Читать книгу Investigación tecnológica y derechos fundamentales - Javier Ignacio Zaragoza Tejada - Страница 16

3.1.1. Evolución de la normativa y la doctrina europea en relación con esta materia

Ya hemos comentado anteriormente como la Directiva europea 2002/58/CE, en sus artículos 5 y 6, establece un estricto régimen de protección de los datos de tráfico que son tratados y almacenados por los proveedores de una red pública de comunicaciones o por servicios de comunicaciones electrónicas disponibles al público, que obliga a eliminar o anonimizar dicha información tan pronto como deje de ser útil a efectos de la transmisión de la comunicación, con la salvedad de aquellos datos que sea necesario mantener para facturación o para alguna otra de las finalidades recogidas en el artículo 6 y siempre en las condiciones específicamente señaladas en el citado precepto. Este mismo planteamiento es el que se ha trasladado a nuestra normativa interna y se recoge específicamente en el artículo 65 del Real Decreto 424/2005 de 15 de abril que aprueba el Reglamento sobre las condiciones de prestación de los servicios de comunicaciones electrónicas, antes trascrito.

Ahora bien, la propia Directiva europea en su artículo 15.1 establece la posibilidad, con carácter excepcional, de acordar legalmente y en consecuencia ordenar la conservación de estos datos en determinadas circunstancias. Concretamente el citado precepto señala que

Los Estados miembros podrán adoptar medidas legales para limitar el alcance de los derechos y las obligaciones que se establecen en los artículos 5 y 6, en los apartados 1 a 4 del artículo 8 y en el artículo 9 10) de la presente Directiva, cuando tal limitación constituya una medida necesaria proporcionada y apropiada en una sociedad democrática para proteger la seguridad nacional (es decir, la seguridad del Estado), la defensa, la seguridad pública, o la prevención, investigación, descubrimiento y persecución de delitos o la utilización no autorizada del sistema de comunicaciones electrónicas a que se hace referencia en el apartado 1 del artículo 13 de la Directiva 95/46/CE. Para ello, los Estados miembros podrán adoptar, entre otras, medidas legislativas en virtud de las cuales los datos se conserven durante un plazo limitado justificado por los motivos establecidos en el presente apartado. Todas las medidas contempladas en el presente apartado deberán ser conformes con los principios generales del Derecho comunitario, incluidos los mencionados en los apartados 1 y 2 del artículo 6 del Tratado de la Unión Europea.

Precisamente con apoyo en este precepto se elaboró y publicó la Directiva 2006/24/CE del Parlamento Europeo y del Consejo de 15 de marzo sobre conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones. La razón última de la gestación de dicha Directiva ha de buscarse en la preocupante situación generada en Europa tras los atentados terroristas de Madrid y Londres, en los años 2004 y 2005 respectivamente, acontecimientos que determinaron que en algunos países europeos se estableciera legalmente la obligación de conservar los datos de tráfico de las comunicaciones como medio de asegurar su disponibilidad por si fuera necesario utilizarlos como fuente de investigación criminal.

Años antes de producirse esos terribles sucesos, con ocasión del Consejo de Justicia e Interior de 19 de diciembre de 2002, los países miembros de la Unión Europea habían tomado conciencia del valor que podían tener los datos derivados de las comunicaciones electrónicas en la prevención de delitos y en la lucha contra la delincuencia, en especial la delincuencia organizada. Por ello, el legislador europeo, asumiendo la conveniencia de reforzar la seguridad interior en el territorio de la Unión y tras constatar diferencias importantes en el tratamiento de esta materia en las legislaciones internas de los distintos Estados Miembros, estimó necesario asegurar –a escala comunitaria y a través de esta Directiva– la conservación de esos datos durante un determinado periodo de tiempo armonizando, en ese aspecto, las obligaciones de los proveedores de servicios de comunicación con el objetivo antes indicado de poder utilizar dicha información en las investigaciones criminales por delitos graves. De esta forma cualquier autoridad de un Estado Miembro que precisara de este tipo información para los mencionados fines tendría posibilidad de acceder a la misma, aun cuando se encontrara en otro Estado de la UE, al establecerse plazos mínimos comunes de conservación en todo el territorio de la Unión.

En definitiva, el legislador europeo, al amparo de las facultades que otorga a los Estados el artículo 15.1 de la Directiva 2002/58/CE, estableció los parámetros para que las autoridades nacionales ordenaran la conservación de datos de trafico generados con ocasión de las comunicaciones electrónicas y la posibilidad de acceso a los mismos en el curso de investigaciones criminales procurando, al tiempo, que quedaran salvaguardados los derechos y las libertades fundamentales de los ciudadanos. El objetivo de esta actuación fue, sin duda alguna, canalizar una más adecuada coordinación de esfuerzos para garantizar –al menos en el ámbito geográfico común– la seguridad pública ante el riesgo de ataques terroristas o de grupos de delincuencia organizada y mejorar la eficacia en la actuación represora de los Estados frente a estas peligrosísimas acciones delictivas.

La Directiva 2006/24/CE, tras su publicación fue incorporada rápidamente a las legislaciones internas de los distintos países de la Unión Europea y concretamente, dichoproceso se llevó a efecto en la legislación española a través de la Ley 25/2007 de 18 de octubre sobre conservación de datos de las comunicaciones electrónicas y redes públicas de comunicación, modificada posteriormente por la disposición adicional cuarta de la Ley 9/2014 de 9 de mayo General de Telecomunicaciones. Esta Ley obliga a todos los operadores de los servicios de comunicación a conservar durante un plazo de un año la totalidad de los datos de tráfico y de localización –nunca datos relativos a contenidos– relacionados en su artículo 3 que hayan sido generados con ocasión de las comunicaciones efectuadas tanto por telefonía móvil, como por telefonía fija y por Internet y a tenerlos a disposición de las autoridades judiciales que así lo soliciten en el curso de investigaciones criminales por delitos graves.

Sin embargo, años más tarde, la citada Directiva 2006/24/CE fue invalidada por resolución de la Gran Sala de Tribunal de Justicia de la Unión Europea (en adelante TJUE) de fecha 8 de abril de 2014 (sentencia Digital Rights). En dicha sentencia el Tribunal resuelve dos cuestiones prejudiciales acumuladas que fueron planteadas respectivamente por órganos judiciales de Irlanda (High Court) y Austria (Verfassungsgerichtshof-Tribunal Constitucional) en las que se plantea la compatibilidad de la Directiva con el artículo 5-4 del Tratado de la Unión Europea11) y con los artículos 712), 8,13) 1114) y 5215) de la Carta de Derechos Fundamentales de la Unión Europea y el art 8 del Convenio Europeo de Derechos Humanos (en adelante CEDH). Pues bien, los tres primeros preceptos citados de la Carta consagran los derechos fundamentales a la vida privada, la protección de datos y la libertad de expresión e información, en tanto que el citado artículo 52 es el que fija los parámetros en torno a los cuales han de valorarse las circunstancias en que sería posible admitir, en su caso, una limitación en el ejercicio de derechos y libertades fundamentales, condiciones que el legislador europeo concreta en los siguientes términos: a) no ha de producirse una vulneración del contenido esencial del derecho b) la injerencia ha de ser proporcional de tal forma que la misma sea la mínimamente imprescindible para la finalidad que se pretende y c) la acción invasiva debe estar justificada por una finalidad de interés general u orientada a defender los derechos y libertades de los demás.

Al analizar estas cuestiones prejudiciales el Tribunal llega a la conclusión de que la retención de los datos de tráfico a que se refiere la Directiva, su tratamiento y el acceso a los mismos por parte de las autoridades nacionales competentes implican una injerencia grave en los derechos fundamentales a la vida privada y familiar (artículo 7 de la Carta) y a la protección de datos de carácter personal (artículo 8 de la Carta). No obstante, según entiende el Tribunal, dicha injerencia no merece la consideración de vulneración esencial del contenido de los derechos afectados porque –en lo que se refiere al derecho a la vida privada y familiar– la conservación no alcanza al contenido mismo de las comunicaciones sino únicamente a los datos de tráfico y porque –en lo que se refiere a la protección de datos– aun cuando las obligaciones que establece la Directiva constituyan una excepción a la normativa comunitaria en materia de conservación de información, los proveedores de servicios que almacenan dichos datos mantienen ciertas obligaciones en orden a la salvaguarda y seguridad de los mismos.

En relación con el resto de los requisitos del artículo 52 de la Carta, el Tribunal reconoce que la retención obligatoria de los datos responde a un objetivo de interés general, como es el establecimiento de criterios comunes sobre obligaciones de conservación para facilitar la investigación de delitos graves y, además resulta adecuada para obtener el objetivo que se pretende porque los datos informáticos retenidos permiten y/o facilitan efectivamente el esclarecimiento y persecución de las actividades criminales. Sin embargo, lo que el Tribunal cuestiona y finalmente constituye la razón última de que se acuerde la anulación de la Directiva 2006/24/CE es la falta de proporcionalidad de la medida, tal y como se plantea en el texto legal, en orden a garantizar la lucha contra la delincuencia grave, pues el TJUE entiende que las obligaciones de conservación que impone el texto normativo cuestionado implican una afectación en los derechos fundamentales antes indicados que excede de los límites de lo estrictamente necesario para lograr dicha finalidad.

