El Tribunal de Justicia de la Unión Europea (TJUE) se expidió sobre la compatibilidad del Derecho de la Unión con la conservación generalizada e indiferenciada de datos informáticos de tráfico y localización. Asimismo confirmó el criterio sobre qué tipos de medidas no se oponen a la legislación regional.
Retención general de datos informáticos
La conservación general e indiscriminada de datos informáticos, también denominada retención general de datos, es una medida legislativa mediante la cual los países ordenan a los proveedores de servicios de internet (ISP por sus siglas en inglés) y de comunicaciones electrónicas (ESP por sus siglas en inglés) que retengan y conserven por un plazo determinado todos los datos informáticos de todos sus usuarios, para su eventual y posterior cesión a las autoridades competentes en el marco de una investigación penal.
Generalmente se suelen incluir en las regulaciones datos de abonado (datos que poseen los diversos ISP/ESP permiten identificar a los usuarios abonados del servicio)[1] y datos de tráfico (todos los datos asociados a una comunicación por medio de sistemas informáticos en tanto elementos de la cadena comunicacional como origen, destino, la ruta, la fecha, tamaño, duración, etc.).[2] Con relación al plazo puede ser desde meses hasta años.
Como puede verse, es una medida general, previa a toda eventual sospecha y que no se enmarca en una causa penal concreta o una investigación particular. Será en el marco específico de una investigación penal que se solicitará el acceso a dichos datos, pero la retención general aplica a todos los usuarios de manera indiscriminada. Por ende, las legislaciones de los países suelen regular de manera diferenciada ambos momentos: primero la retención general e indiscriminada por parte de los ISP/ESP de datos informáticos de todos sus usuarios, y luego el acceso a los mismos por parte de la autoridad competente, generalmente mediante una orden de presentación.
En Argentina la Ley 25873 estipuló una medida de retención general de datos que incluía datos de abonado y de tráfico y establecía un plazo desproporcionado de 10 años. Esta Ley fue declarada inconstitucional por la Corte Suprema de Justicia de la Nación mediante el fallo Halabi por su desproporcionalidad, vaguedad, riesgo de que los datos retenidos sean usados para otros fines de los previstos, violar el derecho a la intimidad, secreto de las comunicaciones, entre otras cuestiones que excederían con creces el propósito de este artículo.
Aquí radica una de las mayores diferencias entre la medida de retención/conservación general e indiscriminada de datos informáticos con la medida de conservación rápida de datos informáticos (también denominada medida de aseguramiento o quick freeze) regulada en el art. 16 del Convenio para la Ciberdelincuencia de Budapest. Esta última es una medida de naturaleza cautelar que tiene como fin ordenar, ya en el marco de un proceso penal o investigación específico que un ISP/ESP conserve determinados datos del usuario (no su entrega) por un plazo determinado generalmente de 90 días, hasta tanto se produzca la orden de presentación (y ahora sí su entrega a la autoridad por parte del ISP/ESP). ¿Por qué ordenar la conservación hasta tanto se obtenga la orden de presentación?: para evitar que en ese lapso de tiempo se eliminen o se alteren. De esta manera las autoridades tendrán garantizado que hasta que el proveedor entregue los datos a la investigación penal, estos estarán en manos del ISP/ESP pero seguros e inalterables.
Volviendo a la medida de retención general de datos, por ejemplo en Argentina la Ley 25873 incluía datos de abonado y de tráfico y establecía un plazo desproporcionado de 10 años. Esta Ley fue declarada inconstitucional por la Corte Suprema de Justicia de la Nación mediante el fallo Halabi por su desproporcionalidad, vaguedad, riesgo de que los datos retenidos sean usados para otros fines de los previstos, violar el derecho a la intimidad, secreto de las comunicaciones, entre otras cuestiones que excederían con creces el propósito de este artículo.
