I. De dónde venimos: la STJUE (Gran Sala) de 6 de octubre de 2020 del Caso la Quadrature du Net y otros
Cuando abordé en octubre de 2021 la situación de la jurisprudencia española en torno a la doctrina del Tribunal de Justicia de la Unión Europea sobre la conservación generalizada e indiscriminada de datos para fines de investigación criminal (2) , vaticiné una pronta evolución de la jurisprudencia del Alto Tribunal europeo; una apertura hacia delante que tratara de horadar el asfixiante lecho de Procusto en que se había encorsetado cualquier posibilidad de establecimiento de regímenes legales que anticiparan, mediante la conservación preventiva de datos relativos a las comunicaciones y de geolocalización, su posible ulterior utilización en una investigación criminal. Si, como recordamos, la STJUE (Gran Sala) de 8 de abril de 2014 (LA LEY 36312/2014) (asuntos DIGITAL RIGHTS IRELAND y SEITLINGER y otros; C-293/12 y C-594/12) supuso la defenestración de la Directiva 2006/24/CE (LA LEY 3617/2006) (3) , la STJUE (Gran Sala) de 21 de diciembre de 2016 (LA LEY 180541/2016) (asuntos TELE2 SVERIGE AB, WATSON y otros; C-203/15 y C-698/15) cercenaría cualquier posibilidad de regulación a nivel de derecho interno de los Estados miembros de unos tales regímenes, bajo el inquebrantable baldón de un Todopoderoso art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002) (4) , con un vigor y alcance jurídicos sin duda inimaginables para los propios legisladores comunitarios que lo redactaran. Pero era evidente que, ante la presión de las autoridades nacionales acuciadas por no poderse valer de una información tan valiosa que permitiría ubicar a los delincuentes de infracciones criminales tan dañinas para las sociedades democráticas del entorno de la Unión Europea como los actos terroristas y la criminalidad organizada, un discurso autocrítico no podría hacerse esperar por mucho tiempo; y encontraría su reflejo en las SSTJUE (Gran Sala) de 6 de octubre de 2020 (LA LEY 211728/2020) (casos LA QUADRAUTE DU NET y otros; asuntos 511, 512 y 520/18), y (Gran Sala) de 2 de marzo de 2021 (caso PROKURATUR; asunto C-746/2018).
Ambas sentencias nos permitieron comprobar algo que a todas luces parecía patente: Que el abanderamiento del principio de proporcionalidad en términos tan genéricos como los defendidos en la primigenia STJUE (Gran Sala) de 8 de abril de 2014 (LA LEY 36312/2014), como fundamento esencial de la consideración de radical contravención del el Derecho de la Unión por parte de tales regímenes legales, no tendría por qué afectar a todas y cada una de las potencialidades imaginables de dichos deberes de conservación preventiva; que podría haber determinadas categorías de datos que sí podrían superar un juicio de impacto sobre derechos que orbitan en el ámbito de la privacidad de millones de personas que en su vida no cometerán más infracción que la de saltarse un semáforo en ámbar, tirando para rojo. Tanto esta última sentencia, como su sucesora de 21 de diciembre de 2016, es cierto que advertían de la transgresión de los derechos fundamentales reconocidos en los arts. 7 (LA LEY 12415/2007), 8 (LA LEY 12415/2007), 11 (LA LEY 12415/2007) y 52.1 de la Carta de Derechos Fundamentales de la Unión Europea (LA LEY 12415/2007) —CDFUE—; pero la afectación del primordial principio de proporcionalidad, tal y como es entendido en el citado art. 52.1 (5) , era la que sin duda fue tenida en cuenta por el TJUE. La afectación de los derechos a la vida privada, la confidencialidad de las comunicaciones, protección de datos de carácter personal y libertad de expresión e información ganaba sentido en tanto en cuanto no se llegaba a atender a la existencia de una preponderancia del interés público por preservar con finalidad preventiva y de forma indiscriminada tan ingente volumen de datos; no por su afectación directa. Incluso el principio de necesidad, que en el art. 8.2 del CEDH (LA LEY 16/1950) aparece reflejado en un contexto de paridad con el de proporcionalidad, a la hora de permitir restricciones de derechos relacionados con el entorno de la privacidad, permanecía sojuzgado en ambas sentencias bajo una consideración de clara subsidiariedad; tal y como claramente se colige de la lectura de dicho art. 52.1 de la CDFUE (LA LEY 12415/2007).
La STJUE del caso LA QUADRATURE DU NET y otros no fue capaz de superar la tensión que suponía esa cada vez menos velada presión a la que se alineara en parte la opinión del Abogado General; a la vez que de hacer frente a un destacadamente hábil planteamiento de las cuestiones por parte del Conseil d’État francés y la Cour Constitutionnelle belga. Y es aquí donde por primera vez se atreve a volver, al menos en parte, sobre sus propios pasos, para constatar algo que a todas luces se mostraba evidente: que esa leviatánica afectación de derechos fundamentales de millones de ciudadanos sin encaje en el principio de proporcionalidad que había de presidir cualquier limitación de derechos fundamentales en el contexto del Derecho de la Unión, podría llegar a perder sentido en función de la naturaleza del dato cuya conservación se pretendiera a nivel de regulación interna de los Estados miembros.
La apreciación de distintos grados o niveles de ponderación del principio de proporcionalidad empezaba a vislumbrarse tímidamente en la opinión del Tribunal de Luxemburgo; y más en un contexto en el que datos de tráfico y datos relativos a las comunicaciones, pero sin relación concreta con alguna de ellas, fueran tratados como una misma realidad jurídica. De la visión genérica, en abstracto, de la norma sometida a juicio de proporcionalidad ex art. 52.1 de la CDFUE, se pasaría a un análisis concreto de la previsible incidencia que tendría la medida limitativa sobre concretos derechos fundamentales, y su confrontación con la razón de interés general aducida por el legislador comunitario o nacional en materias afectantes al acervo normativo de la Unión.
La STJUE del caso LA QUADRATURE DU NET abrió las puertas a la posibilidad de establecimiento de regímenes de conservación generalizada e indiscriminada de datos al menos para dos supuestos concretos
Esta sentencia abrió las puertas a la posibilidad de establecimiento de regímenes de conservación generalizada e indiscriminada de datos al menos para dos supuestos concretos: Por una parte, los que denominara, aunque no definiera, datos de identidad civil, abiertos a la posibilidad de utilización para la investigación de delitos en general, en base a un principio de menor intensidad en el grado de injerencia; por otra, los datos de asignaciones temporales de IIPP, sí adscritos a la exigencia de su utilizabilidad tan solo para la lucha contra la delincuencia grave.
Es cierto que el § 153 de la sentencia reconocía que «…el rastreo exhaustivo de la secuencia de navegación de un internauta y, en consecuencia, de su actividad en línea…» permitía establecer un perfil detallado de éste; de lo que extraía como conclusión que «…la conservación y el análisis de dichas direcciones IP que precisa ese rastreo constituyen injerencias graves en los derechos fundamentales del internauta consagrados en los artículos 7 y 8 de la Carta», que pueden tener efectos disuasorios como los contemplados su apartado 118. Sin embargo, y aparte esa búsqueda deliberada de asignaciones IIPP para conformar un perfil de una concreta persona, se destaca veladamente el escaso nivel de injerencia que se deriva de la conservación de unos datos que solamente tendrían sentido asociándolos con las ubicaciones a las que se hubiera accedido navegando bajo el soporte de tal asignación. Pero a su vez se reconoce que, en un contexto en el que la funcionalidad de la conservación de tales datos por motivos comerciales, de prestación de servicios de comunicaciones electrónicas sería muy discutible, su conservación solamente quedaría garantizada mediante una norma legal que así lo impusiera, al amparo de la cláusula excepcional contenida en el art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002); lo que convertía en críticamente necesaria tal conservación como única forma posible de investigar delitos de tanta gravedad como los relacionados con la pornografía infantil —§ 154— (6) . El riesgo de impunidad de delitos especialmente graves, al constatarse que no existe otra forma de establecer la trazabilidad de tales conexiones a la red como no sea determinando la asignación de la IP desde la que se establecieron, pesará especialmente a la hora de concluir la conciliación de tal deber de conservación con el respeto del principio de proporcionalidad; aunque sea imponiendo especiales prevenciones y cautelas. Así lo establecería la calendada sentencia; exigiendo que tal posibilidad estuviera siempre «…sujeta al riguroso respeto de las condiciones materiales y procesales que deben regular la utilización de tales datos» —§ 155—. Lo que en el supuesto de técnicas de rastreo supondría una mayor nivel de exigencia a la ley nacional que lo impusiera, en cuanto al establecimiento de las condiciones y garantías estrictas que se refieren en el § 156 (7) .
La consideración de unos datos de identidad civil, que no llegan a definirse de forma concreta, como susceptibles igualmente de almacenamiento preventivo, parte de la base de su consideración como datos relativos a las comunicaciones que, por si solos, carecen de potencialidad para desvelar información sobre el tráfico de concretas comunicaciones ni su geolocalización. La minusvaloración por la sentencia de estos datos llega a considerarlos no solo no afectantes a la confidencialidad de las comunicaciones, sino incluso a la vida privada de las personas afectadas por el deber de conservación de sus datos de identidad. Y es por ello que, al contrario de lo que sucediera con las asignaciones IIPP, la injerencia no llega a calificarse como grave. En tanto en cuanto la finalidad del almacenamiento preventivo obedeciera a la necesidad de identificar a la persona que pudiera estar detrás de concretas comunicaciones efectuadas, la compatibilidad con el mandato del art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002), y, por ende, del principio de proporcionalidad, quedaría garantizada. Por ello la proporcionalidad de la medida legislativa no queda anudada necesariamente a la lucha contra la delincuencia grave, sino contra la delincuencia en términos generales —§§ 158 y 159—. Y ello, frente al ejemplo anterior, incluso sin necesidad de sometimiento a plazos estrictos y limitados de conservación.
En ambos supuestos se deja ver cómo en la ponderación del principio de proporcionalidad habría de tenerse en cuenta la necesidad de dar protección a concretos bienes jurídicos a cuya salvaguardia va encaminado el sistema de investigación criminal de los Estados miembros de la Unión. Esta ponderación, frente a los riesgos de abrir enormes espacios de impunidad bajo el amparo del anonimato en las redes, jugará un especial papel en orden a la justificación de la propia existencia de bases de datos de asignaciones IIPP; pero adquirirá, además, una especial trascendencia en la posible utilización procesal de los datos identitarios. No hemos de olvidar en este último sentido la cita que se hace en el § 158 a la STJUE (Gran Sala) de 2 de octubre de 2018 (LA LEY 124440/2018) (caso MINISTERIO FISCAL; asunto C-207/16); en la que la proporcionalidad de la cesión de datos identitarios, o equiparables a éstos, alcanza como nivel mínimo el de la delincuencia ordinaria; que eso sí, difícilmente permitiría superar la barrera de los llamados delitos leves o petty crimes.
Aparte de ello, y en cuanto a la lucha contra la delincuencia grave, la sentencia del caso LA QUADRATURE DU NET y otros solo se abriría, recordemos, a la emisión de órdenes de retención selectiva de datos de tráfico y localización dirigidas a garantizar la lucha contra la delincuencia grave; órdenes de congelación rápida de datos de tráfico y localización —quick freezing orders—, en tanto que pudieran contribuir a esclarecer los hechos investigados y durante el tiempo estrictamente necesario; así como a órdenes de cesión de datos de tráfico y localización en tiempo real, referidas en un principio tan solo a la lucha contra la actividad terrorista, aunque por razón de simple congruencia con lo solicitado en la cuestión prejudicial.
En definitiva, una nueva forma de entender el principio de proporcionalidad en materia de conservación/retención/preservación de datos relativos a comunicaciones electrónicas empezaba a tomar forma en la STJUE del caso LA QUADRATURE DU NET y otros. No solo el concepto de delincuencia grave se abría paso frente a esa consideración inicial del caso MINISTERIO FISCAL que parecía no ver más allá de la delincuencia organizada y el terrorismo, dejando atrás gravísimos ataques a bienes jurídicos especialmente relevantes, sino que la afectación concreta de la medida empleada para una determinada finalidad comenzaba igualmente a encontrar su sitio en la evolucionada doctrina.