Razona la sentencia, al respecto, que la Directiva no establece limitación alguna ni en los datos que se conservan ni en las personas afectadas por la medida por lo que las obligaciones impuesta por dicha norma generan consecuencias efectivas a todos los ciudadanos que participen en cualquier proceso de comunicación, existan o no sospechas de su vinculación con algún tipo de actividad delictiva. Además, la Directiva no concreta las condiciones y circunstancias en las que es posible el acceso a los datos conservados. Es decir, no precisa en qué clase de investigaciones ni por qué tipologías delictivas es factible acceder a la información conservada, ni cuáles son las autoridades competentes ni el procedimiento y garantías que han de observarse para ello, dejando todos estos aspectos a la libre determinación de cada Estado Miembro.

Finalmente critica también el Tribunal que la Directiva resulte imprecisa en los plazos de conservación –fijados genéricamente entre 6 meses y 24 meses– y que no establezca unas mínimas exigencias para garantizar la seguridad y protección de los datos almacenados ni para asegurar su destrucción definitiva una vez transcurrido el plazo legal de conservación. Igualmente destaca el TJUE que la norma no garantiza tampoco que los datos almacenados se vayan a mantener dentro del territorio de la Unión y en consecuencia que su seguridad y salvaguarda se encuentre sometida al control de autoridad independiente (art 8.3 de la Carta)16), en clara referencia a las autoridades y organismos nacionales de protección de datos

A partir de este planteamiento, concluye el Tribunal que las obligaciones establecidas en la disposición analizada constituyen una intromisión grave en los derechos fundamentales afectados sin que esta injerencia esté regulada de manera precisa por disposiciones que permitan garantizar que se limita efectivamente a lo estrictamente necesario. En consecuencia, declara inválida la Directiva 2006/24/CE porque no respeta el principio de proporcionalidad.

El efecto de la anulación de esta Directiva ha sido diferente en los distintos Estados de la Unión Europea, en atención a la forma y condiciones en que se había llevado a efecto su incorporación en los respectivos ordenamientos jurídicos internos17). Concretamente en España la ley 25/2007, que implementó dicha disposición, se ha mantenido vigente –hasta el momento– en el entendimiento de que, aun cuando esta norma nacional impone una conservación generalizada de datos de tráfico, las garantías establecidas por la misma y por la propia Ley de Enjuiciamiento Criminal en lo que se refiere a la protección y seguridad de los datos conservados –sometidos al estricto régimen de control establecido por la LOPD–; a las condiciones, circunstancias y limitaciones fijadas para el acceso a dicha información –solo en procesos penales por delitos graves– y al control jurisdiccional de todo el proceso, permite concluir que el impacto de dicha medida en los derechos fundamentales a la intimidad, la privacidad o la protección de datos de carácter personal resulta prácticamente imperceptible.

Al respecto, es importante recordar que el efecto derivado de la decisión adoptada por el TJUE al resolver las cuestiones prejudiciales planteadas, al amparo del artículo 267 del Tratado de Funcionamiento de la UE y 23 y ss. del Estatuto del Tribunal de Justicia, es el establecimiento de pronunciamientos generales acerca de la validez e interpretación de los actos y disposiciones de las instituciones, órganos u organismos de la Unión. La consecuencia, por tanto, de la resolución dictada por el Tribunal es la que resulta de su propio contenido, es decir, la anulación de la Directiva cuestionada, circunstancia que tendrá consecuencias efectivas en los litigios concretos que determinaron el planteamiento de la cuestión prejudicial misma. Sin embargo ha de recordarse que la invalidación de la Directiva europea no supone necesariamente que queden sin efecto las disposiciones legales publicadas en cada país en aplicación de la misma, las cuales pueden mantener su vigencia18) sin perjuicio de las decisiones que hayan de adoptarse, por parte del legislador nacional o de los órganos encargados de controlar internamente la constitucionalidad de las normas o su adaptación a los parámetros internacionales, para adecuar dicha normativa interna a los razonamientos efectuados por el Tribunal.

Quiere decirse que lo que, en ningún caso, podrá obviarse, es la incidencia que ha de tener la doctrina establecida por el TJUE como criterio inspirador en la interpretación y aplicación de la ley 25/2007 pues, como bien dice la Sentencia del TC n.º 61/2013 de 14 de marzo (RTC 2013, 61), tanto los tratados y acuerdos internacionales, como el derecho comunitario derivado, pueden constituir valiosos criterios hermenéuticos del sentido y alcance de los derechos y libertades que la Constitución reconoce, valor que se atribuye con fundamento en el artículo 10.2 CE 19) , a cuyo tenor… «las normas relativas a los derechos fundamentales y libertades públicas contenidas en la Constitución deben interpretarse de conformidad con los tratados y acuerdos internacionales sobre las mismas materias ratificados por España»; interpretación que no puede prescindir de la que, a su vez, llevan a cabo los órganos de garantía establecidos por esos mismos acuerdos y tratados internacionales.

Pues bien, es precisamente en lo que se refiere a la fijación de criterios para la interpretación del sentido y alcance de los derechos fundamentales, donde adquiere una especial importancia la reciente sentencia de 21 diciembre de 2016 del TJUE que confirma, completa y precisa la doctrina fijada en la anteriormente analizada de fecha 8 de abril de 2014 del mismo Tribunal. En este caso se trata también de la resolución de sendas cuestiones prejudiciales planteadas respectivamente por el Tribunal de Apelación de lo Contencioso-Administrativo de Estocolmo (Kammarrätten/Stockhom) y el Tribunal de Apelación, sección civil, de Inglaterra y País de Gales (Court of Appeal Civil Division. England&Wales).

Así, una de las cuestiones prejudiciales planteadas se refiere a la interpretación que debe hacerse del artículo 15.1 de la Directiva 2002/58/CE, poniéndolo en relación con los artículos 7,8,11 y 52 de la Carta de Derechos Fundamentales de la UE ya que, como se ha explicado, el artículo 15.1 permite al legislador nacional establecer algunas excepciones a la obligación de garantizar la confidencialidad y, por tanto a la prohibición de conservar y almacenar datos de tráfico –que establece el artículo 5,1 de la Directiva– cuando concurran razones de seguridad nacional, defensa, seguridad pública o necesidades derivadas de la prevención, investigación y persecución de delitos. Lo que se plantea al Tribunal a través de estas cuestiones es, en definitiva, el alcance que ha de darse a dicha excepción a la luz de la protección debida de los derechos fundamentales garantizados en los artículos mencionados de la Carta.

Al respecto razona el Tribunal, que la excepción contemplada en el artículo 15.1 de la Directiva, como toda excepción y de acuerdo con la doctrina del Tribunal, ha de interpretarse en sentido estricto por lo que, en consecuencia, no puede dicha norma excepcional sustituir a la regla general de prohibición de conservación como garantía de confidencialidad.

Pero además, como quiera que las medidas que posibilita dicha excepción inciden en el ejercicio de derechos fundamentales y concretamente en los que se refieren al respeto a la vida privada, la protección de datos de carácter personal y la libertad de expresión, explica el Tribunal que cualquier limitación a los mismos habrá de hacerse de acuerdo con los parámetros establecidos en el artículo 52 de la Carta. En consecuencia, recuerda –como ya hemos indicado– que, a tenor de dicho precepto, para que la medida sea asumible tiene que estar prevista legalmente, ha de respetar el contenido esencial del derecho y ha de ser proporcionada, es decir, solo cabra establecer aquellas limitaciones que sean necesarias y respondan efectivamente a objetivos de interés general o a la necesidad de protección de derechos y libertades de los demás. Razona igualmente el Tribunal que este mismo criterio se recoge en el propio artículo 15.1 de la Directiva al exigir que la medida adoptada resulte necesaria, proporcionada y apropiada en una sociedad democrática y también que la posible conservación de datos a la que se hace referencia en el texto legal, se circunscriba a un plazo limitado justificado por los motivos establecidos en el propio precepto.

A partir de este planteamiento y siguiendo la tesis de la sentencia Digital Rights antes estudiada, reflexiona el Tribunal acerca de la incidencia que la conservación generalizada de datos de tráfico puede tener en los derechos fundamentales reconocidos por los artículos 7 y 8 de la Carta a todos los ciudadanos afectados, para concluir que la adopción de una medida de esa naturaleza excede de los límites de lo estrictamente necesario y no puede considerarse justificada en una sociedad democrática (apartado 107 de la sentencia).

Al entender del Tribunal la conservación de datos de tráfico y de localización podría adoptarse con carácter preventivo, con carácter selectivo y con fines de lucha contra la delincuencia grave únicamente cuando estuviera limitada a lo estrictamente necesario para lograr dicha finalidad. A dicho fin sería necesario que la normativa que acuerde una medida de esa naturaleza estableciera criterios claros y precisos sobre la forma y circunstancias en que se puede llevar a efecto la conservación y unas exigencias mínimas para garantizar la protección de los datos conservados frente a un uso irregular de los mismos; además la medida habría de responder a criterios objetivos y tendría que existir una relación clara entre los datos que se ordena conservar y el objetivo que se pretende lograr. Concretamente, los datos conservados habrían de referirse a personas con relación directa o indirecta con delitos graves o, al menos, relacionadas con actividades criminales de esa naturaleza y que impliquen un riesgo grave para la seguridad pública, utilizando incluso criterios geográficos para la delimitación del ámbito de aplicación de la medida, si ello fuera necesario por vincularse dichas actividades a determinadas zonas territoriales (apartados 108 a 111 de la sentencia)

En consecuencia, entiende el Tribunal que el artículo 15.1 de la Directiva, interpretado de acuerdo con los artículos 7, 8, 11 y 52 de la Carta, no permite que una normativa nacional establezca, con la finalidad de luchar contra la delincuencia, la conservación generalizada e indiferenciada de todos los datos de tráfico y de localización de todos los abonados y usuarios registrados en relación con todos los medios de comunicación

A través de esta sentencia de 21 de diciembre de 2016 se resuelve también una segunda cuestión prejudicial acerca de la interpretación que ha de darse a ese mismo artículo de la Directiva 2002/58, a tenor de lo dispuesto en los artículos 7,8 y 52 de la Carta, en lo que se refiere a la protección y seguridad de los datos de tráfico y de localización y a la posibilidad de acceso a los mismos por parte de las autoridades nacionales competentes.