Directiva Europea 2006/24
En la Unión Europea, por su parte, la Directiva Europea 2006/24 de 15 de marzo de 2006 de conservación de datos con foco en delincuencia grave, aplicaba para datos de abonado, de tráfico y de localización, excluyendo expresamente de la retención a los datos de contenido. Respecto del plazo era de 6 meses a 2 años. Esta Directiva fue declarada inválida por el Tribunal de Justicia de la Unión Europea (TJUE) en los asuntos acumulados C-293/2012 y C-594/2012 Digital Rights Ireland y Seitlinger y otros de fecha 8 de abril de 2014, por oponerse al Derecho de la Unión, en particular al derecho a la vida privada (art. 7 Carta de Derechos Fundamentales de la UE) y familiar y derecho de protección de sus datos personales (art. 8 Carta de Derechos Fundamentales de la UE).
Entre los fundamentos más importantes se encontraron los de ser una injerencia arbitraria y desproporcionada, la regulación no tiene garantías respecto de la cesión de los datos a la autoridad competente, la Directiva se inmiscuye de manera grave en los derechos fundamentales mencionados, puede generar en las personas una sensación de que su vida privada es objeto de vigilancia constante, los datos a retener permiten conocer con precisión con qué persona y de qué modo se ha comunicado un abonado o un usuario, momento y lugar, conocer aspectos específicos de la vida privada de una persona, frecuencia de sus comunicaciones, hábitos cotidianos, relaciones sociales, etc.
El TJUE estableció que, si bien la medida responde al objetivo de interés general de luchar contra la delincuencia grave, el legislador de la Unión sobrepasó los límites que exige el respeto del principio de proporcionalidad al no haber garantías de que dicha injerencia se límite efectivamente a lo estrictamente necesario y sin que se establezca ninguna diferenciación, limitación o excepción en función del objetivo de lucha contra los delitos graves.
Ante estos escenarios de declaraciones de inconstitucionalidad o invalidez de la medida de retención generalizada e indiscriminada de datos informáticos, sumado a que muchos países ni siquiera legislaron esta medida, es que nos enfrentamos con la realidad de que los ISP/ESP no cuentan con una obligación general de conservar datos de tráfico o abonado de sus usuarios y que luego podrían ser útiles ante una eventual investigación penal. Por ende, ante requerimientos judiciales se puede observar que cada proveedor tiene su propia política interna respecto de qué datos conservan y/o entregan a las autoridades competentes de la investigación. Es por ello que cobra relevancia extrema la medida de aseguramiento o conservación rápida específica (art. 16 del Convenio para la Ciberdelincuencia de Budapest) para evitar que un proveedor elimine información hasta tanto se produzca la orden de presentación y sean incorporados al proceso o investigación penal.
El TJUE vuelve a mencionar que el Derecho de la Unión se opone a medidas legislativas nacionales que establezcan, con carácter preventivo, una conservación generalizada e indiferenciada de los datos de tráfico y de localización relativos a las comunicaciones electrónicas con fines de lucha contra la delincuencia grave (tal como vimos que ya sostuvo en otros precedentes en los que trató la cuestión).
Sentencia del TJUE en el asunto C-623/17, C-511/18, C-512/18 y C-520/18, octubre 2020.
En octubre del 2020 el TJUE intervino en diversos asuntos sobre la temática donde fijó diversos estándares a la hora de legislar una medida de este estilo. Confirmó que el Derecho de la UE se opone a una normativa nacional que obligue a un ISP/ESP a realizar una conservación general e indiscriminada de datos de tráfico y de localización con el fin de luchar contra la delincuencia en general o de salvaguardar la seguridad nacional.
No obstante, en situaciones en las que un Estado miembro se enfrente a una amenaza grave para la seguridad nacional que resulte ser real y actual o previsible, dicho Estado miembro podrá exigir, mediante medidas legislativas, la conservación general e indiscriminada de dichos datos durante un período limitado en el tiempo a lo estrictamente necesario, pero que podrá prorrogarse si persiste la amenaza.