II. A dónde vamos: el impacto de la STJUE (Gran Sala) de 4 de mayo de 2022 del Caso G.D. y Comissioner an Garda Síochána
Los vientos del cambio ya se vislumbraban cuando la cuestión prejudicial planteada por la Supreme Court irlandesa tuvo entrada en el Tribunal de Luxemburgo. Así se podría apreciar ya de forma más patente en las Conclusiones del Abogado General M. CAMPOS SÁNCHEZ-BORDONA (8) ; evolucionando claramente frente a sus iniciales planteamientos desarrollados en Conclusiones anteriores sobre la materia.
El órgano proponente se enfrentaba a un caso de gran interés mediático, un asesinato con ciertos tintes de crueldad, en el que la condena del recurrente se basaba como piedra clave en unos datos de geolocalización del terminal de telefonía móvil que portaba en el momento del crimen; y que lo situaban en lugar y momento perfectamente compatibles con su comisión. Los datos habían sido objeto de cesión por la correspondiente operadora de telecomunicaciones en cumplimiento de una orden emitida por una autoridad policial bajo la supervisión y control de un superior jerárquico: el Comissioner an Garda Síochána, Comisario de la Policía Nacional en gaélico; y ello en aplicación de una ley nacional de 2011 que implementaba la Directiva 2006/24/CE (LA LEY 3617/2006), y que, en concreto, imponía la conservación de datos de localización de dispositivos de telefonía móvil por plazos de dos años a los efectos de su posible utilización para la investigación de delitos graves (9) . Esta circunstancia, así como el hecho de que la decisión se hubiera adoptado por una autoridad policial sometida solo a un previo control por autoridad superior a modo de ratificación hacía predecir una solución no precisamente favorable para las autoridades nacionales irlandesas y su ordenamiento jurídico.
Siguiendo la doctrina desarrollada por sus precedentes, difícilmente podría pensarse que la sentencia, la STJUE (Gran Sala) de 5 de abril de 2022 (LA LEY 39345/2022) (caso G.D. y COMISSIONER AN GARDA SÍOCHÁNA; asunto C-140/20) (10) , se moviera un ápice de sus pétreos planteamientos sobre la absoluta contrariedad con el Derecho de la Unión de regímenes de conservación preventiva e indiscriminada de datos nacidos o inspirados a la luz de la defenestrada Directiva 2006/24/CE (LA LEY 3617/2006). Sin embargo, acaba sorprendiéndonos aportando valiosísimos avances, tanto en esas líneas de actuación que ya se anticiparan en sus dos precedentes inmediatos, como en la exploración de otros nuevos escenarios en los que la línea aperturista aún tenía cabida. Las otrora infranqueables fronteras que fueran marcadas por la STJUE (Gran Sala) de 8 de abril de 2014 (LA LEY 36312/2014) son enfrentadas a una fuerte tensión que las hace maleables ante la constatación de que nuevos ámbitos y formas de retención/conservación de datos eran factibles bajo el mandato del art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002). Dedicaremos los siguientes párrafos a ir desgranando las principales novedades que presenta esta nueva sentencia.
Pese a la insistencia de la Comisión en sus alegatos ante la Gran Sala, se niega la existencia de una relación de equiparación entre la salvaguardia de la seguridad nacional y la lucha contra la delincuencia grave. El hábil argumento de equiparar la lucha frente a riesgos contra la seguridad con la lucha con la delincuencia grave permitiría expandir la permisividad mostrada por el TJUE en los primeros supuestos en cuanto a regímenes de retención generalizada de datos de tráfico y localización, cuando se constatara la existencia de concretas amenazas contra la seguridad nacional que tuvieran naturaleza delictiva; pero con la finalidad precisamente de actuar contra éstas, y no contra el riesgo contra la seguridad nacional. El Alto Tribunal rechaza tal línea argumental, haciendo propias argumentaciones contenidas en las Conclusiones del Abogado General; en el sentido de advertir que reconocer tal equiparación supondría una especie de estratagema para crear un tertium genus, residenciado entre la salvaguardia de la seguridad nacional y la seguridad pública —§ 63 (11) —. La sentencia trata de explicar en sus §§ 61 y 62 en qué consiste ese objetivo de seguridad nacional hábil para permitir la aplicación de una retención generalizada de datos de tráfico y localización. Y para ello incluso llega a reconocer cómo bajo determinadas circunstancias podrían existir ciertos puntos de convergencia entre una amenaza contra la seguridad nacional y la afectación de la seguridad pública o el riesgo de proliferación de delitos graves; que estas amenazas a la seguridad nacional pueden dar paso a la aparición de tensiones o perturbaciones, incluso graves, que incidan de forma seria en la seguridad pública o faciliten un escenario de proliferación de comisión de delitos graves; pero ello no empañaría la naturaleza propia de la causa de estas situaciones o riesgos afectantes a lo que no son sino niveles o fines de inferior grado frente a la salvaguardia de la seguridad nacional. En cualquier caso, nos hace ver que estas posibles concurrencias no permitirían reconocer una línea de apertura al estrecho grado de permisividad que sí se reconoce en cuanto a la lucha frente a concretas amenazas contra la seguridad nacional, en cuanto respecta a la posibilidad de emisión de órdenes de conservación generalizada de tales datos. Esta incidencia sobre la seguridad pública o incremento en el volumen de delitos graves podría ser atendida indirectamente como una consecuencia más de la lucha contra esos concretos riesgos contra la seguridad nacional; pero jamás podría ser entendida como una puerta trasera que permitiera aplicar tales regímenes preventivos más allá de aquella finalidad de lucha frente a amenazas graves contra la seguridad nacional.
La consolidación de los supuestos en los que sí se admitirá una conservación generalizada e indiscriminada de datos por razones de investigación criminal, es decir en cuanto respecta a los que se definieran como datos de identidad civil y asignaciones de IIPP dinámicas se mantendrá en STJUE de 5 de abril de 2022 (LA LEY 39345/2022); aunque se abrirán las puertas al nuevo escenario del registro de tarjetas de prepago de telefonía móvil.
En cuanto respecta a los datos de identidad civil, hemos de recordar cómo los §§ 157-159 de la STJUE (Gran Sala) de 6 de octubre de 2020 (LA LEY 177790/2020) destacaban que la razón de esta excepción a la inicial radical opción del Alto Tribunal europeo radicaba en el hecho que del dato identitario no se podía extraer información alguna que los relacionara con la existencia, datación o localización de concreta o concretas comunicaciones; que no eran datos de tráfico («…sin que dichos datos puedan vincularse a informaciones relativas a las comunicaciones efectuadas» —§ 158—). Además se constataba cómo su vocación no iba más allá de tratar de determinar quién estaba detrás de una determinada comunicación, «…con el único objetivo de identificar al usuario de que se trate» —§ 158—.
La STJUE (Gran Sala) de 5 de abril de 2022 (LA LEY 39345/2022) trata de ahondar más en el concepto de dato de identidad civil; considerando que tendrían tal cualidad aquéllos que fueran precisos para permitir «…identificar a las personas que han utilizado tales medios en el contexto de la preparación o la comisión de un acto delictivo grave» —§ 71— Tales datos deben, en consecuencia, permitir, o al menos facilitar, desvelar la persona física o jurídica que pudiera estar detrás de una determinada comunicación electrónica emitida o recibida; mas no facilitar información sobre ésta. Datos de registro de usuario, de identidad electrónica, de titular o usuario de número de abonado o de punto de terminación de red podrían, por ello, tener cabida en este concepto de datos de identidad civil. Precisamente el apelativo civil, que se une al concepto identidad, marca claramente esa finalidad de desvelar quién está detrás de una determinada identidad electrónica. Ello avoca directamente a otros datos como nombre y apellidos o denominación social; fecha y lugar de nacimiento o constitución; número de documento de identidad y domicilio jurídico y/o contractual.
Esta concepción finalística o teleológica del dato identitario se abre sin duda a otros campos; a la posibilidad de almacenamiento preventivo de otros datos que, aun no mencionados explícitamente en la sentencia comentada, pudieran facilitar lo que no sería sino una confirmación de la identidad de la persona que realmente está detrás de la utilización de un medio de comunicación relacionado con la comisión de una concreta infracción criminal. Por una parte, nos encontramos con el ejemplo de la correlación entre número IMEI y el IMSI de la tarjeta SIM a que se refiere la STJUE (Gran Sala) de 2 de octubre de 2018 (LA LEY 124440/2018) del caso MINISTERIO FISCAL; y ello en tanto en cuanto esta información lo fuera no tanto respecto de comunicaciones realizadas a través de esta asociación, sino del necesario protocolo del alta en base de datos gestionada por la correspondiente operadora que se generará como consecuencia de la activación de una tarjeta SIM en un determinado dispositivo telefónico móvil. Pero, por otra, se podría producir una apertura hacia el concepto de datos relativos a los abonados recogido en el art. 18.3 del Convenio Europeo número 185 sobre la Ciberdelincuencia; más conocido como Convenio de Budapest (12) . En esa misma línea aperturista hacia la facilitación de la identificabilidad de la persona que está detrás de una concreta comunicación podrían adicionarse, en base a dicho precepto, sin duda, los datos sobre domicilio contractual, facturación (en concreto domiciliación bancaria o forma de pago pactada) y lugar donde se encontraran los dispositivos o puntos de terminación de red, de no ser móviles, o fueran facilitados al cliente por la operadora.
En esta línea aperturista, la expansión de la posibilidad de almacenamiento preventivo de datos alcanzará en la STJUE del caso G.D. y COMISSIONER AN GARDA SÍOCHÁNA a los que se definen como datos relativos al alta y titularidad de tarjetas de telefonía de prepago
Precisamente, en esta línea aperturista, la expansión de la posibilidad de almacenamiento preventivo de datos alcanzará en la STJUE del caso G.D. y COMISSIONER AN GARDA SÍOCHÁNA a los que se definen como datos relativos al alta y titularidad de tarjetas de telefonía de prepago —§ 72 (13) —. La influencia de la STEDH, Secc. 5ª, de 30 de enero de 2020 (caso BREYER v. Alemania; asunto 50001/12) debió pesar sin duda en la opinión del TJUE, aunque no se introduzca una cita concreta; quien, sin referente siquiera en las Conclusiones del Abogado General, introduce esta alocución (14) . Este nuevo concepto abarcaría al menos a la identidad del comprador y al registro, por el vendedor, de la información obtenida por tal vía —§ 72—. Y ello supondría, cuando menos, la datación del registro y ubicación del establecimiento donde se adquiriera la tarjeta. Pero a su vez abriría las puertas a otros datos que permitieran, con el referente de nuevo de un art. 18.3 del Convenio de Budapest que ahora sí podría tener entrada indiscutible, corroborar la relación real entre titularidad formal y usuario de la misma (forma de pago, y, en concreto, datos de domiciliación bancaria); se consideraran éstos asociados o no al alta.
Sin embargo, datación de la activación y su geolocalización serían más discutibles como posibles datos almacenables, cuando ambos se disociaran del momento del registro en el establecimiento comercial en el que el adquirente retirara la tarjeta. Efectivamente, hemos de tener en cuenta que la activación de la tarjeta es una operación técnica ajena a cualquier proceso comunicativo; y en este sentido nada debería impedir, al igual que se ha considerado en torno a la asociación entre numeraciones IMEI e IMSI, permitir su conservación a los efectos de una eventual ulterior orden de cesión de datos. Pero la consideración en torno a esta disociación nos lleva a recordar insistentemente que el ámbito de protección que garantizan los arts. 5 (LA LEY 9590/2002) y 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002) va más allá de proteger contenidos y datos de tráfico de comunicaciones o datos de geolocalización asociados a éstas. En definitiva, esta expansión, tan trascendente en supuestos en que el adquirente es un auténtico testaferro o tercero que aporta sus datos para ocultar la identidad del verdadero adquirente, o en los que se realizan auténticas compras masivas (15) con la finalidad de ir difiriendo la activación de la tarjeta, sería igualmente predecible, como lo fuera la inclusión de las bases de datos de adquirentes de tales tarjetas; pero sería conveniente un nuevo pronunciamiento del TJUE sobre tal particular.
