran Sala, la que profundiza en los requisitos que deberán cumplir las regulaciones nacionales de la vigilancia masiva.

Se trata de los asuntos acumulados C-511/18, C-512/18 y C-520/18, que tienen por objeto sendas peticiones de decisión prejudicial planteadas, con arreglo al artículo 267 TFUE (LA LEY 6/1957), por el Conseil d’État (Consejo de Estado, actuando como Tribunal Supremo de lo Contencioso-Administrativo, Francia), mediante resoluciones de 26 de julio de 2018, recibidas en el Tribunal de Justicia el 3 de agosto de 2018 (C-511/18 y C-512/18), y por la Cour constitutionnelle(Tribunal Constitucional, Bélgica), mediante resolución de 19 de julio de 2018, recibida en el Tribunal de Justicia el 2 de agosto de 2018 (C-520/18), en los procedimientos entre La Quadrature du Net (C-511/18 y C-512/18), French Data Network (C-511/18 y C-512/18), Fédération des fournisseurs d’accès à Internet associatifs (C-511/18 y C-512/18), Igwan.net (C-511/18) y Premier ministre (C-511/18 y C-512/18), Garde des Sceaux, ministre de la Justice (C-511/18 y C-512/18), Ministre de l’Intérieur (C-511/18), Ministre des Armées (C-511/18), con intervención de: Privacy International (C-512/18), Center for Democracy and Technology (C-512/18) y Ordre des barreaux francophones et germanophone, Académie Fiscale ASBL, UA, Liga voor Mensenrechten ASBL, Ligue des Droits de l’Homme ASBL, VZ, WY, XX y Conseil des ministres, con intervención de: Child Focus (C-520/18).

En el presente caso, se trata igualmente del cuestionamiento de la regulación francesa y de la belga respecto a la vigilancia masiva y su compatibilidad con el derecho europeo por parte del Conseil d’État francés (Consejo de Estado) y la Cour Constitutionnelle belga (Tribunal Constitucional).

Las primeras cuestiones, como en el caso anterior, Privacy International, resultan de si una normativa nacional que impone a los proveedores de servicios de comunicaciones electrónicas una obligación de conservación generalizada e indiferenciada de los datos de tráfico y de localización con fines de protección de seguridad nacional se opone a la regulación europea.

En este sentido, el TJUE recuerda que el artículo 15, apartado 1, de la Directiva 2002/58 (LA LEY 9590/2002) permite a los Estados miembros establecer excepciones a la obligación de garantizar la confidencialidad de los datos personales cuando tal limitación constituya una medida necesaria, proporcionada y apropiada en una sociedad democrática para proteger la seguridad nacional, la defensa, la seguridad pública, o para la prevención, investigación, descubrimiento y persecución de delitos o la utilización no autorizada del sistema de comunicaciones electrónicas. Para ello, los Estados miembros podrán adoptar, entre otras, medidas legislativas en virtud de las cuales los datos se conserven durante un plazo limitado justificado por uno de esos motivos.

El Tribunal de Luxemburgo recuerda que los datos de tráfico y de localización pueden revelar información sobre un número considerable de aspectos de la vida privada de las personas de que se trate, incluida información de carácter sensible, como la orientación sexual, las opiniones políticas, las creencias religiosas, filosóficas, sociales u otras y el estado de salud y que, además, considerados en su conjunto, a través de lo que se denomina una búsqueda entrecruzada e inteligente de datos, pueden permitir extraer conclusiones muy precisas sobre la vida privada de las personas cuyos datos se han conservado, como los hábitos de la vida cotidiana, los lugares de residencia permanentes o temporales, los desplazamientos diarios u otros, las actividades realizadas, sus relaciones sociales y los círculos sociales que frecuentan. En particular, estos datos proporcionan medios para determinar el perfil de las personas afectadas, información tan sensible, a la luz del respeto de la vida privada, como el propio contenido de las comunicaciones y además puede disuadir a los usuarios de los medios de comunicaciones electrónicas de ejercer su libertad de expresión. Como en la anterior sentencia, también recuerda que esta conservación de datos masiva y generalizada conlleva riesgos de abuso y de acceso ilícito.

Habrá que además prestar especial atención a las personas cuyas comunicaciones estén sujetas, según las normas nacionales, al secreto profesional y a los denunciantes cuyas actividades estén protegidas por la Directiva de Whistleblowing (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.

En los mismos términos, el mismo día, pero en diferentes resoluciones, el TJUE recuerda por tanto que las limitaciones de derechos deben ser establecidas por la ley, respetar el contenido esencial de esos derechos y, dentro del respeto del principio de proporcionalidad, han de ser necesarias y responder efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás. Y, de nuevo, reitera que se permitirán injerencias en secreto de comunicaciones y confidencialidad datos cuando sean «necesarias, proporcionadas y apropiadas en una sociedad democrática» y respetando los límites de lo «estrictamente necesario».

Y al igual que en el caso anterior recuerda el Tribunal europeo que la normativa reguladora de la vigilancia masiva deberá establecer criterios claros y precisos, con unas exigencias mínimas y garantías suficientes frente a riesgos de abuso, así como indicar en qué circunstancias y con arreglo a qué requisitos puede adoptarse una medida que contemple el tratamiento de tales datos, garantizando así que la injerencia se limite a lo estrictamente necesario.

Así, no se desdeña la importancia de los objetivos de combatir la delincuencia en general, incluso grave, y de protección de la seguridad pública; sin embargo, para la conservación de los datos de tráfico y de los datos de localización, se requieren circunstancias suficientemente concretas que permitan considerar que el Estado miembro en cuestión se enfrenta a una amenaza grave para la seguridad nacional que resulte real y actual o previsible y la conservación preventiva de los datos del conjunto de los usuarios de los medios de comunicaciones electrónicas deberá limitarse temporalmente a lo estrictamente necesario, sin perjuicio de posible renovación.

