Volver a página de inicio

I. Introducción: un paso más en la evolución de la doctrina del TJUE en materia de conservación preventiva de datos de comunicaciones electrónicas (1)

A la vista está que, ocho años después, el Tribunal de Justicia de la Unión Europea aún está pagando las consecuencias de la extraordinaria severidad, sin precedentes, con la que la STJUE (Gran Sala) de 8 de abril de 2014 (LA LEY 36312/2014) (asuntos DIGITAL RIGHTS IRELAND y SEITLINGER y otros; C-293/12 y C-594/12) trató a la Directiva 2006/24/CE (LA LEY 3617/2006) (2) . La sentencia, declarando la invalidez íntegra de toda la Directiva, complementada poco tiempo después por la STJUE (Gran Sala) de 21 de diciembre de 2016 (LA LEY 180541/2016) (asuntos TELE2 SVERIGE AB, WATSON y otros; C-203/15 y C-698/15), cerraría de forma ya incontestable cualquier atisbo de regulación nacional que impusiera a los prestadores de servicios de comunicaciones electrónicas la conservación preventiva e indiscriminada de datos de tráfico y localización gestionados por éstos. Si la primera de las sentencias citadas dejó sin vigor la norma comunitaria, la segunda cerró la posibilidad de que los ordenamientos nacionales pudieran establecer un tal régimen basado en la excepción a la regla general prohibitiva contenida en el art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002) (3) .

Pero era evidente que la presión ejercida por la Comisión y los Estados miembros de la Unión, acuciados por la necesidad de dar cobertura legal a unos regímenes de conservación de datos que se mostraban como herramientas imprescindibles para garantizar la seguridad nacional, la seguridad pública y la prevención y persecución de infracciones criminales, habría de ir socavando con el tiempo los otrora consolidados cimientos de los citados precedentes jurisprudenciales. La STJUE (Gran Sala) de 2 de octubre de 2018 (LA LEY 124440/2018) (caso MINISTERIO FISCAL; asunto C-207/16) ya dejó entrever un cierto cuestionamiento de la firmeza de tales cimientos, prefiriendo no entrar a analizar en concreto el supuesto de la legislación española sobre conservación de datos, pese al denodado intento del órgano proponente de la cuestión prejudicial de aprovechar las necesidades de respuesta prejudicial al supuesto de hecho analizado para cuestionar todo el régimen español, basado en una Ley 25/2007, de 18 de octubre (LA LEY 10470/2007), de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones —en adelante LCDCE—; cuya vigencia frente al principio de primacía del Derecho de la Unión era más que discutible. Esta evolución, consecuencia de la necesidad de reflexionar sobre si realmente bajo cualquier circunstancia y respecto de cualesquiera datos o finalidades, tales regímenes eran incompatibles con el Derecho de la Unión, más allá de medidas concretas de retención, que no conservación, acordadas por autoridad nacional competente, vería finalmente la luz con las SSTJUE (Gran Sala) de 6 de octubre de 2020 (LA LEY 211728/2020) (casos LA QUADRAUTE DU NET y otros; asuntos 511, 512 y 520/18), y (Gran Sala) de 2 de marzo de 2021 (caso PROKURATUR; asunto C-746/2018).

Ambas sentencias suponen un importante avance en la búsqueda de líneas de apertura conciliables con el aparentemente infranqueable obstáculo que representaba el art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002); pero si algo nos muestran es que tal doctrina jurisprudencial estaba más cerca de un perpetuum mobile que de un estadio de definitiva consolidación o cierre. Ambas sentencias se atienen al sentido mismo de las preguntas que les efectúan los órganos nacionales francés y belga; y el Alto Tribunal europeo se muestra claramente reacio a ir más allá de lo estrictamente imprescindible, aun lastrado por su precedentes originarios. Este es precisamente el escenario al que se enfrenta la nueva STJUE (Gran Sala), de 5 de abril de 2022 (LA LEY 39345/2022) (caso G.D. y COMISSIONER AN GARDA SÍOCHÁNA; asunto C-140/20).

La sentencia del caso G.D. y COMISSIONER AN GARDA SÍOCHÁNA (4) , que coincide en el tiempo con cuestión prejudicial de similar objeto planteada por órganos jurisdiccionales alemanes aún pendiente de resolver (5) , trae causa de recurso de apelación ante la High Court irlandesa. El recurrente es condenado a cadena perpetua por delito de asesinato; basándose la condena, al menos en parte, en la obtención de evidencias procedentes de bases de datos de operadores de telecomunicaciones sujetos al mandato de una Ley de 2011 por la que se implementaba en Irlanda la Directiva 2006/24/CE (LA LEY 3617/2006). Aparte de la interposición de recurso de apelación ante la jurisdicción penal, el condenado acude ante la High Court en sede civil para cuestionar la validez de la norma nacional habilitante. El Tribunal civil da la razón al recurrente, anulando la aportación probatoria de dichas evidencias, por considerar que el art. 6.1, apartado 1, párrafo a) de la Ley irlandesa sobre conservación de datos de 2011 era contrario al mandato del art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002). El Gobierno irlandés decide recurrir tal decisión ante la Supreme Court; quien responde planteando la cuestión prejudicial, con un total de seis preguntas.

Las preguntas que plantea el órgano nacional irlandés vuelven a incidir sobre la posibilidad de regímenes legales de conservación preventiva de datos en función de las circunstancias (apartados 1 (6) y 4 (7) ); redirigen la cuestión sobre la posibilidad de acudir a datos conservados por motivos comerciales por las operadoras de telecomunicaciones conforme a lo establecido en la Directiva 2002/58/CE (LA LEY 9590/2002) (apartado 2 (8) ); vuelven a introducir la cuestión sobre el carácter independiente de una determinada autoridad administrativa, en concreto cuando su actuación está sujeta a un ulterior control judicial o independiente (apartado 3 (9) ), e insisten nuevamente sobre las posibilidades de una aplicación, en este caso jurisdiccional, de exenciones temporales a las consecuencias derivadas de la declaración de invalidez de la Directiva 2006/24/CE (LA LEY 3617/2006) (apartados 5 (10) y 6 (11) ).

El 18 de noviembre de 2018, el Abogado General M. Campos Sánchez Bordona presentó sus conclusiones (12) ; en las cuales desgrana una posición claramente condicionada por los precedentes inmediatos de los casos LA QUADRATURE DU NET y otros y PROKURATUR, adaptando sus posicionamientos a las nuevas matizaciones aun inexploradas que planteara la Supreme Court irlandesa. Estas conclusiones coincidirán prácticamente en esencia, con posteriores pronunciamientos del TJUE. Destacaremos solo referencias a las referidas conclusiones en tanto se destacara una discrepancia evidente con los pronunciamientos finales del Alto Tribunal europeo.

II. El nuevo escenario creado por las SSTJUE de los casos la Quadrature du Net y otros y Prokuratur

El primer gran mérito, que no necesariamente acierto, de la sentencia del caso LA QUADRATURE DU NET y otros radica en que por fin se posiciona el TJUE a la hora de solventar la aparente contradicción existente entre los arts. 1.3 y 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002). Esta primera norma excluía de la aplicación de la Directiva aquellas«…actividades que tengan por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dichas actividades estén relacionadas con la seguridad del mismo) y a las actividades del Estado en materia penal; y el taxativo mandato del art. 15.1, consideraba una excepción a los principios y prohibiciones contenidos en los arts. 5, 6 y 9 la posibilidad de injerencias afectantes a la confidencialidad de las comunicaciones (13) para unas finalidades casi idénticas. Sería la solución interpretativa ofrecida por el Abogado General la que permitiría al TJUE encontrar una respuesta a dos normas de excepción que se contraponían entre sí: sería de aplicación la primera norma en tanto que la medida afectante al entorno de la privacidad de las comunicaciones y datos relacionados con éstas no hiciera precisa la cooperación técnica o logística de las operadoras de comunicaciones electrónicas.

Parte del mérito del cambio de rumbo del TJUE se debe sin duda a la habilidad en el planteamiento de las cuestiones por parte tanto del Conseil d’État francés como de la Cour Constitutionnelle belga. Ambos Tribunales parten de incidir de forma transversal, a la vez que concreta, sobre los planteamientos de una doctrina del Tribunal de Luxemburgo que se mostraba tan beligerante al reconocimiento de regímenes de conservación preventiva de datos. Confrontando al TJUE con esas concretas situaciones, mantener a ultranza aquéllos llegaría a dejarlo en evidencia frente a las consecuencias derivadas de su aplicación. Pero esta confrontación supondría a su vez una nueva oportunidad para conciliar estos nuevos escenarios con las necesidades reales de garantía de los derechos fundamentales de la Carta de Derechos Fundamentales de la Unión Europea (LA LEY 12415/2007) —CDFUE—.

Los primeros ámbitos en los que se constataría ese punto de inflexión serían precisamente aquellos campos sí abiertos por la sentencia del caso TELE2 SVERIGE AB, WATSON y otros a la posibilidad de establecimiento de regímenes de retención de datos, bien generalizados o diferenciados, bien selectivos, por decisión de autoridad nacional competente, basados en alguno de los criterios que el mismo precedente destacara (geográficos, espaciales, subjetivos o teleológicos). Realmente, el TJUE se ve forzado a definir si determinados concretos regímenes eran o no compatibles con lo permitido en dicha resolución.