En lo que respecta a la lucha contra la delincuencia grave y la prevención de las amenazas graves para la seguridad pública, un Estado miembro también puede prever la conservación selectiva de esos datos, así como su conservación rápida. Esta injerencia en los derechos fundamentales debe ir acompañada de garantías efectivas y ser revisada por un tribunal o por una autoridad administrativa independiente.
Asimismo, un Estado miembro puede llevar a cabo una conservación general e indiscriminada de las direcciones IP asignadas al origen de una comunicación o datos relativos a la identidad civil de los usuarios de los medios de comunicación electrónica cuando el período de conservación se limita a lo estrictamente necesario.
Esta diferenciación radica en que los datos de abonado (como los relativos a la identidad del usuario), no tienen el mismo grado de lesión al derecho a la intimidad o secreto de las comunicaciones, como los datos de tráfico. Por su parte los límites a esta conservación general de que sea selectiva, con pautas objetivas, y revisada constantemente, tiene que ver con evitar las injerencias arbitrarias, desproporciones en la regulación y defectos legislativos que ya vino remarcando el TJUE en sus pronunciamientos.
Sentencia en el asunto C-140/20, abril 2022
Con fecha 5 de abril de 2022, el TJUE volvió a expedirse sobre la validez de una medida de retención general de datos informáticos. Esta vez no fue para analizar la validez de una Directiva sino de una norma nacional de Irlanda del año 2011 que regula la conservación de datos y acceso por parte de la autoridad competente.
El caso trata de una persona condenada en el año 2015 a prisión perpetua por el asesinato de una mujer. El condenado recurrió la sentencia argumentando que se habían admitido y usado pruebas de datos de tráfico y localización, relativos a llamadas telefónicas, que habían sido previamente conservados de manera indiscriminada. Alegó asimismo la violación de derechos fundamentales reconocidos por la Unión Europea. En este contexto, el Tribunal Supremo de Irlanda solicitó al TJUE aclaraciones (cuestión prejudicial) sobre los requisitos exigidos por el Derecho de la Unión en materia de conservación de los referidos datos a efectos de la lucha contra la delincuencia grave, así como sobre las garantías necesarias en materia de acceso a esos mismos datos.
Como primer estándar el TJUE vuelve a mencionar que el Derecho de la Unión se opone a medidas legislativas nacionales que establezcan, con carácter preventivo, una conservación generalizada e indiferenciada de los datos de tráfico y de localización relativos a las comunicaciones electrónicas con fines de lucha contra la delincuencia grave (tal como vimos que ya sostuvo en otros precedentes en los que trató la cuestión).
Luego establece que si bien puede permitirse en determinadas circunstancias a los Estados miembros limitar algunos derechos y obligaciones con fines, en particular, de lucha contra la delincuencia grave, dichas limitaciones deben respetar el principio de proporcionalidad. Este principio impone la observancia no solo de los requisitos de aptitud y necesidad, sino también del requisito relativo al carácter proporcionado de esas medidas respecto del objetivo perseguido. Algo que no queda demostrado en la legislación cuestionada porque no hay pautas objetivas que regulen ni la retención ni el acceso a los datos.
Asimismo, y como cara de la misma moneda, establece que el objetivo de lucha contra la delincuencia grave, por fundamental que sea, no puede por sí solo justificar que se considere necesaria una medida de conservación generalizada e indiferenciada de los datos de tráfico y de localización como la instaurada por la Directiva 2006/24.
En tal sentido, ni siquiera las obligaciones adquiridas por los Estados miembros para combatir eficazmente los delitos pueden tener por efecto justificar injerencias tan graves, como las que supone una normativa que establece semejante retención de datos, en los derechos fundamentales de prácticamente toda la población sin que los datos de las personas afectadas guarden una relación, al menos indirecta, con el objetivo perseguido. Además esos mismos Estados tienen obligaciones positivas de adoptar medidas jurídicas dirigidas a la protección de la vida privada y familiar, la protección del domicilio y de las comunicaciones, así como la protección de la integridad física y psíquica de las personas y la prohibición de la tortura y de los tratos inhumanos y degradantes. En conclusión debe observarse una conciliación entre los distintos intereses legítimos y derechos en juego.