Y es en el párrafo 139 donde vuelve a reseñar requisitos necesarios para una correcta regulación de la vigilancia masiva, así se hace preciso el control por autoridad jurisdiccional o administrativa independiente que ejerza una vigilancia de que se den las condiciones y garantías para la injerencia de las comunicaciones: «es fundamental que una decisión por la que se inste a los proveedores de servicios de comunicaciones electrónicas a proceder a dicha conservación de los datos pueda ser objeto de un control efectivo, bien por un órgano jurisdiccional, bien por una entidad administrativa independiente, cuya decisión tenga carácter vinculante, que tenga por objeto comprobarla existencia de una de estas situaciones, así como el respecto de las condiciones y de las garantías que deben establecerse».

De esta manera, y sin dichos límites, una normativa nacional que establece la conservación generalizada e indiferenciada de los datos de tráfico y de localización a efectos de la lucha contra la delincuencia grave excede de los límites de lo estrictamente necesario y no puede considerarse justificada en una sociedad democrática.

Más aun, cuando afecta con carácter global a todas las personas que utilizan servicios de comunicaciones electrónicas, sin que estas personas se encuentren, ni siquiera indirectamente, en una situación que pueda dar lugar a acciones penales. Por lo tanto, se aplica incluso a personas respecto de las que no existen indicios que sugieran que su comportamiento puede guardar relación, incluso indirecta o remota, con dicho objetivo de lucha contra la delincuencia grave y, en particular, sin que se establezca una relación entre los datos cuya conservación se prevé y una amenaza para la seguridad pública.

Por ello, el TJUE no se opone a que un Estado miembro adopte una normativa que permita, con carácter preventivo, una conservación selectiva de los datos de tráfico y de localización a efectos de la lucha contra la delincuencia grave y de la prevención de las amenazas graves a la seguridad pública, así como a efectos de la protección de la seguridad nacional, siempre que dicha conservación de los datos esté limitada a lo estrictamente necesario en relación con las categorías de datos que deban conservarse, los medios de comunicación a que se refieran, las personas afectadas y el período de conservación establecido.

De esta manera, las personas afectadas han de haber sido previamente identificadas en procedimientos nacionales aplicables y sobre la base de elementos objetivos presentar una relación, por lo menos indirecta, con delitos graves, contribuir de un modo u otro a la lucha contra la delincuencia grave o prevenir un riesgo grave para la seguridad pública, o incluso un riesgo para la seguridad nacional.

Asimismo, el TJUE permite que la activación de la vigilancia masiva pueda basarse en un criterio geográfico cuando las autoridades nacionales competente consideren, sobre la base de elementos objetivos y no discriminatorios, que existe una situación caracterizada por un riesgo elevado de preparación o de comisión de tales delitos graves en una o varias zonas geográficas. Estas zonas pueden ser, en particular, lugares que cuentan con un número elevado de delitos graves, lugares especialmente expuestos a la comisión de delitos graves, como los lugares o infraestructuras a los que acuden con regularidad un número muy elevado de personas, o incluso lugares estratégicos, como aeropuertos, estaciones o zonas de peajes.

Y en cuanto a su duración, no debe exceder de lo estrictamente necesario sin perjuicio de que puedan ser renovadas si persiste la necesidad y justificación.

Asimismo, esta resolución europea aborda que. puesto que las direcciones IP pueden utilizarse para llevar a cabo, en particular, el rastreo exhaustivo de la secuencia de navegación de un internauta y, en consecuencia, de su actividad en línea, tales datos permiten establecer el perfil detallado de este y por lo tanto todos los criterios anteriormente expuestos serán también aplicables a la conservación de las direcciones IP. Al igual que la posibilidad de conservación de los datos de identidad civil con la finalidad de identificación del subscriptor. Todo ello también será aplicable a la preservación rápida de datos y al análisis automatizado de los datos de tráfico y de localización.

También, el TJUE recuerda que todo análisis automatizado efectuado en función de modelos y criterios que se basen en la premisa de que el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, la salud o a la sexualidad de una persona podrían, por sí solos y con independencia del comportamiento individual de dicha persona, en atención a la prevención del terrorismo vulneraría los derechos garantizados en los artículos 7 y 8 de la Carta, en relación con el artículo 21 de esta. De este modo, los modelos y criterios preestablecidos a efectos de un análisis automatizado que tenga por objeto prevenir actividades terroristas que presenten una amenaza grave para la seguridad nacional no pueden basarse únicamente en estos datos sensibles de manera discriminatoria.

Además, deberá reexaminarse individualmente de manera regular por medios no automatizados los resultados de todo análisis automatizado antes de adoptar una medida individual que produzca efectos perjudiciales para las personas afectadas, como la recopilación posterior de los datos de tráfico y de localización en tiempo real, sin que una medida de este tipo pueda basarse, en efecto, de forma decisiva exclusivamente en el resultado de un tratamiento automatizado.

En lo que atañe a la recopilación en tiempo real de los datos de tráfico y de localización es preciso señalar que esta puede autorizarse individualmente en lo que se refiere a «una persona previamente identificada como sospechosa de estar relacionada con una amenaza [terrorista]» así como respecto a una o varias personas pertenecientes al entorno de la persona, que pueden facilitar información en virtud de la finalidad que motiva la autorización, la lucha contra el terrorismo. Esta medida de vigilancia se considera especialmente grave, sensible y la más intrusiva en cuanto que se trata método de seguimiento preciso y continuo, por lo que deberá aplicarse respecto a las personas de las que se sospeche fundadamente que están implicadas de un modo u otro en actividades terroristas.

