Conservación generalizada de datos de telecomunicaciones para fines de investigación criminal: nuevos horizontes en la jurisprudencia del TJUE y del TEDH(1)

Doctrina

Conservación generalizada de datos de telecomunicaciones para fines de investigación criminal: nuevos horizontes en la jurisprudencia del TJUE y del TEDH(1)

2024/09/05

Rodríguez Lainz, José Luis

La STJUE (Gran Sala), de 30 de abril de 2024 (caso LA QUADRATURE DU NET otros) supone lo que podría ser un verdadero punto de inflexión en la muy restrictiva doctrina del Tribunal sobre la conformidad con el Derecho de la Unión de regímenes de conservación preventiva e indiscriminada de datos de tráfico y localización relativos a comunicaciones electrónicas. Desde el horizonte de la legislación francesa sobre propiedad intelectual, quiebra su doctrina anterior sobre la sola posibilidad de creación de bases de datos de tal naturaleza referidos a asignaciones de IPs de acceso a Internet, hasta ahora solo susceptibles de ser empleadas en la lucha contra la delincuencia grave, para la persecución de delitos de tal naturaleza. La solución que encuentra el TJUE parte, en esencia, de un sistema estructural de compartimentación de estos datos frente a los datos de identidad civil y los genuinos de tráfico y localización; así como del control previo por autoridad judicial o administrativa independiente, al menos en aquellos supuestos en que la información obtenida por su análisis conjunto permitiera la generación de perfiles detallados de rasgos de personalidad de las personas afectadas por la medida. Sin embargo, esta nueva línea jurisprudencial coincide en el tiempo con resoluciones del Tribunal Europeo de Derechos Humanos que han llegado a asumir la doctrina del TJUE inmediatamente anterior a dicha sentencia.

I. Introducción: de cuando el TEDH asumió con convicción la tesis del TJUE sobre leyes de conservación preventiva e indiscriminada de datos, en un momento en que dicha doctrina estaba en fase de cierto declive

La STJUE (Gran Sala) de 8 de abril de 2014 (LA LEY 36312/2014) (caso DIGITAL RIGHTS IRELAND y SEITLINGER y otros; asuntos C-293/12 y C-594/12) dio pie a que, casi a modo de agónica respuesta, publicara mi primer trabajo sobre la jurisprudencia del TJUE en materia de conservación generalizada e indiscriminada de datos relativos a las comunicaciones electrónicas (2) . Desde tal hito, se ha convertido ya en auténtico reto personal tratar de mantenerme, no sin esfuerzo, permanentemente actualizado frente a los realmente inesperados cambios de rumbo protagonizados por el Tribunal de Luxemburgo.

La posición doctrinal que defendiera en ese primer trabajo, que fuera aparentemente asumida por la Sala 2ª del Tribunal Supremo (3) , o al menos coincidente con ella, hubo de confrontarse con la STJUE (Gran Sala) de 21 de diciembre de 2016 (caso TELE2 SVERIGE AB, WATSON y otros; asuntos C-203/15 y C-698/15); la cual representara una severa desautorización de aquellas tesis que defendieran, como mi posición personal, que la primera de las sentencias abría las puertas a normas nacionales que, respetuosas con sus indicaciones, encarrilaran los regímenes de conservación preventiva e indiscriminada de datos hacia el respeto de los principios de proporcionalidad y necesidad.

Ello no me llevó a modificar radicalmente unas convicciones jurídicas que apenas han cambiado con el tiempo, como no sea adaptándome a las nuevas realidades tecnológicas. Pero ante la reiteración de resoluciones del TJUE en el mismo sentido, frente a una jurisprudencia de nuestro Tribunal Supremo que trataba de armarse de argumentos para insistir en su posición de mantener a toda costa la vigencia de la Ley 25/2007, de 18 de octubre (LA LEY 10470/2007), de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones —LCDCE— (4) , hube de tomar la decisión de proclamar una y otra vez lo que consideraba era una posición jurisprudencial que cada vez se mostraba más debilitada frente a los recurrentes pronunciamientos del TJUE; incluso reconociendo la existencia de evidentes claudicaciones en tal doctrina, que encontraran sus puntos de inflexión en las SSTJUE (Gran Sala) de 6 de octubre de 2020 (LA LEY 177790/2020) (caso LA QUADRATURE DU NET y otros; asuntos C-511/18, C-512/18 y C-520/18), y (Gran Sala), de 5 de abril de 2022 (caso G.D. y COMISSIONER AN GARDA SÍOCHÁNA; asunto C-140/20).

Con gran acierto, al hilo de la apreciación de esta más evolutiva que fluctuante jurisprudencia del TJUE, la STS 727/2020, de 23 de marzo de 2021 (LA LEY 22986/2021), citada por la más reciente STS 54/2024, de 18 de enero (LA LEY 6130/2024), hace especial hincapié sobre esta situación, al afirmar que: «…cada nueva sentencia del alto tribunal europeo, tal y como hemos tratado de resumir anteriormente, añade matices, establece excepciones, diseña nuevos requisitos y modulaciones, estableciendo doctrinas que adicionan y acumulan conceptos normativos que acrecientan su complejidad jurídica». Otra cosa es que, pese a tan incontestable afirmación, nuestro Tribunal Supremo haya optado decididamente por considerar innecesario el planteamiento de una cuestión prejudicial que diera definitivamente luz a esa pretendida conformidad con el Derecho de la Unión que se predica de nuestra LCDCE.

La última sentencia publicada sobre la materia, como tendremos la oportunidad de comprobar, la STJUE (Gran Sala) de 30 de abril de 2024 (LA LEY 70826/2024) (caso LA QUADRATURE DU NET y otros; asunto 470/21) (5) ha supuesto un nuevo reto jurídico que precisa de una especial atención, no tanto por su aparentemente limitado objeto relacionado con la lucha contra infracciones en materia de propiedad intelectual, como por la proyección que puede tener su nueva consideración de la conservación generalizada de asignaciones de direcciones IP, como susceptible de servir de fuente de información para la lucha contra la delincuencia grave o, incluso contra la delincuencia en general. A su vez, da aliento a la posibilidad de predecir una probable ulterior evolución hacia otras más ambiciosas fórmulas de conservación generalizada de datos; basadas en el reforzamiento de la compartimentación de los datos bajo fórmulas que aseguren la imposibilidad de lectura y atribución de determinados datos sobre comunicaciones o localización, como no sea haciendo interactuar unos y otros compartimentos. Incluso serían imaginables otras soluciones como la anonimización reversible o encriptación de los datos; en condiciones tales que la reversión o desencriptación solo fueran posibles mediante la participación activa de una decisión de autoridad judicial o administrativa independiente.

Casi coincidente en el tiempo, la hasta ese momento dubitativa o poco comprometida jurisprudencia del Tribunal Europeo de Derechos Humanos, ha evolucionado hacia posicionamientos que habrían de situarla en la línea de las SSTJUE de los casos LA QUADRATURE DU NET y otros y G.D. y COMISSIONER AN GARDA SÍOCHANÁ. Si la STEDH, Secc. 3ª, de 13 de febrero de 2024 (caso PODCHASOV v. Rusia; asunto 33696/19), se mostraría como el último referente de esa posición ambigua que la caracterizara desde las SSTEDH Gran Sala, de 4 de diciembre de 2015 (caso ROMAN ZAKHAROV v. Rusia; asunto 47143/06), y Secc. 4ª, de 12 de enero de 2016 (caso SZABÓ y VISSY v. Hungría; asunto 7138/14), solamente dos días después la STEDH, Secc. 1ª, de 15 de febrero de 2024 (caso ŠKOBERNE v. Eslovenia; asunto 19920/20), ha acabado por expresar una decidida adhesión a los planeamientos defendidos por la citada jurisprudencia del TJUE. Tal vez la cita del § 263 de la más reciente STEDH, Secc. 1ª, de 28 de mayo de 2024 (LA LEY 158270/2024) (caso PIETRZAK y BYCHAWSKA-SINIARSKA y otros v. Polonia; asuntos 72038/17 y 25237/18), que reproduce lo que se nos dirá en el parágrafo 144 de su precedente inmediato, podría ilustrarnos de forma especialmente gráfica del alcance de esta sintonía: «En el presente caso, el Tribunal no aprecia razón alguna que pueda desviarse de las conclusiones del TJUE sobre este punto» (6) .

Se da la paradoja de que, cuando la jurisprudencia del TJUE comienza a mostrarse con ciertos síntomas de agotamiento en una posición tan beligerante frente a regímenes de conservación preventiva e indiscriminada de datos, es cuando la jurisprudencia del TEDH asume con decisión esta misma doctrina. Una coyuntura aparentemente en declive converge con otra en alza; aunque con una clara decisión de tratar de asumir los postulados de aquélla hasta sus últimas consecuencias.

Dedicaremos este trabajo a destacar la evolución de ambas jurisprudencias hasta llegar a este punto de convergencia; así como a la apasionante apuesta del TJUE en su sentencia del caso LA QUADRATURE DU NET II.

II. De la STJUE del caso TELE2 SVERIGE A.B., WATSON y otros a la del caso SPETSIALIZIRAN NAKAZATELEN SAD

Hablamos de conservación generalizada e indiscriminada de datos, según la denominación que fuera en primer lugar acuñada por la STJUE (Gran Sala) de 21 de diciembre de 2016 (caso TELE2 SVERIGE AB y otros; asuntos C-203/15 y C-698/15) para definir aquellas obligaciones de conservación de datos relativos a comunicaciones con origen o inspiración en la defenestrada Directiva 2006/24/CE (LA LEY 3617/2006) (7) , o en la normativa nacional de desarrollo (8) .

Al contrario de lo que sucederá con la conservación generalizada derivada de la decisión de una autoridad nacional competente a que se refiriera en primer lugar dicha sentencia, es la propia ley, completamente ajena a cualquier forma de decisión de autoridad pública, quien impone a los destinatarios de la norma la obligación de conservar millones de datos relacionados con la prestación de servicios de comunicaciones electrónicas, durante determinados períodos de tiempo. La finalidad de estas bases de datos atendería no ya a criterios de probabilidad, sino de posibilidad de una hipotética futura utilización a modo de petición de cesión de datos derivada de una investigación criminal o para concretas necesidades relacionadas con la seguridad nacional.

Al igual que sucede en la conservación generalizada de origen exclusivamente legal, en la conservación generalizada basada en una decisión específica de autoridad competente, obviamente habilitada por la ley para tal menester, tampoco existe una correlación perfecta entre los datos cuya conservación se ordena y su ulterior utilización; es más, puede que los mismos sean objeto de técnicas de filtrado masivo —bulk interception—, en busca de información que pudiera ser de interés para las necesidades de la seguridad nacional, pero solo algunas objeto de un análisis directo. Pero aquí sí se parte de una probabilidad o predicción de ulterior utilización para su examen, en atención a esa concreta finalidad de salvaguardia de la seguridad nacional con que fuera diseñada la medida.

Es por tanto esta primera forma de injerencia masiva, la conservación generalizada e indiscriminada de datos relativos a las comunicaciones, la que ha sido objeto de un especial tratamiento por parte de la jurisprudencia del TJUE; y en la que exclusivamente nos centraremos.

La STJUE del caso TELE2 SVERIGE A.B. y WATSON y otros reubica la cuestión sobre la conformidad con el Derecho de la Unión de regímenes de conservación preventiva e indiscriminada de datos en el art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002) (9) . No se trata, por tanto, de un vacío normativo, tal y como recurrentemente ha defendido la jurisprudencia de nuestro Tribunal Supremo (10) . A diferencia de la situación anterior analizada por la STJUE del caso DIGITAL RIGHTS IRELAND y SEITINGLER, este nuevo escenario nos traslada de una situación de obligada implementación de una norma comunitaria que imponía la regulación de tales regímenes legales, a valorar la posibilidad de que fuera una norma interna de cualquier Estado miembro de la Unión la que pudiera dar forma a tal régimen.

El sometimiento de la norma nacional a un precepto, el art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002), que se articulaba como excepción a la regla general del respeto de la confidencialidad de las comunicaciones y datos de tráfico y localización, era, por ello, la base sobre la que había de pronunciarse el Tribunal de Luxemburgo. Y lo haría de una forma taxativa, sin margen aparente para encontrar resquicios sobre los que poder sortear una posición tan decididamente contraria a que fueran los Estados miembros quienes regularan tales regímenes legales.

Ya no se tratará de que hubiera de consolidarse un régimen legal que compensara con garantías y tutelas la afectación de los derechos fundamentales garantidos por los arts. 7 (LA LEY 12415/2007) y 8 (LA LEY 12415/2007) y 52.1 de la Carta de Derechos Fundamentales de la Unión Europea (LA LEY 12415/2007) —CDFUE—, al que ahora se añadirá la libertad de información del art. 11; pues, cualesquiera que fueran las cautelas que se adoptaran la afectación sería tal que no podría superarse esa prohibición impuesta en dicho precepto. Es por ello que en el § 107 de la sentencia se llega a afirmar que «…una normativa nacional como la controvertida en el asunto principal excede, por tanto, de los límites de lo estrictamente necesario y no puede considerarse justificada en una sociedad democrática, como exige el artículo 15, apartado 1, de la Directiva 2002/58 (LA LEY 9590/2002), en relación con los artículos 7, 8, 11 y 52, apartado 1, de la Carta»; lo que se traducirá en el fallo de la sentencia en la contundente afirmación de que dicho precepto «…se opone a una normativa nacional que establece, con la finalidad de luchar contra la delincuencia, la conservación generalizada e indiferenciada de todos los datos de tráfico y de localización de todos los abonados y usuarios registrados en relación con todos los medios de comunicación electrónica».

La comentada sentencia, en el § 108, sí se abrirá a la posibilidad de dar forma a regímenes de conservación preventiva de datos de tráfico y de localización por decisión de una autoridad competente; siempre que la misma»…esté limitada a lo estrictamente necesario en relación con las categorías de datos que deban conservarse, los medios de comunicación a que se refieran, las personas afectadas y el período de conservación establecido». Desarrollará, para ello, un catálogo de exigencias derivadas del acotamiento de criterios definidores del alcance de la medida (objetivos, subjetivos, teleológicos, temporales o geográficos); la fijación de estrictos límites temporales de los períodos de conservación, y un primer acercamiento a la condición de autoridad jurisdiccional o administrativa independiente, como única con facultad para poder acordar el acceso a datos de tráfico o localización conservados en base a tal régimen (11) .

