Más ataques contra la retención general e indiscriminada de datos en la UE: el tribunal supremo del bloque emitió hoy un par de fallos sobre casos acumulados, uno relacionado con una ley alemana sobre retención de datos de telecomunicaciones que había sido impugnada por Deutsche Telekom y el ISP SpaceNet; y otro que encontró fallas en la retención general de datos de telecomunicaciones por parte del estado francés que había sido cuestionada después de que un regulador de servicios financieros los utilizó en un caso de tráfico de información privilegiada.
“El Tribunal de Justicia confirma que la legislación de la UE prohíbe la retención general e indiscriminada de datos de tráfico y ubicación, excepto en el caso de una amenaza grave para la seguridad nacional”, escribe el Tribunal en un comunicado de prensa sobre su sentencia sobre la remisión del caso alemán: que encuentra que la ley nacional de retención de datos interfiere gravemente con los derechos fundamentales de las personas cuyos datos se conservan, confirmando su jurisprudencia anterior.
“No se autoriza, con carácter preventivo, la retención general e indiscriminada de datos de tráfico por parte de los operadores que presten servicios de comunicaciones electrónicas durante un año desde la fecha en que fueron registrados, con el fin de combatir los delitos de abuso de mercado, incluido el uso de información privilegiada”, el TJUE escribe en un segundo comunicado de prensa, sobre la remisión francesa.
Su fallo allí también confirma la jurisprudencia existente que esencialmente significa que los Estados miembros de la UE no pueden (o, bueno, no deben) implementar soluciones alternativas creativas para (intentar) evitar una declaración del TJUE de que una ley nacional que requiere la retención general e indiscriminada de datos de telecomunicaciones no es válido según la legislación de la UE.
Hemos estado aquí antes, muchas veces, así que el déjà vu es real. Pero también lo son los apetitos de los Estados miembros de la UE por obtener y conservar datos para fines de «lucha contra el crimen» de amplio alcance, a pesar de que la recolección masiva indiscriminada es una incompatibilidad demostrable con las leyes fundamentales de derechos humanos de la UE. Y así siguen fluyendo las impugnaciones judiciales y las sentencias del TJUE.
¿Por qué los tribunales nacionales siguen remitiendo preguntas al TJUE cuando existe amplia jurisprudencia sobre la incompatibilidad de la retención de datos general e indiscriminada con la legislación de la UE? Sin embargo, la estrategia subyacente (de los Estados miembros) parece similar a una guerra de desgaste, con los legisladores nacionales tomando cada El TJUE derriba como una oportunidad para reagruparse y redoblar sus esfuerzos con una nueva ley de recogida a granel, estilo ariete, con la esperanza de explotar las grietas en el blindaje legal contra la retención general.
Y esas grietas pueden estar ampliándose.
A principios de este año, el TJUE afinó su guía con respecto a las excepciones específicas, cuando dijo que podría ser permisible recopilar evidencia digital en masa para combatir delitos graves, como apuntar a lugares con un alto índice de delincuencia o un alto volumen de visitantes. (como aeropuertos) u otros lugares que albergan infraestructura crítica.
Su decisión de hoy sobre la remisión alemana reitera una lista creciente de excepciones en las que el Tribunal ha dicho que la legislación de retención masiva de datos puede ser permisible, en contextos y circunstancias específicos (por ejemplo, amenazas graves a la seguridad nacional), y con una revisión adecuada (por ejemplo, por parte de un corte), y siempre que haya alguna orientación involucrada (por ejemplo, a una ubicación geográfica específica) y/u otros límites (por ejemplo, un período de tiempo).
Esto incluye una excepción para «la retención general e indiscriminada de direcciones IP asignadas a la fuente de una conexión a Internet por un período limitado en el tiempo a lo estrictamente necesario», que es una concesión bastante generosa, dada la cantidad de datos personales que pueden rastrearse hasta una dirección IP y qué tan maleable puede ser una línea de tiempo de estricta necesidad, según el propósito declarado.
Por lo tanto, el hecho de que los regímenes nacionales de retención de datos sigan fallando en aterrizar dentro de estos límites sugiere que se están promulgando muchas leyes de mala fe.
En el fallo del TJUE contra la ley alemana, el tribunal se opuso a que estableciera lo que el comunicado de prensa describe como requisitos de retención de «un conjunto muy amplio de datos de tráfico y ubicación» (retenidos durante 10 semanas y cuatro semanas respectivamente) que advierte que «pueden permiten extraer conclusiones muy precisas sobre la vida privada de las personas cuyos datos se conservan, tales como hábitos de vida cotidianos, lugares de residencia permanente o temporal, movimientos diarios o de otro tipo, las actividades realizadas, las relaciones sociales de dichas personas y los entornos sociales que frecuentan y, en particular, permiten establecer un perfil de esas personas”.
Los defensores de los derechos digitales instan a la Comisión Europea a no ignorar otro ataque del TJUE contra la retención de datos autoritaria, después de que un documento filtrado obtenido por el blog en alemán netzpolitik el año pasado sugiriera que el ejecutivo de la UE está considerando varias formas de avanzar en la retención de datos, lo que incluye, potencialmente , presentando una nueva ley de retención de datos de la UE.
Este último correría el riesgo de ser una táctica cínica para patear la lata invitando a otra ronda de largas remisiones al TJUE. La última Directiva de retención de datos de la UE fue derribada por el Tribunal hace casi una década, también conocida como la decisión de Digital Rights Ireland de 2014, y cualquier propuesta de la UE que intente legislar para una retención de datos más amplia que se ha permitido en el limitado y excepcional circunstancias que el TJUE ha dicho que son posibles se establecerían para un fracaso futuro.
Pero tal vez los repetidos intentos de la Comisión de reiniciar las transferencias de datos entre la UE y los EE. UU. a pesar de las múltiples sanciones del TJUE desde 2015 (ver: Safe Harbor, Privacy Shield) le están proporcionando una plantilla para ignorar también la voluntad del Tribunal sobre la retención de datos.
En una declaración posterior a las sentencias del TJUE de hoy, el eurodiputado Patrick Breyer, del Partido Pirata Alemán, insta al bloque a trazar un curso alternativo y escribe: “La sentencia de hoy describe solo los límites más extremos de lo que es legalmente posible y no debe tomarse como un manual de instrucciones. ¡Advierto a la Comisión de la UE que no ignore la falta de eficacia y los efectos nocivos de la retención general de datos en la sociedad al hacer una nueva propuesta para colocar a 450 millones de ciudadanos de la UE bajo sospecha general! En su lugar, debemos centrarnos en preservar los rastros digitales de los sospechosos de forma rápida y transfronteriza (congelación rápida)”.