En cuanto a la información necesaria en el contexto de un análisis automatizado de los datos de tráfico y de localización, la autoridad nacional competente tiene la obligación de publicar información de carácter general relativa a dicho análisis, sin tener que informar individualmente a las personas afectadas. En cambio, en el supuesto de que los datos respondan a los parámetros precisos en la medida en que autorizan el análisis automatizado o de que dicha autoridad proceda a identificar a la persona afectada para analizar más en profundidad los datos que la conciernen, la información individual de esta persona resulta necesaria. No obstante, únicamente debe procederse a esa información siempre que y a partir del momento en que no pueda comprometer las misiones que corresponden a dicha autoridad.

En definitiva, el TJUE contesta a las cuestiones prejudiciales sobre la vigilancia masiva en el sentido que se permitirá la misma frente a una amenaza grave para la seguridad nacional que resulte real y actual o previsible, que deberá estar justificada y deberá existir un control efectivo, bien por un órgano jurisdiccional, bien por una entidad administrativa independiente, cuya decisión tenga carácter vinculante, teniendo en cuenta que dicho requerimiento únicamente podrá expedirse por un período temporalmente limitado a lo estrictamente necesario, pero que podrá renovarse en caso de que persista dicha amenaza. Que además, prevean una conservación selectiva de los datos de tráfico y de localización, así como direcciones IP que esté delimitada, sobre la base de elementos objetivos y no discriminatorios, en función de las categorías de personas afectadas o mediante un criterio geográfico, para un período temporalmente limitado a lo estrictamente necesario, pero que podrá renovarse.

Asimismo, deberán establecerse unas condiciones y garantías, y en el caso de la recopilación en tiempo real de los datos de tráfico y de localización se limite a las personas de las que se sospeche fundadamente que están implicadas de un modo u otro en actividades terroristas dentro de los límites de lo estrictamente necesario y bajo el control judicial o administrativo antes mencionado que en caso de urgencia debidamente justificada, debe efectuarse en breve plazo.

Asimismo, respecto a la segunda y tercera cuestión prejudicial planteadas, el principio de efectividad exige al juez penal nacional que se desecharán y serán nulas las informaciones o pruebas, debiendo no proceder a su valoración, que se han obtenido a través de una conservación generalizada e indiferenciada de los datos de tráfico y de localización incompatible con el Derecho de la Unión, en el marco de un proceso penal incoado contra personas sospechosas de haber cometido actos de delincuencia, cuando no cumplan los requisitos anteriormente expuestos y cuando estas personas no estén en condiciones de comentar eficazmente tales informaciones y pruebas, que proceden de un ámbito que escapa al conocimiento de los jueces y pueden influir destacadamente en la apreciación de los hechos.

En definitiva, para que la vigilancia masiva y por lo tanto su regulación en distintos países sea conforme con el derecho europeo se requeriría,

• — amenaza grave para la seguridad nacional que resulte real y actual o previsible y que deberá estar justificada;
• — deberá existir un control efectivo, bien por un órgano jurisdiccional, bien por una entidad administrativa independiente, cuya decisión tenga carácter vinculante,
• — la autorización podrá expedirse por un período temporalmente limitado a lo estrictamente necesario, pero que podrá renovarse en caso de que persista dicha amenaza.
• — Que, además, la conservación selectiva de los datos de tráfico y de localización, así como direcciones IP esté delimitada, sobre la base de elementos objetivos y no discriminatorios, en función de las categorías de personas afectadas o mediante un criterio geográfico, para ese período temporalmente limitado a lo estrictamente necesario, pero que podrá renovarse.
• — deberán establecerse unas condiciones y garantías,
• — y en el caso de la recopilación en tiempo real de los datos de tráfico y de localización, que se limite a las personas de las que se sospeche fundadamente que están implicadas de un modo u otro en actividades terroristas, dentro de los límites de lo estrictamente necesario y bajo el control judicial o administrativo antes mencionado que, en caso de urgencia debidamente justificado, debe efectuarse en breve plazo.

2. Case Of Big Brother Watch And Others v. The United Kingdom, 25 de mayo de 2021 Gran Sala TEDH. (Applications nos. 58170/13, 62322/14 and 24960/15)

Ante la divulgación de Edward Snowden en 2015, tres procesos fueron iniciados por más de una decena de organizaciones de defensa de los Derechos Humanos, como el Centro para la Democracia y Tecnología, la Comisión Internacional de Juristas, Open Rights, Amnistía Internacional, Privacy International,American Civil Liberties Union, o Big Brother Watch, que terminó por dar el nombre una vez el litigio fue unificado. Se invocaba una vulneración del Artículo 8 del Convenio Europeo de Derechos Humanos (LA LEY 16/1950), que protege el derecho al respeto a la vida privada y familiar.

En una primera sentencia de 13 septiembre 2018, la Cámara de la Primera Sección decidió inadmitir las demandas del tercer caso y admitir el resto de reclamaciones y el primer y segundo caso. Asimismo, por mayoría, se declaró la violación de los Artículos 8 (LA LEY 16/1950) y 10 del CEDH (LA LEY 16/1950) y condenó al Reino Unido a una indemnización de 185.000 euros a las ONGs reclamantes. Una sentencia de más de 200 páginas que puede calificarse como un estudio completo: analiza el caso, la legislación británica y europea sobre protección de datos y telecomunicaciones, la normativa del Consejo de Europa y sus informes, pero también informes sobre inteligencia y seguridad.

La Cámara determinó que los Estados disfrutan de un amplio margen de apreciación en decidir qué tipo de régimen de interceptación de comunicaciones es necesario para proteger la seguridad nacional, pero consideró que la discrecionalidad debe ser la estrictamente necesaria.

En este ámbito, el Tribunal identificó seis mínimas salvaguardas las cuales deberían ser establecidas legalmente para evitar abusos de poder: i) la naturaleza de las ofensas que pueden permitir una autorización de interceptación; ii) la definición de las categorías de personas objeto de interceptación; iii) el límite de duración de la vigilancia; iv) el procedimiento que debe ser seguido para usar y almacenar los datos obtenidos; v) las precauciones que deben tomarse cuando se transmiten los datos de comunicaciones a terceros; vi) y las circunstancias en las cuales los datos pueden o deben ser borrados o destruidos.