En la STJUE (Gran Sala) de 2 de octubre de 2018 (LA LEY 124440/2018) (caso MINISTERIO FISCAL; asunto C-207/16) se perdió la oportunidad de testar la aparentemente inviable conformidad de nuestra LCDCE con la jurisprudencia del TJUE sobre conservación preventiva e indiscriminada de datos; y ello por razón de que, pese a que una de las preguntas que se plantearan por el órgano jurisdiccional nacional incidiera directamente sobre dicha controversia jurídica, el objeto de la cuestión radicaba sobre una cesión de datos comerciales conservados por operadoras de telecomunicaciones por motivos comerciales. La sentencia, sin embargo, nos resultará de especial interés por dos razones primordiales. Por un lado redefinirá, partiendo de su precedente inmediato en el tiempo, el juicio de proporcionalidad; basado en una escala descendente, en la que en el punto álgido se encontrarían aquellas situaciones en las que por la técnica o procedimiento empleado en la injerencia pudiera obtenerse información detallada sobre datos de la vida privada de las personas afectadas por la medida, relacionados con la delincuencia grave, y el ínfimo, propio de la delincuencia ordinaria, con los que posteriormente se definieran como datos de identidad civil. Pero, además, se establecerá una insoldable unión entre el concepto de injerencia grave y la conservación y acceso a datos de tráfico y localización.

Era predecible que el TJUE acabara dando algún que otro paso atrás en su severo correctivo a unos regímenes de conservación preventiva de datos que se convirtieran en la piedra angular de las estrategias de investigación frente a los nuevos retos que supusiera la fuerte irrupción de las tecnologías de las comunicaciones en la delincuencia, tanto grave como ordinaria. Una investigación criminal que se basaba esencialmente en la reconstrucción de hechos del pasado; y que solo podía contar con aquellos rastros de datos de comunicaciones dejados con motivo de la comisión de los delitos, especialmente en un contexto de organizaciones terroristas cada vez más tecnificadas.

Y estos pasos hacia atrás no tardarían en darse; gracias en buena parte a la hábil estrategia empleada por el Conseil d’État francés y la Cour constitutionelle belga. El 6 de octubre de 2020, apenas dos años después de la sentencia del caso MINISTERIO FISCAL y cuatro del momento álgido de la tesis contraria a regímenes de conservación preventiva e indiscriminada de datos, es publicada la STJUE del caso LA QUADRATURE DU NET y otros (12) . La sentencia del caso G.D. y COMISSIONER AN GARDA SÍOCHANÁ le seguirá año y medio después, afianzando tal doctrina.

Lo primero que hemos de destacar de la STJUE del caso LA QUADRATURE DU NET y otros es que, al menos en cuanto aquello que considerara una injerencia grave por afectar a datos de tráfico y geolocalización, en momento alguno llega a rebajar o relativizar un planteamiento que de forma tan firme y decidida se manifiesta plenamente contrario a la conformidad de dichos regímenes legales con el mandato del art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002). De hecho, el fallo de la sentencia, en su párrafo primero, seguía afirmando que el art. 15.1 de la Directiva, en relación con los arts. 7 (LA LEY 12415/2007), 8 (LA LEY 12415/2007), 11 (LA LEY 12415/2007) y 52.1 de la CDFUE (LA LEY 12415/2007)«…debe interpretarse en el sentido de que se opone a medidas legislativas que establezcan, para los fines previstos en dicho artículo 15, apartado 1, con carácter preventivo, una conservación generalizada e indiferenciada de los datos de tráfico y de localización».

Ahora bien, su primera gran línea de apertura comienza donde lo dejara el precedente de la sentencia del caso TELE2 SVERIGE A.B., WATSON y otros; acometiendo una decidida exploración de aquellos regímenes de conservación de datos que, basados en una concreta decisión de autoridad competente, sí podrían superar el juicio de proporcionalidad de la medida exigido por el Tribunal.

Es por ello que la conservación generalizada e indiferenciada de datos de tráfico y localización para la protección de la seguridad nacional pasaría a ser factible en aquellas circunstancias en que el Estado en cuestión se enfrentara a una amenaza grave para la seguridad nacional que resultara real y actual o previsible; siempre bajo el control efectivo de una autoridad judicial o administrativa independiente. Se establecían, eso sí, como condicionantes, que la autoridad de control pudiera comprobar «…la existencia de una de estas situaciones, así como el respeto de las condiciones y de las garantías que deben establecerse». Se exigía igualmente que tal requerimiento a las operadoras concernidas únicamente pudiera ser expedido por un período temporalmente limitado a lo estrictamente necesario, aunque renovable en caso de que persistiera dicha amenaza. Se trata ésta de una medida que sobrepasa el concepto mismo que manejara su precedente jurisprudencial; cuyo sometimiento a criterios de selección se alejaba y mucho del diseño de auténticas herramientas de bulk interception que estaba detrás de esta primera fórmula permisible de conservación de datos.

A partir de aquí se dará forma a otras modalidades de conservación selectiva de datos de tráfico y localización; caracterizadas por ir dirigidas a una concreta actividad investigadora en el ámbito criminal o de prevención del delito o amenazas graves contra la seguridad pública. Surgirán, por ello, instituciones tales como la conservación selectiva, siempre que la misma estuviera delimitada, «…sobre la base de elementos objetivos y no discriminatorios, en función de las categorías de personas afectadas o mediante un criterio geográfico, para un período temporalmente limitado a lo estrictamente necesario, pero que podrá renovarse»; la conservación rápida, durante espacios de tiempo determinados, de tales datos a los efectos de una ulterior orden de cesión, sometida a idénticos criterios que los que serían exigibles para la emisión de la orden de cesión; la recopilación en tiempo real para fines de investigación criminal (13) , y el tratamiento automatizado de datos para la lucha contra una amenaza grave contra la seguridad nacional (14) .

Sin embargo, la sentencia, sin duda condicionada por el precedente que representara la STEDH, Secc. 4ª, de 24 de abril de 2018 (caso BENEDIK v. Eslovenia; asunto 62357/14), se verá forzada a ceder en cuanto respecta a la posible regulación por los Estados miembros de regímenes de conservación generalizada e indiscriminada de datos referidos a unos datos, los de asignaciones de IP que se debaten en una mixtura entre simples datos equiparables en cierto modo a datos de identidad civil y datos de tráfico; y a la vez a unos datos, los de identidad civil, que sobrepasarán en su dimensión y trascendencia a los simples datos identitarios.

El TJUE acaba por tener que reconocer que el almacenamiento preventivo de datos de asignación de IPs atribuidas al origen de conexiones a Internet, más allá del almacenamiento propio de la prestación del servicio por los correspondientes operadores, era un imperativo a los efectos de poder garantizar no ya el buen fin, sino el inicio de cualquier investigación criminal por hechos delictivos en los que el empleo de las redes se convertía en mecanismo o escenario de su comisión, o en los que podían obtenerse evidencias trascendentales para su esclarecimiento. Precisamente la fugacidad de estos datos y su consideración como únicas vías que permitirían la trazabilidad de concretas comunicaciones relacionadas con determinadas finalidades legítimas, como serían la defensa de la seguridad nacional, la persecución de la delincuencia grave o la prevención contra amenazas graves contra la seguridad pública, están detrás de este espectacular cambio de rumbo de la jurisprudencia del TJUE —§§ 154 y 155—.

El Tribunal de Luxemburgo era plenamente consciente de que con el tratamiento y análisis de los datos de asignaciones IP, debidamente cruzadas con la información que se pudiera obtener de otras fuentes sobre las conexiones y accesos de la identidad electrónica a la que se habían hecho tales asignaciones, se podría facilitar la elaboración de perfiles detallados sobre las personas cuya identidad quedaría al descubierto por la asociación de datos de navegación con una misma identidad subjetiva —§ 153—. Aun así, esta claudicación se hace depender del reforzamiento de la garantía de cumplimiento de unas exigencias sustantivas y procesales comunes a todas las potenciales medidas que encuentran cabida, como excepciones a la regla general, contenida en el primer inciso del apartado 1 del fallo de la sentencia; y especialmente de la exigencia de gravedad de los delitos objeto de investigación o de la necesidad de prevención de amenazas graves para la seguridad pública, con limitación temporal del plazo máximo de conservación a lo estrictamente necesario.

Se habla, por ello, de normas nacionales «…que prevean, a efectos de la protección de la seguridad nacional, de la lucha contra la delincuencia grave y de la prevención de las amenazas graves contra la seguridad pública, una conservación generalizada e indiferenciada de las direcciones IP atribuidas al origen de una conexión, para un período temporalmente limitado a lo estrictamente necesario». Pero se impondrá, a su vez, que «…dichas medidas garanticen, mediante normas claras y precisas, que la conservación de los datos en cuestión está supeditada al respeto de las condiciones materiales y procesales correspondientes y que las personas afectadas disponen de garantías efectivas contra los riesgos de abuso».

La posibilidad de establecimiento de regímenes legales de conservación preventiva de datos relativos a la identidad civil, aun sometidos al mismo condicionante en cuanto al tratamiento sustantivo y procesal de la regulación que el de las bases de datos de asignaciones de IPs de acceso a Internet, se tratará con una mayor generosidad; pudiendo abarcar, aparte de las anteriores finalidades legítimas, también a la lucha contra la delincuencia ordinaria.

La necesidad de conocer la identidad física o jurídica que está detrás de una identidad electrónica no es en modo alguno un dato de tráfico; pero es la clave para poder atribuir a alguien la emisión o recepción de una comunicación o un determinado acceso a un dominio o servicio de Internet. Es la confrontación del dato de identidad civil con la información obtenida por fuentes diversas de un determinado tráfico de comunicaciones lo que permite atribuir a alguien éstas. Sin información de sobre la identidad civil de quien está detrás de una determinada comunicación el dato de tráfico, simplemente, podría equipararse a un dato anónimo.

Pero el TJUE se muestra comprensivo de que la potencialidad invasiva de estas bases de datos es ínfimamente inferior a la conservación y manejo de bases de datos de asignaciones de IPS de acceso a Internet. En tanto en cuanto, considera, no aportan información alguna sobre las comunicaciones realizadas por los usuarios y, por ende, sobre su vida privada, la injerencia no podría calificarse de grave —§ 157—. Por ello, y en tanto que esta información almacenada no permitiera asociarse con información relativa a comunicaciones realizadas, los fines de salvaguardia de la seguridad nacional, la lucha contra el crimen en general y la prevención de amenazas contra la seguridad pública justificarán el establecimiento de regímenes de conservación preventiva de datos por períodos de tiempo determinados.

Habrá que esperar a la siguiente sentencia, la del caso G.D. y COMISSIONER AN GARDA SÍOCHANÁ, para que el concepto de dato de identidad civil adquiera forma. Con el precedente inmediato, era éste un concepto que, sin duda cuando menos asociado al dato identitario en sentido estricto, se mostraba preciso de una mejor perfilación. Esta sentencia se enfrenta a dicho reto; llegando a afirmar que tal concepto de identidad civil habrá de abarcar a los datos precisos que «…permitan identificar a las personas que han utilizado tales medios en el contexto de la preparación o la comisión de un acto delictivo grave» —§ 71— (15) .

Ello abre las puertas a otra serie de datos tendentes a facilitar lo que no sería sino una confirmación de la identidad de la persona que realmente está detrás de la utilización de un medio de comunicación relacionado con la comisión de una concreta infracción criminal. Datos sobre correlación entre IMEI de terminal móvil e IMSI de tarjeta SIM o, incluso adelantándose a lo que posteriormente nos dirá la propia jurisprudencia del TJUE, la dimensión identitaria que facilita la correlación entre una identidad electrónica y la IP que se le asigna para acceder a Internet, podrían tener perfecta cabida en esta concepción del dato de identidad civil. Pero igualmente otra serie de datos como el domicilio contractual, o relacionados con la forma de pago, tal y como se describen, bajo el concepto de datos relativos a los abonados, en art. 18.3, apartados b) y c) del Convenio Europeo sobre el cibercrimen.

La sentencia hace un auténtico guiño al precedente de la STEDH, Secc. 5ª, de 30 de enero de 2020 (caso BREYER v. Alemania; asunto 50001/12), al admitir, dentro de ese concepto amplio de identidad civil los datos relacionados con el registro de tarjetas de telefonía de prepago. Registro, identificación del adquirente, vendedor, etc., serían datos que, según propone el § 72, podrían enriquecer sin duda esos datos que conformen las bases de datos sobre identidad civil de usuarios de servicios de comunicaciones electrónicas (16) .

Por lo demás, aparte de la reafirmación de la tesis sobre la contrariedad con el Derecho de la Unión de regímenes de conservación generalizada e indiscriminada de datos que tiene lugar en la sentencia del caso G.D. y COMMISSIONER AN GARDA SÍOCHÁNA, así como posteriormente en las SSTJUE (Sala Sexta) de 17 de noviembre de 2022 (caso SPETSIALIZIRAN NAKAZATELEN SAD; asunto C-350/21), y (Sala Primera) de 7 de septiembre de 2023 (caso A.G. y LIETUVOS RESPUBLIKOS GENERALINĖ PROKURATŪRA; asunto C-162/22), nos interesa terminar el presente apartado con una mención concreta a la STJUE (Gran Sala), de 20 de septiembre de 2022 (LA LEY 198383/2022) (caso SPACENET A.G. y TELECOM DEUTSCHLAND GMBH; asuntos C-793 y 794/19).

Si en la STJUE (Gran Sala) de 2 de marzo de 2021 (LA LEY 3921/2021) (caso PROKURATUUR; asunto C-746/2018), se consideró como un indiferente jurídico el establecimiento de un plazo de conservación de tan solo seis meses en un régimen legal de conservación generalizada e indiscriminada de datos, en esta última sentencia se enfrenta a una regulación nacional alemana que limitaba el plazo de conservación a únicamente cuatro semanas en cuanto a los datos de localización y a diez semanas para los demás datos. Aun así, el § 88 de la sentencia, concluirá insistiendo en que «…la conservación de los datos de tráfico o de localización, que pueden proporcionar información sobre las comunicaciones efectuadas por un usuario de un medio de comunicación electrónica o sobre la localización de los equipos terminales que utilice, es, en todo caso, grave, con independencia de la duración del período de conservación, de la cantidad y de la naturaleza de los datos conservados, cuando ese conjunto de datos pueda permitir extraer conclusiones muy precisas sobre la vida privada de la persona o personas afectadas». Ello no afectaría en modo alguno en su posición contraria a la conformidad con el Derecho de la Unión de tales regímenes de conservación de datos de tráfico y localización.

III. Sobre la progresión de la jurisprudencia del Tribunal Europeo de Derechos Humanos hacia su convergencia con la doctrina del TJUE sobre conservación preventiva e indiscriminada de datos

La jurisprudencia del TEDH suele señalar como verdadero hito inicial de la doctrina que analiza la conformidad con el CEDH (LA LEY 16/1950) de regímenes de conservación preventiva de datos, como los regulados en la Directiva 2006/24/CE (LA LEY 3617/2006), a la ya citada STEDH, Gran Sala, de 4 de diciembre de 2015 (caso ROMAN ZAKHAROV v. Rusia; asunto 47143/06). Sin embargo la sentencia no aborda claramente un supuesto de conservación preventiva de datos con involucración directa de proveedores de servicios de telecomunicaciones; sino la posibilidad que tenían determinadas autoridades encargadas de la prevención de la delincuencia de crear bases de datos con tal finalidad —§§ 49-65—. Ello nos acerca, por tanto, más a las modalidades de conservación generalizada preventivas a que se refiere la sentencia del caso TELE2 SVERIGE A.B. y WATSON y otros, que a genuinos regímenes de conservación como los regulados en dicha Directiva (17) .