Conviene por último destacar cómo, pese a que el § 71 de la sentencia nos hable hasta en dos ocasiones de la lucha contra la delincuencia grave como fundamentadora de la regulación nacional de bases de datos de identidad civil, en ningún momento se aparta el TJUE del principio de la menor intensidad de la injerencia en función de la naturaleza del dato y la finalidad para la que pretende utilizarse. Ésta es una cuestión que se aclara en el parágrafo siguiente; donde sí se especifica que los datos identitarios sí pueden ser utilizados en la lucha contra la delincuencia general. Sin embargo, sí volverá a hacerse referencia a la lucha contra la delincuencia grave cuando el Tribunal se enfrenta al supuesto de las bases de datos de adquirentes de tarjetas SIM (16) . Surgen serias dudas interpretativas sobre si realmente puede o no, conforme tal doctrina, destinarse tal información al desvelo de la identidad de quien realiza una determinada llamada mediante un teléfono con tarjeta de prepago. Y la verdad es que, al menos cuando lo que se solicitara fuera tan solo la identidad del adquirente, no encontramos razones para elevar el nivel de exigencia en este supuesto frente al régimen general. Cosa distinta podría ser la mayor potencialidad de afectar a datos personales de aquél consecuencia del acceso a datos relacionados con la contratación, domicilio contractual o forma de pago. Para eso precisamente se tomaría en consideración el principio de la menor intensidad de la injerencia.
En lo que respecta a la retención selectiva de datos de tráfico y localización, el § 78 expande el criterio subjetivo de selección de la finalidad legítima para la emisión de la orden de retención. Ya no se circunscribe la medida, como se determinara en los precedentes jurisprudenciales citados en el § 77, a personas «…que han sido identificadas previamente, en el marco de procedimientos nacionales aplicables y sobre la base de elementos objetivos y no discriminatorios»; lo cual aparentaba presuponer la existencia de un procedimiento de investigación criminal basado en indicios objetivos, o al menos una relación, por lo menos indirecta, con delitos graves, o contribuir de un modo u otro a la lucha contra la delincuencia grave (17) . El elenco de personas que podrían verse sometidas a este tipo de medidas afectantes a sus datos de tráfico y localización se relativiza hasta el punto de alcanzar a auténticas actuaciones preprocesales; muy cercanas a la noción de prevención del delito, más que a la de investigación criminal. Si la relativización del concepto de persona investigada se circunscribía al grado de vinculación del sujeto en su aparente participación en la comisión de concretas infracciones criminales, ahora la posibilidad de incidencia sobre tales datos se adelanta a supuestos en los que éstas están siendo objeto de otras medidas de vigilancia; y también como auténtico principio o inicio de actuaciones de vigilancia respecto de muy concretas categorías de personas: aquéllas respecto de las que «…constan en el registro nacional de antecedentes penales por una condena anterior por delitos graves que pueden implicar un elevado riesgo de reincidencia. Fácil resulta comprobar cómo el salto entre una y otra delimitación subjetiva que introduce el § 78 de la STJUE (Pleno) de 5 de abril de 2022 se muestra un tanto descompensado. Partiendo del carácter objetivo y no discriminatorio del criterio de selección, exigir un riesgo de reincidencia basado exclusivamente en al menos una sentencia condenatoria sobre el objeto de actuación, pero permitir el empleo de la misma herramienta cuando se cuenta con meras sospechas que han permitido el empleo de otras medidas de vigilancia que no se describen, no parece que resulte muy razonable. La herramienta de la retención preventiva de datos encuentra precisamente su campo abonado en la prevención de infracciones criminales respecto de personas que a lo sumo contarán con antecedentes policiales; la referencia a condenas firmes es, simplemente, sobreabundante.
En el mismo ámbito de la retención selectiva de datos de tráfico y localización, la STJUE del caso G.D. y COMISSIONER AN GARDA SÍOCHÁNA se muestra abierta a la posibilidad de otros criterios definitorios de la retención selectiva dirigida a la lucha contra la delincuencia grave, más allá de los geográficos (18) , subjetivos, temporales o teleológicos o la conjunción de éstos. Pero nos previene de que los mismos sean objetivos y no discriminatorios, se limiten a lo estrictamente necesario, y permitan establecer «…un vínculo, al menos indirecto, entre los delitos graves y las personas cuyos datos van a conservarse»; a la vez que esta puerta abierta a nuevos criterios no sea utilizada como una vía expedita para «…reinstaurar por esta vía una conservación generalizada e indiferenciada de los datos de tráfico y de localización».
Mayor novedad presentará el tratamiento que hace la sentencia al posible aprovechamiento de datos de tráfico o localización conservados por motivos comerciales para finalidades de investigación de delitos graves. Tal cuestión sería precisamente una de las que fueran objeto de petición de criterio interpretativo a petición del órgano judicial proponente.
El TJUE comienza por cerrar, con buen criterio, el intento del Gobierno danés de abrir una auténtica back door para que pudieran aprovecharse, a los efectos de una concreta investigación criminal, los datos obtenidos como consecuencia de una orden de retención generalizada o selectiva de datos de tráfico y localización a los efectos de atender a una amenaza concreta contra la seguridad nacional. Aceptar esa cesión de datos supondría, obviamente, deslegitimar las poderosas y ponderadas razones que están detrás de órdenes de conservación de datos para atender a las necesidades de la seguridad nacional.
Sin embargo, frente a la opinión del Abogado General, la solución se muestra claramente diversa en cuanto respecta a los datos conservados por las operadoras por motivos comerciales. La solución al problema, que curiosamente no encuentra reflejo en el fallo de la sentencia, parte de un desenfoque de la cuestión derivado del referente que pretende encontrar el Abogado General en concretos parágrafos de la STJUE del caso LA QUADRATURE DU NET y otros. Efectivamente, el § 161 de dicha sentencia nos previene de que la finalidad de las llamadas órdenes de conservación rápida de datos encuentra por razón de ser precisamente el que dichos datos conservados por motivos comerciales se rigen por un estricto principio de funcionalidad; es decir: solo pueden conservarse en cuanto que ello sea preciso por necesidades de prestación del servicio de comunicaciones electrónicas demandado por el usuario o por necesidades de facturación —art. 6.2 de la Directiva 2002/58/CE (LA LEY 9590/2002)—; cuando su destino natural es el de su eliminación o anonimización una vez perdida tal funcionalidad. Pero de ello no puede extraerse conclusión alguna que se convierta en causa impediente para la posible utilización de dicha información para determinadas finalidades públicas legítimas; como lo sería, sin duda, la lucha contra la delincuencia grave. Y es que si la conservación rápida de datos puede tener algún sentido, éste no puede ser otro que el de anticipar una concreta orden de cesión de datos; siendo la ley nacional, dentro de los límites que marcará la propia sentencia, la que habrá de definir qué datos de tal naturaleza y origen pueden ser objeto de una orden de cesión legítima y cuáles las finalidades que pudieran darle justificación o soporte legal.
Siguiendo, a modo de línea de congruencia, el argumento jurídico del Abogado General al bajar a este escalón, es cuando el TJUE asume el reto de definir cuáles serían tales finalidades legítimas. Estas finalidades legítimas, con remisión a la sentencia de 6 de octubre de 2020, no serían sino la lucha contra la delincuencia grave y la protección de la seguridad nacional, siempre que esa medida y el acceso a los datos así conservados no sobrepasen los límites de lo estrictamente necesario —§ 87 (19) —.
Aplicando tal planteamiento a nuestra legislación nacional nos encontramos con que, si bien la conjunción entre los arts. 578 ter j de la LECRIM (LA LEY 1/1882) y 7.1 de la Ley Orgánica 7/2021, de 26 de mayo (LA LEY 11831/2021), de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, podrían servir de base para dar cumplimiento al mandato del Tribunal sobre la naturaleza y alcance de estas normas, de ningún modo podría asumirse la interpretación que propone la Circular de la Fiscalía General del Estado 2/2019, sobre interceptación de comunicaciones telefónicas y telemáticas; donde se concluye la accesibilidad de esta información a la investigación de cualesquiera infracciones criminales, bajo el peregrino argumento de la eliminación en el texto definitivo de la mención expresa al concepto de delito grave que se recogía en el texto del Anteproyecto de la futura LO 13/2015 —11.2, párrafo cuarto (20) —. Sin perjuicio de que un criterio de menor intensidad de la injerencia podría rebajar ese alto estándar de exigencia que propone el TJUE, como hiciera precisamente la sentencia del caso MINISTERIO FISCAL, lo cierto es que partimos, y más teniendo en cuenta que podría tratarse de datos de tráfico o localización de concretas comunicaciones consumadas, del referente de la categorización de grave del delito cuya investigación justifica la orden de cesión. Y ello es todo lo contrario a lo que propone dicha Circular, que parte de la generalizada accesibilidad, solo contrapesado por la imposición de un concreto deber de ponderación y justificación creciente en función de la mayor intensidad de la injerencia que suponga la aplicación concreta de la norma habilitante.
Terminando con esta breve referencia a las novedades que nos ha aportado la STJUE (Gran Sala) de 5 de abril de 2022 (LA LEY 39345/2022), si ya la STJUE (Gran Sala) de 3 de marzo de 2021 (caso PROKURATUR) negaba al Ministerio Fiscal la condición de autoridad independiente a los efectos de emisión de órdenes de cesión de datos conservados de entre las permitidas, la sentencia hace lo mismo en cuanto respecta a una autoridad policial con cierto grado de autonomía para ejercer sus funciones, aunque bajo la supervisión de una autoridad policial superior jerárquica: el Comissioner. Nos recuerda la sentencia que esta autoridad independiente con capacidad de afectar, mediante órdenes de cesión de datos, a derechos relacionados con el entorno de la privacidad de concretas personas, habría de tener capacidad para conciliar los intereses y derechos fundamentales en conflicto; tomar decisiones en el ámbito propio de las atribuciones competenciales que se le encomiendan; asumir el rol de garante de los derechos fundamentales de los justiciables, y, en concreto, del derecho a la vida privada y la protección de sus datos personales; actuar en el ejercicio de sus funciones con objetividad e imparcialidad, estando a resguardo de toda influencia externa; y, por último, actuar sin una dependencia funcional o jerárquica de otros organismos públicos. Sin embargo, la principal aportación de la sentencia radica en la apreciación de que ese control o supervisión al que ha de estar sometida toda autoridad con tal capacidad de decisión no habría de equipararse a una posibilidad de fiscalización a posteriori (21) , sino por la necesaria previa petición a autoridad judicial o administrativa independiente o, en caso de situación de urgencia, a la ratificación de la medida acordada previamente —§ 110 (22) —.
III. El nuevo escenario del principio de proporcionalidad
Uno de los aspectos en los que el TJUE ha innovado de forma más destacada en la STJUE (Gran Sala) de 5 de abril de 2022 (LA LEY 39345/2022) es precisamente el de la definición y alcance del concepto de proporcionalidad, como piedra angular en la que se asienta cualquier forma de limitación de los derechos reconocidos por los art. 5 (LA LEY 9590/2002) y 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002); en un tránsito que no ha hecho sino culminar en dicha resolución, afianzando el importante paso ya adelantado por las SSTJUE (Gran Sala) de 6 de octubre de 2020 (LA LEY 177790/2020) y 3 de marzo de 2021.
Hemos de partir de la base de que la STJUE del caso DIGITAL RIGHTS IRELAND y SEITLINGER y otros, de 8 de abril de 2014, partía de lo que podríamos concebir como una visión clásica de la ponderación de intereses que está detrás del juicio de proporcionalidad: El posicionamiento de éste en una cúspide en la que se realiza una comparativa entre el fin público en que se fundamente una determinada norma restrictiva de derechos fundamentales y las lesión de éstos que puede presuponerse en términos generales por su aplicación. Primero se preocupa por deslindar los derechos fundamentales en conflicto; que entronca dentro del ámbito propio del derecho a la privacidad —art. 7 de la CDFUE (LA LEY 12415/2007)— y protección de datos personales —art. 8—, aun dejando atrás por razones metodológicas lo que se concebía como una posible afectación a las libertades de información y expresión contenidas en el art. 11. Y es a partir de esta previa definición cuando somete a la norma comunitaria, la Directiva 2006/24/CE (LA LEY 3617/2006), a ese juicio ponderativo que parte del todopoderoso art. 52.1 de la CDFUE (LA LEY 12415/2007); auténtico Zeus que domina desde el Olimpo de los principios inspiradores del ordenamiento jurídico de la Unión la propia esencia y existencia de cualquier medida normativa que restrinja los derechos reconocidos por la Carta; sometiéndola al imperio del principio de proporcionalidad, y de un principio de necesidad que se concibe como gregario de éste.
