El «delito grave» en relación a la obligación de conservación de datos, según la L 25/2007 y las reformas penales recientes

Efectivamente, el día 8 de abril de 2014 el Tribunal de Justicia de la Unió...

Efectivamente, el día 8 de abril de 2014 el Tribunal de Justicia de la Unión Europea (en adelante, «TJUE») -EDJ 2014/68463 dictó una sentencia declarando inválida la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 marzo 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE -EDL 2006/29035-.

Entre otras cosas, se le pedía al Tribunal que analizara si la indicada Directiva. podía ser contraria a los derechos de libertad de expresión, de privacidad (respeto a la vida privada y familiar) y de protección de datos personales contemplados en la Carta de los Derechos Fundamentales de la Unión Europea (art. 11, 7 y 8 respectivamente) -EDL 2000/94313-. El Tribunal llegó a la conclusión de que efectivamente podría afectar a tales derechos y suponer una injerencia respecto a los mismos, principalmente en relación con la privacidad y la protección de los datos de carácter personal, llegando incluso a decir que podría ocasionar en los afectados el sentimiento de que sus vidas privadas eran objeto de una constante vigilancia.

Sentado lo anterior, analiza la sentencia, cuál es la finalidad u objetivo perseguido por la Directiva sobre Conservación de Datos -EDL 2006/29035-, entendiendo que lo es la lucha contra delitos graves, en particular contra el terrorismo y el crimen organizado, lo cual debe ser considerado de interés general y procede, por tanto, realizar una ponderación entre dicho interés general y los derechos afectados. Para ello examina si la conservación de los datos tal cual viene contemplada en la Directiva es una medida proporcional o no, en definitiva si se prevé mediante unas determinadas disposiciones y acciones que no excedan los límites necesarios para conseguir la finalidad perseguida.

Y es aquí donde la Sentencia -EDJ 2014/68463 da un verdadero repaso a la Directiva -EDL 2006/29035-, pues mantiene que no se da la necesaria proporcionalidad y que la finalidad perseguida por la Directiva no justifica por sí misma, sin más criterios, la intromisión en los indicados derechos fundamentales de privacidad y protección de datos personales. A lo que añade, en apoyo a tal estimación, entre otras cosas, que:

1. La Directiva -EDL 2006/29035 no exige que exista nexo relacional entre los datos que se han de conservar y una amenaza a la seguridad pública en función, bien del momento o zona geográfica en que se produzcan las comunicaciones, bien de las personas que las realicen.

2. La Directiva -EDL 2006/29035 adolece de unos criterios objetivos que pudieran insuflar proporcionalidad en la conservación de datos, sino que al contrario:

· Habla de u0022delitos gravesu0022 dejando al criterio de cada estado miembro de la UE lo que ha de entenderse por tal

· No establece los procedimientos y condiciones en que las autoridades nacionales competentes puedan tener acceso a los datos almacenados.

· No determina si tal acceso debe estar condicionado a la existencia de una previa investigación o procedimiento judicial.

· Tampoco hace distinción entre las distintas categorías de datos en relación con el período en que deban ser conservados (entre 6 y 24 meses).

3. Supone, la Directiva -EDL 2006/29035-, una gran injerencia a los derechos fundamentales antes dichos, si que se condicione a disposiciones que aseguren que tal injerencia estará limitada a lo estrictamente necesario.

4. Además la Directiva -EDL 2006/29035 no contempla medidas que garanticen la protección efectiva de los datos personales contra los riesgos de abuso (por parte de quien deba conservarlos) y de acceso ilegal (por parte de terceros), y tampoco asegura la destrucción de los datos al finalizar el plazo de conservación de los mismos.

Por todo ello termina declarando a la Directiva sobre Conservación de Datos -EDL 2006/29035 inválida. La L 25/2007 -EDL 2007/159198 es la norma mediante la cual España transpuso a su ordenamiento jurídico la Directiva 2006/24/CE. En este sentido, la sentencia del TJUE no extiende la invalidez a Ley 25/2007, por lo que deberán ser los tribunales españoles quienes, caso por caso, determinen si se respeta o no el principio de proporcionalidad de conformidad con lo dictado por el TJUE. En todo caso, el art. 1, relativo al objeto de la Ley establece:

«Esta Ley tiene por objeto la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales.»