Lo que sí reconoce la sentencia es que el plazo de conservación de esta información almacenada para uso operacional por las autoridades competentes por un máximo de seis meses sería conforme a las exigencias del principio de proporcionalidad garantido por el art. 8.2 del CEDH (LA LEY 16/1950). Aparte de ello, aportará importante información sobre las exigencias del TEDH para la conformidad con dicho precepto de medidas de interceptación de telecomunicaciones que serían plenamente aplicables a distintas formas de conservación preventiva de datos.

La STEDH, Secc. 4ª, 12 de enero de 2016 (caso SZABÓ y VISSY v. Hungría; asunto 37138/14) avanza en la misma línea propuesta por su precedente. La legislación húngara analizada prevé la posibilidad de empleo de medidas especiales de vigilancia para la prevención y lucha contra el terrorismo y para la recopilación de información de inteligencia para facilitar el rescate de nacionales en situación de riesgo en el extranjero. La sentencia vuelve a no adentrarse directamente a analizar supuestos de regímenes de conservación preventiva de datos, pues realmente aborda situaciones de análisis masivo de contenidos de comunicaciones mediante herramientas de última generación —cutting-edge surveillance—; pero representa un claro acercamiento a la doctrina del TJUE, en cuanto a la prevención sobre situaciones en que la información obtenida pudiera dar lugar a la obtención de información detallada sobre datos de la vida privada de las personas —§ 70—.

La STEDH, Secc. 3ª, de 19 de junio de 2018 (caso CENTRUM FÖR RÄTTVISA v. Suecia; asunto 35252/08), posteriormente enmendada por la Gran Sala en sentencia de 25 de mayo de 2021 (18) , se adentrará en la posibilidad de regulación de regímenes legales de filtrado masivo de datos de tráfico y contenidos de comunicaciones electrónicas —bulk interception— por razón de la llamada inteligencia extranjera. Estas herramientas iban encaminadas a monitorizar todo el tráfico de comunicaciones procedente del extranjero para la lucha frente a amenazas contra la seguridad nacional. Se emplearían para ello potentes herramientas de búsqueda ciega automatizada, de todo el tráfico de comunicaciones procedente del extranjero. El TEDH no se mostrará absolutamente contrario a este tipo de herramientas, siempre y cuando la norma nacional permitiera la superación de los juicios de necesidad y proporcionalidad a nivel de definición normativa, mediante la adecuada delimitación de objetivos y finalidades, y sometimiento a importantes salvaguardias y controles; con especial involucración de autoridades independientes con capacidad real de inspección y de imposición de correcciones a las autoridades facultadas para el empleo de tales herramientas.

La Gran Sala reconoce tener en especial consideración a los precedentes jurisprudenciales del Tribunal de Luxemburgo, sobre todo respecto de la STJUE del caso LA QUADRATURE DU NET y otros, del que destaca sus importantes avances —§ 129—; así como la opinión manifestada por la Comisión de Venecia en su Informe de 15 de diciembre de 2015 sobre la denominadas Signals Intelligence Agencies (19) . Pero, tanto como este claro acercamiento a la doctrina del TJUE, nos interesará la metodología empleada por el TEDH para desgranar lo que define como niveles o escalas de injerencia en los que se estructura el sistema de inteligencia extranjera sueco; de los que destaca una tendencia a la progresión en el nivel de injerencia cada vez que alcanzamos el nivel superior (20) .

De estos cuatro niveles será el primero el que nos será de especial interés, por la clara correlación que encuentra con el régimen de conservación preventiva e indiscriminada de datos. Atañe a la fase de captación/interceptación y retención de datos. Tal fase, aunque permitirá un descarte inicial de material aparentemente no relevante, coincidiría en buena parte con lo que sería la conservación generalizada de datos. La gravedad de la intromisión, aunque ya de por sí representaría una seria injerencia sobre la vida privada de los ciudadanos, no llegaría a ser particularmente significativa; especialmente teniendo en cuenta el hecho de que la información accede al sistema de interceptación y se preserva de forma codificada, es inteligible solo mediante el uso de tecnología informática y susceptible de ser interpretada por un reducido número de personas —§ 244— (21) .

Este primer nivel de regulación, debidamente sometido a los filtros que representan los juicios de proporcionalidad y necesidad a nivel de definición normativa, nos dirá la sentencia de la Gran Sala, habría de cumplir exigencias equiparables a las propias que se han destacado por el TEDH en orden a la interceptación de contenidos y datos de tráfico de comunicaciones; dependiendo realmente la verdadera afectación del art. 8 del CEDH (LA LEY 16/1950) de la forma y alcance de la regulación de los siguientes niveles. Ello habría de traer consigo el cumplimiento de exigencias en orden a la necesidad de un control interno efectivo a través de autoridad judicial o administrativa independiente; la cognoscibilidad del hecho de la injerencia y posibilidad efectiva de recurrir por parte de las personas afectadas, como base esencial de evitación de riesgos de abuso y arbitrariedad, así como garantías en lo referente al control y protección del material conservado frente a riesgos de accesos no consentidos o destrucción, y de eliminación del material almacenado una vez perdida su utilidad o el transcurso de plazos razonables (22) .

En la STEDH, Secc. 4ª, de 24 de abril de 2018 (caso BENEDIK v. Eslovenia; asunto 62357/14), el Tribunal de Estrasburgo se adentra en la posibilidad de acceso policial a bases de datos que contenían información sobre IPs de conexión a Internet; datos que habrían de tener su origen en un régimen de conservación preventiva de datos nacida en implementación de la Directiva 2006/24/CE (LA LEY 3617/2006). En los §§ 130 y 131 de la sentencia no se llega a negar la conformidad con el art. 8.2 de regímenes de conservación de datos de origen legal, sino la ausencia de una norma estatal eslovena, de aplicación en la fecha de autos, que le sirviera de sustento jurídico (23) .

La STJUE, Secc. 5ª, de 30 de enero de 2020 —(caso BREYER v. Alemania; asunto 50001/12)—, sí abordará de lleno un supuesto en el que una norma nacional regulaba un deber de conservación de datos relacionados con la adquisición y alta de tarjetas SIM de prepago. El art. 111 de la ley alemana de telecomunicaciones — Telekommunikationsgesetz de julio de 2016— preveía, de hecho, la conservación de estos datos a los efectos, entre otras finalidades, de la lucha contra la delincuencia; lo que incluía la necesaria confirmación de la identidad del titular de la tarjeta mediante la exhibición de su documentación de identidad.

A la hora de justificar su posición favorable a este tipo de regímenes de conservación de datos referidos a la identidad del adquirente de una tarjeta de tal naturaleza, la sentencia, en su § 92, muestra cierto grado de sintonía con la jurisprudencia precedente del TJUE, a la que llega a citar de forma expresa, aunque sin renunciar a precedentes propios (24) ; especialmente a la hora de ponderar la superación de los juicios de proporcionalidad y necesidad. Destaca el carácter especialmente limitado de los datos objeto de almacenamiento; que no incluyen información de especial trascendencia como para permitir la generación de perfiles de personalidad de los usuarios registrados o un seguimiento de sus movimientos. No facilitan, tampoco, el almacenamiento de datos sobre las comunicaciones en que éstos participan. Sería por tanto un nivel de injerencia claramente diferenciable frente a esos ejemplos del registro de datos de tráfico de comunicaciones, geolocalización o almacenamiento de datos de salud o biométricos a que hicieran referencia tales precedentes; o frente a aquellos ejemplos en que la información es susceptible de frecuentes análisis o de un mayor almacenamiento de datos privados (25) .

El apoyo en la STJUE del caso DIGITAL RIGHTS IRELAND y SEITINGLER y otros facilitará realizar una comparativa con lo ejemplos de conservación preventiva e indiscriminada de datos de tráfico y localización; constatando cómo la Directiva 2006/24/CE (LA LEY 3617/2006) permitía relacionar éstos con datos de identidad de los adquirentes o usuarios registrados. Sin embargo, destaca que los datos de registro de una tarjeta SIM de prepago no permiten averiguar la fecha, hora, duración e intercomunicantes relacionados con la tarjeta SIM en cuestión, ni el lugar en que éstas tuvieron lugar, ni la frecuencia con que estas conexiones con concretas personas tuvieron lugar en un período determinado; por lo que éstos no permitirían alcanzar conclusiones precisas sobre la vida privada de las personas concernidas. Concluye por ello el TEDH afirmando que tal injerencia, aunque no trivial, es de una naturaleza más bien limitada —§ 95—.

La sentencia del caso BREYER v. Alemania se abre a reconocer la conformidad de tales regímenes que afectan exclusivamente a lo que se definirán posteriormente por el TJUE como datos de identidad civil con el mandato del art. 8.2 del CEDH (LA LEY 16/1950). Pero, en cuanto respecta a las bases de datos que se nutrieran de datos de tráfico y localización, se limita a advertir la seria afectación de derechos del entorno de la privacidad, como consecuencia de esa potencialidad de poder dar forma a perfiles detallados sobre las personas cuyos datos han sido objeto de conservación. No hay un pronunciamiento expreso sobre si estos regímenes podrían no superar las exigencias de proporcionalidad y necesidad que se imponen en dicho precepto; pero una respuesta negativa comenzaba a ser factible.

Pese a este claro acercamiento a la doctrina del TJUE, especialmente a la STJUE del caso LA QUADRATURE DU NET y otros, la STEDH, Secc. 3ª, de 13 de febrero de 2024 (caso PODCHASOV v. Rusia; asunto 33696/19) volverá a esa postura de no claro posicionamiento por una u otra consideración de la conformidad de los regímenes de conservación generalizada e indiscriminada de datos con el mandato del art. 8.2 del CEDH (LA LEY 16/1950); volviendo a esa posición equidistante o ambigua que caracterizara a las SSTEDH de los casos ROMAN ZAKHAROV v. Rusia o SZABÓ y VISSY v. Hungría.

En los §§ 51 la sentencia nos recuerda que el mero almacenamiento de datos relativos a la vida privada de las personas representa una interferencia en sentido de lo establecido en el art. 8 del CEDH (LA LEY 16/1950); y ello independientemente de si las autoridades llegaran a acceder o no a los mismos. La potencialidad de su uso se convertirá en este sentido en un componente adicional a la hora de valorar el grado de injerencia de sistemas de conservación de datos —§ 53—. Y la afectación no dependerá de la aplicación de la ley que define el régimen de conservación, sino incluso de la propia existencia de la ley —§ 55—.

En el supuesto de la legislación rusa analizada, ésta imponía a prestadores de servicios de Internet la conservación de los contenidos de comunicaciones que gestionaban durante un plazo de seis meses, así como de los datos de tráfico que éstas generaban por tiempo de un año. Una y otra exigencias son en un principio ponderadas desde el punto de vista de generar un grado de injerencia de un rango excepcionalmente alto y serio —§ 70—. A partir de estas premisas, tras realizar una análisis de distintos niveles de garantía y salvaguardia desarrollados por la norma, el TEDH constata cómo tales mecanismos serían prácticamente idénticos a los analizados en la norma rusa objeto de cuestionamiento en la STJUE del caso ROMAN ZAKHAROV v. Rusia; por lo que no tiene reparo alguno en llegar a idénticas soluciones. Pero al igual que ocurriera en este precedente, en las conclusiones que se desarrollan en el § 80 no llega a afirmar que cualquier forma de conservación preventiva de datos, y en concreto de datos de tráfico y localización no tendría cabida en el art. 8.2 del CEDH (LA LEY 16/1950); sino que se limita a advertir que la ley no dota al régimen de conservación de las adecuadas salvaguardias contra el abuso. Una interpretación a contrario sensu podría llevarnos a concluir que, con las adecuadas correcciones y enfatización de las correspondientes salvaguardias, un régimen legal de conservación preventiva e indiscriminada de datos podría tener cabida en el art. 8.2 del CEDH (LA LEY 16/1950).

Solamente habría que esperar dos días para encontrar una resolución del TEDH, la STEDH, Sección 1ª, de 15 de febrero de 2024 (caso ŠKOBERNE v. Eslovenia; asunto 19920/20) que, desautorizando esa posición ambigua de su precedente inmediato, se asuma en su plenitud la jurisprudencia del TJUE sobre la no conformidad con el Derecho de la Unión, por la afectación de los arts. 6 (LA LEY 12415/2007), 7 (LA LEY 12415/2007), 11 (LA LEY 12415/2007) y 52.1 de la CDFUE (LA LEY 12415/2007), de regímenes de conservación generalizada e indiscriminada de datos de tráfico y localización de comunicaciones electrónicas.

La calendada sentencia sí se enfrenta a un supuesto de legislación nacional que dispone la conservación de datos de tráfico y localización por parte de las operadoras de telecomunicaciones, por un período, en este caso, de 14 meses, para alguna de las finalidades que determina la norma; entre las que se encontraba la lucha contra la delincuencia. Sin embargo, se tendrá en cuenta que la norma abarca no solo la prevención e investigación del delito, sino también a otros fines legítimos; y entre ellos, aparte de la seguridad nacional, el orden constitucional, la seguridad pública, la defensa nacional y los intereses económicos y políticos del Estado —§§ 125 y 126—. Se destaca de hecho que la prevención y persecución del delito no se limita a la lucha contra la delincuencia grave, sino contra la delincuencia en términos generales.

El punto de arranque de su discurso jurídico comienza con la búsqueda del referente de las herramientas de inteligencia extranjera; y en concreto de la STEDH, Secc. 5ª, de 13 de febrero de 2018 (caso BIG BROTHER WATCH y otros v. Reino Unido; asuntos 58170/13, 62322/14 y 24960/15). Y lo hará, sin duda, para establecer paralelismos entre ambas formas de injerencia masiva, tanto en lo referente al principio de progresividad en los niveles de injerencia en función del estadio de afectación alcanzado en cada nivel, como en las exigencias mínimas que habría de contener la norma habilitante.

Pero también se toma en especial consideración el hecho de que la ley nacional fue declarada inconstitucional con posterioridad a la adopción y ejecución de la orden de cesión de datos pertenecientes a terminales de comunicaciones del reclamante. Una declaración de inconstitucional que se inspirara expresamente en la STJUE del caso DIGITAL RIGHTS IRELAND, SEITINGLER y otros.