En relación con ello afirma el Tribunal que, dada la entidad de la injerencia en los derechos fundamentales, solo estaría justificado el acceso a los datos conservados cuando fuera necesario para la lucha contra la delincuencia grave, si bien en el texto de la resolución no se definen o concretan claramente las actividades delictivas que merecen esa consideración20). Además, la sentencia exige que la norma nacional establezca los requisitos y los cauces procedimentales para que las autoridades competentes puedan obtener dicha información, limitando esta posibilidad a los datos correspondientes a aquellas personas que puedan estar vinculadas con actividades ilícitas de la indicada naturaleza o a supuestos muy graves para la seguridad pública y también respecto de terceras personas si existen datos objetivos que lleven a considerar que la información relativa a las mismas puede contribuir a la lucha contra dichas actividades. Para garantizar todo ello destaca el Tribunal la importancia de articular un control efectivo por parte de un órgano jurisdiccional o entidad administrativa independiente en el marco de procedimientos de prevención o descubrimiento de delitos o ejercicio de acciones penales, recordando asimismo que los ciudadanos afectados por esta clase de medidas han de ser informados de dicha circunstancia salvo que ello pueda comprometer las investigaciones en curso.

Finalmente y en lo que se refiere a la protección y seguridad de los datos conservados, el Tribunal fija también una doctrina muy clara: ha de preservarse con especial cuidado dicha información por su naturaleza altamente sensible de forma tal que se conjure el riesgo de un acceso irregular o ilícito a la misma. Por tanto los proveedores u operadores que conservan la información han de establecer un nivel particularmente elevado de protección y de seguridad mediante medidas técnicas y de gestión adecuadas y garantizar, al tiempo, que los datos se mantengan en el territorio de la Unión y que sean destruidos tan pronto como trascurra el periodo de conservación o dejen de ser útiles a dicha finalidad. Indica, igualmente el Tribunal, que los Estados Miembros deben articular, a través de una autoridad independiente, el control de ese sistema de protección y su adecuación a los criterios fijados al respecto en el propio derecho de la Unión.

Como puede constatarse, esta nueva sentencia del Tribunal de Justicia de la Unión Europea, no solo mantiene la doctrina fijada en la Digital Rights, sino que clarifica el sentido último de la misma. Es decir, con ocasión de esta nueva resolución el Tribunal se pronuncia separadamente y con razonamientos específicos en cada caso, pero íntimamente relacionados entre sí, sobre los parámetros que han de tenerse en cuenta en referencia a las dos cuestiones que estamos analizando: a) en qué circunstancias y condiciones, a la luz de los artículos 7,8 y 52 de la Carta, se puede ordenar legalmente en los Estados Miembros la conservación de los datos de tráfico de las comunicaciones y de los de localización distintos de los de tráfico y b) en qué circunstancias y condiciones, a la luz de los mismos artículos de la Carta, pueden las autoridades nacionales acceder a los datos conservados con fines de investigación criminal y como ha de protegerse dicha información para conjurar el riesgo de lesión de los citados derechos fundamentales.

A la vista de esta doctrina, resulta obligado examinar la normativa interna en relación con ambas cuestiones.

3.1.2. La conservación de datos de tráfico de las comunicaciones electrónicas en la legislación española

La conservación de datos informáticos con fines de investigación criminal es objeto de un doble tratamiento en la normativa interna. En primer término, y como ya se ha indicado, en la Ley 25/2007 de 18 de octubre de conservación de datos relativos a las comunicaciones públicas y a las redes públicas de comunicaciones, norma a través de la cual se incorpora al ordenamiento jurídico interno la Directiva 2006/24/CE, antes comentada sobre el mismo tema y que impone determinadas obligaciones de conservación a los operadores de comunicaciones. Pero además se contempla también la posibilidad de preservar información, aunque con carácter facultativo y mucho más específico, en el nuevo artículo 588 octies de la Ley de Enjuiciamiento Criminal. El tratamiento legal en uno y otro caso son sustancialmente diferentes tanto en cuanto a la razón de ser de la medida como en lo que se refiere a su contenido y alcance, a los datos informáticos sobre los que recae e incluso al periodo de conservación de los mismos, lo que determina la necesidad de analizar individualizadamente cada una de estas posibilidades.

La ley 25/2007, siguiendo los parámetros de la citada Directiva europea, establece la obligación de conservar todos los datos de tráfico y de localización vinculados a procesos de comunicación telefónica o electrónica con exclusión, en todo caso, de los datos de contenido, tal y como preceptúa el artículo 3.2 del mismo texto legal. Así en sus artículos 1 y 2 impone a los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones, la conservación de todos los datos generados o tratados en el marco de la prestación de servicios de comunicaciones públicas o redes públicas de comunicación –que son los que la propia ley contempla en su artículo 3– durante los doce meses siguientes a la fecha en que se haya producido la comunicación (art 5) y también a ceder esos datos a los agentes facultados cuando les sean requeridos previa autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales.

La conservación de datos se configura, por tanto, como una obligación de carácter general que alcanza de forma indiscriminada a la totalidad de los datos de tráfico relacionados con todas las comunicaciones que se lleven a efecto en territorio español a través de telefonía fija, móvil o por Internet, por cualquier persona física o jurídica, en cualquier circunstancia y con independencia de su posible vinculación o relación con alguna forma de actividad delictiva ya cometida o de previsible comisión. Por ello y aun cuando la finalidad de esta retención, pudiera estar justificada a los efectos de la prevención, investigación o persecución de la delincuencia parece, en nuestra opinión, que dicha obligación, así formulada, no se compadece bien con la doctrina sentada por el Tribunal de Justicia de la Unión Europea, especialmente en su reciente sentencia de 21 de diciembre de 2016, que considera que esa conservación generalizada incide de forma grave y sin la adecuada proporcionalidad en los derechos proclamados en los artículos 7,8 y 11 de la Carta de Derechos Fundamentales de la UE.

Sin perjuicio del valor que esta doctrina del TJUE ha de tener en la interpretación y aplicación de esta disposición legal, por mor de lo dispuesto en el artículo 10.2 CE, es al legislador español a quien corresponde valorar las consecuencias que la citada Sentencia ha de tener en la ley 25/2007 y la forma en que ha de adaptarse dicha obligación legal a los parámetros que establece la doctrina del Tribunal y que anteriormente hemos analizado de forma detallada.

No obstante, la previsión legal del artículo 588 octies de la Ley de Enjuiciamiento Criminal, presenta unas características completamente diferentes. Se trata de una medida cuyo origen ha de buscarse en el artículo 1621) de la Convención de Budapest sobre Ciberdelincuencia del Consejo de Europa, precepto cuyo objeto es asegurar la conservación de determinados datos informáticos, cuando exista riesgo de pérdida de información necesaria o útil para el curso de concretas investigaciones criminales. Es decir, ya no se trata de una conservación generalizada –como es la prevista en la ley 25/2007– sino de la preservación de datos específicos vinculados a investigaciones suficientemente delimitadas en cuanto a su objeto.

La citada Convención es un documento internacional de gran relevancia en la lucha contra la ciberdelincuencia cuyo ámbito de aplicación trasciende al propio marco del Consejo de Europa, dado que se encuentra abierto a la firma de terceros Estados22). Centrada básicamente en reforzar y favorecer la cooperación internacional frente a esta forma de delincuencia y en fomentar la aproximación de los ordenamientos jurídicos en esta materia, se ocupa en la sección segunda de su Capítulo II de establecer medidas de carácter procesal cuya incorporación a las legislaciones nacionales contribuya a unificar criterios en la obtención de evidencias digitales y a hacer posible la transmisión de esas evidencias entre las autoridades de los distintos países en condiciones tales que pueda garantizarse su validez y eficacia en los procesos penales que se tramiten en cualquiera de los Estados Parte.

Así, en la citada sección del capítulo II de la Convención se integran, además del artículo 16 antes mencionado, los siguientes preceptos: art. 17 –relativo a la conservación y revelación parcial rápida de datos de tráfico–; art. 18 –sobre la orden de presentación y entrega de información–; art. 19 –referente al registro y confiscación de datos informáticos almacenados–; art. 20 –sobre obtención en tiempo real de datos de tráfico– y art. 21 –sobre interceptación de datos de contenido–. Todas las medidas contempladas en los citados preceptos han de ser susceptibles de utilizarse tanto en investigaciones de ámbito nacional como cuando –y especialmente en este caso– las evidencias digitales o datos informáticos se hayan generado, almacenado o gestionado en otros Estados distintos de aquel cuyas autoridades precisan de dichas evidencias en una concreta investigación penal.

