- SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala) de 20 de septiembre de 2022, en los asuntos acumulados C‑793/19 (SpaceNet) y C‑794/19 (Telekom Deutschland): Procedimiento prejudicial — Tratamiento de datos de carácter personal en el sector de las comunicaciones electrónicas — Confidencialidad de las comunicaciones — Proveedores de servicios de comunicaciones electrónicas — Conservación generalizada e indiferenciada de los datos de tráfico y de localización — Directiva 2002/58/CE — Artículo 15, apartado 1 — Carta de los Derechos Fundamentales de la Unión Europea — Artículos 6, 7, 8 y 11 y artículo 52, apartado 1 — Artículo 4 TUE, apartado 2.
Fallo del Tribunal:
"El artículo 15, apartado 1, de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), en su versión modificada por la Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, en relación con los artículos 7, 8, 11 y el artículo 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea,
debe interpretarse en el sentido de que:
se opone a medidas legislativas nacionales que establezcan, con carácter preventivo, a efectos de la lucha contra la delincuencia grave y la prevención de amenazas graves contra la seguridad pública, una conservación generalizada e indiferenciada de los datos de tráfico y de localización;
no se opone a medidas legislativas nacionales:
– que permitan, a efectos de la protección de la seguridad nacional, recurrir a un requerimiento efectuado a los proveedores de servicios de comunicaciones electrónicas para que procedan a una conservación generalizada e indiferenciada de los datos de tráfico y de localización, en situaciones en las que el Estado miembro en cuestión se enfrenta a una amenaza grave para la seguridad nacional que resulte real y actual o previsible, pudiendo ser objeto la decisión que contenga dicho requerimiento de un control efectivo bien por un órgano jurisdiccional, bien por una entidad administrativa independiente, cuya decisión tenga carácter vinculante, que tenga por objeto comprobar la existencia de una de estas situaciones, así como el respecto de las condiciones y de las garantías que deben establecerse, y teniendo en cuenta que dicho requerimiento únicamente podrá expedirse por un período temporalmente limitado a lo estrictamente necesario, pero que podrá renovarse en caso de que persista dicha amenaza;
– que prevean, a efectos de la protección de la seguridad nacional, de la lucha contra la delincuencia grave y de la prevención de las amenazas graves contra la seguridad pública, una conservación selectiva de los datos de tráfico y de localización que esté delimitada, sobre la base de elementos objetivos y no discriminatorios, en función de las categorías de personas afectadas o mediante un criterio geográfico, para un período temporalmente limitado a lo estrictamente necesario, pero que podrá renovarse;
– que prevean, a efectos de la protección de la seguridad nacional, de la lucha contra la delincuencia grave y de la prevención de las amenazas graves contra la seguridad pública, una conservación generalizada e indiferenciada de las direcciones IP atribuidas al origen de una conexión, para un período temporalmente limitado a lo estrictamente necesario;
– que prevean, a efectos de la protección de la seguridad nacional, de la lucha contra la delincuencia y de la protección de la seguridad pública, una conservación generalizada e indiferenciada de los datos relativos a la identidad civil de los usuarios de medios de comunicaciones electrónicas, y
– que permitan, a efectos de la lucha contra la delincuencia grave y, a fortiori, de la protección de la seguridad nacional, recurrir a un requerimiento efectuado a los proveedores de servicios de comunicaciones electrónicas, mediante una decisión de la autoridad competente sujeta a un control jurisdiccional efectivo, para que procedan, durante un período determinado, a la conservación rápida de los datos de tráfico y de localización de que dispongan estos proveedores de servicios,
siempre que dichas medidas garanticen, mediante normas claras y precisas, que la conservación de los datos en cuestión está supeditada al respeto de las condiciones materiales y procesales correspondientes y que las personas afectadas disponen de garantías efectivas contra los riesgos de abuso."
- SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala) de 20 de septiembre de 2022, en los asuntos acumulados C‑339/20 (VD) y C‑397/20 (SR): Procedimiento prejudicial — Mercado único de servicios financieros — Abuso de mercado — Operaciones con información privilegiada — Directiva 2003/6/CE — Artículo 12, apartado 2, letras a) y d) — Reglamento (UE) n.º 596/2014 — Artículo 23, apartado 2, letras g) y h) — Facultades de supervisión e investigación de la Autorité des marchés financiers (AMF) — Objetivo de interés general encaminado a proteger la integridad de los mercados financieros de la Unión Europea y la confianza del público en los instrumentos financieros — Posibilidad de que la AMF solicite los registros de datos de tráfico que mantenga un operador de servicios de comunicaciones electrónicas — Tratamiento de los datos personales en el sector de las comunicaciones electrónicas — Directiva 2002/58/CE — Artículo 15, apartado 1 — Carta de los Derechos Fundamentales de la Unión Europea — Artículos 7, 8, 11 y 52, apartado 1 — Confidencialidad de las comunicaciones — Limitaciones — Normativa que prevé la conservación generalizada e indiferenciada de los datos de tráfico por los operadores de servicios de comunicaciones electrónicas — Posibilidad de que un órgano jurisdiccional nacional limite los efectos en el tiempo de una declaración de invalidez relativa a normas nacionales incompatibles con el Derecho de la Unión — Exclusión.
Fallo del Tribunal:
"1) El artículo 12, apartado 2, letras a) y d), de la Directiva 2003/6/CE del Parlamento Europeo y del Consejo, de 28 de enero de 2003, sobre las operaciones con información privilegiada y la manipulación del mercado (abuso del mercado) y el artículo 23, apartado 2, letras g) y h), del Reglamento (UE) n.º 596/2014 del Parlamento Europeo y del Consejo, de 16 de abril de 2014, sobre el abuso del mercado (Reglamento sobre abuso del mercado) y por el que se derogan la Directiva 2003/6/CE del Parlamento Europeo y del Consejo, y las Directivas 2003/124/CE, 2003/125/CE y 2004/72/CE de la Comisión, en relación con el artículo 15, apartado 1, de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), en su versión modificada por la Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, e interpretados a la luz de los artículos 7, 8 y 11, así como del artículo 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea,
deben interpretarse en el sentido de que:
se oponen a medidas legislativas que establecen, con carácter preventivo, a efectos de la lucha contra los delitos de abuso de mercado, entre los que se encuentran las operaciones con información privilegiada, una conservación generalizada e indiferenciada de los datos de tráfico durante un año a partir del día de su registro.
2) El Derecho de la Unión debe interpretarse en el sentido de que se opone a que un órgano jurisdiccional nacional limite en el tiempo los efectos de una declaración de invalidez que le corresponde efectuar, en virtud del Derecho nacional, con respecto a disposiciones nacionales que, por un lado, imponen a los operadores de servicios de comunicaciones electrónicas una conservación generalizada e indiferenciada de los datos de tráfico y, por otro lado, permiten la comunicación de esos datos a la autoridad competente en materia financiera, sin autorización previa de un órgano jurisdiccional o de una autoridad administrativa independiente, debido a la incompatibilidad de esas disposiciones con el artículo 15, apartado 1, de la Directiva 2002/58, en su versión modificada por la Directiva 2009/136, interpretado a la luz de la Carta de los Derechos Fundamentales de la Unión Europea. La admisibilidad de las pruebas obtenidas con arreglo a las normas nacionales incompatibles con el Derecho de la Unión se rige, conforme al principio de autonomía procesal de los Estados miembros, por el Derecho nacional, siempre que se respeten, en particular, los principios de equivalencia y de efectividad."
- CONCLUSIONES DEL ABOGADO GENERAL SR. ATHANASIOS RANTOS, presentadas el 20 de septiembre de 2022, en el asunto C‑252/21 (Meta Platforms y otros): [Petición de decisión prejudicial planteada por el Oberlandesgericht Düsseldorf (Tribunal Superior Regional de lo Civil y Penal de Düsseldorf, Alemania)] Procedimiento prejudicial — Reglamento (UE) 2016/679 — Protección de las personas físicas en relación con el tratamiento de datos personales — Redes sociales — Artículo 4, punto 11 — Concepto de “consentimiento” del interesado — Consentimiento dado a una empresa responsable del tratamiento en posición dominante — Artículo 6, apartado 1, letras b) a f) — Licitud del tratamiento — Tratamiento necesario para la ejecución de un contrato en el que el interesado sea parte o para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero — Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, para proteger intereses vitales del interesado o de otra persona física o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento — Artículo 9, apartado 1 y apartado 2, letra e) — Categorías especiales de datos personales — Datos personales que el interesado ha hecho manifiestamente públicos — Artículos 51 a 66 — Competencias de la autoridad nacional de defensa de la competencia — Articulación con las competencias de las autoridades de control en materia de protección de datos personales — Adopción de medidas con arreglo al Derecho de la competencia por una autoridad de un Estado miembro distinto del de la autoridad de control principal en materia de protección de datos personales.