Se reconoce, de hecho, que el fin público que estaba detrás de la conservación preventiva e indiscriminada de datos de tráfico y localización era en sí mismo asumible y comprensible. En el § 43 se hace eco de la justificación que se recoge en el considerando 7 de la Directiva, en el sentido de la trascendencia de estos datos a los efectos de investigaciones criminales futuras, como «…una herramienta valiosa en la prevención de delitos y la lucha contra la delincuencia, en especial la delincuencia organizada». Y esta justificación pasa a ser explícita en el parágrafo siguiente, al afirmar que: «Por consiguiente, debe reconocerse que la conservación de datos para su eventual acceso por parte de las autoridades nacionales competentes que impone la Directiva 2006/24 (LA LEY 3617/2006) responde efectivamente a un objetivo de interés general». Pero al someter esta finalidad legítima a los filtros de proporcionalidad, y más en concreto necesidad, constata el enorme sacrificio que ha de suponer la aplicación de la norma para una ciudadanía que ha de sufrir las consecuencias de ver retenidos datos especialmente sensibles para una simple finalidad preventiva. Y en consonancia con tales juicios ponderativos, nos recordará que tales restricciones a la privacidad y la protección de datos de carácter personal solamente podrán superar tal juicio de valor cuando pudieran considerarse estrictamente necesarias — §§ 51 a 53—.
Es aquí donde se establece la que a la postre se convertiría en la afirmación esencial que da sentido a toda la sentencia: el § 54 (23) ; en tanto se considera indispensable que para la superación de tales juicios de valor las personas cuyos datos hayan sido retenidos tengan las garantías suficientes de que sus datos personales se encuentran efectivamente protegidos frente al riesgo de abuso y del ilegal acceso y uso de tales datos; máxime cuando los procesos de captación/retención y ulterior conservación responden a procesos automáticos; que como tales podrían mostrarse más vulnerables a accesos ilícitos o abusivos — § 55—. La constatación de déficits en orden a la definición del delito grave susceptible de permitir una orden de cesión de datos; la inexistencia de reglas claras sobre procedimiento para la cesión; la no garantía de una autoridad independiente que vele por los intereses jurídicos de los ciudadanos; la excesiva laxitud en los plazos de conservación sin tener en cuenta la naturaleza de los datos, y, sobre todo, la no definición de medidas o procedimientos que impidan la exposición de estos datos a un conocimiento no autorizado o permitido, pesaron especialmente en la consideración final del Alto Tribunal. Y es entonces cuando se destaca cómo el sacrificio que se imponía a la ciudadanía, a modo de un temor de poder ser escrutados y, por tanto, condicionados en el uso de los medios de comunicación a su disposición, no se veía compensado ante el riesgo que representaba la norma frente a abusos o accesos indebidos en la utilización de tan ingente información (24) .
Si la STJUE (Gran Sala) de 8 de abril parecía permitir conciliar regímenes de conservación preventiva e indiscriminada de datos como los definidos en la Directiva 2006/24/CE (LA LEY 3617/2006) con el art. 52.1 de la CDFUE (LA LEY 12415/2007), la posterior STJUE (Gran Sala) de 21 de diciembre de 2016 (LA LEY 180541/2016) acabó de forma incontestable con cualquier intento de sostener esta tesis; y no solo respecto de una Directiva que fuera declarada inválida, sino incluso de la cláusula excepcional del art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002) (25) . Añadirá, además, como derechos fundamentales que se verán afectados, los contenidos en el art. 11 de la CDFUE (LA LEY 12415/2007): las libertades de información y de expresión; empleando un concepto que sin duda en nuestra doctrina constitucional encontraría un mejor asiento en la libertad de comunicaciones.
La afectación del principio de proporcionalidad lo sería siempre y en todo caso, y desde la perspectiva de esa incontestable supremacía del art. 52.1 de la Carta, en términos de definición normativa y análisis global de la confrontación de intereses entre el fin público perseguido y los derechos fundamentales concernidos; independientemente de las cautelas o limitaciones que pudieran imponerse en una norma nacional habilitante que instaurara un tal régimen. Solamente regímenes de retención basados en una decisión de autoridad competente y para unas finalidades concretas permitirían, en su caso, conforme esta última sentencia, regímenes de retención de datos.
La STJUE (Gran Sala) de 2 de octubre de 2018 (LA LEY 124440/2018) (caso MINISTERIO FISCAL) será la que sin duda representará el anuncio de esa línea aperturista que era claro que, tarde o temprano, forzaría las conciencias jurídicas de los integrantes del Alto Tribunal europeo. Pero debe dejarse muy claro desde un principio que la sentencia no hace frente en momento alguno a la posibilidad de instauración de regímenes de conservación preventiva inspirados en la defenestrada Directiva 2006/24/CE (LA LEY 3617/2006). Si atiende a la nueva concepción del principio de proporcionalidad, al que seguidamente haremos referencia, lo será en cuanto respecta a supuestos sí permitidos, en base a la cláusula excepcional del art. 5.1 de la Directiva 2002/58/CE (LA LEY 9590/2002), de injerencias selectivas, no indiscriminadas ni preventivas; y más en concreto de cesión de datos conservados por las operadoras de telecomunicaciones en el contexto de la limitada habilitación que contiene el art. 6 de la mencionada Directiva.
El mérito de la sentencia radicará realmente en que desciende al caso concreto; a la valoración no de una probable incidencia de la norma sobre derechos fundamentales, sino de las previsibles o reales consecuencias que pudieran derivarse por la aplicación de una determinada técnica injerencial
El mérito de la sentencia radicará realmente en que, de un modo u otro, desciende al caso concreto; a la valoración no de una probable incidencia de la norma sobre derechos fundamentales, sino de las previsibles o reales consecuencias que pudieran derivarse por la aplicación de una determinada técnica injerencial amparada por una concreta norma habilitante frente a determinada o determinadas personas. La superación del juicio de proporcionalidad partirá, por ello, de la determinación de un grado máximo de afectación; que se correspondería con aquellos supuestos en que el régimen aplicado permita extraer conclusiones precisas sobre la vida privada de las personas. Pero si se constata que el art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002) no somete por definición las posibilidades de restricción de derechos fundamentales a la delincuencia grave, sin embargo sí que nos advierte que la mayor intensidad en la injerencia sí supondría la necesidad de limitar el uso de tal información a la delincuencia grave (26) . De ahí surge esa ecuación perfecta que seguidamente se describe en los §§ 56 y 57. Una injerencia calificable como grave solamente podría tener por sustento la lucha contra la delincuencia calificada como grave; pero si esta injerencia no puede considerarse grave, abriría las puertas a la justificación de objetivos destinados a «...prevenir, investigar, descubrir y perseguir ‘delitos’ en general». En sentido inverso, y en aplicación de un principio de menor intensidad en la injerencia, la relajación en la intensidad de afectación de concretos derechos fundamentales permitiría la disponibilidad de tales datos para la investigación de ese concepto de delito en general empleado por la sentencia.
El TJUE se debatió en un escenario bastante incómodo a la hora de enfrentarse a unos alegatos de los Estados miembros que una y otra vez incidían en la dificultad de encontrar un concepto uniforme de delincuencia grave a la hora de definir qué tipos de delitos podrían superar el umbral del nivel máximo de incidencia sobre ese riesgo de generación de perfiles detallados de las personas afectadas por las medidas de injerencia; partiendo para ello de la base de que el concepto de delito grave difería notoriamente en función de cada Estado miembro de la Unión (27) . Pero, pese a ello, acude a un concepto de delincuencia grave que asociaría con dos conceptos clave: La delincuencia organizada y el terrorismo —§ 103—. Para llegar a esta conclusión, el TJUE se retrotrae primero a su precedente de la STJUE (Gran Sala) de 21 de diciembre de 2016 (LA LEY 180541/2016); que a su vez se inspiraría en lo que nos dijera el Preámbulo de la Directiva 2006/24/CE (LA LEY 3617/2006) en su apartado 21 (28) .
Sin embargo, es evidente que ni la sentencia comentada, ni su precedente inmediato, recogían una noción cerrada de la voz delincuencia grave; que incluso en dicho Preámbulo se muestra a modo de simple ejemplo («…como…»). Tales supuestos adquirían, eso sí, un indiscutible rol o cometido de estándares o referentes; referentes sobre los que partir a la hora de definir si un determinado hecho criminal previsto por la norma nacional podía tener la consideración de delincuencia grave a la hora de tomarse una decisión sobre el empleo de técnicas de investigación tecnológica encuadrables en el art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002). Como ya he defendido hasta la saciedad en distintos foros jurídicos, excluir el empleo de determinadas herramientas tecnológicas en la investigación de una serie de horrendos asesinatos que, por su firma o modus operandi, aparentan ser cometidos por una misma persona y presuponen su continuidad en un futuro inmediato, porque el sospechoso o desconocido autor no constara que formara parte de una organización criminal dedicada a la comisión de tales crímenes ni aparentara actuar con una finalidad terrorista, sería algo inasumible en el contexto de cualquier sociedad democrática.
Bastaría con acudir a fuentes propias para constatar cómo el propio acervo comunitario recoge supuestos que sobrepasan claramente tan estricta delimitación del concepto de delincuencia grave. Solo como ejemplos, podríamos traer a colación los supuestos de la lucha contra la trata de seres humanos y contra los abusos sexuales de menores y pornografía infantil, para ver cómo es el propio legislador comunitario quien llega a reconocer la posibilidad del empleo de medidas especiales de vigilancia para tal menester. Efectivamente, las Directivas 2011/36/UE (LA LEY 7473/2011) (29) y la 2011/92/UE (30) asumían la necesidad de empleo de herramientas tecnológicas de investigación en la salvaguardia de tales fines; instrumentos que se definían, además, como eficaces. Y entre estos instrumentos tenían cabida, así se reconocía expresamente, el empleo de herramientas o procedimientos que, por precisar la colaboración de operadoras de comunicaciones, estarían bajo el mandato directo del art. 15.1 de la Directiva 2022/58/CE. De hecho se habla de, en su caso, interceptación de comunicaciones, así como de vigilancia discreta, incluida la vigilancia electrónica; aunque matizándose en el art. 15.3 de la Directiva 2011/92/CE (LA LEY 5091/1992) la necesidad de tener en cuenta, entre otras cosas, «…el principio de proporcionalidad y la índole y gravedad de las infracciones que se estén investigando». El mandato normativo de los arts. 9.4 y 15.3 de ambas Directivas parte del establecimiento de deberes positivos de facilitación de las herramientas técnicas y jurídicas adecuadas; y ello al mismo nivel que los instrumentos que se utilizan «…contra la delincuencia organizada y en otros casos de delincuencia grave» (31) . En este último inciso de la proposición normativa de ambos preceptos se destaca precisamente cómo el legislador comunitario se muestra abierto a reconocer otros supuestos de delincuencia grave, más allá, obviamente, del terrorismo, y sin necesidad de una vinculación concreta con la delincuencia organizada; pero también cabe destacar cómo, al menos en la Directiva 2011/92/UE (LA LEY 28682/2011) la norma habilitante es sometida de forma explícita a un criterio de proporcionalidad que afectará al doble factor de la índole o naturaleza del delito, y a su gravedad; como concepto este último aparentemente destinado a tener en cuenta la gravedad de la pena en una comparativa frente a otras infracciones del mismo ámbito. Son estos dos datos cruciales a la hora de comprender la evolución del TJUE en ulteriores resoluciones.
En esta misma línea pretende alinearse, aunque sea desde una perspectiva de vuelta a la negación de la posibilidad de conservación generalizada de datos de tráfico para fines de futuras investigaciones criminales, la más reciente STJUE, Gran Sala, de 20 de septiembre de 2022 (LA LEY 198383/2022) (casos VD y SR; asuntos C-339 y 397/20), en cuanto respecta a la lucha contra ataques a la integridad de los mercados financieros de la Unión Europea y la confianza del público en los instrumentos financieros. En esta cuestión prejudicial planteada por la Cour de Cassation francesa, se someten a interpretación del TJUE el artículo 12, apartado 2, letras a) y d), de la Directiva 2003/6/CE del Parlamento Europeo y del Consejo, de 28 de enero de 2003 (LA LEY 2667/2003), sobre las operaciones con información privilegiada y la manipulación del mercado (abuso del mercado), así como del artículo 23, apartado 2, letras g) y h), del Reglamento (UE) n.o 2014/596 del Parlamento Europeo y del Consejo, de 16 de abril de 2014 (LA LEY 24570/2012), sobre el abuso de mercado (Reglamento sobre abuso de mercado) y por el que se derogan la Directiva 2003/6/CE (LA LEY 2667/2003) del Parlamento Europeo y del Consejo, y las Directivas 2003/124/CE (LA LEY 12084/2003), 2003/125/CE (LA LEY 12083/2003) y 2004/72/CE (LA LEY 5142/2004) de la Comisión. La primera de las normas citadas faculta a la autoridad competente de cada Estado, con funciones de supervisión e inspección en el ámbito propio de la Directiva 2003/6/CE (LA LEY 2667/2003), específicamente, a «acceder a cualquier documento bajo cualquier forma y recibir una copia del mismo»; así como más en concreto, a «solicitar registros existentes sobre tráfico de datos y sobre datos telefónicos». El citado subapartado del art. 23 del Reglamento (UE) 2014/596 (LA LEY 24570/2012), reitera tal potestad; expandiendo a su vez la capacidad de acceso a registros a las «…grabaciones existentes de conversaciones telefónicas, las comunicaciones electrónicas o los registros de tráfico de datos que mantengan las empresas de servicios de inversión, las entidades de crédito o las entidades financieras». En ambos supuestos se supedita el ejercicio de tal potestad a lo que establezcan al respecto las normas derecho interno. El TJUE llega a validar el acceso a esta información en el contexto de la lucha contra tales ataques al sistema financiero que se convierten en finalidad genuina de ambas regulaciones (32) . Ello, sin duda, comporta una nueva apertura de las posibilidades de exceptuación al mandato del art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002); en un contexto en el que de nuevo no llega a quedar realmente claro si podemos equiparar tales actos con el concepto de delincuencia grave. Es más, debe destacarse cómo la salvaguardia de intereses financieros de la Unión y de los Estados que la integran (33) no se encuentra entre los fines dignos de salvaguardia en base al mandato de dicho precepto de la Directiva 2002/58/CE (LA LEY 9590/2002) (34) ; así como que los ámbitos propios de dicha regulación del sector financiero no necesariamente habrán de incidir en el ámbito de la investigación criminal.