De este modo, el Tribunal de Luxemburgo considerará, en su fallo, compatible con el Derecho de la Unión:

• 1. La emisión de órdenes de retención generalizada e indiferenciada de datos de tráfico y localización para la protección de la seguridad nacional ante concretas amenazas, «…en situaciones en las que el Estado miembro en cuestión se enfrenta a una amenaza grave para la seguridad nacional que resulte real y actual o previsible, pudiendo ser objeto la decisión que contenga dicho requerimiento de un control efectivo bien por un órgano jurisdiccional, bien por una entidad administrativa independiente, cuya decisión tenga carácter vinculante, que tenga por objeto comprobar la existencia de una de estas situaciones, así como el respecto de las condiciones y de las garantías que deben establecerse, y teniendo en cuenta que dicho requerimiento únicamente podrá expedirse por un período temporalmente limitado a lo estrictamente necesario, pero que podrá renovarse en caso de que persista dicha amenaza».
• 2. Órdenes dirigidas a garantizar la retención selectiva de datos de tráfico y localización, a efectos de la protección de la seguridad nacional, de la lucha contra la delincuencia grave y de la prevención de las amenazas graves contra la seguridad pública; siempre que ésta «…esté delimitada, sobre la base de elementos objetivos y no discriminatorios, en función de las categorías de personas afectadas o mediante un criterio geográfico, para un período temporalmente limitado a lo estrictamente necesario, pero que podrá renovarse».
• 3. Órdenes de conservación rápida o de congelación de datos de tráfico y localización de que dispongan los proveedores de servicios (freezing orders), a efectos de la lucha contra la delincuencia grave y, a fortiori, de la protección de la seguridad nacional, mediante una decisión de la autoridad competente sujeta a un control jurisdiccional efectivo; siempre que la medida lo sea durante un período determinado y que dichas medidas garanticen, «…mediante normas claras y precisas, que la conservación de los datos en cuestión está supeditada al respeto de las condiciones materiales y procesales correspondientes y que las personas afectadas disponen de garantías efectivas contra los riesgos de abuso».
• 4. Órdenes de cesión de datos de tráfico y de localización en tiempo real respecto de personas sospechosas, así como su tratamiento automatizado; sometidas a similares exigencias en orden al efectivo control jurisdiccional o por autoridad administrativa independiente de la medida y a su limitación a lo estrictamente necesario para atender a la finalidad legítima. La sentencia acota la posibilidad de tratamiento automatizado de datos a la lucha frente a amenazas graves contra la seguridad nacional, centrando la cesión de datos de tráfico y localización en tiempo real a la lucha contra el terrorismo. Pero ello no es sino consecuencia de la congruencia con las peticiones de reenvío que plantean las autoridades nacionales. El TJUE no cierra de este modo la posibilidad de aplicación de tales herramientas de investigación tecnológica a otros supuestos.

Sin embargo, el gran mérito de la sentencia no será sino esa primera grieta que se aprecia en el hasta entonces inexpugnable muro de la radical oposición a cualquier forma de régimen legal de conservación preventiva de datos; al reconocerse que tales regímenes sí serían compatibles con el art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002) en cuanto se limitaran a albergar datos sobre lo que se denomina identidad civil y los datos de asignación de IIPP dinámicas. Las razones que llevan al Alto Tribunal a ese cambio de criterio podrían resumirse en la apreciación del escasísimo nivel de injerencia que pudiera derivarse de su sola recopilación preventiva, así como el considerar que tales datos llegan a ser indispensables para evitar que reinara la más absoluta impunidad en las redes de comunicaciones electrónicas. Es la primera vez que de forma tan clara el TJUE hace frente a la realidad de las severas limitaciones a las que se enfrentan los investigadores y quienes atienden a las necesidades de protección de la seguridad nacional y seguridad pública en un contexto de imposibilidad legal de imposición de regímenes de conservación preventiva de datos.

La sentencia de LA QUADRATURE DU NET y otros termina por aportarnos interesantísimas reflexiones en cuanto respecta a la posibilidad de utilización probatoria de evidencias obtenidas como consecuencia del acceso a datos conservados en virtud de leyes inspiradas en la Directiva 2006/24/CE (LA LEY 3617/2006). La proclama del principio de primacía del Derecho de la Unión se muestra como clave para dar respuesta a la Cour Constitutionnelle belga. Nos recuerda, de hecho, que por virtud del principio de primacía «…cuando no resulte posible interpretar la normativa nacional conforme a las exigencias del Derecho de la Unión, el juez nacional encargado de aplicar, en el ámbito de su competencia, las disposiciones del Derecho de la Unión tendrá la obligación de garantizar la plena eficacia de tales disposiciones, dejando inaplicada si fuera necesario, y por su propia iniciativa, cualquier disposición contraria de la legislación nacional, aun posterior, sin que deba solicitar o esperar su previa eliminación por vía legislativa o mediante cualquier otro procedimiento constitucional». Nos advierte, además, que entre esos limitadísimos supuestos en los que era factible que el legislador nacional o un Tribunal pudiera excepcionar o inaplicar temporalmente el mandato de una norma comunitaria no estaría desde luego la excepción a derechos fundamentales tan trascendentales para un Estado democrático como eran los contenidos en los arts. 6 (LA LEY 12415/2007), 7 (LA LEY 12415/2007) y 11 de la CDFUE (LA LEY 12415/2007). Es desde la perspectiva del principio de primacía desde el que desplegará la eficacia de otros dos principios esenciales en la arquitectura del derecho de la Unión: Los principios de equivalencia y efectividad; que fueran igualmente abordados en la sentencia precedente. El primero exige que la aplicación de la ley nacional no coloque a los justiciables en una posición menos favorable que la que correspondería conforme al Derecho de la Unión; el segundo que, en todo caso, esa solución legal nacional «…no haga imposible en la práctica o excesivamente difícil el ejercicio de los Derechos conferidos por el derecho de la Unión».

A la vista de tales principios, no encuentra obstáculo a la opción por soluciones derivadas de la exclusión del proceso de las evidencias obtenidas de fuentes ilícitas; toda vez que por esta vía se garantizará sin duda que tales informaciones y fuentes no «…perjudiquen indebidamente a una persona sospechosa de haber cometido delitos». Pero también admite una solución, inspirada en la doctrina del Tribunal Europeo de Derechos Humanos, que, en aplicación del denominado principio adversarial, garantice al justiciable una posibilidad real de controlar y contradecir la autenticidad y oportunidad del medio probatorio obtenido con contravención de derechos fundamentales.

La sentencia del caso PROKURATUR incide en buena parte en los mismos planteamientos que su precedente inmediato; pero le aporta un enfoque propio. En su metodología muestra una mayor influencia de la jurisprudencia del TEDH sobre el llamado principio de la calidad de la norma habilitante. Nos aporta, igualmente, interesantes argumentos en orden a insistir de nuevo en que la no contrariedad con el Derecho de la Unión de regímenes de conservación preventiva de datos nada tiene que ver con el mayor nivel de garantías procesales, la exacerbación de la exigencia de proporcionalidad en la definición de delito grave o con la limitación temporal del deber de conservación. Es más, sugiere una ponderación predictiva de la medida de injerencia, en función de la potencialidad de inmisión sobre el entorno de la vida privada de las personas afectadas; nunca una valoración ex post de la información realmente obtenida —§ 40— (14) .

Sin embargo, su principal aportación será sin duda la de privar al Ministerio Fiscal de la cualidad de autoridad administrativa independiente para poder acceder a la información lícitamente conservada por razón de alguno de los supuestos en que la retención o conservación es acorde con el mandato del art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002). El pronunciamiento del TJUE en tal sentido no puede ser más taxativo: «El artículo 15, apartado 1, de la Directiva 2002/58 (LA LEY 9590/2002), en su versión modificada por la Directiva 2009/136 (LA LEY 22502/2009), en relación con los artículos 7, 8, 11 y 52, apartado 1, de la Carta de los Derechos Fundamentales, debe interpretarse en el sentido de que se opone a una normativa nacional que atribuye competencia al Ministerio Fiscal —cuya función es dirigir el procedimiento de instrucción penal y ejercer, en su caso, la acusación pública en un procedimiento posterior— para autorizar el acceso de una autoridad pública a los datos de tráfico y de localización a efectos de la instrucción penal». La doble condición de dirección de la investigación y ulterior de ejercicio de la acción penal son incompatibles entre sí para garantizar la cualidad de independencia de dicha autoridad.

III. Las claves de la STJUE del Caso G.D. y Comissioner an Garda Síochána

Destacar nuevamente unos argumentos y conclusiones que vienen repitiéndose ya desde la primera sentencia del TJUE de 8 de abril de 2014 (LA LEY 36312/2014) carece a estas alturas de sentido. Centraremos el análisis de la sentencia en resaltar aquellos pronunciamientos que aporten un valor añadido a una jurisprudencia que va evolucionando al ritmo de los nuevos escenarios a los que la enfrentan los órganos nacionales de reenvío.

1. Incompatibilidad de regímenes de conservación preventiva e indiscriminada de datos de comunicaciones electrónicas con el Derecho de la Unión

El punto de arranque de la doctrina del TJUE sobre su radical cerrazón a reconocer, dar carta de naturaleza, a regímenes de conservación preventiva de datos relativos a comunicaciones electrónicas parte de una reubicación de la consideración del art. 5.1 de la Directiva 2002/58/CE (LA LEY 9590/2002) como consagrador del principio de confidencialidad tanto de las comunicaciones electrónicas como de los datos asociados a ellas —§ 35—. Este principio es elevado a la cúspide misma de todo el basamento argumentativo de tal posicionamiento; de él se partirá para ir desgranando los argumentos en que se asienta tal conclusión. Y es que a partir de esta sencilla afirmación, que se deduce de la sola lectura del tenor literal del precepto, nos advertirá que tal reconocimiento implica, en particular, «…la prohibición, en principio, de que cualquier persona distinta de los usuarios almacene esas comunicaciones y datos sin el consentimiento de estos». La regla general pasa, por tanto, por el reconocimiento en los usuarios de medios de comunicaciones electrónicas (15) de una especie de reforzada expectativa razonable de que sus comunicaciones y datos asociados a éstas permanecerán anónimos y no podrán ser objeto de registro de no mediar su consentimiento. De esta guisa, concluirá el § 39 afirmando de forma taxativa que: «…la Directiva 2002/58 (LA LEY 9590/2002) no se limita a regular el acceso a tales datos mediante garantías dirigidas a prevenir los abusos, sino que también consagra, en particular, el principio de prohibición de su almacenamiento por terceros».