Además, se detalla la falta de supervisión de la selección de portadores para la interceptación, los selectores usados para filtrar las comunicaciones, y el proceso según el cual los analistas seleccionan las comunicaciones interceptadas y a continuación la ausencia de alguna salvaguarda aplicable a la búsqueda y selección para examen de los datos de comunicaciones relacionadas.

La Cámara determinó que el Reino Unido no estaba abusando de sus poderes de vigilancia masiva, sin embargo, condenó por violación del Convenio debido a la falta de una regulación legal «de calidad», que justifique la injerencia como «necesaria en una sociedad democrática».

Dicha decisión fue recurrida a la Gran Sala, y es en esta sentencia donde se pronuncia el Pleno del TEDH, en un caso que contó con la personación del Gobierno de Francia, de Holanda, y Noruega y con informe del Relator Especial de Naciones Unidas para la libertad de expresión y de información.

En la sentencia de 25 de mayo de 2021, la Gran Sala del TEDH reconoce que, a la vez que se ha producido un increíble avance de las comunicaciones y tecnologías, de la misma manera se han incrementado las amenazas para los estados y la ciudadanía como el terrorismo global, tráfico de drogas, trata de seres humanos, explotación infantil o ciberataques, delitos que suelen producirse dentro de organizaciones criminales internacionales y con tecnología sofisticada que les permite no ser descubiertos y que constituyen serias amenazas a la seguridad nacional. Consecuentemente, el Tribunal considera que deben existir para cumplir con el Convenio una serie de salvaguardas contra la arbitrariedad y el abuso en cuanto que debe operar en la manera estrictamente necesaria.

El Tribunal de Estrasburgo recuerda que una injerencia de derechos fundamentales debe estar regulada por ley, con objetivos legítimos y ser necesaria en una sociedad democrática de tal manera que los ciudadanos puedan conocer las razones y condiciones que legitiman a los poderes públicos en tales actuaciones. Así, ciertas amenazas antes mencionadas pueden permitir el nivel de la inmisión y que ésta se considere necesaria en una sociedad democrática, pero es esencial que haya normas claras y detalladas sobre la vigilancia secreta masiva según las cuales los ciudadanos puedan saber que los poderes públicos pueden estar autorizados para utilizar tales medidas. Por lo que per se los sistemas de vigilancia masiva no tienen por qué ser contrarios al CEDH (LA LEY 16/1950). Sin embargo, se recuerdan las seis mínimas salvaguardas que la regulación de la vigilancia masiva debe establecer para evitar caer en arbitrariedad y abuso de poder.

Así, la revisión y supervisión de la vigilancia secreta puede operar en tres estadios: cuando es ordenada o autorizada, cuando se lleva a cabo o mediante ratificación cuando ha sido finalizada. De esta manera han de existir adecuadas y equivalentes garantías a otras injerencias de derechos fundamentales, de tal manera que el control judicial sea independiente, imparcial y con un debido procedimiento. La Gran Cámara igualmente considera que la autorización judicial es una importante salvaguarda frente a la arbitrariedad y no sólo un requisito necesario.

En cuanto a las alegaciones de las partes de que la vigilancia masiva incluya requerimientos de evidencia objetiva de persona sospechosa, previa autorización judicial independiente con garantías y la subsiguiente notificación de la vigilancia, el Tribunal de Estrasburgo considera que en el ámbito de la vigilancia masiva por su naturaleza preventiva, generalizada y masiva, esta es por definición sin objetivos concretos, sino por categorías y tampoco sería posible la notificación. Sin embargo, el escrutinio judicial sí es compatible con ésta, debiendo observar las 6 salvaguardas con normas detalladas.

De esta manera, debe existir una injerencia en los derechos que esté justificada en supuestos previstos por la ley y necesaria en una sociedad democrática. En este sentido, Estrasburgo toma en consideración que los Estados no tienen que hacer públicos todos los detalles sobre los sistemas de vigilancia masiva, y es inevitable que haya acuerdos, pero lo relevante será que la legislación conocida sea suficientemente accesible, previsible y necesaria y cumpla con las 6 salvaguardas expuestas para minimizar los riesgos de abuso de poder. Por ello, sí se debe conocer por los ciudadanos las circunstancias en las cuales sus comunicaciones pueden ser interceptadas y seleccionadas para observación en virtud de orden judicial suficientemente clara. Así, debe establecerse una revisión robusta e independiente de los selectores y criterios de búsqueda usados para filtrar las comunicaciones masivas interceptadas sin necesidad de todos ellos, pero sí al menos tipos y categorías. En este sentido se considera que las circunstancias de interceptación son suficientemente previsibles

De igual manera, deberá existir un proceso de revisión con garantías, aun cuando lógicamente no se notifique la vigilancia a la persona objeto de la misma.

A este respecto por tanto, las 6 salvaguardas se convierten en 8: i) la naturaleza de las ofensas que pueden permitir una autorización de interceptación, ii) la definición de las categorías de personas objeto de interceptación, iii) el procedimiento para la concesión de la autorización, iv) el procedimiento que debe ser seguido para seleccionar, usar y almacenar los datos obtenidos, v) las precauciones que deben tomarse cuando se transmiten los datos de comunicaciones a terceros, vi) el límite de duración de la vigilancia y las circunstancias en las cuales los datos pueden o deben ser borrados o destruidos, vii) el procedimiento y modalidades de supervisión por autoridad independiente del cumplimiento de estas salvaguardas y viii) los procedimientos de revisión de dicho cumplimiento.