Este famoso juicio de ponderación, en pos de la proporcionalidad, establece que debe haber un equilibrio entre, por una parte, ese objetivo de interés general y, por otra parte, los derechos de que se trate, comprobando al mismo tiempo que la importancia de dicho objetivo guarde relación con la gravedad de la injerencia que supone la referida medida. En otras palabras, perseguir la delincuencia grave, por sí sola no amerita la aplicación de medidas tan generales e indeterminadas sin una regulación pormenorizada.
También analiza el TJUE que la existencia de delincuencia grave no podría asimilarse a una amenaza para la seguridad nacional que resulte real y actual o previsible y puede, por un tiempo limitado, justificar una medida de conservación generalizada e indiferenciada de los datos de tráfico y de localización.
Analizadas estas cuestiones el TJUE estableció estándares básicos de cuándo el Derecho de la Unión no se opone a medidas legislativas de las comentadas a efectos de la lucha contra la delincuencia grave y de la prevención de amenazas graves contra la seguridad pública. En este sentido menciona 4 supuestos:
Podrían establecerse otros criterios distintivos que no sean ni personal ni geográfico para efectuar una conservación selectiva de datos de tráfico y de localización, siempre que sean objetivos y no discriminatorios, para garantizar que se limite a lo estrictamente necesario y establecer un vínculo, al menos indirecto, entre los delitos graves y las personas cuyos datos va a conservarse.
Respecto de la conservación selectiva, su fundamento viene dado por la presencia de pautas que guíen el dictado de la medida: el TJUE por ejemplo menciona que un criterio a aplicar para que en determinada zona geográfica se retengan datos podría ser la tasa media de delincuencia en una zona dada, siempre que tampoco de lugar a tratos discriminatorios.
Por otro lado, puede fundarse asimismo, según la elección del legislador nacional y respetándose estrictamente el principio de proporcionalidad, en un criterio geográfico si las autoridades nacionales competentes consideran, sobre la base de elementos objetivos y no discriminatorios, que existe una situación caracterizada por un riesgo elevado de preparación o de comisión de delitos graves en una o varias zonas geográficas (como lugares o infraestructuras a los que acuden con regularidad un número muy elevado de personas, o incluso lugares estratégicos, como aeropuertos, estaciones de ferrocarril, puertos marítimos o zonas de peajes).
Además podrían establecerse otros criterios distintivos que no sean ni personal ni geográfico para efectuar una conservación selectiva de datos de tráfico y de localización, siempre que sean objetivos y no discriminatorios, para garantizar que se limite a lo estrictamente necesario y establecer un vínculo, al menos indirecto, entre los delitos graves y las personas cuyos datos va a conservarse. Ahora bien, incumbe a los Estados miembros y no al TJUE identificar tales criterios.
Conclusión
Los criterios se van poniendo sobre la mesa, los máximos garantes de los derechos fundamentales se van expresando sobre la cuestión… resta idear normativa respetuosa de estos estándares que logren un equilibrio perfecto (y difícil al mismo tiempo) entre la perseguibilidad de la delincuencia grave y el respeto del núcleo básico de derechos fundamentales que todos gozamos.
[1] Art. 18.3 del Convenio para la Ciberdelincuencia de Budapest.
[2] Art. 1.D del Convenio para la Ciberdelincuencia de Budapest.
Julián Reale es Magister en Derecho de la Ciberseguridad y Entorno Digital por la Universidad de León, España (Becado por Fundación Carolina). Abogado especializado en Derecho Penal (UBA), Cibercrimen (UBA), Protección de Datos Personales (Univ. Nebrija, Madrid, España) y Seguridad de la Información (UTN). Integrante del equipo UBA Cibercrimen que dirige el Dr. Marcos Salt