La sentencia constata en su § 132 cómo la inmensa mayoría de los datos almacenados no llegan a consultarse jamás durante el período de conservación; tratando por ello de destacar semejanzas con el modelo de conservación de datos de contratantes de tarjetas de telefonía de prepago analizado en la STEDH del caso BREYER v. Alemania. Pero en el parágrafo siguiente romperá rápidamente con este planteamiento, recordándonos, como se haría en sus precedentes anteriores, esa capacidad de dar forma a perfiles detallados de rasgos de la personalidad de las personas sometidas a escrutinio (26) .

El posicionamiento favorable a la conservación de datos sobre identidad civil, pero con descarte respecto de los datos de tráfico y localización, en paralelismo con la doctrina sustentada por el TJUE, comienza a adquirir forma a partir de dicho § 133. Y ello le lleva a concluir que la sistemática vigilancia derivada de la obligatoria conservación de datos supone un impedimento para el disfrute de los derechos relacionados con la privacidad por parte de todos los usuarios de servicios de telecomunicaciones. Y de ello se deduce el riesgo de generar en los usuarios una sensación de vulnerabilidad y exposición que podría perjudicar su capacidad de disfrutar de su privacidad y confidencialidad de su correspondencia; de desarrollar relaciones con otros y ejercitar otros derechos fundamentales. Esa posibilidad de permitir el acceso a información detallada sobre rasgos de la vida privada a que se refiriera la STJUE del caso DIGITAL RIGHTS IRELAND, SEITINGLER y otros, llevará al Tribunal de Estrasburgo a considerar que la conservación y ulterior procesamiento de los datos constituye una interferencia de gran alcance y particularmente seria; de una seria naturaleza, en palabras propias de la sentencia comentada —§§ 133 y 134—.

Tal caracterización no supondrá pos sí misma para el Alto Tribunal una razón para declarar directamente la contrariedad de tales regímenes de conservación de datos con el mandato del art. 8.2 del CEDH (LA LEY 16/1950). Por ello, se ve en la necesidad de realizar un juicio de ponderación sobre si las finalidades públicas que justifican la imposición de tales regímenes pueden superar un juicio de proporcionalidad; incluso dentro del amplio margen de apreciación con que cuentan los Estados miembros del Consejo de Europa para dar forma a los mismos.

Como indicáramos antes, se mantendrá la equiparación de la injerencia sobre contenidos a la de datos de tráfico, a los efectos de la imposición de unas mismas salvaguardias a nivel de definición normativa; es decir: Naturaleza de las infracciones penales que pueden dar lugar a una orden de interceptación; definición de las categorías de personas que pueden verse sometidas a una medida de injerencia; establecimiento de límites a la duración de la medida; procedimiento que ha de ser seguido para el examen, uso y almacenamiento de los datos obtenidos; precauciones que han de tomarse cuando los datos se hacen accesibles a otras partes, así como las circunstancias por las que los datos obtenidos deben ser borrados o destruidos. La referencia a la STEDH del caso ROMAN ZAKHAROV v. Rusia aumentará el número de estas exigencias; incluyendo una mención al alcance y duración de la medida; los procedimientos que han de ser seguidos para el almacenaje, acceso, examen, uso, comunicación y destrucción de los datos interceptados; la forma en que ha de tener lugar la supervisión de la implementación de las medidas de vigilancia secreta, así como la garantía del deber de notificación y medidas reaccionales por parte de las personas afectadas por la medida.

La equiparación, no obstante no debería considerarse sencilla; toda vez que la conservación generalizada no suele ir más allá de ese primer nivel de injerencia que definiera el propio Tribunal. La conservación es previa a una eventual ulterior utilización procesal; y solamente cuando ésta tiene lugar se produce una escalada en el nivel de gravedad que justificará idénticos niveles de salvaguardia como los definidos para la injerencia sobre contenidos. En el primer nivel, es la evitación de riesgos de acceso no autorizado o uso para finalidades diversas a las establecidas en la norma, lo que habría realmente de preocuparnos.

Aplicando tales principios a la legislación eslovaca, lo primero que destaca el Alto Tribunal es que la exigencia de cognoscibilidad de la norma habilitante está indudablemente garantizada —§ 138—. Sin embargo, ni posibilidad de anticipación de cualquier usuario de servicios de telecomunicaciones en Eslovaquia, ni la ausencia de la más mínima ambigüedad en su redacción, son tenidas como una garantía suficiente para el respeto de los principios del Estado de Derecho y de proporcionalidad.

Sí se apreciará, sin embargo, una deficiencia en la no determinación del alcance y aplicación de la medida en función de las distintas finalidades legítimas que permiten el acceso a los datos almacenados —§ 139—; teniendo en cuenta la existencia de evidentes diferencias entre las diversas finalidades legítimas que permiten el acceso a los datos conservados. Esa deficiencia en la determinación del alcance de la medida para cada supuesto de finalidad legítima repercutirá igualmente en la imposibilidad de llevar a efecto un adecuado juicio de necesidad de la medida en el contexto de una sociedad democrática; por lo que la norma nacional deviene irreconciliable con las obligaciones impuestas por el art. 8 del CEDH (LA LEY 16/1950). Terminará el parágrafo advirtiendo que la mera limitación temporal de la medida a 14 meses, que en sí mismo es un período considerable, no puede hacer variar esta conclusión.

Aparte de reconocer un claro paralelismo en el desarrollo de estos argumentos con la doctrina defendida por la STJUE del caso DIGITAL RIGHTS IRELAND, SEITINGLER y otros, la sentencia descarta que, como propusiera el órgano sentenciador y posteriormente el Tribunal Constitucional eslovaco, pudiera tener relevancia alguna el hecho de que la orden de cesión de datos se hubiera emitido con anterioridad a la declaración de inconstitucionalidad de la norma habilitante, y que el delito que se estaba investigando tuviera la naturaleza de delito grave. Independientemente de ello, incluso entendiendo vigente la norma cuando se aplicó, la misma contravenía el derecho a la privacidad garantido por el art. 8 del CEDH (LA LEY 16/1950). La contravención, como un defecto de base de la norma habilitante, no podría considerarse enmendada por el hecho de que la medida se hubiera adoptado y llevado a efecto con las adecuadas garantías.

Para llegar a esta última conclusión, la sentencia decide acudir al precedente de la STJUE del caso SPACENET A.G. y TELEKOM DEUTSCHLAND GMBH; destacando cómo ni siquiera una norma que llegó, como la alemana, hasta el último extremo imaginable de garantismo en la regulación del régimen de conservación de datos, fue capaz de hacer variar la posición del TJUE de considerar que tales regímenes, como generantes de una severa injerencia sobre la privacidad de las personas afectadas por la medida, eran contrarios al Derecho de la Unión.

En el parágrafo siguiente, el § 144, la sentencia, con cita ahora del precedente de la STJUE del caso G.D. y COMISSIONER AN GARDA SÍOCHÁNA, se define con total claridad a la hora de reconocer la asunción como propia de la doctrina desarrollada sobre el particular por el Tribunal de Luxemburgo: que los datos de comunicaciones no pueden ser objeto de una general e indiscriminada conservación con la finalidad de combatir la delincuencia grave; y que, en consecuencia, el acceso a tales datos no puede estar justificado para ese mismo propósito. Es aquí cuando se concluirá por primera vez manifestando, con apreciable franqueza que: «En el presente caso, el Tribunal no aprecia razón alguna que pueda desviarse de las conclusiones del TJUE sobre este punto».

Lo último que nos interesa recalcar de esta sentencia es que en su § 144 (27) destaca cómo se descartará un argumento que nos recordará en buena parte a un aparente intento de aplicación de una de las excepciones de las exclusionary rules. Fue empleado como argumento para defender la legitimidad de la orden de cesión de datos el que la información recabara no afectara a un período de tiempo superior a un mes y que la misma información pudiera haber sido obtenida de los datos almacenados por la operadora concernida por la orden de cesión por motivos comerciales. La sentencia descarta este planteamiento, destacando cómo, en cualquier caso, la información fue obtenida en base a una norma que imponía la conservación indiscriminada de datos de tráfico y localización por un tiempo de 14 meses; y que, en consecuencia, la información así obtenida superaba con creces aquella que pudiera haber sido objeto de conservación por las operadoras por motivos contractuales.

Llama la atención que la sentencia, tal vez agotada ya en su larga y prolija redacción, no haya llegado a adentrarse en la posibilidad de aplicación en este supuesto de las exigencias del derecho a un juicio justo y su variante del conocido como principio adversarial. No podemos llegar de manera inconcusa a la conclusión de que ello haya supuesto en modo alguno un decidido abandono de tal doctrina; permisiva de la utilización como medios de prueba de evidencias obtenidas con transgresión del mandato del art. 8.2 del CEDH (LA LEY 16/1950), con tal de que se hubiera garantizado a la defensa la posibilidad de contradecirlos.

También hemos de destacar que, obviamente, la posición del TEDH en cuanto a la posibilidad de acceso a información de tráfico sobre comunicaciones mediante la emisión de órdenes de cesión de datos a las correspondientes operadoras, no parece que se muestre tan beligerante como en la posición finalmente adoptada respecto de los datos con origen en bases de datos sometidas a un régimen de conservación generalizada e indiscriminada de origen legal. La sentencia parece constatar entre líneas cómo existen evidentes diferencias cualitativas entre ambas fuentes de información.

La STEDH, Secc. 1ª, de 28 de mayo de 2024 (LA LEY 158270/2024) (caso PIETRZAK y BYCHAWSKA-SINIARSKA y otros v. Polonia; asuntos 72038/17 y 25237/18), referida en este caso a una legislación polaca destinada a la lucha contra el terrorismo, en la que se establecía un régimen ad hoc de conservación preventiva e indiscriminada de datos de tráfico y localización por parte de operadoras de comunicaciones electrónicas, acabará siguiendo muy de cerca el precedente de la STEDH del caso ŠKOBERNE v. Eslovaquia.

La reiteración y copia de párrafos y argumentos de esta sentencia es evidente. Para empezar, se ahonda igualmente en la existencia de aparentes deficiencias en la determinación del alcance de la medida en relación con las concretas finalidades perseguidas por el acto de injerencia; a los que añade claros déficits en la definición de adecuados procedimientos de autorización y supervisión —§ 259—. Igualmente, se destacará en el parágrafo siguiente cómo las deficiencias alcanzarían, como sugieren el propio Tribunal Constitucional polaco y la Comisión de Venecia (28) , a la claridad y previsibilidad de la norma habilitante; trayéndose seguidamente a colación la posición de la jurisprudencia del TJUE que ve contrarios al principio de proporcionalidad regímenes de conservación generalizada e indiscriminada de datos, incluso destinados a la lucha contra el terrorismo.

La referencia a las SSTJUE de los casos SPACENET A.G. y TELEKOM DEUTSCHLAND GMBH y G.D. y COMISSIONER AN GARDA SÍOCHÁNA cerrará el discurso jurídico de la sentencia, tal y como hiciera su precedente inmediato; para acabar concluyendo igualmente afirmando que no se encuentran argumentos diversos para no concluir de otra forma que la que hace el TJUE.

IV. El impacto de la STJUE (gran sala) del caso LA QUADRATURE DU NET II y su proyección de futuro

1. Introducción: El punto de arranque de la STJUE del caso LA QUADRATURE DU NET y otros II

Todo hacía presagiar que cuando la STJUE (Gran Sala) de 30 de abril de 2024 (LA LEY 70826/2024) (caso LA QUADRATURE DU NET y otros; asunto 470/21) hubiera de enfrentarse a la nueva cuestión prejudicial planteada por el Conseil d’État francés, lo haría derrumbando la normativa francesa sometida a examen desde sus propios cimientos. Sin embargo, el TJUE no solo vuelve a sorprendernos con su capacidad de evolución en una línea claramente marcada por un propósito de desprenderse del enorme baldón que supusieran las SSTJUE de los casos DIGITAL RIGHTS IRELAND y SETLINGLER y otros y TELE 2 SVERIGE, WATSON y otros, sino que su capacidad de innovación abre nuevas líneas para especular con un posible ulterior cambio que cuestionara la férrea oposición que sigue manteniendo frente a regímenes legales de conservación generalizada e indiscriminada de datos.

Pensar a estas alturas que una normativa que daba lugar a la creación de bases de datos destinadas a la conservación de datos relativos a accesos a determinados sitios Web o compartición de archivos, con la finalidad de luchar contra infracciones contra la propiedad intelectual, pudiera superar el prácticamente insuperable filtro del TJUE, parecería pecar de supina ingenuidad. Ni siquiera la lucha contra las formas más peligrosas de terrorismo internacional había permitido superar tan abigarrada doctrina del Tribunal de Luxemburgo.

Es cierto que el art. 8 de la Directiva 2004/48/CE (LA LEY 5267/2004) (29) imponía a prestadores de servicios de comunicaciones la obligación de facilitar información sobre el origen y redes de distribución, en concreto, de servicios de personas que infringieran derechos de propiedad intelectual. Esta norma encontraría un indiscutible respaldo en la STJCE (Gran Sala) de 29 de enero de 2008 (caso PROMUSICAE; asunto C-275-06). Pero de ahí a que la norma pudiera suponer un respaldo a la indiscriminada conservación de datos de tráfico con la finalidad de poder atender a las demandas de titulares de derechos de propiedad intelectual para identificar a posibles autores había un abismo; y más a partir de una jurisprudencia del TJUE tan manifiestamente contraria a tales regímenes legales representaba un reto jurídico de difícil superación.

2. La legislación francesa sobre conservación de datos con fines de lucha contra infracciones de derechos de la propiedad intelectual

El legislador francés, en su Code de la propieté intellectuelle, realizó un enorme esfuerzo para encontrar una fórmula que permitiera conciliar la necesidad de acceso a información sobre identidades electrónicas relacionadas con la vulneración de derechos de propiedad intelectual y una jurisprudencia del TJUE tan restrictiva. La clave de todo este diseño partía de la institución de una autoridad administrativa independiente: la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet —HADOPI— (30) ; que a la vez se subdividía en un Colegio y una Comisión de Protección de los Derechos; y a su servicio, agentes públicos con amplias facultades para desempeñar sus cometidos.

La legislación francesa previó a su vez una modificación del art. 34.1 del Code des postes et des communications électroniques. Por virtud de esta norma, se imponía a operadores de comunicaciones electrónicas, entre otras razones a efectos de los procesos penales, la conservación de datos sobre la identidad civil de los usuarios por un plazo de cinco años a contar desde el fin de la validez del contrato; para las mismas finalidades, la conservación de cualquier otra información facilitada por los usuarios con motivo de la contratación o creación de una cuenta, o información relativa al pago, con reducción del plazo de conservación a un año; y en este caso tan solo para la lucha contra la delincuencia grave, la conservación de los datos técnicos que permitan identificar el origen de la conexión o los relativos a los equipos terminales utilizados, hasta la expiración de un plazo de un año a partir de la conexión o utilización de los equipos terminales.