Y el art.5 de la citada Ley -EDL 2007/159198 establece:

«1. La obligación de conservación de datos impuesta cesa a los doce meses computados desde la fecha en que se haya producido la comunicación. Reglamentariamente, previa consulta a los operadores, se podrá ampliar o reducir el plazo de conservación para determinados datos o una categoría de datos hasta un máximo de dos años o un mínimo de seis meses, tomando en consideración el coste del almacenamiento y conservación de los datos, así como el interés de los mismos para los fines de investigación, detección y enjuiciamiento de un delito grave, previa consulta a los operadores.».

¿Qué hemos de entender por delito grave? Nada dice la Exposición de Motivos de la citada Ley 25/2007 -EDL 2007/159198 a cerca de este extremo, aunque en el artículo 1 los refiere al Código Penal -EDL 1995/16398-, entiendo que la interpretación que debería hacerse desde el punto de vista de la seguridad jurídica es el que establece el artículo 13 y su correlativo artículo 33, puesto que la indeterminación de delito grave recogida en la Directiva -EDL 2006/29035-, ya fue objeto de crítica por la citada Sentencia del TJEU -EDJ 2014/68463-.

La interpretación de equiparar «delito grave» a la «gravedad de los hechos de que se trate», es cierto que podría ampliar (o restringir) el ámbito de aplicación de la norma, pero dejaría al albur de los juzgados y Tribunales la interpretación de términos difusos susceptibles de ser dilucidados de muy diferentes maneras; por ello parece más adecuado atenerse al sentido literal de la norma remitiéndonos a la definición que se establece en el art.13 CP -EDL 1995/16398 y su correlativo art.33.

En cuanto a la cuestión a plantear

En mi opinión, es necesario regular la conservación de ciertos datos relativos a las comunicaciones electrónicas y el acceso a los mismos, no sólo para la investigación de delitos graves, sino de cualquier delito, pues la inmensa mayoría de delitos cometidos a través de la red son difícilmente perseguibles sin tal información. Pero efectivamente, y aunque sea sumamente complejo, tal conservación de datos debe llevarse a cabo con el mayor respeto a la intimidad de las personas. Afortunadamente, aunque es pronto para valorarla con mesura, es posible que la propia sentencia nos de unas pautas que vayan indicando un poco el camino para ello.

El Tribunal de Justicia señala, en primer lugar, que los datos que han de conservarse permiten saber con qué persona y de qué modo se ha comunicado un abonado o un usuario registrado, determinar el momento de la comunicación y el lugar desde el que ésta se ha producido y conocer la frecuencia de las comunicaciones del abonado o del usuario registrado con determinadas personas durante un período concreto.

«Estos datos, considerados en su conjunto, pueden proporcionar indicaciones muy precisas sobre la vida privada de las personas cuyos datos se conservan, como los hábitos de la vida cotidiana, los lugares de residencia permanentes o temporales, los desplazamientos diarios u otros, las actividades realizadas, las relaciones sociales y los medios sociales frecuentados», denuncia el fallo.

«Al imponer la conservación de estos datos y al permitir el acceso a las autoridades nacionales competentes -prosigue el Tribunal-, la directiva se inmiscuye de manera especialmente grave en los derechos fundamentales al respeto de la vida privada y a la protección de datos de carácter personal».

«Además, el hecho de que la conservación y la utilización posterior de los datos se efectúen sin que el abonado o el usuario registrado sea informado de ello puede generar en las personas afectadas el sentimiento de que su vida privada es objeto de una vigilancia constante», resalta la sentencia.

El Tribunal de Justicia admite que la conservación de los datos «responde efectivamente a un objetivo de interés general, a saber, la lucha contra la delincuencia grave y, en definitiva, la seguridad pública». Sin embargo, estima que se han sobrepasado los límites que exige el respeto del principio de proporcionalidad.

«La injerencia amplia y especialmente grave de la directiva en los derechos fundamentales de que se trata no está suficientemente regulada para garantizar que dicha injerencia se límite efectivamente a lo estrictamente necesario», apunta la sentencia. Así, la directiva «abarca de manera generalizada a todas las personas, medios de comunicación electrónica y datos relativos al tráfico sin que se establezca ninguna diferenciación, limitación o excepción en función del objetivo de lucha contra los delitos graves».

En segundo lugar, la directiva «no fija ningún criterio objetivo que permita garantizar que las autoridades nacionales competentes únicamente tendrán acceso a los datos y podrán utilizarlos para prevenir, detectar o reprimir penalmente delitos que, por la magnitud y la gravedad de la injerencia en los derechos fundamentales en cuestión, puedan considerarse suficientemente graves para justificar tal injerencia». En particular, el acceso a los datos no se supedita al control previo de un órgano jurisdiccional o de un organismo administrativo autónomo.