Pues bien, la previsión que contiene el artículo 16 de la Convención acaba de ser incorporada a nuestra norma procesal en virtud de la LO 13/2015 de 5 de octubre con el carácter de medida de aseguramiento y a ella se refiere expresamente el Preámbulo de la citada Ley Orgánica explicando que su finalidad es garantizar la preservación de datos e informaciones concretas de toda clase que se encuentren almacenadas en un sistema informático hasta que se obtenga la autorización judicial correspondiente para su cesión. De este modo su posterior aportación como medio de prueba o, en su caso, su análisis forense no se verá frustrado por la desaparición, alteración o deterioro de unos elementos inherentemente volátiles. Por si hubiera alguna duda, el legislador aclara que este nuevo precepto toma como referencia el artículo 16 de la Convención de Budapest.

La regulación incorporada al Capitulo X del Título VIII de nuestra Ley de Enjuiciamiento Criminal es la siguiente:

Artículo 588 octies. Orden de conservación de datos.

El Ministerio Fiscal o la Policía Judicial podrán requerir a cualquier persona física o jurídica la conservación y protección de datos o informaciones concretas incluidas en un sistema informático de almacenamiento que se encuentren a su disposición hasta que se obtenga la autorización judicial correspondiente para su cesión con arreglo a lo dispuesto en los artículos precedentes.

Los datos se conservarán durante un periodo máximo de noventa días, prorrogable una sola vez hasta que se autorice la cesión o se cumplan ciento ochenta días.

El requerido vendrá obligado a prestar su colaboración y a guardar secreto del desarrollo de esta diligencia, quedando sujeto a la responsabilidad descrita en el apartado·3 del artículo 588 ter e.

Como se colige del examen del texto legal se trata de una medida cuya finalidad es atribuir al Ministerio Fiscal y a la Policía Judicial la capacidad de exigir a los operadores de comunicaciones, a los prestadores de servicios de internet o a cualquier persona física o jurídica la conservación de datos informáticos, tanto de tráfico como de contenido, que estén bajo su control a fin de garantizar que dicha información se encuentre disponible para poder acceder a la misma una vez se obtenga orden judicial para ello. En consecuencia, ya no se trata de una conservación genérica –de todos los datos– sino específica, es decir, limitada a aquellos que se consideran necesarios para el esclarecimiento de hechos delictivos concretos o para la determinación de sus autores.

La Convención de Budapest no establece limitaciones en cuanto a quien pueda ordenar la preservación de datos, por lo que se entiende –y así lo han entendido diversos países de nuestro entorno– que dicha orden de conservación puede emanar no sólo de una autoridad judicial sino también de los cuerpos policiales o del Ministerio Fiscal. Y así se contempla en nuestra nueva regulación (artículo 588 octies). En ocasiones podrá ser la autoridad judicial quien ordene la preservación de datos pero en otras ocasiones, dependiendo del estado de la investigación y del riesgo de desaparición de los datos electrónicos, será conveniente adoptar esta medida a instancia de la propia policía o del Ministerio Fiscal sin perjuicio de la necesaria autorización judicial, que habrá de solicitarse oportunamente, para poder acceder efectivamente a la información así protegida.

Como no podía ser de otra forma, y siguiendo también en este punto las previsiones de la Convención de Budapest el precepto establece expresamente la obligación de atender al requerimiento efectuado y de guardar secreto sobre ello, como corresponde a actuaciones desarrolladas en el marco de investigaciones criminales. Caso de incumplimiento de este deber se podrá incurrir en delito de desobediencia a tenor de lo dispuesto en el artículo 588 ter e) apartado 3.º.

La medida, en sí misma, no supone una injerencia grave de derechos fundamentales como la intimidad, el secreto de las comunicaciones o la protección de datos, dado que su único efecto es la conservación –congelación– de información relacionada con investigaciones concretas y determinadas, en poder de quien la tiene lícitamente a su disposición, para evitar que sea destruida o alterada y en tanto se obtiene mandamiento judicial para acceder y conocer los datos conservados. Es importante reseñar que no se trata de una medida «de futuro», es decir relativa a datos que todavía no se han producido, sino que únicamente alcanza a datos ya existentes y que el requerido ya tiene a su disposición en el momento en que se emite la orden. Ese es el planteamiento que subyace en la regulación, al respecto, de la Convención de Budapest y que resulta no solo de los informes previos a la misma23) sino también de la circunstancia de que el citado artículo 16 de dicho Tratado se ubique en el Titulo dedicado a la conservación rápida de datos informáticos almacenados (expedited preservation of stored computer data).

Nótese que el precepto no faculta ni al Ministerio Fiscal ni a la policía judicial a conocer el contenido de la información o a reclamar la entrega de la misma sino únicamente a evitar que la misma se destruya o se modifique haciendo imposible su ulterior utilización en la investigación. De acuerdo con este planteamiento y dada su naturaleza cautelar, dicha medida –al igual que en la Convención de Budapest– tendrá un periodo máximo de duración de 90 días, que nuestro ordenamiento contempla sea prorrogable una sola vez por otro plazo similar. Aunque el precepto no lo diga expresamente es obvio –y así resulta de toda la normativa hasta ahora analizada– que si la autoridad judicial deniega el acceso a los datos preservados o trascurre el plazo legal sin resolución favorable a ello, decae el deber específico de conservación, aplicándose en cuanto a su destrucción o anonimización las normas ordinarias al respecto.

El legislador no ha establecido limitación alguna en cuanto a los datos que pueden ser objeto de esta medida de aseguramiento, por lo que podría ser utilizada en la investigación de hechos delictivos de cualquier naturaleza. No obstante ha de recordarse que únicamente tiene sentido recurrir a ella para garantizar la preservación de información que sea susceptible de incorporarse posteriormente a un proceso penal porque precisamente la orden de conservación tiene esa finalidad. Quiere decirse con ello que aun cuando la ley no lo diga expresamente no tendría sentido solicitar la conservación respecto de datos que posteriormente no van a poder ser utilizados en el proceso a tenor de las normas que regulan dicha incorporación y que analizaremos a continuación.

En cualquier caso, lo que sí parece evidente, es que tal y como se encuentra configurada, la medida que contempla el artículo 588 octies es plenamente acorde con la doctrina del Tribunal de Justicia de la Unión Europea que venimos analizando y que se recoge específicamente en las sentencias de 8 de abril de 2014 y 21 de diciembre de 2016. Efectivamente, teniendo como objetivo un interés legítimo, cual es la investigación criminal y estando suficientemente justificada su necesidad y utilidad a dicho fin, el alcance y contenido de esta preservación específica se ajusta también a los parámetros de proporcionalidad establecidos por el Tribunal, a la vista de la finalidad que se pretende que no es otra que evitar la desaparición de información que, en principio, se considera de utilidad en la investigación de concretas actividades ilícitas previamente determinadas.

Como hemos podido constatar, la retención obligatoria de datos de tráfico, contemplada en la Ley 25/2007 y la preservación/conservación específica de datos informáticos del artículo 588 octiesLECrim son dos soluciones distintas ante un mismo problema derivado de la extraordinaria volatilidad de las evidencias electrónicas. En el primer caso se opta por la conservación legalmente obligatoria de la generalidad de los datos de tráfico de todas las comunicaciones electrónicas por parte de los operadores de comunicaciones para garantizar su disponibilidad si resultara necesaria en las investigaciones criminales. Por el contrario, la preservación contemplada en el indicado precepto procesal se configura como una medida mucho más específica, vinculada a investigaciones concretas, pero de un mayor alcance, tanto en cuanto al tipo de datos que pueden conservarse como en cuanto a los sujetos que pueden ser requeridos a la conservación de datos.

Aun cuando ambas medidas pretenden un mismo objetivo, las diferencias entre una y otra podrían resumirse en la siguiente forma

1. La retención obligatoria de datos, tal y como se encuentra regulada actualmente, tiene carácter general y alcanza a todos los datos de tráfico y localización vinculados a comunicaciones electrónicas. Por el contrario, la orden de preservación y/o de conservación tiene por objeto datos informáticos sobre comunicaciones concretas relacionadas con investigaciones específicas, por lo que ha de solicitarse expresamente en cada uno de los supuestos en que se estime necesario el aseguramiento de información alojada en un sistema informático o de almacenamiento de datos24).

2. El objeto de la retención obligatoria son los datos relacionados en el artículo 3 de la Ley 25/2007 de 18 de octubre, estando excluidos del alcance de dicha obligación los datos relativos al contenido de las comunicaciones tal y como se preceptúa en los artículos 1-3.º y 3-2.º de la citada disposición legal. Sin embargo la medida prevista en el artículo 588 octies L.E.Crim, no establece limitación alguna en cuanto a los datos que pueden ser objeto de aseguramiento, por lo que ha de entenderse que alcanza también a la información sobre contenidos.

3. Los sujetos obligados a la retención de datos de tráfico son, a tenor de lo establecido en el artículo 2 de la ley 25/200725), los operadores que presten servicios de comunicaciones disponibles al público o exploten redes públicas de comunicaciones. Por el contrario la orden de conservación del artículo 588 octiesLECrim puede dirigirse no solo a los operadores de comunicaciones sino también a los proveedores de servicio de Internet y, en general, a cualquier persona física o jurídica, que tenga a su disposición datos de esta naturaleza.

4. El periodo de conservación en la retención obligatoria es el de 12 meses desde la fecha en que se haya producido la comunicación, según establece el artículo 5 de la Ley 25/2007. Por su parte, la preservación específica, dada su naturaleza de medida de aseguramiento en tanto se obtiene autorización judicial para el acceso a los datos, tiene un periodo muy limitado de duración, 90 días prorrogables por otro periodo similar.