Se refuerza de este modo la consideración del art. 15.1 como una excepción a esta prohibición de almacenamiento; como una norma que no hace sino limitar el alcance de los derechos y obligaciones desarrollados en concreto en los arts. 5, 6 y 9 de la Directiva, en cuanto que éstos son los preceptos que dan forma y contenido al principio de confidencialidad que define el primero de los preceptos citados. Y es en base a tal afirmación cómo nos recuerda el TJUE que no puede convertirse esta regla excepcional en regla general —§ 40—.

El argumento prosigue con el recordatorio de que la lista de finalidades legítimas que contiene el art. 15.1 de la Directiva tiene un carácter exhaustivo; no admitiendo interpretaciones extensivas. Cualquier medida restrictiva basada en dicho precepto debería, por tanto, responder efectiva y estrictamente a uno de ellos —§ 41—. Tales medidas habrán de someterse, nos recuerda igualmente, tanto a los principios generales del Derecho de la Unión, con especial mención del principio de proporcionalidad, como al respeto los derechos fundamentales garantizados por la CDFUE (LA LEY 12415/2007); y ello recordándonos igualmente que los derechos afectados por medidas de conservación/retención/cesión de datos serían tanto la vida privada y protección de datos de carácter personal como la libertad de expresión, reconocida como tal en el art. 11 de la CDFUE (LA LEY 12415/2007) (16) . Siguiendo esta misma línea argumentativa iniciada de forma más clara a partir de la STJUE del caso TELE2 SVERIGE AB, WATSON y otros, nos advierte que un régimen de conservación de datos de tráfico y localización, como medida indiscutiblemente restrictiva que excepcionaría el mandato del art. 5.1 de la Directiva, se mostraría indiferencia a gradaciones; que se afectaría a los derechos consagrados en los arts. 7 (LA LEY 12415/2007) y 8 de la CDFUE (LA LEY 12415/2007), independientemente de que «…la información relativa a la vida privada de que se trate tenga o no carácter sensible o que los interesados hayan sufrido o no inconvenientes en razón de tal injerencia» —§ 44—. Es esa potencialidad de poder extraer de ellos conclusiones muy precisas sobre la vida privada de las personas cuyos datos se han conservado el factor que ha de ser tenido en cuenta a la hora de valorar la superación del principio de proporcionalidad y su relación con los derechos garantidos por los arts. 7 (LA LEY 12415/2007), 8 (LA LEY 12415/2007) y 11 de la CDFUE (LA LEY 12415/2007); no el nivel o grado de afectación concreta derivada de su utilización para alguna de las finalidades legítimas definidas en el art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002) —§ 45— (17) . La potencialidad de esa posibilidad de establecer conclusiones precisas sobre datos de la vida privada de las personas llega a asociar los regímenes de conservación generalizada e indiferenciada de tales datos con la necesidad de prevenir el Alto Tribunal sobre los riesgos de abuso y acceso ilícito que podrían conllevar —§ 46—. La conclusión a la que nos lleva en este sentido la sentencia no puede ser más categórica: «Por lo tanto, una normativa nacional que cumpla estrictamente los requisitos formulados por la jurisprudencia relativa a la Directiva 2002/58 (LA LEY 9590/2002) en materia de acceso a los datos conservados no puede, por naturaleza, ni limitar ni menos aún subsanar la injerencia grave, originada por la conservación generalizada de tales datos con arreglo a esa normativa nacional, en los derechos garantizados por los artículos 5 y 6 de dicha Directiva y por los derechos fundamentales que quedaron determinados mediante estos artículos» (18) .

La conclusión a la que llega la sentencia del caso G.D. y COMISSIONER AN GARDA SÍOCHÁNA vuelve a insistir sobre el mismo planteamiento: «El artículo 15, apartado 1, de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002 (LA LEY 9590/2002), relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), en su versión modificada por la Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (LA LEY 22502/2009), en relación con los artículos 7 (LA LEY 12415/2007), 8 (LA LEY 12415/2007), 11 (LA LEY 12415/2007) y 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (LA LEY 12415/2007), debe interpretarse en el sentido de que se opone a medidas legislativas que establezcan, con carácter preventivo, a efectos de la lucha contra la delincuencia grave y la prevención de amenazas graves contra la seguridad pública, una conservación generalizada e indiferenciada de los datos de tráfico y de localización».

Sentencias que, como la STS 721/2020, de 23 de marzo de 2021, defienden la robustez del sistema de garantías derivado de la norma de implementación de la Directiva 2006/24/CE (LA LEY 3617/2006) y su aplicación jurisprudencial, han perdido toda su razón de ser ante tan taxativa afirmación del TJUE. La necesidad de reconsideración de la jurisprudencia nacional en tal sentido difícilmente podría ser discutida a estas alturas.

2. Avances en materia de correlación entre el principio de proporcionalidad y el concepto de delincuencia grave

A la hora de tratar de establecer una adecuada interpretación del concepto de delincuencia grave, la STJUE del caso MINISTERIO FISCAL trata de buscar referentes más o menos firmes en la propia legislación de la Unión Europea; plenamente conocedor como era de las clamorosas diferencias existentes entre los Estados miembros a la hora de establecer sus propios parámetros definidores (19) . Este concepto de gravedad del delito se convierte en factor de ponderación del principio de proporcionalidad de la medida, asociado con la finalidad de persecución del delito. La sentencia acude a un criterio, más ejemplificativo que taxativo, que, siguiendo el parangón del preámbulo de la defenestrada Directiva 2006/24/CE (LA LEY 3617/2006), relaciona tal concepto de la lucha contra la delincuencia grave con la delincuencia organizada y el terrorismo —§§ 102 y 103—. No era esa en modo alguno la intención del Alto Tribunal europeo; y el propio ordenamiento comunitario contaba con claros ejemplos de normas que imponían la utilización de medidas tecnológicas de investigación, incluidas la interceptación de comunicaciones y medidas de vigilancia electrónica discreta, para otras finalidades diversas tales como la lucha contra la trata de seres humanos (20) y la lucha contra los abusos sexuales y la pornografía infantil (21) . Además, la jurisprudencia del TEDH mostraba clamorosos ejemplos en los que concretos bienes jurídicos exigían, más allá incluso del concepto de gravedad del delito, aun sometidos obviamente al principio de proporcionalidad, el agotamiento de medidas de investigación tecnológica dentro del ámbito propio de las limitaciones marcadas por el art. 15.1 de la Directiva. Así sucedería, en concreto, con la STEDH, Sección 4ª, de 2 de diciembre de 2008 (caso K.U. v. Finlandia; asunto 2872/02), exigente del agotamiento de las medidas de investigación para salvaguardar la dignidad e indemnidad sexual de un menor de edad que hubo de sufrir el empleo de datos personales propios para ofrecer en las redes su disponibilidad al mantenimiento de contactos sexuales con terceros, frente a una legislación finlandesa defensora a ultranza del principio de garantía del anonimato en la red; o con la STEDH, Secc. 3ª, de 14 de septiembre de 2021 (caso VOLODINA v. Rusia; asunto 40419/19), imponiendo la necesidad de desplegar deberes positivos de actuación por parte de los Poderes Públicos para poner fin a una estrategia de ciberacoso contra persona víctima de violencia de género aparentemente por parte de su expareja.

El acercamiento a una doctrina del TEDH que se mostraba exigente de la adopción por parte de los Estados miembros del Consejo de Europa de medidas positivas tendentes a combatir ataques contra los derechos consagrados en los arts. 3 (LA LEY 16/1950) y 8 del CEDH (LA LEY 16/1950) queda perfectamente reflejado, en consonancia con el precedente inmediato de la STJUE del caso LA QUADRATURE DU NET y otros, en el reciente Reglamento (UE) 2021/1232 (LA LEY 17549/2021) (22) ; el cual incide nuevamente en el ámbito de la lucha contra abusos sexuales en red, imponiendo concretos deberes de auténtico ciberpatrullaje a prestadores de servicios de comunicaciones en red independientemente de la numeración. En este sentido, la comentada STJUE de 5 de abril de 2022 (LA LEY 39345/2022) vuelve a centrar la cuestión de la noción de delincuencia grave en un contexto que vuelve a superar claramente tal referente de la delincuencia organizada en los §§ 49 y 50; con una clara deriva hacia la ponderación de concretos bienes jurídicos necesitados de una especial protección. Ello suponía, en concreto, la necesaria adopción de unas disposiciones materiales y procesales, así como medidas prácticas que permitieran combatir eficazmente delitos contra las personas mediante una investigación y enjuiciamiento efectivos. A partir de aquí, y con una especial mención a la protección de los menores y otras personas vulnerables frente a concretas manifestaciones delincuenciales, y más en concreto la lucha contra amenazas contra el bienestar físico y moral de menores, el TJUE necesita iniciar una línea de apertura que permita vincular ese concepto de lucha contra la delincuencia grave a nuevos campos; como serían la protección de la vida privada y familiar, el domicilio y las comunicaciones y la prohibición de la tortura y de los tratos inhumanos y degradantes.

Pero la sentencia comentada no convierte estos nuevos bienes jurídicos protegidos en fines dignos de una protección por parte de los poderes públicos hasta sus últimas consecuencias. El rigoroso respeto del principio de proporcionalidad sigue manteniéndose en la cúspide; pues tales fines, nos recordará, no dejan de interferir en la garantía de la confidencialidad de las comunicaciones que impone el art. 5.1 de la Directiva 2002/58/CE (LA LEY 9590/2002) —§ 51—. El balance o equilibrio entre el fin de interés general que supone la lucha contra determinadas formas de delincuencia y la salvaguardia de los derechos fundamentales de particulares afectados por una concreta medida será lo que, a la postre, definirá la superación de ese principio de proporcionalidad —§ 52—. Coincidiendo en buena parte con esa nueva visión que del principio de proporcionalidad se deduce del mandato de los arts. 588 bis a.5 y 588 ter a de nuestra Ley de Enjuiciamiento Criminal (LA LEY 1/1882) —LECRIM—, la gravedad del delito parece actuar como presupuesto sobre el que posteriormente aplicar un principio de proporcionalidad en sentido estricto; y que tiene especialmente en cuenta la afectación concreta de derechos fundamentales de las personas concernidas por la medida.

