Y se impuso la cordura

Cuentan quienes estuvieron allí que el 11 de septiembre de 2001, en Bruselas, el Grupo del Artículo 29 se encontraba reunido cuando se produjeron los bárbaros atentados terroristas de Estados Unidos. Todavía no se conocía con claridad el alcance de los ataques cuando su presidente, el insigne profesor Stefano Rodotà, tomó la palabra para anunciar, con voz grave, el fin de una era en materia de protección de datos y la rotura del equilibrio entre privacidad y seguridad.

Los posteriores atentados de Madrid y Londres no hicieron sino espolear al legislador comunitario para aprobar una Directiva que permitiese a los Estados controlar las comunicaciones electrónicas de los ciudadanos europeos. La norma vio la luz el 25 de marzo de 2006, y pronto se conoció como “directiva de conservación de datos de telecomunicaciones”. Una texto que, en palabras del propio Rodotà, suponía “convertir de entrada a los ciudadanos en sospechosos y entrar en un nuevo marco donde se produce un fichaje masivo de datos” y “contravenir los principios básicos de la protección de datos”. Y que Peter Hustinx calificó como, “el instrumento más invasivo contra la privacidad de cuantos ha adoptado la UE, en términos de volumen y de número de afectados”.

De poco sirvieron, por aquel entonces, los alarmantes dictámenes de las autoridades de protección de datos y las amargas quejas de las empresas de telecomunicaciones y de amplios sectores de la sociedad civil: la norma estaba aprobada y los Estados debían incorporarla a sus ordenamientos. Sin embargo, la transposición nacional constató que el texto original estaba muy lejos de la perfección, hasta el punto que varias de las leyes adoptadas a tal efecto fueron declaradas inconstitucionales (en concreto, en Alemania, Rumanía y la República Checa).

En España, la Directiva se transpuso a través de la Ley 25/2007. Un texto que no convenció a prácticamente nadie, levantando unas críticas inmensas desde su misma aprobación. Les invito a revisar la obra “La protección de datos en la cooperación policial y judicial”, que dedica uno de sus tres bloques a esta norma y aporta el punto de vista de empresas, usuarios, jueces, fuerzas y cuerpos de seguridad… En ella comprobarán que la Ley no satisfizo a prácticamente nadie (si bien es cierto que por muy diferentes motivos), y que dio lugar a gran confusión en temas como el acceso a datos de tráfico para la resolución de supuestos en los que no cabía hablar de “delito grave” (criticadísimo concepto que traza el límite para acceder a los datos conservados en base a esta Ley) o la determinación de los sujetos obligados en determinadas circunstancias.

Pues bien, en este contexto, el Tribunal de Justicia de la Unión Europea acaba de dar una vuelta de tuerca a esta discusión, al declarar la invalidez de esta Directiva por contravenir la Carta de Derechos Fundamentales de la Unión Europea (mediante sentencia del pasado día 8). Los motivos, en esencia, no hacen sino reproducir las pegas planteadas en su día por el propio Grupo del Artículo 29: cuestionable justificación de la limitación de derechos fundamentales, vulneración del principio de proporcionalidad, insuficiencia de las medidas de control adoptadas… Nada, en definitiva, de lo que el legislador comunitario no hubiese sido alertado en el proceso de tramitación de la norma.

¿Qué ocurrirá ahora? De entrada, es de sobra conocido que el Tribunal de Justicia tiene la potestad de interpretar la normativa comunitaria, y que sus decisiones en este sentido gozan de carácter vinculante. ¿Supone esto la derogación de la Ley 25/2007? Por supuesto que no… pero la pone francamente en entredicho. Si bien la Comisión ha reaccionado con prontitud para recordar que la Directiva de “privacidad electrónica” (2002/58/CE) ofrece igualmente un asidero jurídico para soportar los programas de conservación de datos de los Estados miembros, lo cierto es que los tribunales nacionales no van a poder ignorar el pronunciamiento del TJUE, y me temo que van a ser muchos los casos (esencialmente penales) en los que se va a aportar como defensa esta reciente sentencia, para lograr que el órgano juzgador declare ilícita tal o cual prueba de cargo.

¿Qué va a ocurrir? En principio, todo indica que Bruselas va a tratar de enmendar su error en el plazo más corto posible. Ahora bien, la opinión pública, buena conocedora de escándalos globales en lo referente al secreto de las comunicaciones y cansada de tanto control gubernamental en aras a la seguridad, parece lejos de desear nuevas normas que incidan negativamente en su intimidad. Y lo mismo cabría decir del Parlamento Europeo, determinante en la defensa de derechos fundamentales desde la entrada en vigor del Tratado de Lisboa.

Entretanto, no queda sino llamar a la cordura. En mi opinión, una legislación sólida que regule el modo en que se deben conservar los datos de tráfico en Internet es más que necesaria, para evitar la impunidad en el entorno online y generar seguridad jurídica. Pero el almacenamiento masivo de los datos de los usuarios, fuera del marco de una concreta investigación penal o de la prevención de un peligro real y cierto para la seguridad pública, debe ser descartado. No lo olvidemos, hablamos de derechos fundamentales.

 José Leandro Núñez García

Socio en Audens, y vocal en Enatic.