De este análisis conjunto, se deduce claramente que ambas medidas, aun respondiendo a una finalidad similar, presentan diferencias importantes en su planteamiento y en la forma de llevarse a efecto. Cada una de ellas ofrece ventajas y a su vez limitaciones pero ambas han de entenderse y en consecuencia aplicarse en forma tal que su utilización, como medio de investigación criminal, sea plenamente respetuosa con los derechos fundamentales y las libertades de las personas

3.1.3. La incorporación al proceso penal de los datos de tráfico de las comunicaciones en la leguslación española

Cuestión distinta a las circunstancias y condiciones en que se pueden conservar o almacenar datos de tráfico de las comunicaciones telefónicas o electrónicas, que es la que hemos analizado hasta el momento, son los requisitos y garantías exigibles para que dicha información sea utilizada en el proceso, es decir, cuando y como puede ser cedida por quienes la tienen a su disposición con el objetivo de incorporarse, como medio de prueba, en un expediente judicial.

Es esta una materia que hasta la reforma procesal se abordaba solamente en la tan citada ley 25/2007 de 18 de octubre que, en su artículo 6.º señala expresamente que los datos conservados de conformidad con lo dispuesto en esta Ley –relacionados en el art. 3 antes mencionado– solo podrán ser cedidos de acuerdo con lo dispuesto en ella para los fines que se determinen y previa autorización judicial, precepto que ha de interpretarse junto con el artículo 1.º de la misma disposición legal a cuyo tenor la cesión de los datos conservados únicamente puede tener como finalidad la detección, investigación y enjuiciamiento de delitos graves.

Sin embargo, la reforma llevada a efecto por la Ley Orgánica 13/2015 de 5 de diciembre aborda de lleno esta materia en el actual artículo 588 ter j) de la LECrim, incorporado con ocasión de la citada modificación legislativa. Se trata de un precepto, incluido en el Capítulo V del Título VIII del Libro II de la LECrim, dedicado a la interceptación de las comunicaciones telefónicas y telemáticas, concretamente en su sección segunda relativa a la incorporación al proceso de los datos electrónicos de tráfico o asociados, cuyo tenor es el siguiente:

1. Los datos electrónicos conservados por los prestadores de servicios o personas que faciliten la comunicación en cumplimiento de la legislación sobre retención de datos relativos a las comunicaciones electrónicas o por propia iniciativa por motivos comerciales o de otra índole y que se encuentren vinculados a procesos de comunicación, solo podrán ser cedidos para su incorporación al proceso con autorización judicial.

2. Cuando el conocimiento de estos datos resulte indispensable para la investigación, se solicitará del juez competente autorización para recabar la información que conste en los archivos automatizados de los prestadores de servicios, incluida la búsqueda entrecruzada o inteligente de datos, siempre que se precisen la naturaleza de los datos que hayan de ser conocidos y las razones que justifiquen la cesión.

Nótese, en primer término, que la norma es aplicable a los datos de tráfico y asociados pues aunque el artículo no lo indique expresamente, ello se deduce de su ubicación sistemática en la sección relativa a la incorporación al procedimiento judicial de ese tipo de información. Como comentábamos al inicio de este trabajo, ello supone que el precepto alcanza genéricamente no solamente a los datos de tráfico, sino también a todos los que aparecen asociados al proceso de comunicación entre los que cabría incluir los datos de abonado. Por ello es importante la precisión que realiza el precepto al indicar que la exigencia de autorización judicial para la cesión de este tipo de información se refiere exclusivamente a los datos que se encuentren vinculados a procesos de comunicación –es decir, los de tráfico en sentido estricto– ya que la información sobre abonados, como ya hemos indicado, puede obtenerse directamente por el Ministerio Fiscal o la Policía Judicial al amparo de lo establecido en el artículo 588 ter m) de la LECrim.

Centrados en los datos de tráfico, hemos de analizar cuáles de entre ellos pueden ser objeto de cesión a dichos efectos. Al respecto el precepto es suficientemente clarificador al indicar que podrán ser cedidos los conservados por los prestadores de servicios o personas que faciliten la comunicación en cumplimiento de la legislación sobre retención de datos relativos a las comunicaciones electrónicas o por propia iniciativa por motivos comerciales o de otra índole. El artículo por tanto, delimita la posibilidad de cesión desde un doble plano: el de los datos en sí mismos que pueden ser cedidos y el de los sujetos, que por tenerlos disponibles, pueden resultar requeridos a ello.

En cuanto al primer aspecto, el artículo 588 ter j) se refiere por un lado a los datos retenidos en aplicación de la legislación de conservación de datos vigente en cada momento y por otro lado a aquellos otros que se conservan por iniciativa propia, por motivos comerciales o por otra clase de motivaciones. En el primer caso la referencia es, sin duda, a la información conservada en aplicación de la ley 25/2007 de 18 de octubre si bien, al respecto, hemos de reiterar que la citada disposición legal habrá de ser interpretada de conformidad con la doctrina recientemente establecida por las sentencias del Tribunal de Justicia de la Unión Europea que hemos comentado, lo que podría limitar el ámbito de aplicación de la medida de retención tal y como se encuentra regulada actualmente.

Pero también han de incluirse necesariamente en este apartado aquellos datos que son conservados como consecuencia de la solicitud cursada al efecto por el Ministerio Fiscal o por la Policía Judicial, en el ejercicio de las facultades previstas en el artículo 588 octiesLECrim, anteriormente analizado. Como hemos explicado, se trata de información relacionada con investigaciones concretas que se preserva, como medida cautelar y por haberse previsto legalmente dicha posibilidad, a instancia de las mencionadas autoridades para evitar su destrucción en tanto se obtiene la autorización judicial para su incorporación al proceso penal. Ha de recordarse que quienes reciban una instrucción de esta naturaleza están obligados, según el párrafo tercero del artículo mencionado, a atender el requerimiento y guardar silencio sobre ello para no incurrir en responsabilidad.

Finalmente también pueden ser reclamados para ser utilizados en el curso de la instrucción judicial todos aquellos datos de tráfico que cualquier persona o entidad que facilite la comunicación haya conservado a iniciativa propia –más allá de obligaciones legales u órdenes de quienes tienen competencia para ello– por razones de facturación, comerciales o de cualquier otra naturaleza. En este grupo se han de incluir los datos almacenados por considerarse necesarios para llevar a efecto la facturación y los pagos de las interconexiones y aquellos otros conservados con fines de promoción comercial de servicios o para la prestación de servicios con valor añadido que menciona el artículo 65 del Real Decreto 424/2005 que regula las condiciones de la prestación de los servicios de comunicaciones electrónicasy también el artículo 6, n.º 2 y 3 de la Directiva 2002/58/CE. Igualmente habrá de considerarse incluidos en este apartado todos aquellos otros datos de tráfico o asociados que se conserven por razones de otra índole que no obstante habrán de estar suficientemente justificadas porque, como se recordará, la información relacionada con las comunicaciones deberá eliminarse o hacerse anónima cuando ya no resulte necesaria a los efectos de la transmisión de la comunicación o, en general, de la prestación del servicio (art 6.1 de la Directiva 2002/58/CE).

En cuanto a los sujetos o entidades de quienes se puede reclamar esta información, es obvio que el precepto que analizamos tienen un contenido mucho más amplio que el artículo 2 de la Ley 25/2007 de 18 de octubre, pues la petición, no solo puede dirigirse a los operadores que presten servicios de comunicaciones electrónicas o exploten redes públicas de comunicación sino también a los prestadores de servicios de Internet y, en general, a cualquier persona física o jurídica que, por facilitar la comunicación, tenga a su disposición información de esa naturaleza como consecuencia de esa intermediación en la prestación del servicio a colectivos concretos, tales como los trabajadores de una empresa; los clientes de un hotel etc…

La incorporación de estos datos al proceso exige de autorización judicial, ello es evidente porque así lo establece el artículo que estamos examinando –al igual que el artículo 6 de la ley 25/2007 de conservación de datos de las comunicaciones electrónicas–, como no podía ser de otra forma al tratarse de datos vinculados a procesos de comunicación. Obviamente esta autorización judicial se encuentra sujeta a las condiciones y requisitos establecidos en los artículos 588 bis a y ss. de la LECrim y, en particular, a los principios de especialidad, idoneidad, excepcionalidad, necesidad y proporcionalidad de la medida así como a las exigencias de precisión y motivación a que se refiere el artículo 588 bis c del citado texto legal.

Quiere decirse con ello, que la reclamación y efectiva incorporación de datos informáticos al proceso penal, ha de ser objeto, en cualquier caso, de una valoración individualizada por parte de la autoridad judicial que conozca del supuesto concreto objeto de investigación y cuyo esclarecimiento precise de la información reclamada. Será el Juez de Instrucción quien habrá de valorar, en cada caso, el alcance de la solicitud que se curse al respecto, el tipo de datos que pretenden ser utilizados como medio de prueba, la relación que dichos datos tienen con el hecho investigado, la necesidad/utilidad de su aportación y, en definitiva, la proporcionalidad de la medida teniendo en cuenta la importancia de esa información a efectos de la concreción de los hechos y la determinación de sus autores y la injerencia que su conocimiento puede suponer en los derechos fundamentales a la intimidad, al secreto de las comunicaciones o a la protección de datos del afectado26).