Esa correlación entre la importancia del objetivo de interés general perseguido y la gravedad de la afectación de derechos fundamentales se asocia con exigencias de respeto del llamado principio de la calidad de la norma habilitante claramente importadas de la jurisprudencia del TEDH; haciendo una especial mención a los riesgos asociados al tratamiento automatizado de datos personales, sometidos a elevado riesgo de accesos ilícitos, y más en concreto cuando los datos tratados adquieren la naturaleza de sensibles —§ 54—. La conclusión a la que llega el TJUE vendrá en el § siguiente: «De este modo, una normativa nacional que establezca la conservación de los datos de carácter personal debe responder en todo caso a criterios objetivos y ha de existir una relación entre los datos que deban conservarse y el objetivo que se pretende lograr. En particular, en lo que respecta a la lucha contra la delincuencia grave, los datos que van a ser conservados deben ser tales que contribuyan a la prevención, detección o enjuiciamiento de delitos graves». Ahora bien, a partir de este punto, se aplicará un principio de degradación de la exigencia en cuanto al concepto de delito grave en función de la menor intensidad de la injerencia afectante a los supuestos de la lucha contra la delincuencia grave y a las amenazas contra la seguridad pública; que permitirá la restricción de derechos garantidos por los arts. 7 (LA LEY 12415/2007) y 8 de la CDFUE (LA LEY 12415/2007), en tanto que las injerencias no revistieran un carácter de grave, para su implicación en la lucha contra delitos en general —§59 (23) —. Sería factible, por poner un ejemplo, conforme una legislación nacional que lo avale, el acceso a datos identitarios para identificar al autor de unas amenazas graves o de un delito de ciberacoso.

3. Aplicación del principio de proporcionalidad a los distintos fines legítimos que recoge el art. 15.1 de la Directiva 2002/58/CE

Conocedora de que el máximo nivel de permisividad del TJUE en materia de conservación de datos era relacionado con la lucha contra amenazas para la seguridad nacional, la Comisión trató de argüir la existencia de una relación de equivalencia entre la salvaguardia de la seguridad nacional y la lucha contra la delincuencia especialmente grave. El rechazo de tal argumento por parte del Tribunal, asumiendo las afirmaciones que sobre el particular plantea el Abogado General de que tal asimilación permitirá la introducción de una nueva categoría entre uno y otro fines, como vía indirecta para aplicar a la seguridad pública potencialidades inherentes a la seguridad nacional, encuentra su reflejo en el § 63. Para ello, dedica su § 61 a definir el objetivo de protección de la seguridad nacional; y el parágrafo siguiente a exigir que esa amenaza contra la seguridad nacional que justificara la adopción de medidas de retención de datos sea real y actual, o cuando menos previsible. Se llega a reconocer, incluso, que esas amenazas contra la seguridad nacional pueden repercutir seriamente en la aparición de tensiones o perturbaciones, incluso graves, que afecten a la seguridad pública o faciliten un escenario de proliferación de comisión de delitos graves; pero ello no empañaría la naturaleza propia de la causa de estas situaciones o riesgos afectantes a lo que no son sino niveles o fines de inferior grado frente a la salvaguardia de la seguridad nacional.

Aun así, la sentencia continua mostrando su firme oposición a regímenes de conservación preventiva e indiscriminada de datos, que afectaría no solo a fines propios de la seguridad nacional, sino también respecto de los objetivos de lucha contra la delincuencia grave y prevención de las amenazas contra la seguridad pública, con más motivo; y ello cualquiera que fuera la importancia que se les deba reconocer a tales principios. No es por tanto una cuestión de intensidad o trascendencia del fin público perseguido; en cualquier caso un régimen de tal naturaleza sería contrario al mandato del art. 15.2 de la Directiva —§ 65—. El TJUE se mantiene, en definitiva, en su posición de solo abrirse, como regla general, a regímenes de conservación de datos «…referentes a un período temporal, una zona geográfica o un círculo de personas que puedan estar implicadas de una manera u otra en un delito grave…», o «…a personas que por otros motivos podrían contribuir, mediante la conservación de sus datos, a la lucha contra la delincuencia grave». Pero a su vez mantendrá su línea aperturista de sí admitir, en concreto, las conservaciones selectivas de datos de tráfico y localización, las conservaciones preventivas de datos de asignación de IIPP dinámicas o datos de identidad civil y las órdenes de conservación rápida, en los mismos términos ya anticipados en el precedente de la STJUE del caso LA QUADRATURE DU NET y otros —§§ 66 y 67—.

La sentencia continua arguyendo que la eficacia de una investigación criminal en la lucha contra la delincuencia grave no se hace depender del empleo de concretas herramientas de investigación, sino de todos los medios que se hallen a disposición de las autoridades nacionales para tal menester; para lo cual reconoce un importante papel a las bases de datos de identidades civiles y asignaciones de IIPP dinámicas, así como a las órdenes de conservación rápida —quick freeze—. Pensar que ello es así resulta un tanto presuntuoso y alejado de los ritmos y capacidades de reacción de los Poderes Públicos frente a la comisión de delitos, especialmente de aquellos con una grave relevancia o repercusión social, como sería el ejemplo de los atentados terroristas; pero al menos ese aperturismo ha representado un importante alivio para las autoridades encargadas de la prevención e investigación de delitos.

El § 71 podría llevarnos a cierto equívoco, cuando el mismo parece asociar a los datos de identidad civil con la lucha contra la delincuencia grave (24) . Pero en momento alguno es intención de la sentencia enmendar el pronunciamiento, que anticiparan los precedentes de las sentencias de los casos MINISTERIO FISCAL y LA QUADRATURE DU NET y otros, sobre la existencia de una correlación entre el principio de la menor intensidad de la injerencia y su aplicación a la delincuencia en general, precisamente en el campo de la identificación del autor de concretas infracciones criminales. Lo que sí destaca es que ese ámbito cognitivo de datos que comprende el concepto de identidad civil abarcará a los datos precisos que «…permitan identificar a las personas que han utilizado tales medios en el contexto de la preparación o la comisión de un acto delictivo grave». Ello abre las puertas a otra serie de datos tendentes a facilitar lo que no sería sino una confirmación de la persona que realmente está detrás de la utilización de un medio de comunicación relacionado con la comisión de una concreta infracción criminal; piénsese en el ejemplo tratado en la sentencia del caso MINISTERIO FISCAL de la asignación de código identificativo IMSI, como genuino dato íntimamente ligado al genuino dato identitario del número de abonado, aunque sea solo de la tarjeta SIM asociada a un número de abonado, y su correlación con el IMEI propio de un dispositivo de comunicaciones móvil, que nada tiene que ver con una identidad electrónica. Será la mayor intensidad de la injerencia derivada del deber de conservación o tratamiento concreto de tales datos relacionados con la idea de la identidad civil lo que determinará si los mismos solamente pueden reputarse accesibles en la lucha contra la delincuencia grave, más no su sola relación con la denominada identidad civil.

Precisamente en este campo la sentencia introduce una importante novedad, sin duda influenciada por la doctrina sentada por la STEDH, Secc. 5ª, de 30 de enero de 2020 (caso BREYER v. Alemania; asunto 50001/12), al admitir, dentro de ese concepto amplio de identidad civil que permite su conservación preventiva, datos relacionados con el registro de tarjetas de telefonía de prepago. Registro, identificación del adquirente, vendedor, etc., serían datos que, según propone el § 72, podrían enriquecer sin duda esos datos que conformen las bases de datos sobre identidad civil de usuarios de servicios de comunicaciones electrónicas (25) .

El tratamiento de la conservación generalizada de datos de asignación de IIPP dinámicas, sin embargo, no ofrece, frente a los precedentes jurisprudenciales de la calendada sentencia, especiales novedades que se hagan merecedoras de un comentario específico. Los §§ 73 y 74 de la sentencia abordan la posibilidad de creación de bases de datos sobre asignaciones de IIPP dinámicas en el contexto de la lucha contra la delincuencia grave y amenazas graves contra la seguridad pública. La sentencia se limita a hacer una remisión a los §§ 155 y 156 de la sentencia del caso LA QUADRATURE DU NET y otros; destacando la confrontación existente entre el riesgo asociado a la posibilidad de extraer de tal información «…conclusiones precisas sobre la vida privada del usuario del medio de comunicación electrónica de que se trate y puede tener efectos disuasorios sobre el ejercicio de la libertad de expresión garantizada en el artículo 11 de la Carta», frente a la constatación empírica de que el desvelo de la asignación de una concreta IP llega a ser la única vía que podría identificar a los autores de delitos cometidos en línea; lo cual adquiriría una especial trascendencia en el contexto de la lucha contra la adquisición, la difusión, la transmisión o la puesta a disposición en línea de pornografía infantil. La conclusión a la que llega la sentencia, en parangón con su precedente, no podría ser por tanto sino la de la conformidad del Derecho de la Unión con «…una conservación generalizada e indiferenciada de las direcciones IP atribuidas al origen de una conexión, para un período temporalmente limitado a lo estrictamente necesario».

