La directiva nació en un momento en un momento crítico, poco después de los atentados del 11-M en Madrid en 2004 y del 7-J en Londres en 2005 -de hecho, el Reino Unido abogó entonces directamente por una serie de normas de vigilancia y retención de datos-, y como respuesta a la creciente amenaza terrorista a escala global. De hecho, el espíritu de la norma era ayudar a la lucha contra los delitos más graves.
Ya durante su tramitación generó polémica. Grupos activistas a favor de la privacidad, como Electronic Frontier Foundation o Kriptópolis, en España, se mostraron en contra. De hecho, desde Kriptópolis ya se alzaron voces en 2001 en contra de las normas sobre retención de datos que quedaron consagradas en la Ley de Servicios de la Sociedad de la Información (LSSI).
Otros actores, como los operadores, se quejaban de la factura que podía suponer dicha retención de datos. Incluso el entonces supervisor europeo de protección de datos (EDPS), Peter Hustinx, ponía en duda que la norma contemplara las necesarias salvaguardas para garantizar la seguridad de los datos de los usuarios. A modo de premonición, expresaba ya en 2006 que probablemente terminase en el Tribunal de Justicia de la UE, como efectivamente ha sucedido.
La decisión del TJUE que invalida esta normativa apunta que la directiva supone una "injerencia de gran magnitud y especial gravedad en los derechos fundamentales al respeto de la vida privada y a la protección de datos de carácter personal". Es decir, la directiva parece que rebasa su finalidad y "sobrepasa el principio de proporcionalidad".
Cómo puede afectar
En España, varias normativas se basan en la retención de datos para identificar a supuestos responsables de un amplio abanico de ilícitos, algunos tan graves como el terrorismo y la pederastia, aunque también afecta a otros como las violaciones de derechos de la propiedad intelectual, perseguidos tanto por la vía penal como por la vía civil y la administrativa.
La transposición de la directiva, en España, llegó a través de una ley específica de conservación de datos (Ley 25/2007), aprobada en 2007, que obliga a los operadores a conservar los datos que permitan rastrear el destino y el origen de una comunicación -como las direcciones IP-, así como la identidad de todas las personas implicadas en ellas; exigencia que nunca se aplicará al contenido de la comunicación y por un máximo de dos años. Esta normativa también recibió críticas de, entre otros, la Asociación de Internautas. ¿Qué ocurrirá ahora con esta ley?
"La declaración de nulidad de una directiva comunitaria tiene como consecuencia la posible nulidad sobrevenida de la normativa nacional que transpone al derecho español la norma comunitaria", comenta el abogado Carlos Sánchez Almeida, abogado especializado en Internet y autor de Jaque Perpetuo. "Son los tribunales españoles los que tendrán que declarar, caso por caso, la nulidad de la prueba obtenida por la Policía amparándose en una norma declarada ilícita".
"Obviamente, los abogados lo alegaremos como cuestión previa en todos los juicios orales que se sigan por delitos informáticos donde se hayan obtenido datos de los imputados al amparo de la Ley 25/2007 de Conservación de Comunicaciones Electrónicas", comenta Almeida. "Es lo que se conoce como la doctrina de los frutos del árbol envenenado: la nulidad de todos las actuaciones judiciales que se deriven de una prueba ilegal".
'Ley Sinde', LPI, Ley de Seguridad Ciudadana...
La invalidación de esta directiva puede afectar, por tanto, a medidas tan controvertidas como la llamada 'Ley Sinde', un procedimiento administrativo de eliminación rápida de contenidos supuestamente infractores de derechos de propiedad intelectual, porque dificultará la identificación de dichos presuntos infractores mediante las direcciones IP.
"Entiendo que resulta afectada la 'Ley Sinde', como popularmente se conocen las reformas de la Ley de Servicios de la Sociedad de la Información, Ley de Propiedad Intelectual y Ley de la Jurisdicción Contencioso-Administrativa, donde se establecía la posibilidad de pedir datos a proveedores de servicios de Internet", opina Almeida.
Otra normativa que podría quedar afectada es la futura reforma de la Ley de Propiedad Intelectual, que amplía significativamente las medidas contra sitios 'facilitadores' de descargas y contenidos no autorizados, y que se apoya en gran medida también en la identificación de los responsables de los sitios también mediante su dirección IP.
"También resultarán afectadas Ley de Seguridad Ciudadana -donde se pretendía obligar a cibercafés y servicios de comunicaciones telemáticas a conservar datos de acceso a Internet-, y por supuesto el borrador Gallardón de la Ley de Enjuiciamiento Criminal", asegura Almeida, quien concluye: "Como decía antes, todo son frutos de un árbol envenenado, que han de caer en un efecto dominó".
La postura de Protección de Datos
En una nota, la Agencia Española de Protección de Datos (AEPD) recuerdan que "las Autoridades de Protección de Datos de los Estados de la Unión Europea ya manifestaron sus reservas" sobre la directiva en cuestión "en dos Dictámenes [...] en el que alertaban sobre el impacto que sus previsiones podían tener sobre el derecho a la protección de datos y sobre el respeto a la vida privada de las personas". "La sentencia del TJUE sobre la Directiva de conservación de los datos viene a confirmar con rotundidad que la seguridad, aun siendo un valor muy relevante, del que se derivan tanto un objetivo de interés general como en un derecho subjetivo, no tiene carácter absoluto ni prevalente", apunta la AEPD, que añade que "las medidas que se adopten para garantizar la seguridad deben ser proporcionadas". En cualquier caso, la AEPD recuerda que "será necesario analizar detenidamente los fundamentos de la sentencia para determinar en qué medida afecta a las legislaciones nacionales que la trasponen, incluida en el caso español la Ley 25/2007".