En tercer lugar, en lo que atañe al período de conservación de los datos, la norma prescribe un período de entre seis y dos años sin precisar «los criterios objetivos con arreglo a los que debe determinarse el período de conservación para garantizar que se limite a lo estrictamente necesario».

El Tribunal de Justicia considera asimismo que la directiva no contiene garantías suficientes que permitan asegurar una protección eficaz de los datos contra los riesgos de abuso y contra cualquier acceso y utilización ilícitos de los datos. «En particular, autoriza a los proveedores de servicios a tener en cuenta consideraciones económicas al determinar el nivel de seguridad que aplican (especialmente en lo que respecta a los costes de aplicación de las medidas de seguridad) y no garantiza la destrucción definitiva de los datos al término de su período de conservación», señala el fallo.

Finalmente, la sentencia censura que la directiva no obliga a que los datos se conserven en el territorio de la Unión. (Europa Press).

El art.5 de la L 25/2007 -EDL 2007/159198-, sobre conservación de datos rela...

El art.5 de la L 25/2007 -EDL 2007/159198-, sobre conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, dispone que los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones deberán conservar los datos generados o tratados en el marco de la prestación del servicio durante el plazo de 12 meses desde la fecha en que se hayan producido, plazo que podrá ser ampliado o reducido reglamentariamente en determinadas categorías de datos hasta un máximo de 2 años o un mínimo de 6 meses (en función del coste de almacenamiento o conservación) para fines de investigación, detección y enjuiciamiento de un delito grave.

La L 25/2007 citada -EDL 2007/159198 traspone a nuestro ordenamiento la Directiva 2006/24/CE, del Parlamento Europeo y del Consejo, de 15 marzo, que modificó la anterior Directiva 2002/58/CE -EDL 2006/29035-. Se da la circunstancia de que la Directiva citada ha sido declarada inválida por la Sentencia del Tribunal de Justicia de la Unión Europea (Gran Sala) de 8 abril 2014 (asuntos acumulados C-293/12 y C-594/12) -EDJ 2014/68463 por considerar que se somete a investigación prospectiva a toda la población europea, sin ningún tipo de restricción o especialidad. La sentencia citada estima que el lícito fin de investigación de delitos no justifica una medida tan vasta y desproporcionada.

A pesar del citado pronunciamiento jurisprudencial, en nuestro ordenamiento no se ha producido ninguna reacción favorable a la limitación de las previsiones de la directiva. Tan es así que en el art.588 ter j) LO 13/2015, de 5 octubre, de modificación de la Ley de Enjuiciamiento Criminal -EDL 2015/169144 se autoriza a que los datos electrónicos conservados por los prestadores de servicios o por personas que faciliten la comunicación en cumplimiento de las leyes sobre retención de datos, por razones comercial o por otros motivos y que se encuentren vinculados con procesos de comunicación, sean cedidos para su incorporación al proceso con autorización judicial. Se añade en el precepto que «cuando el conocimiento de esos datos resulte indispensable para la investigación, se solicitará del juez competente autorización para recabar la información que conste en los archivos automatizados de los prestadores de servicios, incluida la búsqueda entrecruzada o inteligente de datos, siempre que se precisen la naturaleza de los datos que hayan de ser conocidos y las razones que justifican la cesión».

Esta modalidad de injerencia está inserta en el capítulo V del Título VIII, relativo a las medidas de investigación limitativas de los derechos reconocidos en el art.18 CE, y conforme al art.588 ter a) -EDL 1882/1 sólo podrá aplicarse en los casos previstos en el art.579.1 LECr o en los delitos cometidos a través de instrumentos informáticos o cualquier otra tecnología de la información o la comunicación o servicio de comunicaciónu0022.

Según lo previsto en el art.579.1 LECr -EDL 1882/1 la injerencia puede acordarse «si hubiera indicios de obtener por estos medios el descubrimiento o la comprobación del algún hecho o circunstancia relevante para la causa, siempre que la investigación tenga por objeto alguno de los siguientes delitos: 1.º Delitos dolosos castigados con pena con límite máximo de, al menos, tres años de prisión. 2.º Delitos cometidos en el seno de un grupo u organización criminal. 3.º Delitos de terrorismo».