En cuanto al procedimiento, los analistas según la RIPA solo pueden examinar aquél material que aparece automáticamente en el índice generado, para lo cual deberán justificar por qué su acceso es necesario. Además, existirían auditorías regularmente para asegurarse de que las peticiones de acceso al material han sido rellenadas correctamente, un sistema que el Tribunal valida. Otra salvaguarda validada por Estrasburgo para el sistema es que el compartir y revelar los datos de comunicaciones obtenidas será el mínimo necesario para los objetivos perseguidos, entendiendo como tal el acceso únicamente a aquellas personas con nivel de seguridad autorizados. No obstante, se considera deficiente la ausencia de procedimiento de revisión alguna sobre los selectores y en el punto de su autorización.

Respecto al régimen de intercambio, por el cual Reino Unido pide y da inteligencia obtenida masivamente a y por gobiernos extranjeros, el Tribunal Europeo de Derechos Humanos considera que las peticiones de interceptar comunicaciones a agencias de inteligencia extranjeras, así como las transmisiones a las autoridades de comunicaciones intervenidas por otro país por dichas agencias, deben cumplir las seis salvaguardas y ser conforme a la ley, de tal manera que sea similar a como si la interceptación se hiciera por el propio país.

Sobre al límite de duración de la salvaguarda, el TEDH considera que la norma que prevé una duración de seis meses en caso de seguridad nacional y tres meses para delitos graves, sin perjuicio de renovaciones, es suficientemente clara y previene de abusos.

En cuanto a la necesaria supervisión judicial, procedimiento y recursos, el Tribunal considera que la regulación británica tiene garantías suficientes y adecuadas. Igualmente los objetivos y motivos anteriormente mencionados para justificar esta medida se consideran proporcionados.

Respecto a la última salvaguarda, los procedimientos de revisión, se trata de una sala de apelación con jurisdicción extensa que conocerá de los recursos como segunda instancia.

Y sobre los períodos de retención de datos, éstos gozarán de las mismas salvaguardas que el contenido de las comunicaciones y, por consiguiente, las deficiencias detectadas son las mismas: ausencia de autorización independiente, de identificación de categorías de selectores y la falta de previsibilidad de las circunstancias en las que las comunicaciones pueden ser examinadas.

En conclusión, el TEDH considera que el Reino Unido no está abusando de sus poderes bajo su legislación, pero sin embargo ésta tiene las deficiencias detectadas tanto en la interceptación del contenido de comunicaciones como respecto de los datos relacionados y de esta manera, la ley no es de calidad, no puede por tanto justificar la injerencia como necesaria en una sociedad democrática y supone una violación del Art. 8 del Convenio.

Por último, tras analizar la validez de la normativa británica el Tribunal europeo determina con base a la demanda de vulneración de libertad de expresión y de información de periodistas objeto de esta vigilancia masiva. Se resuelve que no podrán per se utilizarse las medidas de vigilancia masiva para monitorizar periodistas o descubrir fuentes periodísticas, debido a la protección de la libertad de prensa en una sociedad democrática y el posible efecto disuasorio, salvo que exista otro interés necesario y justificable debidamente determinado, por lo que, en ausencia de estos criterios y salvaguardas suficientes, se condena a Reino Unido por vulneración del Art. 10 del Convenio.

Tras todo ello, se declara por el Tribunal Europeo de Derechos Humanos que se ha vulnerado el Artículo 8 y 10 del Convenio en distintas partes de la legislación británica y condena al Reino Unido al pago en total de 353.500, elevando la cantidad impuesta por la sentencia de la Sala de 185.000 euros, dividido según los reclamantes de unos y otros casos.

III. Conclusiones

Hace ya 8 años, con las revelaciones del antiguo empleado de la NSA y de la CIA Edward Snowden conocimos los programas de la NSA de vigilancia masiva.

Estos sistemas de vigilancia masiva no sólo se han extendido entre USA y UK sino que, ya desde los años 80, también principalmente a otros países de la Commonwealth, los denominados como «Cinco Ojos»: Australia, Canadá y Nueva Zelanda.

Si bien en un primer momento las revelaciones de Edward Snowden supusieron una gran conmoción social, política y jurídica, no obstante, 8 años después el contexto ha cambiado y hay que recordar que esta recogida masiva e indiscriminada de información se realiza bajo la cobertura legal americana. De igual manera, Reino Unido tiene su propia regulación sobre la vigilancia masiva, y Francia, Alemania, los Países Bajos y Suecia tienen también legislaciones en la materia.

En este sentido, cada vez se escucha más la posibilidad de una regulación europea de la vigilancia masiva en el camino hacia una NSA o CIA europea, y veremos cómo podría tener todo el sentido tras la fijación de unas posibles bases por el TEDH y el TJUE.

Se ha producido una basculación del TJUE, desde una primera sentencia Digital Rights, donde se declaró nula la Directiva 2006/24 (LA LEY 3617/2006) debido a la obligación de los proveedores de Internet de conservación por hasta 2 años de los datos recogidos por su carácter generalizado y global, a establecer unas bases de retención de datos y admitiendo ésta en supuestos de amenaza grave a la seguridad nacional en la sentencia Quadrature du Net.

En primer lugar, habría que mencionar la primera de las sentencias Schrems, fue la Sentencia del Tribunal de Justicia (Gran Sala) de 6 de octubre de 2015, en el asunto C-362/14 (LA LEY 133806/2015). Por su parte, cinco años después, la segunda Schrems tiene lugar en Sentencia del Tribunal de Justicia (Gran Sala) de 16 de julio de 2020 en el asunto C-311/18 (LA LEY 69249/2020).

Estos asuntos abordan el cumplimiento de la legislación de protección de datos por las tecnológicas americanas así como la cesión por éstas a efectos de vigilancia masiva.

El derecho de la Unión exige que las excepciones a la protección de los datos personales y las limitaciones de esa protección no excedan de lo estrictamente necesario. No produciéndose en la cesión generalizada ni conservación de los datos ninguna diferenciación, limitación o excepción en función del objetivo perseguido y sin prever ningún criterio objetivo que permita circunscribir el acceso a fines específicos, estrictamente limitados, se considera que lesiona el contenido esencial del derecho fundamental al respeto de la vida privada garantizado por el artículo 7 de la Carta.