Precisamente en la valoración de la proporcionalidad de la medida, puede resultar un factor determinante, la gravedad del delito investigado. A ello se refiere expresamente la Sentencia del TJUE de 21 de diciembre de 2016, en su apartado 115 al señalar que solo la lucha contra la delincuencia grave puede justificar dicho acceso a los datos conservados, añadiendo en el apartado 118, con cita de la Sentencia Digital Rigths que la normativa nacional debe establecer los requisitos materiales y procedimentales que regulen el acceso de las autoridades nacionales competentes a los datos conservados,y también que esa misma norma nacional ha de basarse en criterios objetivos para definir las circunstancias y los requisitos conforme a los cuales debe concederse a las autoridades nacionales competentes el acceso a los datos de abonados o usuarios registrados.Igualmente señala el Tribunal, en el apartado 119 de la resolución, que solo podrá concederse acceso a los datos relativos a personas de las que se sospeche que planean, van a cometer o han cometido un delito grave o que puedan estar implicadas de un modo u otro en un delito grave. Es decir, el Tribunal considera un factor determinante en orden a valorar la oportunidad de incorporar al proceso información conservada la circunstancia de que esa injerencia en los derechos fundamentales reconocidos en los artículos 7 y 8 de la Carta respete los parámetros de proporcionalidad en atención a la gravedad del delito para cuya investigación se precisa dicha información. No obstante, y pese a la rotundidad del planteamiento, el Tribunal no define que ha de entenderse por delito grave, ni mucho menos vincula este concepto a la naturaleza y duración temporal de las penas previstas para las distintas tipologías delictivas.

En nuestra legislación interna, el artículo 1.º de la ley 25/2007 condiciona también la posibilidad de cesión de los datos conservados a las necesidades de detección, investigación y enjuiciamiento de delitos gravesprevistosen el Código Penal o en las leyes penales especiales. La interpretación del concepto de delito grave utilizado en ese contexto ha dado lugar a importantes discrepancias doctrinales. Así frente a la concepción más estricta que entiende –en aplicación de los artículos 13 y 33 del C. penal– que dicho concepto es exclusivamente predicable de aquellos tipos penales que llevan aparejadas sanciones de carácter grave, es decir, penas de privación de libertad o privativas o restrictivas o de derechos por periodo temporal superior a cinco años, diversos tribunales27) y la Fiscalía General del Estado, a través de la Circular 1/2013, han considerado que el concepto de delito grave ha de interpretarse en un sentido más amplio teniendo en cuenta no solo la sanción prevista para la conducta sino también otros aspectos tales como los bienes jurídicos protegidos, la trascendencia del hecho ilícito, la peligrosidad de la acción u otras circunstancias como el hecho de que el delito haya sido cometido por una organización criminal. Incluso alguna resolución del Tribunal Constitucional como la Sentencia 104/2006 de 3 de abril (RTC 2006, 104), ha tomado también en cuenta a esos efectos la incidencia del uso de las tecnologías de la información en la ejecución del hecho ilícito investigado pues ello facilita la perpetración del delito y puede dificultar de forma notable su persecución.

En igual sentido nuestro Tribunal Supremo en la reciente sentencia n.º 454/2015 de 10 de julio, al reflexionar sobre la posibilidad de adoptar medidas que supongan una injerencia en el derecho al secreto de las comunicaciones recuerda que para que tales restricciones puedan hacerse efectivas, es preciso que, partiendo de la necesaria habilitación legal, existan datos que en cada caso concreto pongan de manifiesto que la medida restrictiva del derecho es proporcional al fin pretendido, que este fin es legítimo y que es necesaria en función de las circunstancias de la investigación y del hecho investigado. Ello implica una valoración sobre la gravedad del delito, sobre los indicios de su existencia y de la intervención del sospechoso y sobre la necesidad de la medida,indicando a continuación que para valorar la gravedad no solo es preciso atender a la previsión legal de una pena privativa de libertad grave, sino además debe valorarse la trascendencia social del delito que se trata de investigar.

Pues bien, dichas discrepancias se ha visto en buena medida superadas tras la reforma llevada a efecto en la Ley de Enjuiciamiento Criminal por la LO 13/2015 antes citada, que se inclina por esta última posición al hacer extensiva a la incorporación al proceso de datos almacenados en archivos automatizados, los mismos presupuestos que se exigen para la interceptación de las comunicaciones. En consecuencia podrá ser utilizada dicha información –conservada por mor de la Ley 25/2007 o por cualquiera de los motivos previstos en el artículo 588 ter j LECrim– en las investigaciones que tengan por objeto alguno de los delitos a que se refiere el artículo 579.128) del mismo texto legal y también cuando tengan por objeto delitos que se hayan cometido a través de instrumentos informáticos o de cualquier otra tecnología de la información o la comunicación o servicio de comunicación (art 588 ter a)) sin limitación alguna en cuanto a la gravedad de estos últimos.

Pudiera pensarse que este planteamiento no respeta los criterios de proporcionalidad al no vincular la posibilidad de acceso a los datos conservados a la calificación como gravedel delito investigado de acuerdo con unos parámetros previamente determinados. Pero al respecto ha de indicarse que es cada Estado el que ha de definir que ha de entenderse por un delito grave sin que, a dichos efectos, resulte imprescindible que dicha valoración se haga depender de parámetros preestablecidos con antelación o de limites penológicos concretos, pues las sentencias del TJUE que hemos analizado anteriormente, no establecen criterios determinados en referencia a dicho extremo.

El legislador español, a nuestro entender desde un planteamiento plenamente acertado, se ha inclinado por considerar, en primer término y siguiendo la doctrina antes señalada que la gravedad de un ilícito no depende exclusivamente de la pena prevista, en abstracto, para una conducta determinada sino también de otros factores como la trascendencia social del hecho, la naturaleza de los bienes jurídicos protegidos o la peligrosidad de la actividad enjuiciada, aspectos éstos que en su contenido y alcance difícilmente pueden ser prefijados –al menos rígidamente– con carácter general, sino que deben ser analizados en cada supuesto concreto. En estas circunstancias, dejar a la decisión de una autoridad judicial la estimación de esa gravedad y su valoración a efectos de proporcionalidad ante una posible injerencia en derechos fundamentales parece una solución adecuada, coherente y plenamente ajustada a las exigencias que venimos señalando. En definitiva, nadie mejor que el órgano judicial, en el curso concreto de una investigación criminal, se encuentra en condiciones de llevar a efecto dicha valoración –al amparo de lo establecido en los artículos 588 bis a) y ss. L.E.Crim.– y en atención a los principios de necesidad, especialidad, idoneidad y excepcionalidad de forma tal que la decisión, que finalmente se adopte, sea capaz de cohonestar las necesidades de la investigación criminal con la irrenunciable defensa de los derechos fundamentales del investigado y, en general de todos los ciudadanos.

1

Esta Convención se publicó en Budapest en el año 2001 y ha sido ratificada por España en Instrumento de fecha 20 de mayo de 2010, publicado en BOE de 17 de septiembre del mismo año

2

También pueden hallarse relacionados con el uso de dispositivos móviles, los datos de geolocalización, si bien dicha información se genera por la mera conexión técnica del dispositivo con las correspondientes estaciones de la red de telefonía, sin que sea necesario para ello que se produzca una comunicación en sentido estricto, es decir, una comunicación interpersonal

3

Artículo 3. Datos objeto de conservación.

1. Los datos que deben conservarse por los operadores especificados en el artículo 2 de esta Ley, son los siguientes:

a) Datos necesarios para rastrear e identificar el origen de una comunicación:

1.° Con respecto a la telefonía de red fija y a la telefonía móvil:

i) Número de teléfono de llamada.

ii) Nombre y dirección del abonado o usuario registrado.

2.° Con respecto al acceso a Internet, correo electrónico por Internet y telefonía por Internet:

i) La identificación de usuario asignada.

ii) La identificación de usuario y el número de teléfono asignados a toda comunicación que acceda a la red pública de telefonía.

iii) El nombre y dirección del abonado o del usuario registrado al que se le ha asignado en el momento de la comunicación una dirección de Protocolo de Internet (IP), una identificación de usuario o un número de teléfono.

b) Datos necesarios para identificar el destino de una comunicación:

1.º Con respecto a la telefonía de red fija y a la telefonía móvil:

i) El número o números marcados (el número o números de teléfono de destino) y, en aquellos casos en que intervengan otros servicios, como el desvío o la transferencia de llamadas, el número o números hacia los que se transfieren las llamadas.

ii) Los nombres y las direcciones de los abonados o usuarios registrados.

2.º Con respecto al correo electrónico por Internet y la telefonía por Internet:

i) La identificación de usuario o el número de teléfono del destinatario o de los destinatarios de una llamada telefónica por Internet.

ii) Los nombres y direcciones de los abonados o usuarios registrados y la identificación de usuario del destinatario de la comunicación.

c) Datos necesarios para determinar la fecha, hora y duración de una comunicación:

1.° Con respecto a la telefonía de red fija y a la telefonía móvil: la fecha y hora del comienzo y fin de la llamada o, en su caso, del servicio de mensajería o del servicio multimedia.

2.° Con respecto al acceso a Internet, al correo electrónico por Internet y a la telefonía por Internet:

i) La fecha y hora de la conexión y desconexión del servicio de acceso a Internet registradas, basadas en un determinado huso horario, así como la dirección del Protocolo Internet, ya sea dinámica o estática, asignada por el proveedor de acceso a Internet a una comunicación, y la identificación de usuario o del abonado o del usuario registrado.

ii) La fecha y hora de la conexión y desconexión del servicio de correo electrónico por Internet o del servicio de telefonía por Internet, basadas en un determinado huso horario.

d) Datos necesarios para identificar el tipo de comunicación.