El siguiente punto de sintonía hemos de encontrarlo igualmente en los ámbitos de la conservación selectiva y conservación rápida de datos de tráfico y de localización. La sentencia, sin embargo, matiza la afirmación que se hace en los § 149 y 150 de la sentencia del caso LA QUADRATURE DU NET y otros, en cuanto respecta a la referencia que se hace a la previa identificación de la persona sometida a la medida o lugares sometidos a riesgo de preparación o comisión de delitos graves. Admitiendo cierto grado de relativización, que acerca aún más a estas medidas al ámbito propio de la prevención del delito o de grave alteración de la seguridad pública, el parágrafo 75 de la sentencia analizada nos advertirá que la Directiva 2002/58/CE (LA LEY 9590/2002), «…interpretada a la luz de los derechos fundamentales consagrados en los artículos 7, 8, 11 y 52, apartado 1, de la Carta, no sujeta la posibilidad de expedir un requerimiento que imponga una conservación selectiva al requisito de que se conozcan de antemano los lugares que pueden ser escenario de un acto delictivo grave ni las personas sospechosas de estar implicadas en tal acto. De igual forma, dicha Directiva no exige que el requerimiento que impone una conservación rápida se limite a los sospechosos que ya habían sido antes identificados». Tanto la conservación selectiva como rápida adquieren de este modo la condición de indiscutibles herramientas de prevención del delito.

Esta relativización en la exigencia de determinación del ámbito subjetivo o geográfico de la medida que caracteriza la evolución mostrada en la sentencia del caso G.D. y COMISSIONER AN GARDA SÍOCHÁNA, aunque siempre en un contexto de necesario empleo de criterios de identificación o selección basados en elementos objetivos y no discriminatorios, es objeto de desarrollo en los parágrafos posteriores de la sentencia; aunque siempre con el referente del precedente anterior, al que trata de complementar. Si el § 77 insiste en la posibilidad de dirección de la medida frente a personas determinadas, el parágrafo siguiente expande ese concepto de identificabilidad no solo a personas investigadas, sino también a otras personas que «…están siendo objeto de otras medidas de vigilancia o constan en el registro nacional de antecedentes penales por una condena anterior por delitos graves que pueden implicar un elevado riesgo de reincidencia». Ya no se habla de investigación de un delito concreto, ni de someter a la medida a personas sospechosas que están siendo objeto de seguimiento, sino incluso de adopción de medidas respecto de personas con elevado riesgo de reincidencia.

El criterio geográfico es igualmente sometido a ese nuevo criterio de relativización del que estamos hablando, acentuando aún más esa propensión preventiva con la que el Tribunal de Luxemburgo quiere dinamizar la medida de conservación selectiva. El criterio geográfico permitía, con la sentencia del caso LA QUADRATURE DU NET y otros, la delimitación espacial de la medida en función de un riesgo elevado de preparación o comisión de delitos graves en una o varias zonas geográficas, en base a meros criterios estadísticos o tratarse de lugares o infraestructuras a los que acuden de forma regular un número considerable de personas; y en concreto, aeropuertos, estaciones de ferrocarril, puertos marítimos o zonas de peajes. El § 80 de la sentencia analizada vuelve a recalcar esa dimensión preventiva de la medida, al advertirnos que ese simple criterio estadístico no precisaría de la constancia de indicios concretos de que en tales lugares a los que hubiera de afectar la medida de conservación de datos de tráfico y localización se estuviera preparando o llevando a efecto la comisión de delitos graves. Y es que tal ponderación predictiva basada en la estadística de comisión de delitos de tal naturaleza o la predisposición del lugar objeto de vigilancia a la comisión de delitos graves, considera la sentencia en su § 80, no presentaría, en sí misma, ningún vínculo con elementos potencialmente discriminatorios.

El TJUE valora especialmente la relevancia de la información que puede obtenerse de la ubicación de determinadas personas en concretos ámbitos geográficos; permitiendo, gracias al análisis de desplazamientos y permanencias de concretas personas en los espacios sometidos a escrutinio, extraer valiosas conclusiones a efectos en concreto de la lucha contra la delincuencia grave. Ahora bien, sí exigirá una necesaria adaptación de la medida en función de la evolución de la información que vaya obteniéndose y del propio riesgo que motiva la imposición de la medida; lo que tendrá una especial repercusión a la hora de acotarla en el tiempo —§ 82—.

La sentencia retoma una idea que, ya anticipada en la sentencia del caso TELE2 SVERIGE AB, WATSON y otros, parecía haberse descartado en el precedente de la STJUE de 6 de octubre de 2020 (LA LEY 211728/2020): La posibilidad de determinación de otros criterios para la delimitación de medidas de conservación selectiva de datos de tráfico y de localización. Efectivamente, esta última sentencia solo hacía referencia específica a los criterios subjetivo y geográfico; mientras que el precedente de la sentencia de 21 de diciembre de 2016 introducía criterios temporales, teleológicos o incluso la conjunción de unos y otros. La sentencia del caso G.D. y COMISSIONER AN GARDA SÍOCHÁNA recupera tal posibilidad en el § 83; pero prefiere hablar en términos generales, de posibilidad de tener en cuenta otros criterios, siempre que los mismos sean objetivos y no discriminatorios, se limiten a lo estrictamente necesario, y permitan establecer «…un vínculo, al menos indirecto, entre los delitos graves y las personas cuyos datos van a conservarse». Lo que sí recalca la sentencia, aun reconociendo que es potestad de los Estados miembros de la Unión definir cuáles pudieran ser estos concretos criterios, es que esta apertura no puede ser utilizada como una puerta abierta a «…reinstaurar por esta vía una conservación generalizada e indiferenciada de los datos de tráfico y de localización»; o en palabras del Abogado General reproducidas en el § 84: «la eventual existencia de dificultades para definir con precisión los casos y las condiciones en que pueda realizarse una conservación selectiva no justifica que los Estados miembros, haciendo de la excepción una norma, establezcan una conservación generalizada e indiferenciada de datos de tráfico y de localización».

Aparte de lo que diremos en el apartado siguiente sobre la posibilidad de utilización de datos conservados por motivos comerciales para finalidades de investigación de delitos graves o lucha contra amenazas graves a la seguridad pública, la sentencia insiste en la posibilidad de emisión de órdenes de congelación rápida de datos como forma de garantizar su preservación frente a su natural destino hacia su anonimización o eliminación. Sin embargo, siguiendo la línea abierta por su precedente inmediato, anuda la procedencia de tales medidas a la constatación de la existencia de un hecho de tal naturaleza (26) o cuando existan sospechas fundadas, al «…término de un examen objetivo del conjunto de las circunstancias pertinentes»; lo que supone un claro alejamiento frente a la finalidad preventiva que se le reconoce a la orden de conservación selectiva de datos.

El TJUE resuelve finalmente tales cuestiones planteadas por la Supreme Court irlandesa del siguiente modo:

«El artículo 15, apartado 1, de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002 (LA LEY 9590/2002), relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), en su versión modificada por la Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (LA LEY 22502/2009), en relación con los artículos 7 (LA LEY 12415/2007), 8 (LA LEY 12415/2007), 11 (LA LEY 12415/2007) y 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (LA LEY 12415/2007), debe interpretarse en el sentido de que se opone a medidas legislativas que establezcan, con carácter preventivo, a efectos de la lucha contra la delincuencia grave y la prevención de amenazas graves contra la seguridad pública, una conservación generalizada e indiferenciada de los datos de tráfico y de localización. En cambio, dicho artículo 15, apartado 1, en relación con los artículos 7, 8, 11 y 52, apartado 1, de la Carta de los Derechos Fundamentales, no se opone a medidas legislativas que, a efectos de la lucha contra la delincuencia grave y de la prevención de amenazas graves contra la seguridad pública, establezcan:

• — una conservación selectiva de los datos de tráfico y de localización que esté delimitada, sobre la base de elementos objetivos y no discriminatorios, en función de las categorías de personas afectadas o mediante un criterio geográfico, para un período temporalmente limitado a lo estrictamente necesario, pero que podrá renovarse;
• — una conservación generalizada e indiferenciada de las direcciones IP atribuidas al origen de una conexión, para un período temporalmente limitado a lo estrictamente necesario;
• — una conservación generalizada e indiferenciada de los datos relativos a la identidad civil de los usuarios de medios de comunicaciones electrónicas, y
• — el recurso a un requerimiento efectuado a los proveedores de servicios de comunicaciones electrónicas, mediante una decisión de la autoridad competente sujeta a un control jurisdiccional efectivo, para que procedan, durante un período determinado, a la conservación rápida de los datos de tráfico y de localización de que dispongan estos proveedores de servicios,

siempre que dichas medidas garanticen, mediante normas claras y precisas, que la conservación de los datos en cuestión está supeditada al respeto de las condiciones materiales y procesales correspondientes y que las personas afectadas disponen de garantías efectivas contra los riesgos de abuso».

4. Sobre la posibilidad de utilización de la información conservada para finalidades distintas de las previstas para su almacenamiento

El § 64 introduce la cuestión planteada por la Supreme Court irlandesa sobre si sería lícito hacer uso de la información retenida con motivo de salvaguardia de la seguridad nacional para fines relacionados con la lucha contra la delincuencia grave. Pero, realmente, la cuestión segunda de las planteadas abarcará no solo a la utilización de datos conservados en un régimen de retención basado en la lucha contra amenazas afectantes a la seguridad nacional, sino también a los datos conservados por motivos comerciales, en base a lo establecido, en esencia, por el art. 6 de la Directiva 2002/58/CE (LA LEY 9590/2002).

El Abogado General se muestra especialmente beligerante en cuanto a la posibilidad de utilización procesal de dicha información en cualquiera de las dos variantes que expone el órgano proponente. Y en cuanto a la accesibilidad a datos recopilados y conservados por razones comerciales por las operadoras, con cita de los § 160 a 166 de la sentencia del caso LA QUADRATURE DU NET y otros, considera que su utilización solamente podría verse justificada para el propósito para el que tales datos se recopilaron, con la sola excepción de su eventual conservación rápida. Sin embargo, tal afirmación aparenta no ser sino un desenfoque del tratamiento de la cuestión en el precedente jurisprudencial. Lo que hace el § 160 de dicho precedente es advertirnos de ese principio de funcionalidad de los datos tratados por las operadoras como consecuencia de la prestación de sus servicios de comunicaciones electrónicas a los usuarios; y que supone la obligación de eliminarlos o hacerlos anónimos «…al término de los plazos legales en los que deben tratarse y almacenarse con arreglo a las disposiciones nacionales de transposición de esta Directiva». La defendida prohibición de cesión para finalidades diversas no se hace depender, por ello, de unos razonamientos que tratan de determinar si es legítima la emisión de órdenes de preservación rápida de datos y bajo qué condiciones; pues lo único que se pretende con estas medidas es garantizar la no anonimización o eliminación de unos datos una vez desaparecida la justificación de su conservación por motivos comerciales.