Curiosamente, en la propia Directiva 2002/58/CE (LA LEY 9590/2002) nos encontramos con una norma, su art. 10, que, regulando el llamado circuito de llamadas malevolentes o molestas, permitía no solo la limitación al empleo de las llamadas marcas de supresión de la línea llamante, o número oculto, sino la retención de tal dato de tráfico por parte de las correspondientes operadoras durante períodos de tiempo limitados, a los efectos y en la forma en que se determinara por la normativa nacional. Se trata de un ejemplo de excepción al mandato del art. 15.1 de la Directiva, que se deja a la decisión de los Estados miembros en cuanto a su regulación, incluida la definición de los supuestos en que la medida pudiera ser utilizada.
Contábamos, además, con la importante aportación de la jurisprudencia del Tribunal Europeo de Derechos Humanos, a la hora de imponer deberes positivos de actuación por parte de los poderes públicos en defensa de derechos tanto del orden de la libertad como de la privacidad; lo que comportaba la necesidad de agotar las medidas de investigación disponibles para la investigación y castigo de infracciones criminales que afectaran a concretos bienes jurídicos que encontraran su respaldo en los arts. 5 (LA LEY 16/1950) y 8 del CEDH (LA LEY 16/1950), entre otros. Y ello comportaría sin duda tener que acudir a herramientas de investigación tecnológica que pudieran tener como referente el cumplimiento del mandato del art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002). Así sucedería, en concreto, con la STEDH, Sección 4ª, de 2 de diciembre de 2008 (caso K.U. v. Finlandia; asunto 2872/02), o con la STEDH, Secc. 3ª, de 14 de septiembre de 2021 (LA LEY 153431/2021) (caso VOLODINA v. Rusia; asunto 40419/19). La primera de las sentencias aborda la inacción de unas autoridades finlandesas, que, al socaire del alegato de un principio de anonimato en la navegación en la red, se mostró incapaz de dar una respuesta jurídica adecuada al serio ataque a la dignidad e indemnidad sexual de un menor de edad, cuyos datos personales fueron empleados para publicar en las redes anuncios falsos ofreciéndose para mantener relaciones sexuales con quienes aceptaran su falsa propuesta. La segunda, destaca la ausencia de herramientas adecuadas para poner fin a una situación de ciberacoso supuestamente protagonizado por el exnovio de una víctima que, una y otra vez, tenía que soportar la humillante publicación en redes sociales de imágenes íntimas suyas captadas durante su relación con aquél. Destacaba, no obstante, cómo ambas sentencias adolecen de un referente directo a la implicación de un principio de proporcionalidad que, al menos en materia de privacidad, encontraba su respaldo en el art. 8.2 del CEDH (LA LEY 16/1950); que imponían la salvaguarda de tales derechos fundamentales sin establecer de forma explícita unos límites en base a la aplicación de los principios de proporcionalidad y necesidad que la norma preconiza. Pero ello no debería ser interpretado como un deber de investigación e ilimitada puesta de medios personales y materiales; toda vez que esos principios de proporcionalidad y necesidad en la definición normativa de la norma habilitante, y, por ende, en su aplicación, en el contexto de una sociedad democrática, encuentran un reconocimiento incondicional en el citado apartado 2 del art. 8 del CEDH (LA LEY 16/1950).
La STJUE del caso QUADRATURE DU NET y otros es una fiel heredera y seguidora de estos condicionantes que en cierto modo ya despuntaban tímidamente en su precedente de la sentencia del caso MINISTERIO FISCAL. Pero la sentencia tiene más de quiebra, de ruptura, que de continuismo.
Para empezar, con cita entre otras resoluciones de la STEDH del caso K.U. Finlandia, hace propios los argumentos de la jurisprudencia del TEDH sobre la imposición de deberes positivos de actuación en defensa de determinados bienes jurídicos prevalentes, mediante la «…adopción de disposiciones materiales y procesales, así como de medidas prácticas que permitan combatir eficazmente los delitos contra las personas mediante una investigación y un enjuiciamiento efectivos» —§ 128—; y ello en un contexto de fuerte presión argumentativa de los representantes de varios de los Estados miembros personados en la causa. Precisamente, se acudirá al ejemplo planteado por la Cour Constitutionnelle belga para reconocer un carácter especialmente prevalente a la lucha frente a los abusos sexuales contra menores en red; y más en concreto, «…cuando existe una amenaza para el bienestar físico y moral de un niño». Pero ello habrá de hacerse, continúa el mismo parágrafo, estableciendo, en un contexto de adecuada y proporcionada limitación de las herramientas procesales disponibles en la norma nacional, «…un marco jurídico que permita conciliar los distintos intereses y derechos que se han de proteger».
La sentencia del caso LA QUADRATURE DU NET y otros es una clara invitación a la posible definición de otros valores o bienes jurídicos dignos de una especial protección como consecuencia de la imposición de tales deberes positivos de garantizar una investigación eficaz frente a amenazas que pudieran perturbarlos. Pero aunque la referencia al sometimiento al principio de proporcionalidad comienza a ganar un mayor protagonismo, sigue más preocupada por abrir las puertas a una más generosa expansión del concepto de delincuencia grave; dejando atrás esa necesidad de ponderar en cada caso concreto la verdadera afectación de derechos fundamentales derivada del empleo de herramientas tecnológicas en la lucha contra determinadas formas de delincuencia.
La STJUE (Gran Sala) de 5 de abril de 2022 (LA LEY 39345/2022) irá aún más allá de la nueva línea abierta por sus precedentes. El argumento de reforzamiento de aquéllos vendrá de la mano del reconocimiento dentro de ese ámbito propio de la delincuencia grave de otros bienes jurídicos eminentemente personales. En este sentido, y aunque se insistirá nuevamente en el especial interés en la necesidad de garantizar una «…lucha efectiva contra los delitos perpetrados, en particular, contra los menores y otras personas vulnerables…» —§ 49—, se destaca en el § 50 (35) la necesidad de dar una adecuada protección, con relación directa con el concepto de delincuencia grave, a los derechos fundamentales, reconocidos en la CDFUE (LA LEY 12415/2007), de la integridad personal —art. 3—, prohibición de la tortura y tratos inhumanos o degradantes —art. 4— (36) , libertad y seguridad —art. 6— y privacidad —art. 7—.
Tal vez debiéramos hacernos la pregunta, ante tal amplitud de miras de la jurisprudencia comunitaria, de si más bien pudiéramos enfrentarnos a un tertium genus, más allá del concepto de delincuencia grave; pues difícilmente podría atribuirse tal condición de delito grave a determinadas infracciones criminales que, pese a afectar a trascendentes derechos fundamentales, se hacen merecedores de un especialmente benévolo reproche punitivo, como sucediera en el ejemplo de los delitos contra el honor. ¿Realmente podríamos asumir que para investigar una injuria anónima hubieran de desplegarse los mismos mecanismos de investigación tecnológica propios de la lucha contra el terrorismo, como pudiera ser una retención en tiempo real de datos de tráfico y localización?
A partir de este momento renacerá la necesidad de garantizar un rigoroso respeto del principio de proporcionalidad derivado del mandato del art. 52.1 de la CDFUE (LA LEY 12415/2007); pues tales fines, nos recordará, no dejan de interferir en la garantía de la confidencialidad de las comunicaciones que impone el art. 5.1 de la Directiva 2002/58/CE (LA LEY 9590/2002) —§ 51—. Pero ello no significa en modo alguno una vuelta a la posición primigenia de la STJUE (Gran Sala) de 8 de abril de 2014 (LA LEY 36312/2014); a la solución del conflicto desde una perspectiva global. Muy al contrario, el balance o equilibrio entre el fin de interés general que supone la lucha contra determinadas formas de delincuencia y la salvaguardia de los derechos fundamentales de particulares afectados por una concreta medida será lo que, a la postre, definirá la superación de ese principio de proporcionalidad —§ 52—.
Sin que en momento alguno se abandone la posibilidad de que puedan destacarse otros bienes jurídicos que pudieran superar ese filtro de proporcionalidad en la consideración de los mismos como integrantes, en su definición penal, de esa idea cada vez más amplia de la delincuencia grave, la sentencia utiliza argumentos propios de la STJUE (Gran Sala) de 6 de octubre de 2020 (LA LEY 177790/2020) para exigir que en la norma nacional habilitante se determine cuáles sean esos bienes jurídicos prioritarios, así como una correlación entre el interés por la protección de aquéllos y los intereses jurídicos en conflicto; pero referidos a la circunstancia concreta de aplicación de la norma, no desde una perspectiva genérica, y con especial atención a los riesgos asociados al tratamiento automatizado de datos personales, sometidos a elevado riesgo de accesos ilícitos, y más en concreto cuando los datos tratados adquieren la naturaleza de sensibles —§ 54—.
La gravedad del delito pasa a convertirse por tanto en un simple presupuesto sobre el que posteriormente aplicar un principio de proporcionalidad en sentido estricto; y que tiene especialmente en cuenta la afectación concreta de derechos fundamentales de las personas concernidas por la medida. Se exigirá, por ello, que la norma nacional indique, mediante reglas claras y precisas, «…en qué circunstancias y con arreglo a qué requisitos puede adoptarse una medida que contemple el tratamiento de tales datos, garantizando así que la injerencia se limite a lo estrictamente necesario». Se mantendrá, además, como consecuencia directa de esa implicación del segundo nivel de ponderación del principio de proporcionalidad, la implicación del principio de la menor intensidad de la injerencia en el juicio de valoración de superación del juicio de proporcionalidad en una concreta orden de cesión de datos.
La jurisprudencia del TJUE ha evolucionado, en sus últimas resoluciones referentes a regímenes de conservación/retención de datos, hacia un sistema de ponderación dual del principio de proporcionalidad
La jurisprudencia del TJUE ha evolucionado, en sus últimas resoluciones referentes a regímenes de conservación/retención de datos, hacia un sistema de ponderación dual del principio de proporcionalidad a la hora de determinar aquellos delitos que se hacen merecedores del empleo de medidas de investigación tecnológica afectantes a derechos del orden de la privacidad protegidos por el mandato de los arts. 5.1 y 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002). Un sistema dual que no se para en determinar qué delitos o bienes jurídicos protegidos por la norma sancionadora merecen la condición de delincuencia grave, como acreedores de esa especial protección, o pudieran verse beneficiados por ese principio de la menor intensidad de la injerencia susceptible de reducir tal rigor definitorio. Este criterio definitorio se convierte en un simple presupuesto; que, una vez hecha la selección o definición, habrá de someter el elenco de posibles medidas a un segundo juicio de proporcionalidad que determine el impacto real o previsible en derechos del ámbito de la privacidad de las personas afectadas por la medida. En otras palabras, la sola pertenencia a la lista de delitos susceptibles de ser investigados por esas medidas especiales de vigilancia, en palabras de la doctrina del TEDH, no garantiza que éstas puedan aplicarse en el caso concreto.