Agentes públicos y Comisión de Protección de los Derechos, como destinatarios de las denuncias que presentaran titulares de derechos de propiedad intelectual con motivo de infracciones constatadas, tenían acceso a la información objeto de conservación por mandato de dicho precepto. Este acceso garantizaba, al menos, datos de identidad civil de los presuntos infractores; y, en concreto, determinación de a qué identidad electrónica se había asignado la IP pública desde la que el acceso o compartición de datos tuvo lugar. Esos datos eran cruzados con la información facilitada por los denunciantes, permitiendo de este modo identificar al presunto infractor.

El procedimiento incoado daba lugar a la notificación al supuesto infractor, descubierto como consecuencia del acceso de los titulares de derechos de autor a datos públicos del tránsito o reproducción de las obras protegidas por derechos de autor, de lo que se definía como una recomendación. En la recomendación se hacía ver a éste el contenido de la normativa que prohibía la conducta detectada, advirtiendo de las sanciones previstas para tal tipo de infracciones. La constatación de una segunda infracción en el plazo de seis meses a contar desde el envío de la primera permitía a la Comisión de Protección de los Derechos, daba lugar a la emisión de una segunda recomendación; que iba acompañada de su remisión con acreditación fehaciente de su recepción. Se establecía igualmente un procedimiento específico de emisión de recomendaciones para el supuesto en que la infracción pudiera considerarse negligencia grave (31) ; siendo en tal caso el plazo entre las dos recomendaciones de un año.

En cualquiera de los dos supuestos la recomendación incluiría información sobre la fecha y hora en que se constataron los hechos; aunque no se aportaría información alguna que permitiera identificar el contenido de las obras u objetos afectados por el incumplimiento. A su vez, se indicaban los canales para poder presentar los destinatarios de la recomendación, al menos en el caso de la segunda recomendación, las oportunas observaciones o detalles sobre el contenido de las obras u objetos protegidos afectados por el incumplimiento imputado.

En una tercera etapa, la constatación de una tercera reiteración da paso a un proceso deliberativo, en el que la Comisión de Protección de Derechos puede adoptar la decisión de presentar denuncia ante la Fiscalía, bien por delito de negligencia grave o por delito doloso.

A partir del § 54, la sentencia se dedica a analizar los distintos tratamientos de datos consecuencia de la aplicación de la ley francesa. En una primera fase los agentes jurados recopilan datos sobre las direcciones IP que pudieran haber compartido a través de redes P2P contenidos que pudieran suponer infracciones de derechos de propiedad intelectual. Una segunda fase se correspondería con la aportación a la HADOPI de actas en las que se reflejan datos que permiten la identificación de la actividad ilícita y su imputación a concretos abonados (32) . Se habla, además, de un segundo tratamiento, responsabilidad de los proveedores de acceso a Internet a requerimiento de la HADOPI. En una primera fase se asocian las asignaciones de IP con los datos personales que constan de las titularidades electrónicas a las que se han adjudicado; lo que es enriquecido en un paso posterior con los datos personales, de identidad civil, que poseen las operadoras sobre los titulares.

3. Las dos funciones de la dirección IP como claves del desarrollo argumentativo de la STJUE del caso LA QUADRATURE DU NET II

La STJUE del caso LA QUADRATURE DU NET II es plenamente consciente de que el sistema de control del acceso o compartición no autorizado de contenidos u objetos protegidos por el derecho de propiedad intelectual se fundamenta en el cruce de datos de identidad civil con los de asignación de IPs públicas; y que unos y otros se encuentran a disposición de unos proveedores de servicios de comunicaciones electrónicas que se ven sometidos por una norma que les obliga a conservarlos por espacios de tiempo determinados. Pero también estarían íntimamente ligados a «…la información sobre la obra puesta a disposición en Internet de que la Hadopi dispone» —§ 72—.

Ello conecta directamente a la sentencia con la citada STEDH del caso BENEDIK v. Eslovenia, a la que antes hemos hecho referencia; a la que cita como referente analógico —§ 73—. Pero no desaprovechará la oportunidad para volver a recordarnos que este tipo de regímenes, aún limitados a datos de identidad civil y de asignación de IPs de acceso a la red, siguen bajo el imperio del art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002); con el sometimiento que ello habrá de suponer sujeción al principio de legalidad, del respeto del contenido esencial de los derechos garantidos por los arts. 7 (LA LEY 12415/2007), 8 (LA LEY 12415/2007) y 11 de la CDFUE (LA LEY 12415/2007), con especial prevalencia de los principios de proporcionalidad y necesidad, y de ir encaminados a alguna de las finalidades públicas que dicho precepto destaca —§ 70—.

En el § 75, reproduciendo lo mantenido en el anterior § 60, el Alto Tribunal nos recuerda cómo, en su opinión, las direcciones IP son datos de tráfico sometidos al mandato de la Directiva 2002/58/CE (LA LEY 9590/2002), a la vez que datos personales amparados por el RGPD. Y en buena parte no les falta razón.

Desde el punto de vista técnico, no obstante, es esta una afirmación que debería ser objeto de matización. La IP asignada a un determinado punto de terminación de red, por ejemplo un router, por supuesto que forma parte de la información de tráfico que circula en la cabecera IP —IP header— de cualquier paquete de datos que transita por Internet. Es, de hecho, esencial para permitir canalizar la conducción de una comunicación bidireccional entre un determinado dispositivo que accede a Internet vía el punto de terminación de red y la ubicación con la que conecta o interactúa.

Sin embargo, mantiene una dimensión estática que poco o nada tiene que ver con el tránsito de comunicaciones, y mucho con la necesidad de garantizar la conectividad de los dispositivos de comunicaciones que enlazan con la red vía determinado punto de terminación de red. La IP se comporta realmente como la puerta de acceso de dispositivos de comunicaciones a Internet; independientemente de que un determinado usuario navegue por Internet o se comunique con otras personas por dicha vía. Es un dato que se genera y ha de ser objeto de tratamiento por las operadoras independientemente de la conducción de una concreta comunicación; y, como tal, pierde la naturaleza de dato de tráfico.

Esta dimensión estática, sin perder la naturaleza de dato sometido al mandato del art. 5.3 de la Directiva 2002/58/CE (LA LEY 9590/2002), como auténtico dato técnico que debería ser excepcionado en tal sentido del mandato del RGPD (33) , encuentra un parentesco más cercano con los datos de identidad civil. Sirve, de hecho, para permitir identificar la identidad electrónica que está detrás de un determinado uso de las redes, mediante un sencillo proceso inductivo: Si hemos tenido acceso a datos relacionado con una determinada infracción en materia de propiedad intelectual porque la información ha sido compartida a través de una red P2P, conoceremos la IP de origen de las personas que han compartido la información (dato genuino de tráfico por el origen de su captación); a través de la información sobre la asignación de la IP conoceremos la identidad electrónica del usuario o usuarios, y a través de ésta otros datos de identidad civil que el correspondiente proveedor de Internet o de servicios posea sobre el abonado. Además, la relación entre la IP y el punto de terminación de red puede facilitarnos información, con más o menos precisión, sobre la localización geográfica del dispositivo de comunicaciones.

La sentencia prefiere, no obstante, aun reconociendo el origen público de los datos de IPs que son recogidos por entidades gestoras de derechos de propiedad intelectual, y que, por ello, tal práctica estaría fuera de la disciplina de la Directiva 2002/58/CE (LA LEY 9590/2002), abordar tal técnica, ahora sí de forma correcta a mi modesto parecer, desde el punto de vista de su consideración como un tratamiento de datos personales sometido al mandato del RGPD; en tanto en cuanto estos datos serán objeto de cesión para su ulterior tratamiento por la HADOPI —§§ 61 y 62—. Sería cuando las IP son cruzadas con los datos de identidad civil que poseen las operadoras, entiende el TJUE, cuando el ámbito normativo pasaría a ser el de la Directiva.

Este apartamiento de la dimensión técnica del dato IP se ve en parte mitigado en los §§ 75 y 76. En el primero, aun insistiendo en la naturaleza de dato de tráfico de las direcciones IP, se reconoce la existencia de diferencias con las demás categorías de datos de tráfico y localización. En el siguiente, sí se atribuye esa dimensión estática y técnica a que hemos hecho referencia anteriormente; aunque sea para considerarlo un mecanismo apto para identificar al titular de un terminal desde el que se efectúa una comunicación a través de Internet (34) , pese a que solo permita identificar el origen, no el destino, de la comunicación.

Esta cierta claudicación, sin renunciar a tal caracterización de la IP en todo caso como dato de tráfico, le lleva a considerar que se trata ésta de una categoría de datos que «…presenta un grado de sensibilidad menor que los demás datos de tráfico». Y es a su vez esa caracterización que no se pierde de las IPs como datos de tráfico, lo que le lleva al TJUE a considerar que la recopilación o almacenamiento preventivo de estos datos solamente sería lícita conforme el Derecho de la Unión, como claro ejemplo de injerencia grave sobre la privacidad de las personas, cuando tuviera como únicos objetivos la lucha contra la delincuencia grave, la prevención de las amenazas graves contra la seguridad pública o la protección de la seguridad nacional —§ 77—.

4. El riesgo asociado a la generación de perfiles detallados de usuarios mediante el tratamiento de datos conservados sobre asignaciones de IPs

Superada la cuestión de la dimensión técnica del dato IP, el TJUE acudirá al precedente de la STJUE del caso LA QUADRATURE DU NET y otros —§ 153— para recordarnos que ese riesgo de posible obtención de un perfil detallado de rasgos de la personalidad de un internauta podría conseguirse fácilmente mediante el rastreo exhaustivo de su secuencia de navegación (35) . Y de ello extraerá la conclusión de que este riesgo comporta la consideración como injerencia grave de la recopilación y ulterior posible tratamiento exhaustivo de tales datos; así como del efecto disuasorio que podría producir en los usuarios en el ejercicio de su libertad de información.

Sin embargo, la sentencia prefiere matizar esta afirmación en el § 79, destacando que no toda recopilación generalizada e indiferenciada de tales datos debería considerarse que constituyera una injerencia grave en los derechos fundamentales garantidos en los arts. 7 (LA LEY 12415/2007),8 (LA LEY 12415/2007) y 11 de la CDFUE (LA LEY 12415/2007). Constata cómo en el precedente de la STJUE del caso LA QUADRATURE DU NET y otros estos datos eran a su vez almacenados por imperativo legal, como datos referentes al tráfico de comunicaciones en un sentido destacadamente amplio; datos que incluso podrían permitir identificar la naturaleza de la información consultada en línea (36) .

Concluir que en estos casos el riesgo de generación de perfiles detallados de rasgos de personalidad de los usuarios era muy elevado era más que comprensible. Sin embargo, ese riesgo se considera claramente mitigado cuando el objeto de conservación se limita a la información sobre asignaciones de IPs de acceso. Incluso en el § 82 llegará a plantearse la posibilidad del empleo de tal información para la lucha contra la delincuencia en general, en tanto en cuanto los Estados miembros se cercioraran «…de que las condiciones de conservación de esos datos permitirán garantizar que se excluya que dichas direcciones IP se asocien a otros datos conservados, dentro del respeto de la Directiva 2002/58 (LA LEY 9590/2002), de manera que pudieran extraerse conclusiones precisas sobre la vida privada de las personas cuyos datos se conserven de ese modo». El camino para llegar a esta revolucionaria afirmación no será precisamente sencillo, como seguidamente veremos.

5. Sobre las garantías para evitar el riesgo de extracción de conclusiones precisas sobre la vida privada de las personas como consecuencia del tratamiento de datos sobre IPs objeto de conservación preventiva

La única razón por la que el TJUE acabó en la STJUE del caso LA QUADRATURE DU NET y otros por admitir la conservación generalizada de datos IP, pese a que permanecía inamovible en su posición de mantenerse radicalmente contrario a ello, cualquiera que fuera su finalidad, fue la constatación de que sin el domino sobre estos datos el arranque de cualquier investigación criminal o labor de prevención a nivel de inteligencia extranjera o protección de la seguridad nacional o pública devenía estéril. Más allá de la que no podría considerarse sino fugaz conservación y tratamiento del dato como consecuencia de la prestación de un concreto servicio de comunicaciones, así como de la tendencia natural de las operadoras de asignar una misma IP a un mismo usuario con carácter preferente en tanto accediera a Internet desde un punto de acceso fijo, este dato crucial que permitía relacionar un determinado contenido o actuación relevante para tales fines convertiría a los infractores o responsables de amenazas contra la seguridad nacional o pública en seres anónimos e inmunes en la red.

Pero el precio que había que pagar para ello se tradujo en una fuerte restricción en las finalidades legítimas que permitirían acceder a la información conservada (prevención y lucha contrala delincuencia grave y protección de la seguridad nacional y de la seguridad pública). La proporcionalidad de la medida quedaba de este modo compensada; a la vez que la ponderación del sacrificio real que suponía para los usuarios saber que, gracias a la conservación de estos datos, correrían el riesgo real de poder atribuirles la autoría o participación en determinadas comunicaciones o accesos a concretas ubicaciones Web, pese a convertirlos en susceptibles de permitir la perfilación de determinados rasgos de su personalidad.

Las únicas restricciones que se imponían a tales regulaciones nacionales, como hemos visto, se ceñían a una limitación temporal específica (para un período temporalmente limitado a lo estrictamente necesario); así como a la exigencia común a otras formas de excepcionar la norma prohibitiva del art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002): «siempre que dichas medidas garanticen, mediante normas claras y precisas, que la conservación de los datos en cuestión está supeditada al respeto de las condiciones materiales y procesales correspondientes y que las personas afectadas disponen de garantías efectivas contra los riesgos de abuso».

Defender que el TJUE pudiera llegar a expandir la posibilidad de uso de información contenida en bases de datos de asignaciones de IPs de acceso a Internet para la lucha contra la delincuencia ordinaria, contra las infracciones penales en general, debía augurarse como un imposible jurídico.

Se hacía necesaria la introducción en tal perfecta ecuación de un factor disruptivo que permitiera horadar tan firmes cimientos. Y desde luego que la lucha contra simples infracciones contra la propiedad intelectual, con más motivo las formas imprudentes de comisión del delito, como genuino ejemplo de delincuencia ordinaria, a salvo hechos cometidos en el seno de organizaciones criminales, no parecía mostrarse apta para convertirse por sí misma en el ariete que forzara el cambio de rumbo del Tribunal de Luxemburgo.