Extrañamente, la sentencia no dedica finalmente una sola frase en su fallo a dar respuesta a la cuestión formalmente planteada por la Supreme Court irlandesa. La solución a tal interrogante debe deducirse de la lectura conjunta de los §§ 85-87 y 96-100. Con motivo del análisis del supuesto de la conservación rápida de datos de tráfico y comunicación, el § 85 nos recuerda que el destino de unos y otros, en tanto que objeto de tratamiento y almacenamiento por parte de prestadores de servicios de comunicaciones electrónicas, de conformidad con lo establecido en los arts. 5 (LA LEY 9590/2002), 6 (LA LEY 9590/2002) y 9 de la Directiva 2002/58/CE (LA LEY 9590/2002) es el de su supresión o anonimización una vez que han perdido su utilidad. Serían, por tanto, las normas nacionales de transposición las que habrían de establecer los plazos durante los que su conservación por motivos comerciales pudiera mantenerse. Ahora bien, lo que permite la conservación rápida es dar respuesta a la necesidad concreta de expandir la conservación de los datos más allá del momento en que procedería su expiración conforme a la ley nacional; y ello para atender a concretas necesidades de investigación de delitos graves o atentados contra la seguridad nacional (27) . La afirmación que realizara el Abogado General sobre la imposibilidad de utilización de los datos conservados por motivos comerciales para otras finalidades diversas a la atención del servicio de comunicaciones electrónicas de los clientes o usuarios o posibles reclamaciones pierde claramente peso con la sola lectura del comentado parágrafo de la sentencia. Pero es que esta consideración se ve aún más reafirmada en el parágrafo siguiente, cuando se considera conforme al mandato del art. 15.1 de la Directiva el establecimiento de regímenes de conservación rápida de datos de tráfico y localización, en base a una conciliación necesaria entre los intereses jurídicos en conflicto. Lo que interesa al TJUE es no tanto esta posibilidad de regulación, que sobreentiende obviamente la disponibilidad de estos datos para concretas finalidades de interés público de entre las desarrolladas en la norma de excepción, como la definición de cuáles sean estas finalidades. Y es en este contexto en el que se llega a reconocer que podrían ser títulos hábiles tanto la lucha contra la delincuencia grave, como, a fortiori, la protección de la seguridad nacional, «…siempre que esa medida y el acceso a los datos así conservados no sobrepasen los límites de lo estrictamente necesario, como los enunciados en los apartados 164 a 167 de la sentencia de 6 de octubre de 2020, La Quadrature du Net y otros (C-511/18, C-512/18 y C-520/18, EU:C:2020:791)». Si el régimen de conservación rápida tiene por razón de ser la garantía de que, a la llegada del fin del plazo de conservación de datos conservados por motivos comerciales, no se proceda a la eliminación o anonimización de éstos, es porque tales datos serán accesibles para atender a finalidades concretas de la lucha contra la delincuencia grave o contra la seguridad nacional; y ello tanto dentro del período de conservación de éstos, como una vez transcurrido el mismo, en virtud de la orden de conservación rápida.

Donde sí mostrará su contrariedad la sentencia será en el intento del Gobierno danés de aprovechar esta permeabilidad que se predica de los datos comerciales a su utilización procesal o por motivos de seguridad nacional, para aplicarla igualmente a los datos conservados por motivo de medidas de conservación generalizada dirigidas a atender necesidades concretas de seguridad nacional, en cuanto respecta a las necesidades de lucha contra la delincuencia grave. El § 98 recupera de la sentencia del caso LA QUADRATURE DU NET y otros el principio de que la posibilidad de una utilización de los datos objeto de conservación o tratamiento en base a una excepción lícita de entre las permitidas por el art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002) para fines diversos a los inicialmente previstos se hará depender del criterio de que ello solo sería factible «…si la importancia del objetivo perseguido por el acceso fuera mayor que la del objetivo que justificó la conservación». Y este principio de jerarquía, nos dirá el parágrafo 99, quebraría si se permitiera hacer uso de los datos conservados de forma generalizada como consecuencia de necesidades propias de la seguridad nacional para atender a demandas concretas de investigación de infracciones criminales graves. Obrar de otra forma, concluirá la sentencia en el § 100, sería «…privar de todo efecto útil a la prohibición de efectuar tal conservación a efectos de la lucha contra la delincuencia grave, recordada en el apartado 65 antes citado». Quedaría, no obstante, pendiente la solución al supuesto en que es como consecuencia del tratamiento de datos conservados para la salvaguardia de una finalidad concreta relacionada con la seguridad nacional cuando se detectaran indicios relevantes de la comisión de una infracción criminal grave: ¿Estaría igualmente vedada en tal supuesto la posibilidad de utilización procesal de tal información?

Dentro de la difícil convivencia entre la Directiva 2002/58/CE (LA LEY 9590/2002) y el Reglamento (UE) 2016/679 (LA LEY 6637/2016) (28) , regida por la compleja norma de remisión del art. 95 del Reglamento General de protección de datos (LA LEY 6637/2016) (29) , la Directiva (UE) 2016/680 (LA LEY 6638/2016) (30) representaría un argumento adicional en favor del tratamiento de estos datos conservados por motivos comerciales para fines de investigación en la lucha contra la delincuencia grave. Tal deber de cesión de datos, que ya encontraría por basamento jurídico el propio mandato del art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002), no comportaría, por otra parte, en modo alguno una carga adicional a los proveedores.

El actual art. 578 ter j de la LECRIM (LA LEY 1/1882) podría servir sin duda de base para justificar, en conjunción con lo establecido el art. 7.1 de la Ley Orgánica 7/2021, de 26 de mayo (LA LEY 11831/2021), de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, la disponibilidad de datos de tráfico, y eventualmente de localización, conservados o tratados por motivos comerciales a los efectos de una investigación criminal. Pero en modo alguno podría abrir las puertas a su utilización procesal en la investigación de infracciones criminales que no pudieran adaptarse al concepto de delincuencia grave al que se refiere la jurisprudencia del TJUE, tal y como pretendiera la Circular de la Fiscalía General del Estado 2/2019, sobre interceptación de comunicaciones telefónicas y telemáticas. Aparte de la contrariedad de tal tesis con la jurisprudencia del Alto Tribunal europeo, incluso en términos de interpretación de la propia norma nacional nos encontramos con que, por una parte, un acercamiento sistemático al precepto debería hacernos constatar cómo el art. 588 ter a, que determina el concepto de delito grave ad hoc en materia de injerencias sobre contenidos y datos de tráfico de comunicaciones electrónicas, es una norma general afectante al mismo capítulo en el que está integrado el precepto; y en segundo lugar, así ha quedado meridianamente expresado, como incuestionable interpretación auténtica, en el Preámbulo de la Ley Orgánica 13/2015 (LA LEY 15163/2015), que preserva esta referencia expresa a la equiparación de tipos penales a efectos tanto de interceptación de contenidos y datos de tráfico como de cesión de datos conservados. La pérdida de la referencia a categorías de delitos en el precepto comentado, sí existente en el texto del Anteproyecto, que sirve de argumento esencial a la tesis defendida por la Circular, parece atender más a una especie de repliegue táctico del legislador, una puerta abierta a una aplicación más flexible de la norma, aun dejando inalterada la posición auténtica que se mantiene en el Preámbulo; pero que se ve claramente condicionada con los explícitos términos con que se expresan las sentencias del TJUE de 6 de octubre de 2020 (LA LEY 211728/2020) y 5 de abril de 2022 (LA LEY 39345/2022).

5. Sobre la posibilidad de que una autoridad policial nacional con cierto grado de autonomía en sus funciones pueda emitir una orden de cesión de datos conservados en base a lo permitido por el art. 15.1 de la Directiva 2002/58/CE

Realmente esta cuestión planteada por la Supreme Court irlandesa carece aparentemente de un interés directo en el marco de la legislación procesal española; en el que no existe una autoridad policial, equivalente al Comissioner an Garda Síochána, con capacidad para emitir una orden de cesión de datos, más allá de los datos identitarios del art. 588 ter m o la orden de preservación de datos del art. 588 octies. Pero, en verdad, al menos el segundo de los preceptos citados nos enfrenta a un dilema jurídico de difícil solución.

Sería la sentencia del caso PROKURATUR, el verdadero punto de arranque de la respuesta negativa vendría al hilo de constatar cómo ni si quiera el Ministerio Fiscal como figura directora de una investigación criminal podría atribuirse la cualidad de organismo administrativo independiente capaz de autorizar o controlar eficazmente la emisión de una orden de cesión de datos de tráfico o de localización. Las SSTJUE de 8 de abril de 2014 (LA LEY 36312/2014) y 21 de diciembre de 2016 (LA LEY 180541/2016) se limitaron, de hecho, solo a hacer referencia a esa necesaria existencia de un «control previo por un órgano jurisdiccional o una autoridad administrativa independiente». La sentencia del caso PROKURATUR debe hacer frente precisamente a ese difícil reto de contestar a la pregunta de si un fiscal instructor o autoridad fiscal de la que éste dependiera podría gozar de tal cualidad.