Nota: El AG propone al Tribunal que conteste las cuestiones planteadas en el siguiente sentido:
"1) Los artículos 51 a 66 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),
deben interpretarse en el sentido de que:
una autoridad de defensa de la competencia, en el marco de sus facultades en el sentido de las normas en materia de competencia, puede examinar, con carácter incidental, la conformidad de las prácticas examinadas con las normas de dicho Reglamento, teniendo en cuenta cualquier decisión o investigación de la autoridad de control competente en virtud del citado Reglamento e informando y, en su caso, consultando a la autoridad nacional de control.
2) El artículo 9, apartado 1, del Reglamento 2016/679
debe interpretarse en el sentido de que:
la prohibición de tratamiento de datos personales sensibles puede incluir el tratamiento de datos efectuado por un operador de una red social en línea que consiste en la recogida de datos personales de un usuario cuando consulte otros sitios de Internet o aplicaciones o introduzca allí tales datos, en la combinación de esos datos con la cuenta de usuario de la red social y en su utilización, siempre que la información tratada, individualmente considerada o agrupada, permita elaborar el perfil del usuario según las categorías que se desprenden de la enumeración de datos personales sensibles contenida en dicha disposición.
El artículo 9, apartado 2, letra e), de dicho Reglamento debe interpretarse en el sentido de que:
un usuario no hace manifiestamente públicos los datos que revela al consultar páginas web y aplicaciones o que introduce en esas páginas web o aplicaciones o que resultan de la utilización de botones de función integrados en las mismas.
3) El artículo 6, apartado 1, letras b), c), d), e) y f), del Reglamento 2016/679
debe interpretarse en el sentido de que:
la práctica consistente, en primer lugar, en la recogida de datos procedentes de otros servicios propios del grupo, así como de sitios de Internet y de aplicaciones de terceros, por medio de interfaces insertadas en estos o mediante «cookies» instaladas en el ordenador o dispositivo móvil del usuario, en segundo lugar, en la combinación de esos datos con la cuenta de Facebook del usuario afectado y, en tercer lugar, en la utilización de dichos datos o algunas de las actividades que la conforman pueden estar comprendidas en las excepciones previstas en estas disposiciones, siempre que cada modalidad de tratamiento de datos examinada cumpla las condiciones previstas respecto de la justificación específicamente formulada por el responsable del tratamiento y que, por lo tanto:
– el tratamiento sea objetivamente necesario para la prestación de los servicios relativos a la cuenta de Facebook;
– el tratamiento sea necesario para la satisfacción de un interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos y no afecte de manera desproporcionada a los derechos fundamentales y libertades fundamentales del interesado;
– el tratamiento sea necesario para responder a una petición lícita de determinados datos, de combatir un comportamiento nocivo y de mejorar la seguridad o con fines de investigación por el bien de la sociedad y en aras de la protección, la integridad y la seguridad.
4) El artículo 6, apartado 1, letra a), y artículo 9, apartado 2, letra a), del Reglamento 2016/679
deben interpretarse en el sentido de que:
la mera circunstancia de que la empresa que administra una red social disfrute de una posición dominante en el mercado nacional de las redes sociales en línea para usuarios privados no puede, por sí sola, privar al consentimiento del usuario de dicha red para el tratamiento de sus datos personales de su carácter válido en el sentido del artículo 4, número 11, de dicho Reglamento. No obstante, tal circunstancia incide en la apreciación de la libertad del consentimiento en el sentido de dicha disposición, que incumbe demostrar al responsable del tratamiento, habida cuenta, en su caso, de la existencia de un desequilibrio claro de las relaciones de fuerza entre el interesado y el responsable del tratamiento, de la posible obligación de prestar consentimiento para el tratamiento de datos personales distintos de los estrictamente necesarios para la prestación de los servicios en cuestión, de la necesidad de que el consentimiento sea específico para cada finalidad de tratamiento y de la necesidad de evitar que la retirada del consentimiento suponga un perjuicio para el usuario que retire su consentimiento."
No hay comentarios:
Publicar un comentario
Los comentarios son responsabilidad exclusiva de su autor. Se reserva el derecho de eliminar cualquier comentario contrario a las leyes o a las normas mínima de convivencia y buena educación.