El TJUE considera contrario al derecho europeo una normativa americana que no permita el ejercicio de derechos de rectificación o supresión y una ausencia de un control jurisdiccional efectivo.

En su segunda sentencia, de 2020, reconoce ab initio la posibilidad de una transferencia de datos personales a un tercer país mediante una decisión adoptada por la Comisión, conforme a la cual ese tercer país, un territorio o uno o varios sectores específicos de ese tercer país garantizan un nivel de protección adecuado. Y el Tribunal vuelve a realizar una evaluación de la normativa americana y el análisis de la Decisión CPT de 2010, de tal manera que resuelve que no se ha puesto de manifiesto la existencia de ningún elemento que pueda afectar a la validez de dicha Decisión; sin embargo, critica que la recopilación «en bloque» de datos personales no sea de manera suficientemente clara y precisa en cuanto a su alcance e,, igualmente también se reprocha que dicho acceso no sea objeto de ningún control judicial.

Así, 5 años después, el TJUE ya no habla de una vulneración por un acceso generalizado a comunicaciones electrónicas, sino que lo que se reprocha es la ausencia de unos derechos ARCO, una regulación clara y precisa, un control judicial y un procedimiento de revisión.

El TJUE recuerda que hay excepciones al principio general de confidencialidad tanto de las comunicaciones electrónicas como de los datos de tráfico. No obstante, subraya de su jurisprudencia en cuanto que las excepciones a la protección de los datos personales y las restricciones a dicha protección se deben establecer sin sobrepasar los límites de lo estrictamente necesario, debiendo constituir una medida necesaria, apropiada y proporcionada en una sociedad democrática para proteger la seguridad nacional, la defensa y la seguridad pública, o para la prevención, investigación, descubrimiento y persecución de delitos o de la utilización no autorizada del sistema de comunicaciones electrónicas.

De igual manera destaca los parámetros interpretativos del cumplimento del requisito de proporcionalidad en una regulación legal: una normativa debe establecer reglas claras y precisas. Y concluye que una transmisión de datos y comunicaciones a las agencias de seguridad e inteligencia, si bien podrían encuadrarse dentro de las excepciones previstas a la protección de datos, no obstante, cuando es de manera generalizada e indiferenciada y sin las garantías mencionadas, —como en este caso— la excepción se convierte en regla.

De esta forma, resume que las actividades que puedan amenazar directamente a la sociedad, a la población o al propio Estado, como las actividades terroristas, pueden permitir una injerencia en el secreto de las telecomunicaciones y la protección de datos; no obstante, dicha injerencia no puede dejar de ser proporcional ni sobrepasar los límites de lo estrictamente necesario. Para ello, la normativa interna debe establecer los requisitos materiales y procedimentales que regulen dicha injerencia, y criterios objetivos para definir las circunstancias y los requisitos de acceso a los datos y comunicaciones. Así, en esta primera sentencia ya se declara contraria la ley británica al Derecho europeo, y comienzan a vislumbrarse una serie de requisitos que deben cumplir las regulaciones nacionales de vigilancia masiva para sobrepasar los estándares de proporcionalidad y necesariedad.

Estos requisitos o marco normativa que fija el TJUE para la operatividad legal de la vigilancia masiva con todas las garantías se plasman en su mayor esplendor en las sentencias de Privacy International-La Quadrature Du Net And Other y Ordre des barreaux francophones et germanophone and Others (C-623/17, Privacy International, and in Joined Cases C-511/18, LA Quadrature Du Net And Others, C-512/18, French Data Network and Others, and C-520/18, Ordre des barreaux francophones et germanophone and Others)

En este sentido, pero en este caso en Francia, es otra sentencia de la misma fecha, de 6 de octubre de 2020 y también de la Gran Sala, la que profundiza en los requisitos que deberán cumplir las regulaciones nacionales de la vigilancia masiva, se trata del cuestionamiento de la regulación francesa y de la belga respecto a la vigilancia masiva y su compatibilidad con el derecho europeo por parte del Conseil d’État francés (Consejo de Estado) y la Cour Constitutionnelle belga (Tribunal Constitucional).

El Tribunal de Luxemburgo recuerda que los datos de tráfico y de localización pueden revelar información sobre un número considerable de aspectos de la vida privada de las personas de que se trate, incluida información de carácter sensible, como la orientación sexual, las opiniones políticas, las creencias religiosas, filosóficas, sociales u otras y el estado de salud y que además considerados en su conjunto, a través de lo que se denomina una búsqueda entrecruzada e inteligente de datos, pueden permitir extraer conclusiones muy precisas sobre la vida privada de las personas. Habrá que además prestar especial atención a las personas cuyas comunicaciones estén sujetas, según las normas nacionales, al secreto profesional y a los denunciantes cuyas actividades estén protegidas por la Directiva de Whistleblowing (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.

En los mismos términos, el mismo día, pero en diferentes resoluciones, el TJUE recuerda por tanto que las limitaciones de derechos deben ser establecidas por la ley, respetar el contenido esencial de esos derechos y, dentro del respeto del principio de proporcionalidad, ser necesarias y responder efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás. Y de nuevo reitera que se permitirán injerencias en secreto de comunicaciones y confidencialidad de datos cuando sean «necesarias, proporcionadas y apropiadas en una sociedad democrática» y respetando los límites de lo «estrictamente necesario». Y al igual que en el caso anterior recuerda el Tribunal europeo que la normativa reguladora de la vigilancia masiva deberá establecer criterios claros y precisos, con unas exigencias mínimas y garantías suficientes frente a riesgos de abuso, así como indicar en qué circunstancias y con arreglo a qué requisitos puede adoptarse una medida que contemple el tratamiento de tales datos, garantizando así que la injerencia se limite a lo estrictamente necesario. Asimismo, el TJUE permite que la activación de la vigilancia masiva pueda basarse en un criterio geográfico cuando las autoridades nacionales competente consideren, sobre la base de elementos objetivos y no discriminatorios, que existe una situación caracterizada por un riesgo elevado de preparación o de comisión de tales delitos graves en una o varias zonas geográficas. Estas zonas pueden ser, en particular, lugares que cuentan con un número elevado de delitos graves, lugares especialmente expuestos a la comisión de delitos graves, como los lugares o infraestructuras a los que acuden con regularidad un número muy elevado de personas, o incluso lugares estratégicos, como aeropuertos, estaciones o zonas de peajes.