Siguiendo con el hilo argumental de dicha sentencia, el primer condicionante que habría de superar cualquier autoridad administrativa independiente para poder asumir el cometido descrito en el art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002) es el de contar a su favor con todas las atribuciones y garantías necesarias para conciliar los intereses y derechos de que se trate — § 52—. Autoridad judicial o administrativa independiente, continúa afirmando la sentencia, habrán de estar en condiciones de ponderar adecuadamente, «…por una parte, los intereses relacionados con las necesidades de la investigación en el marco de la lucha contra la delincuencia y, por otra parte, los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales de aquellos a cuyos datos afecte el acceso». Se impone, por ello, que esta autoridad administrativa deba asumir, en primer lugar, las dos principales cualidades que, en el contexto de un Estado de Derecho, definen a una autoridad judicial: La capacidad de decisión real en el ámbito propio de las atribuciones competenciales que se le encomiendan; y por otra parte esa especial posición de garante de los derechos fundamentales de los justiciables, y, en concreto, del derecho a la vida privada y la protección de los datos personales.

El segundo condicionante, como predicado de la salvaguardia en la escrupulosa garantía de tales cualidades, supondrá un claro acercamiento a esa posición garante e independiente que representa la autoridad judicial; lo que supone que se imponga a una tal autoridad administrativa independiente que la misma tenga reconocido un estatuto «…que le permita actuar en el ejercicio de sus funciones con objetividad e imparcialidad, y, para ello, ha de estar a resguardo de toda influencia externa» —§ 53—. Y ello solamente podrá conseguirse mediante la garantía de la no dependencia funcional o jerárquica respecto de otros organismos públicos.

Es evidente que esa posición híbrida de dirección de la investigación y parte acusadora, que es genuina del fiscal investigador, ni garantiza su independencia funcional, ni menos que actúe en el ejercicio de sus funciones con objetividad e imparcialidad. Es por ello que la sentencia acabaría concluyendo que: «El artículo 15, apartado 1, de la Directiva 2002/58 (LA LEY 9590/2002), en su versión modificada por la Directiva 2009/136 (LA LEY 22502/2009), en relación con los artículos 7, 8, 11 y 52, apartado 1, de la Carta de los Derechos Fundamentales, debe interpretarse en el sentido de que se opone a una normativa nacional que atribuye competencia al Ministerio Fiscal —cuya función es dirigir el procedimiento de instrucción penal y ejercer, en su caso, la acusación pública en un procedimiento posterior— para autorizar el acceso de una autoridad pública a los datos de tráfico y de localización a efectos de la instrucción penal».

La aplicación de estos criterios al supuesto de la STJUE de 5 de abril de 2022 (LA LEY 39345/2022) no podría ser otra que la de descartar de forma incontestable la conformidad con el Derecho de la Unión de esa atribución de competencias propias de una autoridad administrativa independiente en favor de quien participa de la investigación criminal como autoridad policial. La novedad de la sentencia, sin embargo, parece encaminarse hacia la clarificación de que ese control o supervisión no habría de equipararse a una posibilidad de fiscalización a posteriori —§ 112 (31) —, generalmente vía de recurso o de simple dación de cuenta, sino por la necesaria previa petición a autoridad judicial o administrativa independiente o, en caso de situación de urgencia, a la ratificación de la medida acordada por el órgano o autoridad solicitante —§ 110 (32) —. La figura del Comissioner, como autoridad competente para ejercer un control previo de petición cursada por una autoridad policial de rango inferior, carecía obviamente de esa cualidad de tercero frente a quien solicita el acceso a los datos interesados; pero igualmente adolecía de las exigencias de independencia e imparcialidad que se exigen de la autoridad administrativa independiente.

En este sentido, la jurisprudencia del TJUE deja en una posición bastante comprometida a la actual dicción literal del art. 588 octies de la LECRIM (LA LEY 1/1882); en tanto que solamente garantizará un control judicial efectivo en tanto en cuanto la orden de preservación de datos viniera acompañada de la posterior petición de autorización de cesión de los mismos. Pero ni siquiera en este supuesto la decisión de preservación contaría con la garantía del control judicial; en tanto que esa decisión de mantenimiento de los datos cuya preservación se impone es realmente ajena a la decisión que se cursa a la autoridad judicial. Por supuesto que el juez de instrucción competente podrá denegar la solicitud de cesión de datos por considerar que la orden de preservación resultaba improcedente o jurídicamente inasumible; pero se trata éste de un simple control a posteriori en el que se aborda indirectamente la corrección jurídica de una anterior decisión policial o fiscal. Solamente acudiendo a la solución apuntada por el art. 7.1 de la LO 7/2021 (LA LEY 11831/2021) podríamos garantizar tanto la justificación de la medida como su puesta en conocimiento de autoridad judicial; pero ello no daría pleno cumplimiento a esa exigencia de previa autorización de la medida, o su ratificación a posteriori, y en el plazo más breve posible, tras su adopción por el solicitante por razones de urgencia. Además, los plazos de hasta 90 días que maneja el art. 588 octies de la LECRIM (LA LEY 1/1882) tampoco parece que acompañen a esa exigencia de control de la urgencia y procedencia en el breve plazo al que se refiere el § 109 de la sentencia. La reconsideración y nueva redacción de la norma se ha convertido en una urgencia vital para nuestro ordenamiento jurídico, si es que no queremos mantener en situación de evidente riesgo de contrariedad con la jurisprudencia del TJUE una medida de investigación tan indispensable en el actual contexto del universo de los datos y las comunicaciones electrónicas.

El supuesto de la cesión de datos identitarios del art. 588 ter m parecería tener que correr la misma suerte que el art. 588 octies. Pero la ínfima intensidad de la injerencia, y la constatación de que nos enfrentamos no a un dato de tráfico, sino, a lo sumo a un dato relativo a las comunicaciones que nada tiene que ver de forma directa con el principio de confidencialidad de las comunicaciones que protege el art. 5 de la Directiva 2002/58/CE (LA LEY 9590/2002), harán que el escenario cambie radicalmente. Por supuesto que una reconsideración del precepto, que asegurara la existencia de un control judicial efectivo de las órdenes de cesión de datos identitarios emitidas por Policía Judicial o Ministerio Fiscal, era un imperativo que lastraba su propia conformidad con las exigencias de protección frente a situaciones de abuso o arbitrariedad; pero es un dilema jurídico que ha encontrado una respuesta a posteriori con el mandato del citado art. 7.1 de la LO 7/2021 (LA LEY 11831/2021). Respuesta que no deja de ser imperfecta; desde el momento en que si bien se impone el deber de dación de cuenta a la autoridad judicial o fiscal de toda decisión de cesión de datos adoptada por una autoridad policial o fiscal, no se arbitra el procedimiento en que ello habría de tener lugar cuando la investigación no llega finalmente a su conocimiento, aun presuponiendo que el juez competente pudiera de oficio anular la decisión, una vez tenido conocimiento de la misma (33) .

6. Imposibilidad de limitación temporal por parte de autoridad judicial nacional de los efectos de la declaración de invalidez de la Directiva 2006/24/CE

Ya pudimos ver anteriormente cómo el TJUE, en su sentencia del caso LA QUADRATURE DU NET y otros, negó de forma taxativa cualquier posibilidad de que un legislador nacional, como proponía Cour Constitutionnelle belga, pudiera establecer una exención temporal a la declaración de invalidez de la Directiva 2006/24/CE (LA LEY 3617/2006) durante el tiempo preciso para que la legislación nacional pudiera adaptarse a las exigencias jurisprudenciales. Lo que pretende ahora la Supreme Court es ponderar la posibilidad de que esa aplicación excepcional de una norma nacional, que, como la ley irlandesa de 2011, fue aprobada en implementación de la mencionada Directiva, lo fuera mediante una decisión de autoridad judicial; y más en concreto cuando la decisión judicial puesta en cuestión, como sucedía en el supuesto analizado por el órgano nacional, fuera dictada en el ínterin entre la entrada en vigor de la Directiva y la publicación de la STJUE (Pleno) de 8 de abril de 2014. En definitiva, el órgano nacional interesa la opinión del TJUE sobre la posibilidad de que una autoridad judicial pudiera valorar como medios de prueba lícitos evidencias obtenidas de bases de datos creadas por mandato de su Ley nacional de 2011.

De nuevo, el principio de primacía vuelve a ser el punto de arranque de la postura inamovible del Tribunal de Luxemburgo; lo cual supone, salvo supuestos muy excepcionales, que al Tribunal y solo al Tribunal competerá cualquier virtual decisión de establecimiento de plazos de adaptación a una concreta decisión jurisprudencial propia, consecuencia de un incumplimiento de la normativa comunitaria, y, por ende, de declaración de invalidez de una Directiva, con repercusión en el Derecho interno de los Estados miembros. En el supuesto concreto de legislaciones nacionales que establecieran un régimen de conservación preventiva de datos de tráfico y localización, el § 122 de la sentencia no deja lugar a dudas sobre su posición contraria a lo que sugiere la Supreme Court irlandesa: «En efecto, el mantenimiento de los efectos de una normativa nacional como la Ley de 2011 significaría que dicha normativa sigue imponiendo a los proveedores de servicios de comunicaciones electrónicas obligaciones que son contrarias al Derecho de la Unión y que suponen injerencias graves en los derechos fundamentales de las personas cuyos datos se han conservado». Como consecuencia de tal afirmación, el parágrafo siguiente concluirá que: «…no le es lícito al órgano jurisdiccional remitente limitar en el tiempo los efectos de una declaración de invalidez que le corresponde efectuar, con arreglo al Derecho nacional, con respecto a la normativa nacional controvertida en el litigio principal».

La consecuencia de la Declaración de invalidez de la Directiva 2006/24/CE (LA LEY 3617/2006), nos recuerda el § 124, haciendo propia la opinión defendida por el Abogado General, habría de ser el sometimiento de las leyes nacionales nacidas al abrigo de dicha norma defenestrada al mandato del art. 15 de la Directiva 2002/58/CE (LA LEY 9590/2002); siendo a la luz de dicha norma, y, obviamente, de la jurisprudencia del TJUE que la interpreta, como deben los órganos jurisdiccionales nacionales valorar la validez de la ley nacional. Y ello comportaría la retroacción de los efectos de invalidez no al momento de su declaración por el Tribunal, sino al de la entrada en vigor de la norma comunitaria declarada inválida (34) .