1.° Con respecto a la telefonía de red fija y a la telefonía móvil: el servicio telefónico utilizado: tipo de llamada (transmisión de voz, buzón vocal, conferencia, datos), servicios suplementarios (incluido el reenvío o transferencia de llamadas) o servicios de mensajería o multimedia empleados (incluidos los servicios de mensajes cortos, servicios multimedia avanzados y servicios multimedia).

2.° Con respecto al correo electrónico por Internet y a la telefonía por Internet: el servicio de Internet utilizado.

e) Datos necesarios para identificar el equipo de comunicación de los usuarios o lo que se considera ser el equipo de comunicación:

1.º Con respecto a la telefonía de red fija: los números de teléfono de origen y de destino.

2.° Con respecto a la telefonía móvil:

i) Los números de teléfono de origen y destino.

ii) La identidad internacional del abonado móvil (IMSI) de la parte que efectúa la llamada.

iii) La identidad internacional del equipo móvil (IMEI) de la parte que efectúa la llamada.

iv) La IMSI de la parte que recibe la llamada.

v) La IMEI de la parte que recibe la llamada.

vi) En el caso de los servicios anónimos de pago por adelantado, tales como los servicios con tarjetas prepago, fecha y hora de la primera activación del servicio y la etiqueta de localización (el identificador de celda) desde la que se haya activado el servicio.

3.° Con respecto al acceso a Internet, correo electrónico por Internet y telefonía por Internet:

i) El número de teléfono de origen en caso de acceso mediante marcado de números.

ii) La línea digital de abonado (DSL) u otro punto terminal identificador del autor de la comunicación.

f) Datos necesarios para identificar la localización del equipo de comunicación móvil:

1.° La etiqueta de localización (identificador de celda) al inicio de la comunicación.

2.° Los datos que permiten fijar la localización geográfica de la celda, mediante referencia a la etiqueta de localización, durante el período en el que se conservan los datos de las comunicaciones.

2. Ningún dato que revele el contenido de la comunicación podrá conservarse en virtud de esta Ley.

4

Art 18.4 CE. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos

5

Artículo 4. Calidad de los datos.

1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.

3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.

4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16.

5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.

Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.

6. Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.

7. Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.

6

De hecho es interesante reseñar, a los efectos que aquí nos interesan que en Resolución de la Agencia Española de Protección de Datos (en adelante AEPD) de 19 de diciembre del año 2013 se sanciono a la entidad Google, entre otras razones, por almacenar y conservar datos de carácter personal por periodos de tiempo indeterminados o injustificados. En dicha resolución administrativa se consideró acreditado que la actuación de Google contravenía el mandato legal de proceder a cancelar la información cuando dejara de ser necesaria para la finalidad que había justificado su recogida, recordando al tiempo, que la conservación de datos por tiempo indefinido constituye un supuesto de tratamiento ilícito. Otro de los motivos por el que se sancionó a Google en dicha resolución fue por combinar información personal obtenida a través de diversos servicios y productos para después utilizarla con finalidades distintas de aquellas que motivaron su recogida que, además, en aquel supuesto, no se determinaban con suficiente claridad. También se consideró en el expediente administrativo que Google obstaculizaba –y en algunas ocasiones incluso impedía– el ejercicio de los derechos de acceso, rectificación, cancelación y oposición por parte de los ciudadanos.

Esta actuación de la AEPD fue, en realidad, el resultado de una acción llevada a efecto de forma coordinada por las autoridades de protección de datos de los distintos países europeos. En el año 2012 y tras modificar Google su política de privacidad y las condiciones de uso de sus servicios, los integrantes del llamado Grupo del 29 acordaron iniciar una investigación conjunta que les llevó a la conclusión de que la política de privacidad de la empresa no se ajustaba a las condiciones establecidas por la legislación europea sobre protección de datos. A consecuencia de ello se efectuaron las oportunas recomendaciones a los responsables de la entidad y ante la falta de respuesta, las autoridades de protección de datos de diversos países concretamente Alemania, España, Francia, Holanda, Italia y RU iniciaron los correspondientes expedientes sancionadores con el resultado, en el caso de España, anteriormente mencionado.

7

Artículo 15.-Aplicación de determinadas disposiciones de la Directiva 95/46/CE

1. Los Estados miembros podrán adoptar medidas legales para limitar el alcance de los derechos y las obligaciones que se establecen en los artículos 5 y 6, en los apartados 1 a 4 del artículo 8 y en el artículo 9 de la presente Directiva, cuando tal limitación constituya una medida necesaria proporcionada y apropiada en una sociedad democrática para proteger la seguridad nacional (es decir, la seguridad del Estado), la defensa, la seguridad pública, o la prevención, investigación, descubrimiento y persecución de delitos o la utilización no autorizada del sistema de comunicaciones electrónicas a que se hace referencia en el apartado 1 del artículo 13 de la Directiva 95/46/CE. Para ello, los Estados miembros podrán adoptar, entre otras, medidas legislativas en virtud de las cuales los datos se conserven durante un plazo limitado justificado por los motivos establecidos en el presente apartado. Todas las medidas contempladas en el presente apartado deberán ser conformes con los principios generales del Derecho comunitario, incluidos los mencionados en los apartados 1 y 2 del artículo 6 del Tratado de la Unión Europea.

2. Las disposiciones del capítulo III sobre recursos judiciales, responsabilidad y sanciones de la Directiva 95/46/CE se aplicarán a las disposiciones nacionales adoptadas con arreglo a la presente Directiva y a los derechos individuales derivados de la misma.

3. El Grupo de protección de las personas en lo que respecta al tratamiento de datos personales, creado por el artículo 29 de la Directiva 95/46/CE, ejercerá también las funciones especificadas en el artículo 30 de dicha Directiva por lo que se refiere a los asuntos objeto de la presente Directiva, a saber, la protección de los derechos y las libertades fundamentales y de los intereses legítimos en el sector de las comunicaciones electrónicas.

8

Artículo 6.-Datos de tráfico

1. Sin perjuicio de lo dispuesto en los apartados 2, 3 y 5 del presente artículo y en el apartado 1 del artículo 15, los datos de tráfico relacionados con abonados y usuarios que sean tratados y almacenados por el proveedor de una red pública de comunicaciones o de un servicio de comunicaciones electrónicas disponible al público deberán eliminarse o hacerse anónimos cuando ya no sea necesario a los efectos de la transmisión de una comunicación.

2. Podrán ser tratados los datos de tráfico necesarios a efectos de la facturación de los abonados y los pagos de las interconexiones. Se autorizará este tratamiento únicamente hasta la expiración del plazo durante el cual pueda impugnarse legalmente la factura o exigirse el pago.

3. El proveedor de un servicio de comunicaciones electrónicas disponible para el público podrá tratar los datos a que se hace referencia en el apartado 1 para la promoción comercial de servicios de comunicaciones electrónicas o para la prestación de servicios con valor añadido en la medida y durante el tiempo necesarios para tales servicios o promoción comercial, siempre y cuando el abonado o usuario al que se refieran los datos haya dado su consentimiento. Los usuarios o abonados dispondrán de la posibilidad de retirar su consentimiento para el tratamiento de los datos de tráfico en cualquier momento.

4. El proveedor del servicio deberá informar al abonado o al usuario de los tipos de datos de tráfico que son tratados y de la duración de este tratamiento a los efectos mencionados en el apartado 2 y, antes de obtener el consentimiento, a los efectos contemplados en el apartado 3.

5. Sólo podrán encargarse del tratamiento de datos de tráfico, de conformidad con los apartados 1, 2, 3 y 4, las personas que actúen bajo la autoridad del proveedor de las redes públicas de comunicaciones o de servicios de comunicaciones electrónicas disponibles al público que se ocupen de la facturación o de la gestión del tráfico, de las solicitudes de información de los clientes, de la detección de fraudes, de la promoción comercial de los servicios de comunicaciones electrónicas o de la prestación de un servicio con valor añadido, y dicho tratamiento deberá limitarse a lo necesario para realizar tales actividades.

6. Los apartados 1, 2, 3 y 5 se aplicarán sin perjuicio de la posibilidad de que los organismos competentes sean informados de los datos de tráfico con arreglo a la legislación aplicable, con vistas a resolver litigios, en particular los relativos a la interconexión o a la facturación.

9

En caso de urgencia, cuando las investigaciones se realicen para la averiguación de delitos relacionados con la actuación de bandas armadas o elementos terroristas y existan razones fundadas que hagan imprescindible la medida prevista en los apartados anteriores de este artículo, podrá ordenarla el Ministro del Interior o, en su defecto, el Secretario de Estado de Seguridad. Esta medida se comunicará inmediatamente al Juez competente y, en todo caso, dentro del plazo máximo de 24 horas, haciendo constar las razones que justificaron la adopción de la medida, la actuación realizada, la forma en que se ha efectuado y su resultado. El juez competente, también de forma motivada, revocará o confirmará tal actuación en un plazo máximo de setenta y dos horas desde que fue ordenada la medida.

10

Datos de localización distintos de los datos de tráfico

11

Art 5.4 En virtud del principio de proporcionalidad, el contenido y la forma de la acción de la Unión no excederán de lo necesario para alcanzar los objetivos de los Tratados.

Las instituciones de la Unión aplicarán el principio de proporcionalidad de conformidad con el Protocolo sobre la aplicación de los principios de subsidiariedad y proporcionalidad

12

Artículo 7. Respeto de la vida privada y familiar

Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de sus comunicaciones.