Y en cuanto a su duración, no debe exceder de lo estrictamente necesario sin perjuicio de que puedan ser renovadas si persiste la necesidad y justificación.

En definitiva, el TJUE contesta a las cuestiones prejudiciales sobre la vigilancia masiva en el sentido de que se permitirá la misma frente a una amenaza grave para la seguridad nacional que resulte real y actual o previsible, que deberá estar justificada y deberá existir un control efectivo, bien por un órgano jurisdiccional, bien por una entidad administrativa independiente, cuya decisión tenga carácter vinculante, teniendo en cuenta que dicho requerimiento únicamente podrá expedirse por un período temporalmente limitado a lo estrictamente necesario, pero que podrá renovarse en caso de que persista dicha amenaza. En definitiva, para que la vigilancia masiva y por lo tanto su regulación en distintos países sea conforme con el derecho europeo se requeriría,

• — amenaza grave para la seguridad nacional que resulte real y actual o previsible y que deberá estar justificada;
• — deberá existir un control efectivo, bien por un órgano jurisdiccional, bien por una entidad administrativa independiente, cuya decisión tenga carácter vinculante,
• — la autorización podrá expedirse por un período temporalmente limitado a lo estrictamente necesario, pero que podrá renovarse en caso de que persista dicha amenaza.
• — Que además, la conservación selectiva de los datos de tráfico y de localización, así como direcciones IP que esté delimitada, sobre la base de elementos objetivos y no discriminatorios, en función de las categorías de personas afectadas o mediante un criterio geográfico, para ese período temporalmente limitado a lo estrictamente necesario, pero que podrá renovarse.
• — deberán establecerse unas condiciones y garantías,
• — y en el caso de la recopilación en tiempo real de los datos de tráfico y de localización se limite a las personas de las que se sospeche fundadamente que están implicadas de un modo u otro en actividades terroristas dentro de los límites de lo estrictamente necesario y bajo el control judicial o administrativo antes mencionado que en caso de urgencia debidamente justificado, debe efectuarse en breve plazo.

Ante la divulgación de Edward Snowden en 2015, tres procesos fueron iniciados ante el Tribunal Europeo de Derechos Humanos por más de una decena de organizaciones de defensa de los Derechos Humanos, como el Centro para la Democracia y Tecnología, la Comisión Internacional de Juristas, Open Rights, Amnistía Internacional, Privacy International,American Civil Liberties Union, o Big Brother Watch, que terminó por dar el nombre una vez el litigio fue unificado.

La Cámara determinó que el Reino Unido no estaba abusando de sus poderes de vigilancia masiva, sin embargo, condenó por violación del Convenio debido a la falta de una regulación legal «de calidad», que justifique la injerencia como «necesaria en una sociedad democrática».

Dicha decisión fue recurrida a la Gran Sala, y es en esta sentencia donde se pronuncia el Pleno del TEDH, en un caso que contó con la personación del Gobierno de Francia, de Holanda, y Noruega y con informe del Relator Especial de Naciones Unidas para la libertad de expresión y de información.

En la sentencia de 25 de mayo de 2021, la Gran Sala del TEDH reconoce que deben existir para cumplir con el Convenio una serie de salvaguardas contra la arbitrariedad y el abuso en cuanto que debe operar en la manera estrictamente necesaria.

El Tribunal de Estrasburgo recuerda que una injerencia de derechos fundamentales debe estar regulada por ley, con objetivos legítimos y ser necesaria en una sociedad democrática de tal manera que los ciudadanos puedan conocer las razones y condiciones que legitiman a los poderes públicos en tales actuaciones. Así, ciertas amenazas antes mencionadas pueden permitir el nivel de la inmisión y que ésta se considere necesaria en una sociedad democrática, pero es esencial que haya normas claras y detalladas sobre la vigilancia secreta masiva según las cuales los ciudadanos puedan saber que los poderes públicos pueden estar autorizados para utilizar tales medidas.

Por lo que per se los sistemas de vigilancia masiva no tienen por qué ser contrarios al CEDH (LA LEY 16/1950). Sin embargo, se recuerdan las seis mínimas salvaguardas que la regulación de la vigilancia masiva debe establecer para evitar caer en arbitrariedad y abuso de poder. La revisión y supervisión de la vigilancia secreta puede operar en tres estadios: cuando es ordenada o autorizada, cuando se lleva a cabo o mediante ratificación cuando ha sido finalizada.

Las 6 salvaguardas se convierten en 8 en el recurso ante la Gran Sala:

• i) la naturaleza de las ofensas que pueden permitir una autorización de interceptación,
• ii) la definición de las categorías de personas objeto de interceptación,
• iii) el procedimiento para la concesión de la autorización,
• iv) el procedimiento que debe ser seguido para seleccionar, usar y almacenar los datos obtenidos,
• v) las precauciones que deben tomarse cuando se transmiten los datos de comunicaciones a terceros
• vi) el límite de duración de la vigilancia y las circunstancias en las cuales los datos pueden o deben ser borrados o destruidos,
• vii) el procedimiento y modalidades de supervisión por autoridad independiente del cumplimiento de estas salvaguardas y
• viii) los procedimientos de revisión de dicho cumplimiento.