Ese efecto ex tunc de las consecuencias de una declaración de invalidez de una concreta norma comunitaria afectará igualmente a la interpretación que haga el TJUE, con carácter prejudicial, a una norma de la Unión; cual sería precisamente el supuesto del art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002) desde la STJUE de 21 de diciembre de 2016 (LA LEY 180541/2016). Así lo ha recordado el § 125, al afirmar de forma taxativa que: «…la interpretación que el Tribunal de Justicia efectúa, en el ejercicio de la competencia que le confiere el artículo 267 TFUE (LA LEY 6/1957), de una norma de Derecho de la Unión aclara y precisa el significado y el alcance de dicha norma, tal como debe o habría debido ser entendida y aplicada desde el momento de su entrada en vigor. De ello resulta que la norma que ha sido interpretada puede y debe ser aplicada por el juez a las relaciones jurídicas nacidas y constituidas antes de que se haya pronunciado la sentencia que resuelva sobre la petición de interpretación si, además, se cumplen los requisitos que permiten someter a los órganos jurisdiccionales competentes un litigio relativo a la aplicación de dicha norma (sentencia de 16 de septiembre de 2020, Romenergo y Aris Capital, C-339/19, EU:C:2020:709, apartado 47 y jurisprudencia citada)».

Hechas las anteriores manifestaciones, el Alto Tribunal Europeo recuerda la vigencia de los principios de equivalencia y efectividad del Derecho de la Unión, como principios que han de ser respetados por los las autoridades judiciales nacionales a la hora de ponderar la admisibilidad de las evidencias obtenidas en un proceso penal. La sentencia sigue respetando ese principio de autonomía procesal que de forma tan destacada se reafirmara en el precedente de la sentencia del caso PROKURATUR; pero nos recuerda que cualquier decisión que se tome al respecto debe mostrarse respetuosa con tales principios informadores del Derecho de la Unión. Acaba por concluir, por tanto, en el punto tercero del fallo de la sentencia, afirmando que: «El Derecho de la Unión debe interpretarse en el sentido de que se opone a que un órgano jurisdiccional nacional limite en el tiempo los efectos de una declaración de invalidez que le corresponde efectuar, en virtud del Derecho nacional, con respecto a una normativa nacional que impone a los proveedores de servicios de comunicaciones electrónicas una conservación generalizada e indiferenciada de los datos de tráfico y de localización, en razón de la incompatibilidad de esa normativa con el artículo 15, apartado 1, de la Directiva 2002/58 (LA LEY 9590/2002), en su versión modificada por la Directiva 2009/136 (LA LEY 22502/2009), a la vista de la Carta de los Derechos Fundamentales. Conforme al principio de autonomía procesal de los Estados miembros, la admisibilidad de las pruebas obtenidas mediante tal conservación se rige por el Derecho nacional, sin perjuicio del respeto en particular de los principios de equivalencia y efectividad».

La posición que adopta la Sala Segunda del Tribunal Supremo frente a esa exigencia de respetuosidad con los principios de equivalencia y efectividad a la hora de valorar la eficacia probatoria de evidencias obtenidas en base al régimen jurídico de conservación preventiva de datos instaurado por la ley 25/2007 (LA LEY 10470/2007) no deja de ser poco satisfactoria; no acaba de reaccionar frente a los cada vez más contundentes argumentos del Tribunal de Luxemburgo (35) .

La última sentencia dictada sobre la cuestión, la STS, Sala 2ª, 727/2020, de 23 de marzo de 2021 (LA LEY 22986/2021), comienza por insistir en que las garantías desarrolladas en la ley española y su rigorosa aplicación jurisprudencial en la práctica forense cubrirían los déficits normativos que se imputan a la defenestrada Directiva 2006/24/CE (LA LEY 3617/2006); y que la vigencia de la norma nacional habría quedado reafirmada con la inserción de normas de remisión a la LCDCE en el art. 42 de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones (LA LEY 7179/2014), así como en el art. 52 de una Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LA LEY 19303/2018). Se trata de un argumento difícilmente defendible frente a un principio de primacía del Derecho de la Unión opuesto de forma tan vehemente en las SSTJUE de los casos LA QUADRATURE DU NET y otros, PROKURATUR y la comentada de 5 de abril de 2022. Es evidente que una autoridad nacional no puede arrogarse la facultad de reafirmar, por no decir rehabilitar, mediante una simple norma de remisión, la vigencia de una norma que ha sido considerada o debe ser considerada al Derecho de la Unión, según la interpretación de la misma ofrecida por el TJUE. Intenta igualmente valorar el avance de la legislación española con la entrada en vigor de la LO 13/2015 (LA LEY 15163/2015), que considera sería un acercamiento a las exigencias de la jurisprudencia del TJUE; aunque realmente no llegue en modo alguno a suponer una sintonía real con tal doctrina, al seguir manteniendo la vigencia de un régimen de conservación preventiva y generalizada de datos, que se considera siempre y en todo caso contrario al Derecho de la Unión.

La STS 727/2020 (LA LEY 22986/2021) trata de romper la manifiesta confrontación de la jurisprudencia del TJUE en interpretación del art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002) con la situación de la legislación española sobre conservación preventiva de datos; destacando el carácter evolutivo, cambiante, de dicha jurisprudencia desde la publicación del precedente del caso LA QUADRATURE DU NET y otros. Pero si es evidente que tal circunstancia debería llevarnos necesariamente ante la necesidad de plantear una cuestión prejudicial, pues no nos enfrentamos en modo alguno ante un acto claro o aclarado, resulta que la sentencia del caso G.D. y COMISSIONER AN GARDA SÍOCHÁNA no ha hecho sino reafirmar la jurisprudencia anterior; sin más repercusión en cuanto a regímenes de conservación preventiva de datos que la de relacionar las bases de datos de adquirentes de tarjetas de telefonía prepago con el ámbito de la identidad civil, y descontextualizar de la lucha contra el terrorismo el supuesto de la obtención en tiempo real de datos de tráfico y localización.

A la hora de asumir el reto de la respuesta procesal nacional a la posible eficacia probatoria de evidencias obtenidas con contravención del mandato de la Directiva 2002/58/CE (LA LEY 9590/2002), el Tribunal Supremo extrae conclusiones que favorecen claramente su tesis sobre la aplicabilidad por los órganos jurisdiccionales penales españoles de la Ley 25/2007. Sostiene lo que considera es una preferencia del TJUE por la solución aportada por la doctrina del TEDH del llamado principio adversarial. Pero en su discurso jurídico, que parte del análisis de los principios de primacía y equivalencia, curiosamente hace agnosia de la aplicación del principio de eficacia. Considera, por ello, que para que una evidencia obtenida en base al mandato de la Ley 25/2007 (LA LEY 10470/2007) pudiera tener eficacia probatoria bastaría con otorgar al derecho comunitario «…la misma protección que ante una situación similar otorgaría el derecho nacional». Ello lleva a nuestro Tribunal Supremo a acudir a la solución que planteara la STC, Pleno, 49/1999, de 5 de abril (LA LEY 4215/1999), de permitir el complemento de una regulación nacional restrictiva de derechos fundamentales insuficiente para cumplir su cometido mediante una aplicación jurisprudencial exquisitamente respetuosa con el contenido esencial de los derechos fundamentales sometidos a injerencia, como mecanismo para suplir aquellos aspectos de la ley nacional que pudieran ser no plenamente conformes con el Derecho de la Unión, «…dicho todo ello con las máximas reservas». Si nos fijamos con atención, lo que plantea el Tribunal Supremo no es tanto dar una solución concreta sobre la posible utilización procesal de una determinada evidencia como servir de argumento para mantener la vigencia de la ley nacional; en un contexto en el que una regla de exclusión tan arraigada en nuestra tradición jurisprudencial, es sustituida por la posibilidad de mantener de forma generalizada órdenes de cesión de datos contrarias al Derecho de la Unión; y ello con tal que se cumpla escrupulosamente con el mandato de la Ley 25/2007 (LA LEY 10470/2007) y su adaptación a la LECRIM (LA LEY 1/1882), y se permita una perfecta sintonía con el principio de contradicción en cuanto a su valoración. Pero olvida dos cuestiones de especial trascendencia: No puede aplicarse el principio de equivalencia cuando resulta que la norma nacional, simplemente, contraviene el principio de primacía; por otra parte, caeríamos en contradicción si pretendemos equiparar la solución ofrecida por la legislación nacional frente a una legislación comunitaria que, nada más y nada menos, es irreductiblemente opuesta a los regímenes de conservación de datos como los regulados por la ley española. Si no hay punto de comparación, si resulta que el Derecho de la Unión ofrece un mayor nivel de garantía al desdeñar tales regímenes legales en salvaguardia del principio de proporcionalidad y de los derechos fundamentales reconocidos en los arts. 7 (LA LEY 12415/2007), 8 (LA LEY 12415/2007) y 11 de la CDFUE (LA LEY 12415/2007), el propio presupuesto en el que se asienta la doctrina jurisprudencial nacional para mantener la vigencia de la ley española quedaría en entredicho; en una constante aplicación de una norma contraria al principio de primacía que seguiría produciendo sus efectos de forma indefinida.

Deberíamos, de una vez por todas, aprovechar la ocasión que nos brindan las últimas sentencias del TJUE para adaptar nuestra LCDCE al nuevo horizonte de la conformidad del Derecho de la Unión con regímenes de conservación preventiva de datos en materia de identidad civil y asignación de IIPP dinámicas, con especial sujeción al criterio de la delincuencia grave; y, a la vez, aprovechar la ocasión para regular los supuestos de retención selectiva de datos que la nueva jurisprudencia comunitaria asume, así como conciliar el régimen de conservación rápida de datos con sus exigencias. Pero, si hasta esta nueva línea jurisprudencial esta necesidad era inexcusable, a estas alturas podría llegar a reputarse crítica.