IV. La nueva dimensión del principio de proporcionalidad propugnada por el Tribunal de Justicia de la Unión Europea y su contraste con la Ley de Enjuiciamiento Criminal Española
A estas alturas, resulta difícil negar la existencia de un indiscutible paralelismo entre este nuevo esquema de configuración del juicio de proporcionalidad que propone la jurisprudencia del Tribunal de Luxemburgo, en cuanto respecta a la regulación por los Estados miembros de la Unión Europea de supuestos de excepción al mandato de los arts. 5 (LA LEY 9590/2002) y 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002), y la nueva forma de entender el juicio de proporcionalidad que desarrolla el art. 588 bis a.5 de nuestra Ley de Enjuiciamiento Criminal (LA LEY 1/1882) —LECRIM—. Personalmente no creo en la capacidad de influencia de una norma procesal nacional aun anclada en la dirección de la fase de investigación por parte de una autoridad pública con categoría de juez. Pienso más bien que ambas soluciones no hacen sino asumir una forma de entender el principio de proporcionalidad que no solo es razonable, sino que es la forma más correcta para atender y tomar en consideración el perjuicio real que previsiblemente producirá en las personas afectadas por una medida de injerencia, frente al interés público que la justifica.
Esta nueva forma de entender el principio de proporcionalidad se enfrentó abiertamente a una consolidada doctrina de origen jurisprudencial preocupada en un principio por mostrar interés tan solo en ese primer nivel de ponderación que estableciera una comparativa entre el fin público perseguido, representado por una idea de delincuencia grave que fuera equiparada por un concepto ad hoc de delito grave (37) , frente al sacrificio de los derechos fundamentales de la persona afectada por la medida; siendo este último visto como un simple referente formal, que solo tenía en cuenta la existencia de una afectación del derecho, cualquiera que fuera su trascendencia o intensidad. En este sentido, la STC, Sala Primera, 82/2002 (LA LEY 4513/2002), de 20 de abril, llegaba a decir que la gravedad del delito suponía ya de por sí un aval de superación del juicio de proporcionalidad. Y este criterio solamente se vería modulado en función de la necesidad de atender a la protección de determinados bienes jurídicos, como fueran el bienestar económico del país y la tutela de la salud —STC, Sala Primera, 82/2002, de 22 de abril (LA LEY 4513/2002), entre otras—, o la relevancia social del delito, entendida como amplitud del espectro social afectado por las consecuencias del delito —SSTC, Sala Primera, 123/2002, de 20 de mayo (LA LEY 5840/2002), y Pleno 167/2002, de 18 de septiembre (LA LEY 7757/2002)—; a los que se uniría con posterioridad la necesidad de hacer frente a la potencialidad lesiva del uso de instrumentos informáticos para la comisión del delito —STC, Sala Primera, 104/2006, de 3 de abril (LA LEY 35963/2006)—, como criterio instrumental, no definidor de un concreto bien jurídico protegido, que se hacía eco de las enormes dificultades que ya por aquel entonces suponía la investigación de delitos cometidos mediante el empleo de herramientas tecnológicas.
Aunque desde el punto de vista doctrinal podrían encontrarse otros referentes previos a la nueva forma de entender el juicio de proporcionalidad (38) , sin duda su punto de arranque encontró como hito indiscutible la opinión defendida por MARCHENA GÓMEZ; primero con la publicación en febrero de 2011 de un trabajo en el que defendiera con vehemencia la necesidad de ese segundo juicio de proporcionalidad que acercara la decisión judicial a la necesidad de ponderar el sacrificio real que habría de irrogarse a la persona afectada por la medida (39) ; posteriormente con su voto particular a la STS 15/2012, de 20 de enero (LA LEY 4669/2012) (40) ; y finalmente con su introducción en el art. 6.2,d) del Borrador de Anteproyecto de Código Procesal Penal de diciembre de 2012–ACPP— (41) . La sintonía del art. 6 del ACPP con el actual 588 bis a de la LECRIM (LA LEY 1/1882) no puede ser más patente.
De la sola correlación entre el art. 588 bis a con los arts. 579.1 (LA LEY 1/1882), 588 ter a, 588 quater b.2,a y 588 septies a.1 de la LECRIM (LA LEY 1/1882) hemos de deducir que para la LECRIM, y al menos en cuanto respecta a la utilización de medidas de investigación tecnológica restrictivas de derechos fundamentales (42) , la nueva configuración del principio de proporcionalidad ha dejado ya de regirse por un mero criterio abstracto que pivotara sobre ese concepto ad hoc de gravedad del delito. Muy al contrario, la gravedad del delito pasa a ser uno más de los cinco criterios ponderativos que desarrolla la norma; sin duda el principal. Pero convive con otros como la trascendencia social del hecho o ámbito tecnológico de producción; la intensidad de los indicios existentes (43) , así como la relevancia del resultado perseguido con la restricción del derecho. Será, por tanto, un análisis conjunto de tales componentes del principio de proporcionalidad, y no solo el de la gravedad del delito y sus criterios subsidiarios, así como la indirecta ponderación del fin público o privado que está detrás de la decisión judicial, lo que habrá de definir si en un supuesto concreto se puede entender superado o no el principio de proporcionalidad a la hora de adoptar una determinada medida de investigación tecnológica.
En este escenario adquirirá una dimensión diversa, a modo de auténtico presupuesto o primer juicio de proporcionalidad, el nuevo concepto de gravedad del delito que da forma a un complejo sistema de lista en el que conviven un criterio meramente penológico, caracterización de determinados bienes jurídicos protegidos o modalidades delictivas o su relación con éstas, así como un criterio instrumental inspirado sin duda en el precedente de la STC, Sala Primera, 104/2006 (LA LEY 35963/2006). La pertenencia a estas listas de delitos se comporta como un presupuesto ineludible, previo a la ponderación de la superación del juicio de proporcionalidad; de suerte que la no pertenencia de la infracción investigada a esta lista o catálogo, simplemente, la excluirá de cualquier posibilidad de valoración de procedencia de adopción de una concreta medida. Pero no bastará con la pertenencia a esa lista de delitos para superar, como antes sucediera, el juicio de proporcionalidad. Debe someterse cada caso concreto al filtro del control de proporcionalidad de la medida, así como a los restantes principios rectores; por mucho que la gravedad de la infracción continúe teniendo un peso especialmente preponderante en ese juicio de ponderación de segundo grado.
Pero si esta sintonía estructural es patente entre la concepción del juicio de proporcionalidad en la nueva jurisprudencia del TJUE y la que propugna nuestra LECRIM (LA LEY 1/1882), nos encontramos ante la tesitura de tener que analizar si las distintas categorías de infracciones criminales que recoge la reforma de la LO 13/2015 (LA LEY 15163/2015) podrían encontrar cabida en ese concepto de delincuencia grave que se infiere de dicha jurisprudencia. Analizaremos uno a uno tales supuestos:
La delimitación del concepto de delito grave, asociado a la punición de la infracción criminal con penas de prisión que en su máxima expresión alcance los tres años de prisión —arts. 579.1,1º, 578 ter a y 588 quater b.2,a),1º—, comienza por ser un criterio claramente insuficiente para superar la exigencia de la gravedad del delito tal y como se entiende en la jurisprudencia del TJUE. Hasta ahora, y en ese escenario de gran disparidad entre las legislaciones de los Estados miembros de la Unión a la hora de concebir la gravedad de una pena como forma de determinar la gravedad de una determinada infracción criminal, el TJUE ha optado claramente por desatender este criterio, frente a la selección de bienes jurídicos que podrían superar tal juicio de proporcionalidad. Apostar por este solo criterio penológico, y más en sus expresiones sancionadoras más livianas, nos llevaría a poder arriesgar seriamente una posible contrariedad a ulteriores resoluciones del TJUE sobre la materia. El criterio penológico debería, por ello, a salvo infracciones de entre las más severamente sancionadas por nuestro CP, pasar a ser tratado como un criterio accesorio en relación con determinados bienes jurídicos de entre los ya asumidos por la jurisprudencia del TJUE, o que pudieran considerarse dignos de una especial protección jurídica por su relación directa con determinados derechos fundamentales reconocidos por la CDFUE (LA LEY 12415/2007).
Los delitos cometidos en el seno de un grupo u organización criminal —arts. 579.1,2º, 588 ter a, 588 quater b.2,a),2º y septies a.1,a), aunque referido solo a las organizaciones criminales— sí podrían tener fácil encaje en ese concepto de delincuencia organizada referido en el Preámbulo de la Directiva 2006/24/CE (LA LEY 3617/2006). La referencia a tales infracciones criminales ya aparecería en la STJUE del caso MINISTERIO FISCAL. Los delitos de pertenencia a organización criminal —art. 570 bis del CP (LA LEY 3996/1995)— o grupo criminal —art. 570 ter— fueron introducidos en el CP por la LO 5/2010 (LA LEY 13038/2010); y aun cuando esta norma no hace referencia expresa a la implementación de la Decisión Marco 2008/41/JAI (LA LEY 7439/2008) (44) , es evidente que la introducción de estos nuevos tipos penales tiene mucho que ver con el mandato de dicha norma comunitaria. De hecho, y así se recoge con acierto en la Circular 2/2011 de la Fiscalía General del Estado sobre la reforma del Código Penal por Ley Orgánica 5/2010 (LA LEY 13038/2010), en relación con las organizaciones y grupos criminales, el legislador español se inspira claramente en las figuras de la organización delictiva y asociación estructurada definidas en el art. 1 de la Decisión Marco (45) , a la hora de definir, respectivamente, los conceptos de organización y grupo criminal. El Derecho de la Unión incluye varios ejemplos de tratamiento penológico de organizaciones criminales, como sucede en concreto respecto de la lucha contra el terrorismo (46) o fraudes que afecten a intereses financieros de la Unión (47) .
Sin embargo, esa referencia a tales infracciones criminales nos enfrenta a varios problemas. El primero de ellos surge como consecuencia de la interpretación que se realiza en la Circular de la Fiscalía General del Estado 2/2019 del art. 579.1 (LA LEY 1/1882),2º e la LECRIM (48) , al entender que solo afectaría a los delitos conexos o cometidos en su seno, no a los propios delitos de pertenencia a una organización o grupo criminal. Sin embargo, esta respetable opinión obvia constatar cómo un delito de pertenencia a una organización o grupo criminal es en sí mismo un delito cometido en su seno. Sería, por otra parte, absurdo permitir investigar con medidas de investigación tecnológica los delitos relacionados con la pertenencia a tales entramados criminales, mas no la pertenencia misma. En segundo lugar, y ello podría llegar a ser más preocupante, la puerta abierta a investigar delitos conexos con éstos podría tensionar alarmantemente esa implicación del principio de proporcionalidad de segundo grado. Por solo poner un ejemplo, la investigación de un grupo criminal formado de forma más o menos estable por cuatro personas dedicadas a hurtar de manera reiterada pequeñas cantidades de productos de cosmética en concretos supermercados supondría abrir las puertas a poder intervenir los teléfonos de sus integrantes, cuando realmente nos enfrentamos a una sucesión de delitos leves castigados con pena de multa, conexos con un delito menos grave castigado con pena que no superará el año de prisión. Si bien el principio de menor intensidad de la injerencia permitiría acudir a las medidas menos agresivas, como pudiera ser el acceso a datos de identidad civil, deberíamos descartar cualquier tentación de acudir a medidas más gravosas, estableciendo un fácil parentesco entre estas infracciones criminales y el concepto de delincuencia organizada manejado por la jurisprudencia del TJUE.
La sintonía con el supuesto de la lucha contra el terrorismo —arts. 579.1, 3º, 588 ter a, 588 quater b.2,a).1,3º y 588 septies.1,b)— es, sin embargo, indiscutible. Solamente podría plantearse alguna duda respecto de determinadas formas de tal delincuencia, sancionadas además de forma menos severa, con entronque en la libertad de expresión.
Muchos más serios problemas nos plantearía sin duda el criterio instrumental tecnológico: el empleo para la comisión del delito de instrumentos informáticos o de cualquier otra tecnología de la información o la comunicación o servicio de comunicación, recogido en los arts. 588 ter a y 588 septies a.1,e) de la LECRIM. (LA LEY 1/1882) No deja de ser un mero criterio instrumental que caracteriza la comisión de delitos que atienden a la protección de diversos bienes jurídicos protegidos. Será por tanto la naturaleza de éstos, y no la pretendida lucha contra la impunidad que inspira su comprensible introducción en el catálogo de infracciones susceptibles de permitir el empleo de herramientas de investigación tecnológica, la razón que permitirá la superación del juicio de proporcionalidad, en este caso incluso de primer grado, conforme a los cánones marcados por la jurisprudencia del TJUE. La necesidad de hacer frente a los riesgos del anonimato en las redes de comunicaciones ha sido abordado más bien desde la perspectiva de la implicación del principio de necesidad de la medida, aunque con cierta incidencia en el principio de necesidad; pero se parte siempre de la correlación de la implicación de este principio con un determinado bien jurídico digno de ser considerado por sí mismo delincuencia grave o asimilable.