Para tan difícil encomienda el TJUE habrá de retomar esa idea que se atisbaba en la primera de las sentencias sobre regímenes de conservación preventiva de datos de tráfico o localización, la STJUE del caso DIGITAL RIGTHS IRELAND, SEITINGLER y otros: La posibilidad de equilibrar la afectación del principio de proporcionalidad de la medida, con el añadido de la no afectación del derecho de todo usuario a navegar libremente por Internet, ante la presión generada por ser conocedor de que sus datos podían ser objeto de un concreto tratamiento. Y ello habrá de tomar forma mediante el reforzamiento de las garantías a nivel de restricción de su accesibilidad tan solo para determinadas finalidades públicas legítimas; la limitación gradual, en función de la naturaleza del dato, del período de conservación preventiva, así como la evitación de riesgos de uso no autorizado, con sometimiento a control externo por parte de autoridad independiente.

Precisamente, en el § 83, la sentencia ya comienza a apuntar hacia esa idea de reforzamiento de elementos técnicos en el procedimiento de conservación y tratamiento de los datos sobre IPs accesibles a la HADOPI, como solución para abrir su rígida jurisprudencia a una posibilidad de utilización para la investigación de delitos ordinarios, que se generalizará más allá del supuesto de delitos contra la propiedad intelectual que marca su margen de congruencia. Hablamos del diseño de un régimen de conservación de datos en el que exista una disociación técnica entre la información sobre asignaciones IP y otros datos de tráfico o localización, así como datos de identidad civil a ellos asociados; lo cual permitiría, entiende la sentencia, impedir que pudieran extraerse de tal modo condiciones precisas sobre la vida privada de las personas cuyos datos se conservaran de tal modo.

La resolución propone y desarrolla un esquema de conservación separada de las distintas categorías de datos mediante compartimentos estancos

La resolución propone y desarrolla un esquema de conservación separada de las distintas categorías de datos mediante compartimentos estancos; y lo hace, aun recordando que corresponde a los Estados miembros dar forma a tales esquemas de conservación. Es a modo de obiter dicta, ante la trascendencia que supone la nueva línea jurisprudencial que abre, y sin duda anticipándose a nuevas cuestiones prejudiciales a las que muy probablemente hubiera de enfrentarse, que decide dar detalles sobre esas condiciones —§ 85—.

Debe, no obstante, dejarse bien claro que no debe ser considerada ésta como la única solución técnica viable para dar cumplimiento a ese reto al que el TJUE enfrenta a los Estados miembros de la Unión; que son posibles otras soluciones técnicas que pudieran asegurar similares niveles de protección que impidieran usos excesivos o no autorizados capaces de producir tales indeseables efectos. Ya en otros foros de debate (37) llegué a defender la posibilidad de mitigar el posible impacto que pudiera representar la sola existencia de las bases de datos de conservación preventiva impuestas por la LCDCE en el normal ejercicio de la libertad de las comunicaciones de los internautas, mediante un esquema de seguridad basado en la conservación encriptada de los datos; encriptación sometida a un algoritmo de descifrado en el que la clave de desencriptación hubiera de formarse mediante la participación de prestador obligado, agente facultado y autoridad judicial competente para autorizar la cesión de los concretos datos. Sin perjuicio de poder valorar su verdadero coste económico, esta garantía, que podría adicionarse al régimen de compartimentos estancos que propone la sentencia, minimizaría al mínimo posible el riesgo de accesos inconsentidos de terceras personas o no autorizados; dejando para el nivel de uso concreto de la información almacenada las cuestiones referidas al riesgo de perfilación de rasgos de la vida privada de la persona afectada por la medida en función de la finalidad perseguida por tal acceso y, en concreto, de la naturaleza de la infracción criminal objeto de investigación.

La sentencia diseña su esquema técnico sustentándolo en cuatro eje; los cuales se desarrollarán en los §§ 86 a 89.

El primero de ellos, ya anticipado en su propia definición, parte del presupuesto de que el carácter estanco de la compartimentación de las distintas categorías de datos garantice su conservación de forma totalmente separada.

Esta idea es desarrollada desde el punto de vista técnico en el segundo eje; donde se explica que las compartimentaciones deberán garantizar la separación entre datos de identidad civil, las direcciones IP, los restantes datos de tráfico y los distintos datos de localización. Para ello se exigirá la implementación de un sistema informático seguro y fiable.

El tercer eje incide ya en el ámbito del uso de esta información almacenada en compartimentos estancos en función de la naturaleza de los datos almacenados. Y es que esta necesaria asociación entre la asignación de la IP en cuestión y los datos de identidad civil que la soportan, obviamente con pleno respeto del mandato del art. 15.1 de la Directiva y los arts. 7 (LA LEY 12415/2007), 8 (LA LEY 12415/2007) y 11 de la CDFUE (LA LEY 12415/2007), habrá de articularse «…mediante la utilización de un procedimiento técnico efectivo que no arroje dudas sobre la eficacia de la separación en compartimentos estancos de esas categorías de datos». Debe evitarse, por tanto, cualquier riesgo de que, por la propia conformación técnica de la base de datos, pudieran establecerse interrelaciones entre los pertenecientes a diferentes compartimentaciones independientemente de la orden de cesión de datos que se emitiera; pero también que la ejecución del proceso de asociación permitiera dar lugar a una ruptura del régimen de compartición más allá de lo estrictamente demandado.

El último eje parte de lo que ya es una constante en la jurisprudencia del TJUE: La garantía del sometimiento del funcionamiento de estas bases de datos al control externo efectivo, de carácter periódico, de una autoridad independiente.

Realmente, a esos cuatro ejes deberían adicionarse las exigencias de la limitación temporal del régimen de conservación y las que se impusieran a tales regímenes de conservación de datos sobre asignaciones de IPs exigidos en el precedente de la STJUE del caso LA QUADRATURE DU NET y otros —§ 93—.

El respeto de estos condicionantes permitirá que un Estado miembro diseñe un régimen de conservación preventiva de datos de asignaciones de IPs de acceso a Internet encaminado a la lucha contra la delincuencia en general. Tal conclusión, que es desarrollada en los §§ 92 y 93, parte del planteamiento de que estas restricciones en el diseño técnico de dichos regímenes impedirían por diseño que se extrajeran conclusiones precisas sobre la vida privada de las personas de que se trate.

La conclusión a la que finalmente llega la sentencia sobre esta posibilidad de almacenamiento por imperativo legal de datos sobre asignaciones de IP de acceso a Internet a los efectos de la persecución penal de infracciones en materia de propiedad intelectual se traduce en que dicha normativa pueda garantizar que «…esos datos se conserven en unas condiciones y conforme a un sistema técnico que garanticen que se excluya que dicha conservación posibilite extraer conclusiones precisas sobre la vida privada de esos titulares, por ejemplo estableciendo su perfil detallado, lo que puede conseguirse, en particular, imponiendo a los proveedores de servicios de comunicaciones electrónicas la obligación de conservar las diferentes categorías de datos personales, como los datos de identidad civil, las direcciones IP y los datos de tráfico y los datos de localización, de una manera que asegure una separación en compartimentos estancos de esas diferentes categorías de datos que impida, en la fase de la conservación, cualquier explotación conjunta de esas diferentes categorías de datos, y por un período que no exceda de lo estrictamente necesario».

6. El acceso concreto a la información sobre identidad civil correspondiente a la asignación de IPs relacionadas con infracciones criminales ordinarias, en concreto en materia de propiedad intelectual, y su relevancia en la ponderación del respeto del principio de proporcionalidad y de los derechos reconocidos por los arts. 6, 7 y 11 de la CDFUE

La persistente preocupación del TJUE por tratar de garantizar que con el acceso a información cruzada sobre asignación de IPs dinámicas y datos de identidad civil que están detrás de la identidad electrónica de asignación pueda obtenerse información detallada sobre rasgos de la vida privada de las personas afectadas por la medida le lleva dedicar un nuevo apartado de la sentencia, desde el § 95 al 122. La preocupación es alta, tal vez forzada por esa nueva claudicación que ha supuesto permitir rebajar el nivel de imposición de la delincuencia grave hasta llegar a la ordinaria; y ello le lleva a mostrarse exigente de forma superlativa, tal vez sobreactuando por momentos.

El punto de partida de tan extenso discurso jurídico parte del auténtico axioma de que el sacrificio que representa una injerencia grave sobre derechos del entorno de la privacidad objeto de protección por los arts. 5.1 y 15.1 de la Directiva solamente puede encontrar justificación en la protección de la seguridad nacional, la prevención de la seguridad pública y la prevención e investigación de infracciones criminales graves; nunca para objetivos de menor trascendencia (38) . Esta exigencia era y seguía siendo tal que ni siquiera las más exquisitas garantías de orden material o procesal o limitación en el tiempo de conservación de los datos podría permitir superar la exigencia del respeto del principio de proporcionalidad —§ 95—.

Pero ese tope de la lucha contra la delincuencia grave se verá mitigado en aquellos supuestos en los que la información a la que se accede es a datos de identidad civil conservados por proveedores; y esos datos, que no pueden asociarse a información relativa a comunicaciones efectuadas, no permiten llevar a cabo perfilaciones de tal calado; o cuando los datos tengan su origen en un almacenamiento por motivos comerciales o de facturación —§§ 96-98—.

La aplicación de tales criterios fundamentales lleva al Tribunal a constatar cómo la HADOPI carece de acceso a datos de tráfico o localización, de los que pudiera extraer tales conclusiones precisas sobre la vida privada de determinadas personas; que solo tiene acceso a datos de identidad civil de la persona a la que se ha asignado una determinada dirección IP relacionada con sospechas de haber participado en una transgresión de derechos de propiedad intelectual. Acceso a información que da lugar a ese proceso escalado que tiene como punto final, tras la adecuada valoración, la presentación de denuncia ante el Ministerio Fiscal por posible comisión de delito.

Se constata igualmente cómo la normativa francesa podría garantizar que el acceso a información sobre la asignación a la IP no permitiera una supervisión, mediante el análisis de una o varias de esas direcciones, de la actividad en línea de la persona investigada. Gana en este momento, en el § 101, especial interés esa dimensión de dato relacionado con la identidad civil propio de la dirección IP al que antes hiciéramos referencia, desde el momento que la sentencia concluye diciéndonos que «…el acceso a esa dirección con ese solo propósito concierne a dicha dirección como dato de identidad civil en vez de como dato de tráfico».

El deber de colaboración de los prestadores del que se nutre la información facilitada a la HADOPI, y su relación con la jurisprudencia que aplica en supuestos de protección de la propiedad intelectual el derecho de información (en concreto la STJUE del caso PROMUSICAE, antes citada), encontraría igualmente asiento en una Directiva, la 2004/48/CE, que ha encontrado un reciente respaldo en la STJUE (Sala Tercera) de 17 de junio de 2021 (caso M.I.C.M.; asunto C-597/19).

Pero el riesgo de perfilación seguía patente en la posibilidad de manejo de datos reiterados, reflejados en el acta que había de redactarse por supuesta infracción detectada, sobre el título de la obra; al que había de añadirse un extracto de la misma, representado mediante una secuencia alfanumérica, denominada chunck. Y ello, nos advertirá el § 110, podía servir de fuente de información a la autoridad pública competente sobre determinados datos sentibles que gozan de una reforzada protección en el ordenamiento comunitario; tales como la orientación sexual, opiniones políticas, convicciones religiosas, filosóficas, sociales o de otra índole, estado de salud…

Solo la constatación de una actividad reiterada en un determinado sentido, que descartara accesos puramente ocasionales o erráticos, podría permitir llegar a dar forma a un perfil de tal sentido

La sentencia, no obstante, no se cierra sobre sí misma ante la constatación de que pudiera haberse descubierto, por poner un ejemplo, que un determinado usuario se hubiera descargado o compartido una película pornográfica destinada a públicos con determinadas preferencias u orientaciones sexuales. Es consciente de que solo en situaciones atípicas podía derivarse de un tal acceso la posibilidad de realizar un perfil sobre determinados datos de personalidad sensibles de una concreta persona. Solo la constatación de una actividad reiterada en un determinado sentido, que descartara accesos puramente ocasionales o erráticos, podría permitir llegar a dar forma a un perfil de tal sentido.

Desde el punto de vista de la apreciación positiva sobre la normativa francesa analizada, la sentencia llega a destacar el alcance limitado de las autoridades o agentes con acceso a dicha información en el procedimiento administrativo de naturaleza progresiva o por escalas; acceso limitado exclusivamente a permitir determinar la persona que pudiera estar detrás de la infracción detectada —§ 113—. La utilización de esta información, además, queda estrictamente restringida, en base a un vínculo de confidencialidad, a los distintos participantes en el procedimiento, así como al Ministerio Fiscal cuando se optara por la formalización de denuncia —§ 114—. Además, en aras de salvaguardia del principio de necesidad de la medida (39) , se recalca especialmente cómo el acceso a la información sobre la identidad que está detrás de la asignación de la IP es la única vía que podría facilitar siquiera iniciar la investigación criminal; con el riesgo que ello representaría de generar escenarios de impunidad sistémica —§§ 116-119—.

El apartado termina en el § 122 con una advertencia a las autoridades nacionales francesas; en el sentido de exigir que la normativa nacional aplicable deba «…prohibir a los agentes que dispongan de tal acceso, primero, divulgar de cualquier forma información sobre el contenido de los archivos consultados por esos titulares, salvo a los solos efectos de presentar denuncia ante el Ministerio Fiscal, segundo, realizar cualquier rastreo de la secuencia de navegación de esos titulares y, tercero, utilizar esas direcciones IP con fines distintos de la adopción de esas medidas».

7. Sobre los supuestos en que una autoridad judicial o administrativa independiente debe someter la medida a control previo

El último reto al que se enfrenta la sentencia a partir del § 123 es a si el acceso a la información de identidad civil relacionada con una concreta asignación de IP de acceso a Internet requiere o no de un control previo por parte de autoridad judicial o administrativa independiente. Era ésta una cuestión que fuera ya resuelta en el sentido afirmativo por la STJUE del caso BENEDIK v. Eslovenia; pero el Tribunal de Luxemburgo trata de dar una respuesta razonada, a la vez que prolija en su exposición, a tal dilema jurídico.

Que esta exigencia de control previo o autorización era preciso en tanto que el acceso a datos lo fuera de tráfico o localización era una afirmación indiscutible a la vista de los precedentes de las SSTJUE de los casos LA QUADRATURE DU NET y otros, PROKURATUUR y G.D. y COMISSIONER AN GARDA SÍOCHÁNA. De este corpus jurisprudencial se deducían igualmente las condiciones exigibles para que una autoridad administrativa pudiera ser considerada independiente —§ 126—; se determinaba como finalidad de ese control previo el que pudiera ponderarse adecuadamente, «…por una parte, los intereses legítimos relacionados con las necesidades de la investigación en el marco de la lucha contra la delincuencia y, por otra parte, los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales que asisten a las personas a cuyos datos se pretende acceder», y, por último, se imponía ese carácter previo a cualquier acceso, con la sola excepción de la posibilidad de anticipación a la decisión de la autoridad competente en situaciones de urgencia justificada.