13

Artículo 8.-Protección de datos de carácter personal

1.-Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan.

2.-Estos datos se trataran de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación.

3.-El respeto de estas normas quedará sujeto al control de una autoridad independiente.

14

Artículo 11.-Libertad de expresión y de información

1.-Toda persona tiene derecho a la libertad de expresión. Este derecho comprende la libertad de opinión y la libertad de recibir o comunicar informaciones o ideas sin que pueda haber injerencia de autoridades públicas y sin consideración de fronteras

2.-Se respetarán la libertad de los medios de comunicación y su pluralismo.

15

Artículo 52. Alcance e interpretación de los derechos y principios

1. Cualquier limitación del ejercicio de los derechos y libertades reconocidos por la presente Carta deberá ser establecida por la ley y respetar el contenido esencial de dichos derechos y libertades. Dentro del respeto del principio de proporcionalidad, sólo podrán introducirse limitaciones cuando sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás.

2. Los derechos reconocidos por la presente Carta que constituyen disposiciones de los Tratados se ejercerán en las condiciones y dentro de los límites determinados por éstos.

3. En la medida en que la presente Carta contenga derechos que correspondan a derechos garantizados por el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, su sentido y alcance serán iguales a los que les confiere dicho Convenio. Esta disposición no obstará a que el Derecho de la Unión conceda una protección más extensa.

16

Artículo 8 Protección de datos de carácter personal vid nota nº 13.

17

Pueden considerarse invalidadas, en todo o en parte, las normas internas de implementación de la Directiva de, al menos, los siguientes países: Austria, Bélgica, Bulgaria, Alemania, Holanda, Polonia, Rumania, Eslovenia, Eslovaquia y Reino Unido.

18

Así lo entiende la reciente STS n.º 272/2017 de 18 de abril (RJ 2017, 1984) que refiriéndose al efecto que tiene la sentencia del TJUE comentada en la legislación interna española recuerda expresamente que con posterioridad a dicha sentencia, el artículo 42 de la Ley General de Telecomunicaciones(Ley 9/2014 de 9 de mayo) se sigue remitiendo a la Ley 25/2007, sin tener en cuenta los problemas derivados de la declaración de nulidad de la Directiva 2006/24, cuando en su artículo 42 dispone expresamente que «la conservación y cesión de los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o redes públicas de comunicación a los agentes facultados a través de la correspondiente autorización judicial con fines de investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales se rige por lo establecido en la ley 25/2007 de 18 de octubre….».: Por tanto desde el punto de vista del derecho interno la situación normativa no ha variado….

19

Las normas relativas a los derechos fundamentales y libertades públicas que la Constitución reconoce se interpretarán de conformidad con la Declaración Universal de Derechos Humanos y los tratados y acuerdos sobre las mismas materias ratificados por España.

20

En el parágrafo 103 la Sentencia pone como ejemplo de delincuencia grave, el terrorismo y la delincuencia organizada pero sin limitar el alcance del fenómeno a estas concretas manifestaciones criminales.

21

Así, a tenor del artículo 16 de la Convención:

1. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para permitir a sus autoridades competentes ordenar o imponer de otra manera la conservación rápida de determinados datos electrónicos, incluidos los datos sobre el tráfico, almacenados por medio de un sistema informático, en particular cuando existan razones para creer que los datos informáticos resultan especialmente susceptibles de pérdida o de modificación.

2. Cuando una Parte aplique lo dispuesto en el anterior apartado 1 por medio de una orden impartida a una persona para conservar determinados datos almacenados que se encuentren en posesión o bajo el control de dicha persona, la Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para obligar a esa persona a conservar y a proteger la integridad de dichos datos durante el tiempo necesario, hasta un máximo de noventa días, de manera que las autoridades competentes puedan conseguir su revelación. Las Partes podrán prever que tales órdenes sean renovables.

3. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para obligar al encargado de la custodia de los datos o a otra persona encargada de su conservación a mantener en secreto la aplicación de dichos procedimientos durante el plazo previsto en su derecho interno.

4. Los poderes y procedimientos mencionados en el presente artículo estarán sujetos a lo dispuesto en los artículos 14 y 15.

22

Además la casi totalidad de los países miembros del Consejo de Europa también han ratificado, por el momento, esta Convención Australia; Canadá; Republica Dominicana; Israel; Japón; Islas Mauricio; Panamá; Chile, Tonga, Sri Lanka y EEUU y la ha suscrito, aunque no ratificado, la República de Sudáfrica.

23

Así el parágrafo 162 del Informe explicativo previo a la Convención señala que la orden ha de ser en relación a determinados datos almacenados que se encuentren en poder o bajo el control de esa(una) persona. Así los datos almacenados pueden realmente estar en poder de una persona o estar almacenados en otro lugar, aunque estando sujetos al control de esa persona. la persona a quien está dirigida la orden tiene la obligación de conservar y proteger la integridad de dichos datos durante el tiempo necesario, hasta un máximo de 90 días, de manera que las autoridades competentes puedan conseguir su revelación.

24

El informe explicativo de la Convención de Budapest es muy expresivo al respecto. Comenta a propósito del artículo 16 que el término «conservación de datos» ha de distinguirse de la «retención de datos». Si bien ambas expresiones tienen significados similares en el lenguaje común tienen distintos significados en relación con el uso de ordenadores. Conservar los datos es guardar los datos que ya están almacenados de algún modo, protegiéndolos contra cualquier cosa que pudiera causar una modificación o deterioro de su calidad o condición actual. Retener los datos significa guardar para el futuro los datos que están siendo generados en ese momento. La retención de datos implica acumular datos en el presente y guardarlos o mantener su posesión para el fututo… Por el contrario la conservación de datos es la actividad destinada a guardar los datos almacenados de manera segura.

El mismo informe indica más adelante que cuando una Parte emite una orden en que solicita medidas de conservación, esta debe ser en relación con «determinados datos informáticos almacenados que se encuentren en poder o bajo el control de una persona»(apartado 2.º art 16). Por consiguiente los artículos prevén solo la facultad de exigir la conservación de datos almacenados existentes, quedando pendiente la posterior revelación de los datos en consideración de otras facultades jurídicas, en relación con investigaciones o procedimientos judiciales específicos.

25

Son destinatarios de las obligaciones relativas a la conservación de datos impuestas en esta Ley los operadores que presten servicios de comunicaciones disponibles al público o exploten redes públicas de comunicaciones, en los términos establecidos en la Ley 32/2003 de 3 de noviembre, General de Telecomunicaciones.

26

La recientísima STS n.º 400/2017 de 1 de junio (RJ 2017, 3872), insiste precisamente en este aspecto para rechazar las alegaciones derivadas de una supuesta vulneración de derechos fundamentales en la obtención de la prueba como consecuencia de la anulación de la Directiva 2006/24 por la sentencia de 8-IV-204 del TJUE, en el entendimiento de que la misma implicaba una injerencia no justificada en los derechos fundamentales a la intimidad y a la protección de datos de carácter personal. Argumenta al respecto el Tribunal que, en nuestra normativa interna, tanto la protección del derecho a la intimidad como el principio de proporcionalidad, están sujetos a la autorización de una autoridad independiente de la administrativa cual es la judicial y se contraen a la investigación y al enjuiciamiento de delitos graves contemplados en el Código Penal y en las Leyes Penales especiales, de forma que en cada caso será el Juez de Instrucción correspondiente el que decida la cesión de los datos de tráfico en las comunicaciones electrónicas, lo que desde luego implica que la decisión debe ser ajustada al principio de proporcionalidad establecido expresamente en nuestra ley procesal (art. 588 bis a).5 L.Ecrim)

27

Al respecto, resulta de interés citar el Auto 572/2013, de 11 de julio, dictado por la Sección 30 de la AP de Madrid en recurso planteado por la Fiscalía contra la resolución dictada por el Juzgado n.º 41 de la misma capital en sus DP 4134/2012., en el que denegó la solicitud de mandamiento judicial para averiguar información a disposición de las operadoras de comunicación, argumentando que el hecho investigado no tenía la consideración de delito grave, en atención a la pena correspondiente al mismo. La Sala de la AP, estima el recurso interpuesto por el Ministerio Fiscal indicando en primer término que la declaración programática del preámbulo(de la Ley 25/2007) y su concreción en el artículo primero, en términos generales, no deja de ser sino la trasposición de la citada Directiva y de un concepto jurídico indeterminado clave cual es el de «delito grave» que ha de ser objeto de concreción,para indicar a continuación que para valorar la gravedad del delito, de acuerdo con una interpretación teleológica y sistemática de la norma, no solo se debe atender a la previsión legal de una pena privativa de libertad grave, sino que además debe valorarse la trascendencia social del delito que se trata de investigar.En apoyo de esta tesis se argumenta en el Auto que cuando el C.Penal establece la distinción entre delitos graves y menos graves en atención a las penas correspondientes a los distintos tipos delictivos, no pretendió anudar la misma a la posibilidad de practicar diligencias restrictivas de derechos fundamentales. Estas han de adoptarse por los órganos judiciales en función de parámetros de gravedad, proporcionalidad y necesidad de la medida, en los términos que ha ido delimitando la jurisprudencia constitucional.

28

Delitos dolosos castigados con pena con límite máximo de al menos tres años de prisión, delitos cometidos en el seno de un grupo u organización criminal y delitos de terrorismo