Bien es sabido que cualquier Ley limitadora de estos derechos debe ser una Ley de «singular precisión» (STC 49/1996 -EDJ 1996/936-) ya que, como ha señalando el TEDH, el derecho interno «debe usar términos suficientemente claros para indicar a todos de manera suficiente en qué circunstancias y bajo qué condiciones se habilita a los poderes públicos a tomar tales medidas» (STEDH 30-7-98, Caso Valenzuela -EDJ 1998/12797 y sentencias STEDH Caso Silver, 25-3-83 -EDJ 1983/7174-; Casos Wilde, Ooms y Versyp, S. 18-6-71 -EDJ 1971/1-; Caso Müller, S. 24-5-88 -EDJ 1988/10471-; Caso Salabiaku S. 7-10-88 -EDJ 1988/10485-; Caso Golder S. 21-2-75 -EDJ 1975/1-; Casos Huvig y Kruslin S. 24-4-90 -EDJ 1990/12361-).

Pues bien la reforma de la LECrim -EDL 1882/1-, que entrará en vigor el 01/11/2015, fija la gravedad a que se refiere el art.5 de la L 25/2007 -EDL 2007/159198 en delitos castigados con pena de 3 años o bien en delitos en sí graves que suelen llevar aparejada una pena superior a los 3 años como los delitos de terrorismo o los cometidos en el seno de una organización o grupo criminal. Sin embargo la ley procesal establece otro criterio para justificar la injerencia, con independencia de la gravedad, que es el de la especialidad del delito, en relación con aquéllos que «se cometan a través de instrumentos informáticos o cualquier otra tecnología de la información o la comunicación o servicio de comunicación».

A diferencia de lo que ha ocurrido hasta la entrada en vigor de la LO 13/2015 -EDL 2015/169144-, en que no se definía legalmente qué había de entenderse por delito grave, la nueva norma fija y determina este concepto de forma concreta a través de los dos criterios antes mencionados, si bien subsiste, a mi juicio, la libre apreciación judicial en relación con los delitos cometidos por medios informáticos porque aunque la ley habilita la injerencia en todo caso, el juez habrá de ponderar caso por caso la gravedad del delito para autorizar la medida de intervención.

En cualquier caso subsiste la incógnita de si el almacenamiento de datos de toda la población para fines de investigación penal es respetuosa con los derechos fundamentales. El Tribunal Europeo de Justicia y el Tribunal Constitucional alemán han declarado la ilegalidad de la Directiva traspuesta en España y es muy probable que esta cuestión se suscite ante nuestro intérprete constitucional.

Una de las cuestiones problemáticas que plantea la regulación contenida en ...

Una de las cuestiones problemáticas que plantea la regulación contenida en la L 25/2007, de 18-10 -EDL 2007/159198-, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, en lo que respecta a la obligación de los operadores de telecomunicaciones de retener y ceder determinados datos generados o tratados por ellos, que puedan ser requeridos por la autoridad judicial en el marco de una investigación criminal, es la referida al ámbito material de dicha obligación, toda vez que el art. 1 de aquella norma la restringe a los supuestos de «delitos graves» contemplados en el Código Penal o en las leyes penales especiales. Esta cuestión se ha visto afectada de forma indirecta por la reforma operada en el CP por la LO 1/2015, de 30-3, ya que de acuerdo con los art.13.1 y 4 -EDL 1995/16398 en relación con los art.33.1.2 y 3 CP en su nueva redacción se consideran delitos graves, no solo las infracciones castigadas por la ley por alguna de las penas graves enumeradas en el art.33.2 CP (prisión superior a cinco años y las demás que este precepto menciona), sino además los delitos sancionados con una pena que, por su extensión, pueda incluirse a la vez entre las penas graves y las penas menos graves del art.33.2 y 3 CP, lo que puede suponer una notable extensión del ámbito de infracciones penales consideradas delitos graves a efectos sustantivos.