En conclusión, el TEDH considera que el Reino Unido no está abusando de sus poderes bajo su legislación, pero sin embargo ésta tiene las deficiencias detectadas tanto en la interceptación del contenido de comunicaciones como respecto de los datos relacionados y de esta manera, la ley no es de calidad, no puede por tanto justificar la injerencia como necesaria en una sociedad democrática y supone una violación del Art. 8 del Convenio.

Respecto al régimen de intercambio por el cual Reino Unido pide y da inteligencia obtenida masivamente a y por gobiernos extranjeros, el Tribunal Europeo de Derechos Humanos considera que las peticiones de interceptar comunicaciones a agencias de inteligencia extranjeras así como las transmisiones a las autoridades de comunicaciones intervenidas por otro país por dichas agencias, deben cumplir las seis salvaguardas y ser conforme a la ley, de tal manera que sea similar a como si la interceptación se hiciera por el propio país.

En este sentido, hemos de recordar en el caso de España, que según documentos secretos de la NSA nuestro país forma parte de un segundo grupo, el de «cooperación centrada», TIER 2 junto a otros 19 países, todos ellos europeos con excepción de Japón y Corea del Sur.

En definitiva, aquellos países como Reino Unido que tienen una regulación sobre la vigilancia masiva deberán adecuar su normativa a los estándares de calidad fijados por el TJUE y el TEDH. La próxima sentencia será sobre la vigilancia masiva en Alemania, ya se ha admitido el recurso ante el TEDH interpuesto por Reporteros Sin Fronteras (28) . ¿Qué países serán los siguientes demandados y condenados por el TJUE o por el TEDH por no tener una regulación sobre esta materia de calidad?

IV. Bibliografía

— Programas de vigilancia masiva y contramedidas aplicables. Alfonso Sánchez Cañestro. Directora: D.ª Cristina Pérez Solà. Universitat Oberta de Catalunya. 12 de junio de 2015. http://openaccess.uoc.edu/webapps/o2/bitstream/10609/43061/7/as_canestroTFM0615memoria.pdf

— Derecho a la privacidad y vigilancia masiva. Memoria para optar al grado de Licenciada en Ciencias Jurídicas y Sociales. Consuelo Osorio Vargas. Santiago, Chile. 2018. Profesor guía: Dr. iur. utr. Teodoro Ribera Neumann. https://repositorio.uchile.cl/bitstream/handle/2250/170326/Derecho-a-la-privacidad-y-vigilancia-masiva.pdf?sequence=1&isAllowed=y

— Pinel, A. (2017). ECHELON y la vigilancia masiva: entre la seguridad y la protección de la privacidad. Revista de Pensamiento Estratégico y Seguridad CISDE, 2(1), 21-42. http://www.uajournals.com/cisdejournal/journal/3/2.pdf

— Las Autoridades Europeas de Protección de Datos evaluarán el programa secreto de vigilancia PRISM. Redacción Diario La Ley, N.^o 8145, Sección Tribuna, 10 de septiembre de 2013, Año XXXIV, Ref. D-303, Editorial. LA LEY. La Ley Unión Europea, 9 de septiembre de 2013, Editorial LA LEY. LA LEY 5431/2013.

— El TJUE y el acceso a los datos de abonado en el seno de la instrucción penal. Autores: Alfonso Peralta Gutiérrez, Pablo Aguirre Allende. Localización: Diario La Ley, ISSN 1989-6913, N.^o 9420, 2019.

— La regulació sobre la conservació de les dades en el sector de les comunicacions electròniques o telecomunicacions: estat de la qüestió. Polo Roca, Andoni. IDP: revista de Internet, derecho y política = revista d'Internet, dret i política, ISSN-e 1699-8154, N.^o. 33, 2021 (Ejemplar dedicado a: Publicació continuada (abril-octubre)).

— Falta de legitimación de la vigilancia masiva en la actualidad. Javier Valls Prieto. VLEX

— Los sistemas de vigilancia masiva de comunicaciones. A propósito de la STEDH Big Brother Watch, de 13 de septiembre de 2018. Arenas Ramiro, Mónica. LA LEY privacidad, N.^o 1, Sección Espacio Europeo de protección de datos, Segundo trimestre de 2019, Wolters Kluwer. LA LEY 6940/2019

— ALEMANIA: Actividad judicial en Europa sobre las actividades de los servicios secretos de diferentes países. Morte Ferrer, Ricardo. LA LEY privacidad, N.^o 7, Sección Crónica de Corresponsales, Primer trimestre de 2021, Wolters Kluwer. LA LEY 1384/2021

— Las Autoridades Europeas de Protección de Datos evaluarán el programa secreto de vigilancia PRISM. Redacción. Diario La Ley, N.^o 8145, Sección Tribuna, 10 de septiembre de 2013, Año XXXIV, Ref. D-303, Editorial LA LEY. La Ley Unión Europea, 9 de septiembre de 2013, Editorial LA LEY. LA LEY 5431/2013

— Puerto, M. I. y Sferrazza Taibi, P. La sentencia Schrems del Tribunal de Justicia de la Unión Europea: un paso firme en la defensa del derecho a la privacidad en el contexto de la vigilancia masiva transnacional. Derecho del Estado n.^o 40, Universidad Externado de Colombia, enero-junio de 2018, pp. 209-236. DOI: https://doi.org/10.18601/01229893.n40.09

— Vigilancia masiva y el derecho a la protección de los datos personales. Ensayo ganador del X premio Enrique Ruano Casanova. Concepción Delgado Franco. Foro, Nueva época, vol. 22, núm. 1 (2019): 17-57 ISSN: 1698-5583. https://dx.doi.org/10.5209/foro.66632

— ¿Cómo legislan los Gobiernos sobre vigilancia masiva? MARÍA SOSA TROYA. Diario El País. 05 JUN 2015.