Sin embargo, el TJUE constata que la situación es claramente diversa en el supuesto del acceso a esos datos de identidad civil que permiten atribuir una determinada comunicación a una persona concreta. Esta afirmación se deduce del hecho que del art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002), a la luz de lo establecido en los arts. 7 (LA LEY 12415/2007), 8 (LA LEY 12415/2007) y 11 de la CDFUE (LA LEY 12415/2007), guarda silencio a tal respecto —§ 130—. Sin embargo, esa afirmación de no aplicación de dicho precepto será objeto de matización en el parágrafo siguiente.

Efectivamente, de ahí a concluir que en ningún caso se haría preciso un control previo por autoridad judicial o administrativa independiente en tales supuestos hay un abismo. El imperativo reinado del principio de proporcionalidad, impuesto como tal por el citado art. 15.1 de la Directiva, afecta al mandato de otros preceptos que, como los arts. 5, 6 y 9, restringen seriamente la posibilidad de tratamiento de esos datos que no tendrían otra condición que la de datos de identidad civil. Y si el principio de proporcionalidad ha de presidir el tratamiento de estos datos, como por otra parte impone el art. 52.1 de la CDFUE (LA LEY 12415/2007), es evidente que no todos los datos, por su trascendencia o relevancia, habrían de someterse a un mismo régimen de posible exclusión de la exigencia de autorización previa.

El grado de injerencia, en función de la naturaleza o características de los datos personales y el nivel de sensibilidad de los mismos, que ha de suponer el acceso a tales datos, se convertirá en clave para la ponderación de un principio de proporcionalidad que puede acarrear la necesidad de un control previo destinado a su debida valoración. Y ello, continuará afirmando el § 130, supone que unas y otro hayan de tener que influir «…en las garantías materiales y procedimentales que han de imponerse a dicho acceso, entre las que figura la exigencia del control previo de un órgano jurisdiccional o de una entidad administrativa independiente».

La consideración se convierte en regla de valoración de la exigencia de ese control previo en el § 131: En tanto en cuanto el acceso a datos de identidad pudiera entrañar el riesgo de que se produjera una injerencia grave en los derechos fundamentales de la persona afectada, en el sentido de que pudiera posibilitar a la autoridad pública la extracción de conclusiones precisas sobre datos de la vida privada de la persona afectada y, en su caso, dar forma a un perfil detallado de ella, esta autorización judicial se haría precisa.

Tal apreciación exigirá en la sentencia un discurso jurídico tendente a conformar lo que sería obviamente lógico: que en tanto en cuanto no se llegara a producir tal injerencia grave como consecuencia de la asociación entre datos de asignación de IPs de acceso a Internet con los correspondientes datos de identidad civil, la injerencia perdería tal calificativo; y, en consecuencia, quedaría eximida de un previo control judicial o de autoridad administrativa independiente —§ 134—.

Pero el TJUE no llega a encontrar un encaje definitivo a esta consideración, frente a su recurrente prevención de evitación de que por la técnica empleada sí pudiera accederse a información de naturaleza sensible sobre aspectos de la vida privada de las personas afectadas por la medida. Si la autoridad administrativa toma conocimiento de categorías de contenidos compartidos a través de redes P2P, que se corresponderían con títulos de obras protegidas que revelaran una determinada tendencia del usuario a compartir información de naturaleza sensible, podría llegar con cierta facilidad a esa situación de grave injerencia que es objeto precisamente de especial prevención.

La sentencia centra este punto crítico con el momento en que la HADOPI, tras haber alcanzado la tercera fase del procedimiento de respuesta gradual, ha de tomar la decisión de interponer o no denuncia ante el Ministerio Fiscal contra el usuario. El § 138 destaca cómo el trámite habrá supuesto en tal hito procedimental la emisión de dos recomendaciones y una notificación; y cómo para llegar a ese trance, debería haber tenido acceso a los datos de identidad civil que singularizan la asignación de la IP relacionada con un acceso o compartición de archivos protegidos por derechos de autor o afines a éstos, así como un archivo en el que se describe, mediante su título, la obra respecto de la que se habría cometido la infracción dolosa o por imprudencia. Esta evolución gradual, de reiterarse la naturaleza o categoría temática de los archivos, sí podría dar lugar, concluye, a «… revelar información concordante y, en su caso, sensible sobre aspectos de la vida privada de la persona de que se trate que, en su caso, permita establecer su perfil» —§ 139—. Es aquí cuando el riesgo de perfilación, y por tanto consideración como grave de la injerencia, se materializa.

La respuesta que nos ofrece a tal dilema el Alto Tribunal, que se nos antoja un tanto forzada, es la de imponer un hito procedimental en el que, ante la constatación o previsión de riesgo real de confirmación de información sensible que pudiera llevar a conclusiones sobre aspectos de la vida privada de la persona en cuestión, e, incluso, realizar un perfil de la misma, hubiera de acudirse a la vía del control previo. Ese momento habría de corresponderse, propondrá el § 141, con aquél anterior al trance en que la HADOPI pudiera asociar los datos de asignación de una IP, junto al archivo donde se describe el título de la obra protegida por derechos de autor o afines; es decir: una vez que el sujeto afectado hubiera recibido las dos recomendaciones, y antes de la remisión de la notificación de haber cometido un delito contra la propiedad intelectual. Solo cuando la HADOPI recibiera la correspondiente autorización previa, podría ésta tomar la decisión sobre si procede o no denunciar los hechos a la Fiscalía.

Este esquema de prevención habría de abarcar, igualmente, a la exigencia de que el acceso a los datos de identidad civil por parte de la HADOPI no tuviera lugar sino alcanzada esa tercera fase; impidiéndose en cualquier caso que los datos de identidad civil relacionados con los de asignaciones de IPs no puedan asociarse automáticamente a los archivos en los que figuren los elementos que permitan conocer los títulos de las obras protegidas y que han sido puestas a disposición en Internet —§ 142—. Esta garantía excluye del conocimiento de ese dato crucial a las autoridades o agentes que deben gestionar los procedimientos tramitados por la HADOPI; pero a su vez facilita la gestión de tan ingente información sobre infracciones de derechos de autor o afines que ha de asumir la mencionada institución pública.

Hasta este momento, la respuesta que propone el TJUE debería considerarse adecuada, ponderada y factible; especialmente teniendo en cuenta ese conocimiento gradual que se está participando a la persona afectada de que ha sido relacionada con una actividad ilícita de acceso o compartición de archivos con contenidos protegidos por derechos de autor o afines. Pero es en el momento en el que se define en qué consiste el control previo cuando el Alto Tribunal entra en un terreno sinuoso. Efectivamente, en el § 145, tras calificarse la infracción penal de infracción de derechos de autor por negligencia grave como una infracción penal en general, entenderá que la autorización previa debería denegarse en tanto en cuanto el acceso permitiera que la autoridad pública solicitante pudiera extraer conclusiones precisas sobre la vida privada de las personas afectadas. Solamente en el supuesto de que la infracción perseguida pudiera considerarse dolosa, conforme al art. L. 335, apartados 2 o 4, y como consecuencia de que en tales casos un Estado miembro podría considerar la infracción como grave, como afectante a un interés fundamental de la sociedad, podría concederse dicha autorización —§ 146—.

Por último, la sentencia, en sus §§ 148-151 descarta la posibilidad de que ese control previo pudiera realizarse de forma automatizada; exigiendo, en concreto, que «…el órgano jurisdiccional o la entidad administrativa independiente de que se trate esté en condiciones de ponderar adecuadamente, por una parte, los intereses legítimos relacionados con las necesidades de la investigación en el marco de la lucha contra la delincuencia y, por otra parte, los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales que asisten a las personas a cuyos datos se pretende acceder». Y ello, concluye, no podría llevarse a cabo si no fuera mediante la intervención de una persona física; como única forma de poder garantizar que el acceso se limite a lo estrictamente necesario, y de que los afectados dispongan de garantías efectivas contra riesgos de abuso o de utilización ilegítima de la información. No se niega el apoyo en un tratamiento automatizado de datos que pudiera abarcar algunos de los incluidos en las actas; pero siempre habría de contarse con un factor humano que garantizara el estricto cumplimiento de las exigencias impuestas en los §§ 125 a 127 de la sentencia.

La tercera de las exigencias que impone el TJUE para que un sistema legal como el francés en materia de prevención y persecución de delitos contra la propiedad intelectual, basado en la conservación de datos sobre asignaciones de IPs de acceso a Internet y su asociación con datos de identidad civil de los usuarios fuera conforme al Derecho de la Unión, queda resumida en el fallo de la sentencia en el siguiente enunciado: «la posibilidad de que las personas encargadas del examen de los hechos en dicha autoridad pública asocien tales datos a los archivos que contengan elementos que permitan conocer el título de obras protegidas cuya puesta a disposición en Internet haya justificado la recogida de las direcciones IP por parte de organizaciones de titulares de derechos se condicione, en los casos en que la misma persona vuelva a reiterar una actividad que vulnere los derechos de autor o los derechos afines a los derechos de autor, al control de un órgano jurisdiccional o una entidad administrativa independiente, que no puede automatizarse totalmente y que debe efectuarse antes de que se realice esa asociación, la cual, en tales casos, puede permitir que se extraigan conclusiones precisas sobre la vida privada de dicha persona cuya dirección IP se haya utilizado para actividades que pudieran ser constitutivas de vulneración de los derechos de autor o los derechos afines a los derechos de autor».

Esta exacerbada preocupación del Tribunal por evitar a toda costa la perfilación de rasgos de personalidad de personas afectadas por la injerencia contrasta, con dificultad, con la cuestionable aplicación en favor de los usuarios afectados por tal medida de una expectativa razonable de privacidad que debería jugar un trascendental papel en el despliegue de medidas reaccionales de éstos; y no solo en el escenario de despliegue de adecuados recursos o remedios procesales, sino de una actitud mínimamente diligente por su parte en evitación de que la reiteración de sus conductas pudiera dar lugar, conocedores de que han sido objeto de seguimiento, a la generación de perfiles sobre sus más ignotos o íntimos rasgos de personalidad.

Es cierto que el art. 336-3 del Código de propiedad Intelectual francés prohíbe que en las recomendaciones se incluya cualquier referencia al contenido de obras u objetos protegidos afectados por el incumplimiento detectado. Sin embargo, sí se facilita al usuario información sobre fecha y hora de la constatación de los hechos; y se reconoce al usuario el derecho a obtener detalles sobre el contenido de las obras u objetos protegidos afectados por el incumplimiento que se le imputa. Por la primera vía el usuario puede tener cabal noticia de cuál es el contenido que ha compartido de forma ilícita, con solo realizar sencillas labores de rastreo dentro de su terminal o hacer memoria; por la segunda, puede obtener una información fidedigna, exacta, del concreto contenido cuyo acceso ilícito o compartición se le imputa. Si aun así, y aún a sabiendas de que se expone a que terceras personas puedan tener una idea cabal sobre aficiones, ideología, religión, hábitos o tendencias de comportamiento sexual, persiste, no solo estaría renunciando de forma presunta a su expectativa razonable de privacidad, sino que estaría haciendo dejación de su propio derecho a la salvaguardia de sus datos personales (40) .

Pero es que, además, y en este mismo contexto de posible afectación de la expectativa razonable de privacidad, se estarían creando auténticos espacios de impunidad cuando el titular de un acceso a servicios de comunicación al público en línea incurriera en negligencia grave, facilitando que los usuarios que se valieran de ese servicio continuaran utilizándolo para compartir contenidos referidos a rasgos de personalidad sensibles o que permitieran perfilar aspectos íntimos de su personalidad. Si ahora resulta que porque se trata de datos sensibles la conducta criminal no puede ser perseguida, usuarios del servicio de acceso que emplearan herramientas de anonimato (acceso a través de VPN o CG-NAT, o técnicas o procedimientos específicos de anonimización), podrían continuar desarrollando su actividad ilícita de forma impune.

El delito no debería poder dejar de ser investigado por el solo hecho de que su objeto pudiera dar lugar a generar un perfil sobre datos de la personalidad del presunto delincuente; cuando esta información, secundaria en el procedimiento gradual, solamente aflora en el momento en que el presunto autor supiera que estaba siendo objeto de seguimiento. ¿Acaso podríamos entender, por poner un ejemplo, que el hecho de que una persona con comportamientos fetichistas, que se dedicara a hurtar ropa interior pendiente de lavar en lavanderías (supuesto de delincuencia ordinaria), no podría ser objeto de investigación mediante el análisis de bases de datos de antecedentes policiales por hechos similares, porque con ello se pudiera estar dando forma a un perfil sobre su peculiar rasgo de personalidad? Deberíamos distinguir lo que es el uso de determinados medios de investigación que comporten por sí mismos una grave injerencia sobre la privacidad de las personas afectadas por la medida, del descubrimiento, como consecuencia del empleo de instrumentos que no necesariamente causan una tal grave injerencia, de información susceptible de permitir la perfilación de determinados rasgos de la personalidad de la persona afectada.

8. Límites al empleo de procedimientos de tratamiento automatizado de datos y control externo por organismos independientes

El § 152 vuelve a recordarnos que el respeto del principio de proporcionalidad que impone el art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002) exige que la norma que lo contemple articule las adecuadas exigencias materiales y procesales, así como que las personas afectadas por la medida dispongan de garantías efectivas contra los riesgos de acceso y de uso abusivos o ilícitos de los datos objeto de almacenamiento; lo cal incluso adquiriría una mayor relevancia cuando nos enfrentáramos a un tratamiento automatizado de los datos.

En este último aspecto la sentencia destaca cómo las resoluciones que plantean la cuestión prejudicial ponen un especial énfasis en la naturaleza masiva de los datos que han de ser objeto de tratamiento, como consecuencia del carácter masivo de las violaciones de derechos de propiedad intelectual; y en la necesidad que se deriva de ello de emplear un procedimiento basado en su tratamiento automatizado. Este tratamiento incluiría incluso la confección automatizada de las actas conteniendo la información que es facilitada a la HADOPI.

La respuesta del TJUE a este sugerente planteamiento no puede ser más contundente: «Pues bien, tales tratamientos deben acompañarse de controles realizados por personas físicas» —§ 155—. No se niega el empleo auxiliar de procedimientos automatizados; pero se hace depender de la presencia de un factor humano que controle su correcto funcionamiento.

La razón de esta posición que defiende el TJUE radica, como nos aclara el § 156, en el riesgo existente de que este tratamiento automatizado pueda comportar un determinado número de falsos positivos; pero, a su vez, el alto riesgo de desvió de estos datos así tratados para finalidades abusivas o ilícitas.