El art. 588 septies a.1 reconoce, respecto de los registros remotos de dispositivos de almacenamiento masivo de datos, dos supuestos adicionales de delitos susceptibles de ser sometidos en su investigación mediante tal medida tecnológica. El primero de ellos hace referencia a delitos cometidos contra menores o personas con capacidad modificada judicialmente; el segundo, a delitos contra la Constitución, de traición y relativos a la defensa nacional.
La protección de la infancia y de personas con discapacidad sí habría tenido una clara acogida como bien jurídico de especial consideración desde la sentencia del caso LA QUADRATURE DU NET y otros; desde el momento que se acepta la tesis de tratar de proteger a los menores, y, obviamente a las personas con discapacidad, mediante el empleo de las adecuadas herramientas de investigación; tal y como exigiera con contundencia la STEDH del caso K.U. v Finlandia. Eso sí, se trata de una conciliación de intereses en conflicto; en la que si bien la salvaguardia del bienestar físico y moral de unos y otros se convierte en un deber positivo de especial vinculación para las autoridades nacionales competentes, se habrá de hacer conciliando tales intereses frente al sacrificio al que se somete a la persona afectada por la medida. La referencia a esa especial protección no debe ser entendida como que por el solo hecho de que un menor o persona con discapacidad sea víctima de un delito pueda hacerse uso de herramientas de investigación tan agresivas como un registro remoto de dispositivos de almacenamiento masivo de datos; sino que serán esos mismos bienes del ámbito de la privacidad, de la integridad personal, de la libertad o seguridad o de la lucha contra la tortura o tratos inhumanos o degradantes, comunes a cualesquiera personas, los que habrán de hacerse merecedores de una más reforzada protección por el empleo de estas técnicas de investigación. La condición de menor o de persona con discapacidad de la víctima impone, por ello, un reforzamiento de las medidas aplicables en función del bien jurídico protegido afectado; pero no se configura por sí mismo como un bien jurídico protegido a tales efectos.
La protección de la infancia y de personas con discapacidad sí habría tenido una clara acogida como bien jurídico de especial consideración desde la sentencia del caso LA QUADRATURE DU NET y otros
La referencia a los delitos contra la Constitución, de traición y relativos a la defensa nacional nos enfrenta, sin embargo, a un contraste más comprometido con la jurisprudencia del TJUE. Por supuesto que la traición y la defensa nacional, como fines tan intrínsecamente unidos al concepto de seguridad nacional, podrían tener un perfecto encaje en esos bienes jurídicos innominados que aún no han encontrado reflejo en la jurisprudencia del TJUE; la sola posibilidad de empleo de las herramientas más agresivas para esta finalidad, y la íntima relación existente entre la salvaguardia de la seguridad nacional y las formas de puesta en riesgo de la misma que adquieren forma de concretas infracciones criminales, darían carta de naturaleza al empleo de las más agresivas herramientas de investigación tecnológica; incluido sin duda el registro de dispositivos de almacenamiento masivo de datos. Pero el Título del Código Penal que acoge la voz delitos contra la Constitución (Título XXI del Libro Segundo) es tan extenso, a la vez que abarca tan variopintos bienes jurídicos, que requeriría un análisis pormenorizado supuesto por supuesto. En este título se encuentran delitos de rebelión, contra la Corona, altas instituciones del Estado y separación de poderes; como afectantes, en términos generales y salvo excepciones (49) a la propia estructura básica de nuestro sistema democrático; los cuales podrían superar con cierta holgura su caracterización como delincuencia grave, al tratar de dar protección a la esencia misma de nuestro sistema democrático. Sin embargo, cuando nos enfrentamos a tipos penales que afectan en concreto al ejercicio por particulares de determinados delitos relativos al ejercicio de derechos fundamentales y libertades públicas, especialmente cunando son cometidos por particulares y no por funcionarios públicos, tal afirmación se relativiza preocupantemente. Tipos penales en los que está en juego una determinada denegación del ejercicio de un derecho o un trato discriminatorio difícilmente podrían justificar, una vez superados los juicios de necesidad e idoneidad, la proporcionalidad de una medida que ahondara tanto sobre el derecho al entorno virtual como es el registro remoto.
Como conclusión, hemos de destacar que seguimos dependiendo excesivamente de la evolución de una doctrina del TJUE sobre la materia todavía aun en formación; y que se hace acreedora de nuevas resoluciones que den luz sobre el verdadero alcance de ese concepto de delincuencia grave que cada vez se muestra más abierto a la protección de concretos derechos fundamentales reconocidos como tales en la CDFUE (LA LEY 12415/2007), como pilares de una sociedad democrática como la que vertebra el entorno del Derecho de la Unión. Y ello, queramos o no, nos lleva a la tesitura de tener que asumir el planteamiento de cuestiones prejudiciales que vayan forjando una más correcta interpretación del principio de proporcionalidad y su aplicación en la cláusula excepcional del art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002).
En Córdoba, a 31 de julio de 2022.
V. Apéndice: el escaso impacto de la STJUE (Gran Sala) del Caso Spacenet y Telekom Deutschland Gmbh
A escasos días de la fecha señalada para la presentación de la ponencia de la que es desarrollo el presente trabajo, hube de enfrentarme a uno de los peores retos de quien asume el riesgo de abordar una materia jurídica en casi permanente evolución: el dictado de una nueva sentencia, la STJUE (Gran Sala) de 20 de septiembre de 2022 (LA LEY 198383/2022) (casos SPACENET AG y TELEKOM DEUTSCHLAND GMBH: asuntos C-793 y 794/19); llevándome a afrontar el más difícil reto de exponer ante tan distinguido aforo un nuevo comentario sobre los aspectos más relevantes de la misma, a modo de un auténtico bis más propio de los conciertos de música clásica.
La STJUE (Gran Sala) de 20 de septiembre de 2022 (LA LEY 198383/2022) es en un elevadísimo porcentaje una simple reproducción de pasajes del precedente inmediato de la STJUE (Gran Sala) del caso G.D. y COMISSIONER AN GARDA SÍOCHÁNA; aunque, todo hay que decirlo, sintetiza y clarifica su contenido, gracias a un adecuado resumen y exposición de aquellos pasajes del precedente que muestran un mayor interés. La referencia a otros precedentes es escasísima; no acudiendo apenas sino a alguna referencia concreta de la STJUE (Gran Sala) del caso LA QUADRATURE DU NET.
Esta casi plena simetría se refleja con diáfana claridad en el tratamiento que se vuelve a hacer de la cuestión sobre la casi inquebrantable decisión de considerar contrarios a la regla excepcional que se desarrolla en el art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002) regímenes legales que determinen el deber de conservación preventiva, de forma generalizada e indiscriminada, por parte de las operadoras de comunicaciones electrónicas, de datos de tráfico y geolocalización, a los solos efectos de su posible utilización en la investigación de delitos graves.
Algunos probablemente mantuvieran la esperanza de que, tratándose de Alemania el Estado cuya legislación se sometía a examen por el Alto Tribunal europeo, y teniendo en cuenta el sentido de las normas que regulaban el supuesto, tras las oportunas adaptaciones, pudiera éste claudicar de un modo u otro en tan otrora intransigente postura. De hecho, la actual redacción del art. 113.b de la Telekommunikationsgesetz (Ley de Telecomunicaciones —TGK—), de 22 de junio de 2004, limitaba el tiempo de conservación de datos referidos a geolocalización a tan solo cuatro semanas; mientras los datos genuinos de tráfico alcanzaban las diez semanas. Ello suponía, con diferencia, el máximo nivel de restricción temporal aplicado en normas homólogas del entorno de la Unión Europea. Además, se preveía la obligación de no conservación de lo que se definían en el art. 99.2 de la TGK como datos subyacentes con origen o destino en determinadas entidades, tales como autoridades y organizaciones de carácter social o religioso, que ofrecieran única o esencialmente a interlocutores, en principio anónimos, servicios de asistencia psicológica o social, y sujetas a fuertes vínculos de confidencialidad —§ 15—; con tal que se inscribieran en una lista/registro elaborada por una agencia estatal.
Pese a que se acortaban de forma dramática los plazos de conservación, restringiendo en consonancia con tal limitación temporal el riesgo real de facilitar lo que ya se definiera en la STJUE (Gran Sala) de 5 de abril de 2022 (LA LEY 39345/2022), como perfiles detallados sobre datos sensibles de personas afectadas por la medida legal, y que la propia existencia del registro de entidades excluidas parecía dar respuesta a una de las demandas ya recurrentes de la jurisprudencia del TJUE sobre la necesidad de evitar riesgos de generación de tales perfiles precisamente como consecuencia del seguimiento del rastro de comunicaciones con entidades de tal naturaleza u otros terminales relacionados con concretos deberes de secreto profesional, el Tribunal de Luxemburgo ni mucho menos se allanó a dar un solo paso hacia atrás.
Consideró, en primer lugar, que «…la gravedad de la injerencia se deriva del riesgo, en particular habida cuenta del número y la variedad de los datos conservados, considerados en su conjunto, de que estos permitan extraer conclusiones muy precisas sobre la vida privada de la persona o personas cuyos datos se han conservado y, en concreto, proporcionen los medios para establecer el perfil de la persona o personas afectadas, que, en lo que respecta al derecho al respeto de la vida privada, es una información tan sensible como el propio contenido de las comunicaciones» —§ 87—. El factor menor tiempo de la conservación era influyente en un juicio de ponderación de la gravedad de la injerencia; pero no determinante. Se entendía que un breve espacio de tiempo podría ser suficiente para la generación de perfiles. Y en cuanto respecta a la creación de ese registro de entidades excluidas del deber de conservación de datos, destacaba lo que consideraba era una escasa repercusión de una norma que solamente había permitido la inscripción de tan solo 1.300 entidades; de lo que deducía el limitado impacto de la norma, y, sobre todo, la no garantía de la inclusión en este registro de otras personas sometidas a un especial secreto profesional, tales como abogados, médicos o periodistas —§ 82— (50) .
Sin duda resulta claramente destacable esa permanencia en una visión prejuiciosa y excesivamente formalista del Alto Tribunal; que le lleva a concebir una a modo de protección formal, de barrera anticipada, de estos datos, casi equiparable con la protección que en nuestro ámbito constitucional se atribuye al secreto de las comunicaciones. Baste con reproducir ese último aserto del § 87, donde se afirma que esta información conservada sería una información tan sensible como el propio contenido de las comunicaciones; o acudir a lo que nos dice el § 60 sobre que esa afectación de los arts. 7 (LA LEY 12415/2007) y 8 de la CDFUE (LA LEY 12415/2007) sería en sí misma una injerencia sobre tales derechos, con independencia de que «…la información relativa a la vida privada de que se trate tenga o no carácter sensible, que los interesados hayan sufrido o no inconvenientes en razón de tal injerencia, o si los datos conservados serán o no utilizados posteriormente».
Tras una primera lectura de la nueva sentencia del TJUE, da la impresión de que el Tribunal de Luxemburgo habría ya tocado fondo en materia de conservación generalizada e indiscriminada de datos de tráfico y localización, con el referente de la sentencia del caso G.D. y COMISSIONER AN GARDA SÍOCHÁNA. Existen, no obstante campos que podrían mantener una perfecta correlación con el nuevo concepto extendido de la identidad civil, como supuesto en que tales regímenes pudieran ser viables. Piénsese en los supuestos de desvío de llamadas o llamadas anónimas (con supresión de la marca de identificación de la línea llamante); contando estas últimas con una regulación específica en el art. 10.a) de la Directiva 2002/58/CE (LA LEY 9590/2002). Se tratan, ambos, de supuestos en los que la versatilidad de los modos de conexión dificultaría sin duda la capacidad real de identificación de la identidad civil de la persona que emite una determinada comunicación, como no fuera que tales datos fueran convenientemente conservados.