A mi juicio, la nueva regulación sustantiva de las diversas categorías de infracciones penales favorece una interpretación formal del concepto de delito grave a los efectos del art.1 de la L 25/2007 -EDL 2007/159198-, para hacerlo coincidir con el reflejado en el CP -EDL 1995/16398-, ya que la amplitud del ámbito de delitos graves a efectos sustantivos permitirá comprender en la obligación de retención y cesión de datos a cargo de los operadores de telecomunicaciones algunas infracciones penales cometidas a través de internet o telefonía que normalmente solo pueden ser objeto de investigación por medio de la cesión de los datos conservados por los proveedores de servicios de telecomunicaciones (como estafas en operaciones de comercio electrónico, delitos contra la propiedad intelectual o industrial, amenazas, coacciones o injurias producidas por estos medios, sabotajes informáticos o similares). A este respecto es necesario destacar que el Anteproyecto de la L 25/2007 remitido a las Cortes por el Gobierno optaba inicialmente por extender el ámbito de la obligación de disponibilidad de los datos conservados a cualesquiera delitos, aunque siempre bajo la salvaguarda del pleno respeto a los principios de necesidad y proporcionalidad (art.7.2 del Anteproyecto y 4.2 de la Directiva 2006/24/CE de 15-3-2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones -EDL 2006/29035-), de forma que fuera la autoridad judicial la que habría de valorar la procedencia del acceso a los ficheros de datos relacionados con las comunicaciones electrónicas conservados por las operadoras de telecomunicaciones en función de las características de la concreta investigación en curso y de los intereses en conflicto. Durante de la tramitación parlamentaria del anteproyecto en el Congreso de los Diputados se alcanzó consenso para utilizar en la Ley 25/2007 el tenor literal de la Directiva 2006/24/CE -EDL 2006/29035-, limitando el destino de la información accesible a los u0022fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales».

En línea con lo que sostiene el AAP Barcelona (Sec 3ª), 28-9-12 -EDJ 2012/221271-, creo que no existe razón alguna que justifique una interpretación del precepto contraria a su tenor literal, ya que el ámbito de infracciones penales comprendidas en la obligación de retención y cesión de datos a cargo de los operadores de telecomunicaciones no implica que la adopción de la medida limitativa del derecho fundamental al secreto de las comunicaciones en el caso concreto no deba hacerse por la autoridad judicial teniendo presentes las circunstancias concurrentes justificativas de la injerencia en el derecho fundamental con pleno respeto a los principios de proporcionalidad y necesidad y a las exigencias derivadas de los mismos, en el sentido recogido en la jurisprudencia del Tribunal Constitucional (p. ej. SSTC 167/2002 -EDJ 2002/35653, 14/01 -EDJ 2001/461 y 299/00 -EDJ 2000/46394-), incluyendo aquélla que hace referencia específica a la potencialidad lesiva del uso de instrumentos informáticos para la comisión del delito y a la grave dificultad de su persecución por los medios tradicionales de investigación, que impone la necesidad de dar una respuesta jurídica específica a la adaptación del mundo de la delincuencia organizada o transnacional al fenómeno expansivo de las comunicaciones electrónicas (STC 104/2006 -EDJ 2006/42683-). Considero, además, que esta interpretación estricta del ámbito objetivo de la obligación de conservación y cesión de datos relativos a las telecomunicaciones es plenamente coherente con la intensidad del sacrificio que supone para los ciudadanos ver como el rastro de sus comunicaciones queda almacenado por largos períodos de tiempo a los solos efectos preventivos de su ulterior utilización en el marco de una investigación criminal, pues, como ha destacado el Tribunal Constitucional alemán en su sentencia de 2-3-10, la afectación de concretos derechos fundamentales de los ciudadanos es de tanta gravedad, precisamente por la difusa finalidad preventiva para la que está planteado el régimen jurídico de retención de datos relativos a las comunicaciones, que el fin público concreto para el que pretende hacer uso de tan valiosa información ha de tener una especial relevancia. En este mismo sentido se han pronunciado los informes de la Comisaria de Asuntos de Interior y del Supervisor Europeo de Protección de Datos sobre la aplicación de la Directiva 2006/24/CE -EDL 2006/29035-, el dictamen del Abogado General Sr. Cruz Villalón en los asuntos acumulados C-293/12 y C-594/12 Digital Rights Ireland, Seitlinger y otros, y la sentencia del Tribunal de Justicia de la UE de 8-4-2014 -EDJ 2014/68463-, que resuelve dichos asuntos y en la que se concluye que la referida Directiva sobre conservación de datos resulta incompatible con la Carta de los Derechos Fundamentales de la UE -EDL 2000/94313 en varios aspectos, entre los que destacan la vulneración del principio de proporcionalidad, en la medida en la que exige que determinados datos se conserven durante un periodo de hasta dos años, así como la falta de definición de garantías mínimas que regulan el acceso a los datos conservados.