Precisamente para evitar tales riesgos, la sentencia insistirá en que la ley haya de imponer el sometimiento periódico del sistema de tratamiento al control de un organismo independiente; que deberá tener la condición de tercero frente a la autoridad encargada del tratamiento de los datos. Su cometido habrá de ser, continuará diciéndonos el mencionado parágrafo, «…comprobar la integridad del sistema, incluidas las garantías efectivas contra los riesgos de abuso y contra cualquier acceso y uso ilícitos de esos datos que dicho sistema debe asegurar, así como su eficacia y fiabilidad para detectar los ilícitos que, en caso de reiteración, pueden calificarse de negligencia grave o de vulneración del derecho de propiedad intelectual».

La sentencia, a su vez, puntualiza que el tratamiento de los datos de asignación de IPs y su correlación con datos de identidad civil, como una actuación previa y preparatoria a la investigación criminal de delitos contra la propiedad intelectual, está sometido al mandato de la Directiva (UE) 2016/680 (LA LEY 6638/2016) (41) ; no al RGPD. Y en este contexto, destacará especialmente el hecho de que, cuando el procedimiento gradual alcanza el nivel de la segunda recomendación o notificación, se ofrece al interesado, como garantía eficaz, la posibilidad de presentar alegaciones o solicitar detalles sobre el ilícito que se le imputa; y, a su vez, ya en sede de notificación, el derecho a solicitar una audiencia y acudir a la misma asistido de abogado —§ 162—.

V. Epílogo: la arriesgada predicción de la evolución del TJUE frente a futuras cuestiones prejudiciales

La jurisprudencia del Tribunal de Luxemburgo, en la STJUE del caso LA QUADRATURE DU NET II, se ha visto sometida a un auténtico baño de realidad; y ello como consecuencia no solo de la huida hacia delante que supusiera la nueva singladura que inaugurara la sentencia con el mismo nombre que la precediera, sino ante la necesidad de tener que enfrentarse al dilema de mantener sus posiciones en la ya lejana en el tiempo STJUE del caso PROMUSICAE y su posterior más reciente respaldo de la STJUE del caso M.I.C.M.

El dilema al que nos enfrenta la sentencia del caso LA QUADRATURE DU NET II es que la protección jurídica que precisa la propiedad intelectual parte precisamente de la base de que una representación muy significativa de las infracciones que de forma masiva socavan el ejercicio de los derechos de autor nacen y se desarrollan en un ecosistema telemático, a través de Internet. Ello supone que su diseño solo puede tener por base el adecuado almacenamiento y tratamiento de determinados datos de tráfico, en buena parte comunes a los que solo podrían estar al alcance de finalidades muy superiores; y que en su máxima expresión lesiva de derechos fundamentales, la conservación preventiva e indiferenciada por mandato legal, solamente podría encontrar determinadas fórmulas sustentadas en la salvaguardia de la seguridad nacional, o en la afectación a datos sobre asignaciones de IPs de acceso a Internet o datos de identidad civil.

Sortear tan difícil escollo, cuando resulta que el almacenamiento de los primeros solamente podía justificarse, al considerarse la conservación y tratamiento de datos sobre IPs dinámicas como una injerencia grave, en el contexto de la lucha contra la delincuencia grave, era sin duda todo un dilema para el Alto Tribunal; con más motivo si constatamos, como deberíamos constatar, que la sentencia vuelca todo su esfuerzo argumentativo en tratar de encontrar soluciones jurídicas para mantener esa necesaria protección legal frente a la compartición ilícita de contenidos protegidos por derechos de autor o análogos. Ello nos llevaba a dos soluciones posibles: Bien forzar los propios planteamientos de la jurisprudencia anterior, bien, en un dechado de ingenio jurídico, encontrar vías diversas que permitieran sortear ese aparentemente inexpugnable bastión que suponía tan rígida jurisprudencia férreamente contraria a regímenes de conservación preventiva e indiscriminada de datos, como los diseñados por la defenestrada Directiva 2006/24/CE (LA LEY 3617/2006). La sentencia optará finalmente por acudir conjuntamente a ambas estrategias.

Resulta prácticamente imposible encontrar un referente jurisprudencial ni normativo en el torno del Derecho de la Unión que permitiera incorporar los delitos contra la propiedad intelectual en el concepto de delincuencia grave empleado por la jurisprudencia del TJUE. Las infracciones contra la propiedad intelectual no dejan de ser delitos contra el patrimonio; y de ellos solamente determinadas infracciones como las estafas, algunas formas de delincuencia informática o blanqueos de capitales han encontrado cierto respaldo en los listados de infracciones criminales de naturaleza grave al uso. Es más, salvo supuestos de muy especial entidad, o en que la infracción se cometiera en el contexto de organizaciones criminales, incluso la limitación del tope penológico de la pena privativa de libertad igual o superior a tres años podría en estas infracciones quedar fuera de la concepción de delincuencia grave; por poder ser concebidos como «…delitos que manifiestamente no son graves, habida cuenta de las condiciones sociales en el Estado miembro de que se trate», a que hiciera referencia la STJUE (Gran Sala) de 30 de abril de 2024 (LA LEY 70826/2024) (caso GIUDICE DELLE INDAGUINI PRELIMINARI PRESSO IL TRIBUNALE DI BOLZANO; asunto C-178/22) (42) .

La estrategia del TJUE se centra, por una parte, en considerar los delitos dolosos contra la propiedad intelectual a que se refiere la legislación francesa como posibles ejemplos de delincuencia grave. Solo los tipos de imprudencia grave, auténticos tipos omisivos, quedarían relegados a su caracterización como delincuencia ordinaria. El porqué de esta consideración ahora de los delitos dolosos contra la propiedad intelectual como delincuencia grave no encuentra una explicación clara. La única razón que nos da la sentencia debe encontrarse en el § 146; donde se llega a afirmar que «…un Estado miembro puede considerar que la referida infracción penal, en tanto en cuanto afecta a un interés fundamental de la sociedad, se encuadra en las formas graves de delincuencia».

No es que la defensa de la economía nacional, que no es reconocida como finalidad pública a los efectos del art. 15.1 de la Directiva 2002/51/CE (LA LEY 9825/2002), permita por sí misma servir de base para la superación del principio de proporcionalidad, sino que esta protección de los derechos de autor se considera que puede ser en sí misma un bien jurídico que abarcaría un interés fundamental para la sociedad; y que, por ello, podría alcanzar un nivel de relevancia tal para un Estado que le permitiera conferir, en términos de la jurisprudencia del TJUE, la consideración de delincuencia grave. Impacto económico de las actividades relacionadas con la explotación de derechos de autor, en unión a la necesidad de garantizar a los autores un marco jurídico adecuado para poder desarrollar una actividad tan trascendental para nuestra sociedad como es la producción científica, literaria o artística en general, estarían por tanto detrás de esta invitación a considerar al menos determinadas categorías de delitos contra la propiedad intelectual como ejemplos de delincuencia grave; abriéndose así a la posibilidad de poder justificar la regulación de bases de datos destinadas a almacenar información sobre asignaciones de IPs de acceso a Internet para la persecución de tales infracciones penales.

Permitir equiparar al concepto cada vez más desdibujado y abierto de delincuencia grave que maneja el TJUE a modalidades dolosas de delitos contra la propiedad intelectual abría las puertas de forma indiscutible a la creación y tratamiento de bases de datos destinadas a la conservación preventiva e indiscriminada de dichos datos; que se equipararían en este sentido a esa apertura que defendiera el precedente de la STJUE del caso LA QUADRATURE DU NET y otros, aunque con sometimiento a rígidas exigencias. El reto estaba, sin duda, en cómo poder sortear esa barrera otrora infranqueable del cierre del empleo de información contenida en dichas bases de datos sobre IPs a la lucha contra la delincuencia ordinaria; y, con más motivo a la persecución de delitos contra la propiedad intelectual por negligencia grave.

Es el ingenio y la capacidad innovativa del Tribunal lo que le lleva a encontrar una solución que abrirá una profunda brecha en los inamovibles principios que fueran establecidos al menos desde la STJUE del caso TELE2 SVERIGE AB, WATSON y otros, y que encontraran su punto álgido en la STJUE del caso SPACENET A.G. y TELECOM DEUTSCHLAND GMBH. La sentencia se centra, de hecho, en el empleo de medidas tecnológicas que garantizarán un mayor nivel de evitación de esos riesgos de perfilación de rasgos de personalidad de las personas afectadas por la medida legal.

Si evitamos que datos de tráfico y de identidad civil puedan ser sometidos a un cruce como consecuencia de formar parte de una misma base de datos, sugiriendo como solución, más teórica que técnica, la compartimentación, es cierto que estaremos limitando ese riesgo de obtención, mediante el tratamiento de datos almacenados, de información detallada sobre determinados rasgos de personalidad de concretas personas. Pero es que la jurisprudencia del TJUE se mostraba inmune a cualesquiera medidas de salvaguardia de la privacidad de las personas potenciales afectadas por la medida, por mucho que permitieran llegar a niveles altísimos de garantía. Baste con recordar que ni la limitación temporal a cuatro semanas en la conservación de datos de localización que estableciera la legislación alemana sobre telecomunicaciones fue considerada suficiente como para superar ese juicio de proporcionalidad y la salvaguardia de derechos del entorno de la privacidad y del derecho de información, en que se basaba la jurisprudencia del TJUE (43) .

Estas nuevas garantías, adicionadas a la imposición de una reserva de previa decisión de autoridad judicial o administrativa independiente cuando el cruce de informaciones sobre IPs y contenidos compartidos por un usuario en concreto pudiera facilitar una perfilación de rasgos personales, especialmente cuando éstos fueran sensibles, darán carta de naturaleza a la posible regulación legal de bases de datos de conservación de información sobre asignaciones de IPs de acceso a Internet, conjuntamente con un almacenamiento, disociado de éstas, de los datos de identidad civil que permitan su atribución a determinada persona física o jurídica.

Tal circunstancia podría provocar una auténtica cadena de reacciones jurídicas, que podría llegar a condicionar seriamente futuros pronunciamientos del TJUE. Si este sistema de compartimentación permite el establecimiento de un régimen de conservación de datos sobre IPS hasta entonces reservado exclusivamente a la salvaguardia de la seguridad nacional y seguridad pública o a la prevención y lucha contra la delincuencia grave, nada debería obstar a abrirlo a la lucha contra otras formas de delincuencia ordinaria. Pero más preocupante sería la posibilidad de exportar esta misma solución técnica, mediante la compartimentación y aislamiento de datos de tráfico frente a los de identidad civil, a otros datos de tráfico o a los datos de tráfico y localización en general; y ello con tal que pudiéramos argumentar la existencia de otros imperiosos intereses públicos prevalentes que pudieran ser asumidos por el Alto Tribunal. Si podemos garantizar que cualquier acceso ilícito o no consentido a la base de datos de conservación chocaría con una arquitectura técnica que impidiera relacionar estos datos con los datos de identidad civil que les dan nombre y apellidos, aplicar esta solución solamente a la lucha contra las infracciones menores en materia de propiedad intelectual y solo respecto de asignaciones de IPs no podría encontrar una fundada justificación.

El Tribunal, sin embargo, reacciona, tangencialmente, ante tal dilema mediante un planteamiento un tanto chocante: Frente al reconocimiento de la posibilidad de utilización de los datos almacenados para una finalidad superior para la cual los datos fueron objeto de almacenamiento o retención, el TJUE optará por restringir el uso de los datos procedentes de la fuente legal que impone la legislación francesa sobre propiedad intelectual exclusivamente para tal finalidad. Sin embargo, con ello no estamos implementando una garantía adicional a las peculiaridades del régimen de compartimentación y posible reserva de decisión por autoridad competente. Permitir el uso de tal información para otras finalidades solamente constreñiría la garantía de proporcionalidad de la medida en tanto en cuanto el fin justificador del nuevo uso fuera de entidad inferior.

En definitiva, la nueva sentencia del TJUE se abre a razonables expectativas de que determinadas formas de conservación preventiva e indiscriminada de datos de tráfico o localización, o al menos parte de ellos, puedan considerarse conformes con el mandato del art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002); con tal que se basaran en un diseño estructural de las bases de datos de conservación conforme con la arquitectura técnica propuesta en la sentencia para el supuesto de lucha contra infracciones penales en materia de propiedad intelectual. La vía de la compartimentación de datos de tráfico o localización y datos de identidad civil a ellos asociados, unida al control previo de autoridad judicial o administrativa, podría servir de auténtico ariete capaz de forzar la caída de los inexpugnables muros que levantara la jurisprudencia del TJUE frente a regímenes de conservación de datos inspirados en el mandato de la Directiva 2006/24/CE (LA LEY 3617/2006). No es tanto cuestión de tiempo, como de que el legislador comunitario o las autoridades judiciales competentes encuentren fórmulas o justificaciones adecuadas para la expansión de esta solución técnico-jurídica a otros ámbitos jurídicos o categorías de datos.

Echo de menos, sin embargo, una más profunda reflexión sobre una apreciación del Alto Tribunal sobre la que finalmente no se ha ahondado tanto como merecía: Que la clave de todo el riesgo de perfilación de datos relevantes de la vida privada de personas cuyos datos de tráfico y localización conservados son objeto de tratamiento no radica en estos mismos, sino en su relación con unos datos de identidad civil que permiten atribuirlos a una determinada persona.

Sin los datos de identidad civil que los respaldan, los datos de tráfico o localización son meros datos anónimos; por lo que deberíamos mover el centro de gravedad de la protección de los derechos del entorno de la privacidad hacia el riesgo de asociación de tales datos con los datos identitarios. Y ello se resuelve no con una norma prohibitiva absoluta, que ni siquiera podría garantizar plenamente la protección de tales derechos en aquellos escasos supuestos en los que hasta ahora el TJUE se ha abierto a diversas modalidades de conservación o retención de datos, sino con la implementación de medios tecnológicos y jurídicos que permitan el tratamiento del dato exclusivamente para aquellos supuestos excepcionales o ponderadamente tasados que lo merecieran; a la vez que eviten exponer a los ciudadanos a riesgos ciertos o previsibles de acceso ilícito o no autorizado. Ofreciendo tal nivel de garantía, estaríamos protegiendo a la vez, en términos de proporcionalidad, la debida salvaguardia de la privacidad de los ciudadanos ante el riesgo de perfilación de sus más ignotos rasgos de personalidad, así como un temor de la ciudadanía a un empleo inadecuado o por persona no autorizada que les pudiera constreñir en el empleo de Internet en sus interacciones sociales o ejercicio de su derecho de información.

La solución de la compartimentación o soluciones tecnológicas equiparables, junto al férreo control previo por autoridad judicial o administrativa independiente, podría ser, por ello, perfectamente exportable a otras formas o supuestos de conservación preventiva e indiscriminada de datos; aunque para ello tengamos que enfrentarnos ahora al escollo que supone chocar contra el muro de una jurisprudencia del TEDH que ha abrazado la doctrina del TJUE anterior a la STJUE del caso LA QUADRATURE DU NET II. Es un camino dificultoso, pero no imposible.

Volver a página de inicio

Volver a página de inicio