Pero igualmente sería viable encontrar vías indirectas para la conservación de otros datos que pudieran encontrar una cierta relación de equivalencia, naturaleza o intensidad injerencial equiparable a las razones por las que finalmente se decidiera permitir la conservación ope legis de datos de asignación IP. Una expansión, por poner un ejemplo, a datos de posicionamiento de terminales móviles en relación con las estaciones BTS que les dan cobertura se convierte en la única vía posible para poder discriminar la presencia de sospechosos de delitos especialmente graves en el momento y lugar de su comisión; tratándose de datos que, por su escasa precisión geodésica, difícilmente podrían contribuir, más allá del planteamiento de hipótesis de escasa fiabilidad, sobre determinados rasgos de personalidad de las personas potencialmente investigables. La potencialidad de afectación a la privacidad de genéricos usuarios sería aparentemente menos trascendente que ese discutible grado de rastreo que se atribuye al seguimiento de conexiones vía una determinada IP dinámica (51) . Todo se haría depender de la habilidad del proponente para saber dirigir la cuestión prejudicial atendiendo a tales similitudes o equiparaciones.
Precisamente, la tecnología CG-NAT —Carrier-grade NAT— (52) nos está enfrentando a un nuevo reto en las necesidades de partir de datos de asignación de IIPP que permitan siquiera abrir una línea de investigación frente a delitos que se cometen a través de la Red, o que cuya investigación efectiva solamente podría garantizarse mediante el análisis del rastro dejado por los autores en Internet. Al igual en cierto modo que lo que sucede con un router doméstico, que asigna IIPP privadas a quienes conectan a través de él, el CG-NAT tiene la peculiaridad de facilitar IIPP privadas a un número determinado de usuarios adheridos a los servicios de un prestador de servicios de conexión. Ello permite amplificar, optimizar, el número escaso, cada vez más saturado, de IIPP disponibles conforme al protocolo IPv4; a la espera de que se implemente de forma más generalizada el nuevo protocolo de asignación IPv6. La peculiaridad de esta tecnología es que se llega a asignar una misma IP, sea ésta dinámica o estática, a un número considerable de usuarios, en función de las posibilidades de asignación a las que pueda hacer frente el PSI (53) . Ello se traduce en falta de transparencia a la hora de seguir la trazabilidad de determinada conexión; pues ante la petición de información por una autoridad competente, el prestador no podrá ir más allá de facilitarle el número e identidad de usuarios que en la misma franja horaria han visto canalizadas sus comunicaciones a través de una misma IP. Esta tecnología, cada vez más en auge, está convirtiendo en inoperante el establecimiento de deberes de conservación de datos sobre asignaciones de IIPP dinámicas. Posibilitar la expansión del deber de las operadoras de conservar datos sobre asignación de IIPP a las IIPP privadas asignadas a cada usuario que acceda a Internet vía CG-NAT encontraría la misma justificación que el ya reconocido a aquéllas; máxime si tenemos en cuenta que cada vez que se recaba información sobre una asignación IP, siendo ésta vía CG-NAT, se está accediendo a su vez a información sobre cerca de doscientos, trescientos o incluso más usuarios a la vez, que nada tendrían que ver con el objeto de la investigación. Sin embargo, ello nos enfrenta a serios problemas técnicos y jurídicos: No se comparten metadatos sobre la IP privada que se asigna a un usuario CG-NAT al acceder a una determinada Web, emitir un correo electrónico o participar en un chat; por lo que la posibilidad de discriminar al concreto usuario que ha establecido la específica conexión objeto de investigación habría de partir sin duda de la necesidad de hacer permeables a la operadora información sobre las DNS a las que se accede, genuinos datos de tráfico con potencialidad informativa cercana a los propios contenidos.
Pero si de alguna aportación de la nueva sentencia del TJUE quisiéramos hablar, deberíamos empezar por incidir en la cuestión sobre la definición de esos bienes jurídicos que son destacados por el Tribunal de Luxemburgo como susceptibles de ser tratados bien como delincuencia grave, bien como bienes jurídicos dignos de una protección equiparable mediante el empleo de herramientas tecnológicas afectantes al ámbito propio del art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002). El TJUE acaba por disociar el referente al CEDH (LA LEY 16/1950), más destacado en el precedente del caso LA QUADRATURE DU NET, donde sí se hace cita de la STEDH del caso K.U. v Finlandia, de la definición de esta lista de bienes jurídicos dignos de ese especial deber de actuaciones positivas de los poderes públicos en su salvaguardia; pasando de la escueta referencia a los arts. 3 (LA LEY 16/1950) y 8 del CEDH (LA LEY 16/1950), como equiparables a los arts. 4 (LA LEY 12415/2007) y 7 de la CDFUE (LA LEY 12415/2007), recogida en el § 50 de la STJUE (Gran Sala) de 5 de abril de 2022 (LA LEY 39345/2022), a la desaparición de este referente en la última sentencia objeto de breve comentario. La determinación de estos bienes jurídicos pasa a ser desde este momento en clave de la CDFUE (LA LEY 12415/2007), tal y como finalmente se destaca en el § 64 de la última, no del CEDH (LA LEY 16/1950); y a la hora de definir la fuente de ese deber de dar cumplimiento a obligaciones positivas en su salvaguardia se hace agnosia de su origen jurisprudencial del Tribunal de Estrasburgo.
Esta técnica, no obstante, podría abrir las puertas a nuevos bienes jurídicos amparados bajo el más alto nivel de protección en la CDFUE (LA LEY 12415/2007). Son muchos más los derechos fundamentales garantidos en la CDFUE (LA LEY 12415/2007); y alguno de ellos podría encontrar en el futuro el beneplácito del TJUE. Interesa en concreto la pugna que se vuelve a reproducir en esta sentencia entre la protección de la seguridad nacional y delitos que afectan a la seguridad nacional (54) . La sentencia destaca su trascendencia a los efectos de garantizar la propia pervivencia del sistema democrático en que se asientan los Estados de la Unión; por lo que aunque no podrían equipararse a aquélla a efectos de medidas de conservación generalizada e indiscriminada, sin duda que tendrían un asiento privilegiado en el concepto de delincuencia grave.
El punto álgido de su confrontación con la doctrina del TEDH surgirá cuando algunos de los Estados que participaron en la vista traen a colación la doctrina sentada, principalmente, por la STEDH, Secc. 3ª, de 19 de junio de 2018 (caso CENTRUM FÖR RÄTTVISA v Suecia; asunto 35252/08); posteriormente enmendada por la sentencia de la Gran Sala de 25 de mayo de 2021 (55) . Esta sentencia, así como la dictada en el caso BIG BROTHER WATCH y otros v. Reino Unido (56) , sí podría servir de base al reconocimiento de regímenes de conservación preventiva; teniendo en cuenta no solo la gravísima afectación de derechos fundamentales del entorno de la privacidad que se deduce del empleo de técnicas prospectivas de indagación por razones de inteligencia extranjera afectantes a todo el tráfico de comunicaciones, incluidos contenidos, sino también por razón de ese sistema escalar que diseña; en el que el primer nivel de injerencia, su grado mínimo, se correspondería con el de mera interceptación y conservación. El TJUE, no convencido sin duda del todo de la aseveración inicial que hace a que, a su juicio, dichos precedentes del TEDH no eran aplicables a los supuestos de conservación preventiva de datos a los efectos de la lucha contra la delincuencia grave, cuando aparenta quedarse sin argumento, necesita acudir en el § 125 al principio del mayor nivel de protección recogido en el art. 52.3 de la CDFUE (LA LEY 12415/2007); que asegura que al menos éste alcance al nivel garantizado por el CEDH (LA LEY 16/1950) y la jurisprudencia que lo interpreta (57) .
Cabe destacar cómo la nueva sentencia vuelve a insistir en un principio de no aprovechamiento de información obtenida para fines de mayor importancia para una utilidad de raigambre inferior
Por último, cabe destacar cómo la nueva sentencia vuelve a insistir en un principio de no aprovechamiento de información obtenida para fines de mayor importancia para una utilidad de raigambre inferior. Conforme tal planteamiento, información obtenida por los servicios de inteligencia para la protección de la seguridad nacional mediante órdenes específicas de conservación generalizada de datos no podría ser utilizada para la lucha contra la delincuencia grave —§ 128— (58) . La afirmación se hace en un contexto de evidente prejuicio contra la utilización interesada de estas estrategias para eludir la oposición taxativa del TJUE a la conversación generalizada de datos para fines de investigación criminal. Pero no sería extraño que hubiera una reconsideración en un escenario en que quedara claro que ello no ha llegado a ocurrir. Imaginémonos que con motivo de la detección de células terroristas dormidas a punto de entrar en activo se ordena por la autoridad competente de un Estado de la Unión una conservación generalizada de datos de tráfico y localización en un concreto ámbito territorial. La información obtenida detecta movimientos concretos en torno a la sede de una importante entidad bancaria; lo que hace presumir un inminente atentado terrorista. ¿Habría de quedar vedada esta información a una investigación policial sobre el delito en fase de preparación o una vez cometido éste? La sentencia apunta de momento por la respuesta afirmativa: La información podría servir para detectar y desmantelar la célula terrorista, neutralizando así el riesgo para la seguridad nacional que representa la labor que está desempeñando; pero su utilización probatoria quedaría en cuestión. El prejuicio del TJUE puede llevarnos a soluciones absurdas; máxime si tenemos en cuenta que es consustancial en la defensa de la seguridad nacional la lucha contra los delitos que la pudieran comprometer; no es más que una de las dimensiones de aquélla.
VI. Bibliografía utilizada
• BAHAMONDE BLANCO, Miriam: «Medidas de investigación tecnológica a la luz de los Derechos Fundamentales, una cuestión pendiente». Diario La Ley, N.o 9160, Sección Tribuna, 16 de marzo de 2018, Editorial Wolters Kluwer.
• COLOMER HERNÁNDEZ, Ignacio y otros: «Uso de la información y de los datos personales en los procesos: Los cambios en la era digital». Editorial Aranzadi, Navarra, 1ª edición, abril de 2022.
• MARCHENA GÓMEZ, Manuel: «La vulneración de derechos fundamentales por ministerio de la Ley (a propósito del art. 33 de la Ley General de Telecomunicaciones)». Diario La Ley N.o 7572, Secc. Doctrina, 18 Feb 2011, Año XXXII.
• MARCHENA GÓMEZ, Manuel y GONZÁLEZ-CUÉLLAR SERRANO, Nicolás: «La reforma de la Ley de Enjuiciamiento Criminal (LA LEY 1/1882) en 2015». Ediciones Jurídicas Castillo de Luna; primera edición, Madrid noviembre 2015.
• ORTIZ PRADILLO, Juan Carlos: «Europa: Auge y caída de las investigaciones penales basadas en la conservación de datos de comunicaciones electrónicas». Revista General de Derecho Procesal 52 (2020).
• RODRÍGUEZ LAINZ, José Luis: «Estudios sobre el secreto de las comunicaciones. Perspectiva doctrinal y jurisprudencial». Editorial La Ley-Wolters Kluwer: Primera edición. Madrid, diciembre 2011.
• RODRÍGUEZ LAINZ, José Luis: «Sobre la incidencia de la declaración de invalidez de la Directiva 2006/24/CE (LA LEY 3617/2006) en la ley española de conservación de datos relativos a las comunicaciones». Diario La Ley N.o 8308, Sección Doctrina, 12 May. 2014, Año XXXV.
• RODRÍGUEZ LAINZ, José Luis: «Reflexiones sobre el tratamiento de datos personales por prestadores de servicios de comunicaciones vía internet para la lucha contra abusos sexuales de menores en línea en el Reglamento (UE) 2021/1232 (LA LEY 17549/2021)». Diario La Ley, N.o 9974, 20 de diciembre de 2021, Wolters Kluwer.
• RODRÍGUEZ LAINZ, José Luis: «La evolución de la jurisprudencia del Tribunal de Justicia de la Unión Europea en materia de conservación indiscriminada de datos de comunicaciones electrónicas en la STJUE del Caso G.D. y Comissioner an Garda Síochána». Diario La Ley, N.o 10058, Sección Tribuna, 28 de abril de 2022, Wolters Kluwer.
• VELASCO NÚÑEZ, Eloy: Encuesta jurídica: «La Sentencia del TJUE de 21 de diciembre de 2016 (LA LEY 180541/2016) que declara contraria al Derecho de la UE una Ley que regule la conservación de datos, ¿en qué grado afecta a la Ley 25/2007 (LA LEY 10470/2007), de Conservación de Datos y a la reciente reforma de la LECrim. (LA LEY 1/1882), en lo que a la cesión de datos se refiere, respecto a la investigación de delitos cometidos a través de Internet?»; febrero 2017. Revista SEPIN Nuevas Tecnologías N.o 7. (REF SP/DOCT/22410).