En diciembre de 1890, los visionarios y prestigiosos letrados Samuel D. Warren y Louis D. Brandéis, publican el novedoso artículo «The Right to have Privacy» enfocado a plasmar, con rotundo convencimiento, la necesidad del mantenimiento de la vida privada de los individuos a salvo de las agresivas actuaciones de la prensa de la época.
Unas décadas después, la revolucionaria aparición de los primeros equipos de computación generó un auténtico “tsunami” social y económico en lo relativo al tratamiento de la información, que poco tenía que ver con cualquier procesamiento manual de la documentación en papel que pudiese existir hasta ese momento, en lo que al volumen y, por qué no decirlo, a la novedosa potencial invasión de la privacidad de los interesados se refiere.
De esta manera, con el devenir del tiempo, podemos trasladarnos hasta la actual y colosal capacidad de tratamiento de información de la que disponemos, derivada de los sistemas de procesamiento de datos de las redes de telecomunicaciones, Big Data, Inteligencia Artificial y mecanismos de compilación de “metadatos” en general. A ello, añadamos el incuestionable interés de los Estados en acceder a dicha información, con el objetivo de la consecución de una efectiva labor de control y vigilancia de las actividades delictivas, sin poder obviar que siempre ha existido un latente conflicto entre la seguridad de los ciudadanos y la protección de su intimidad, con una valoración de preeminencia en uno u otro sentido que no siempre resulta sencilla de efectuar.
Pues bien, en el entorno que aquí nos ocupa y recientemente, el Tribunal de Justicia de la Unión Europea (TJUE) ha confirmado, mediante resoluciones relativas a los casos C-623/17; C-511/18, C-512/18 y C-520/18, que el ámbito normativo global de la UE imposibilita a la legislación nacional de cada estado miembro proceder a la solicitud “masiva e indiscriminada” a proveedores de servicios de internet y compañía de datos de tráfico y localización de sus clientes con el propósito de salvaguardar la seguridad nacional por cualquier medio y sin justificación aparente, calificando dicha práctica como interferencia “especialmente grave” de los derechos de los ciudadanos y, principalmente, del derecho a la privacidad, recogido en la propia Carta de los Derechos Fundamentals de la Unión Europea.
Al respecto, ya en enero de 2020 el propio Abogado General del TJUE sugirió a dicho órgano judicial supranacional que la recopilación masiva de datos era incompatible con la normativa europea, afectando a las actuaciones adoptadas hasta ese momento tanto por Francia como por el Reino Unido.
El dictamen de referencia del TJUE trae causa de la reclamación efectuada por colectivos en defensa de la privacidad (“Privacy International” y “La Quadrature du Net”) y operadoras de telecomunicaciones (“Tele 2 Suecia y Watson”) que entendieron que las actuaciones de las agencias legales y de inteligencia de Reino Unido, Francia y Bélgica al respecto vulneraban la normativa de protección de datos vigente en el ámbito europeo, al poder requerir a las operadoras, sin aparente tutela judicial o de otro tipo, detalles de navegación web, distintos registros relativos a correos electrónicos y llamadas, así como la ubicación de teléfonos móviles de sus ciudadanos.
Todos estos “metadatos”, en definitiva, pueden ser empleados para elaborar un perfil muy completo del interesado, en el que se puede ver incluida incluso información sensible. De hecho, así lo confirma el propio TJUE, indicando que los mismos no eran menos significativos que los relativos al propio contenido de las comunicaciones que pudiesen producirse.
No obstante, como cualquier derecho fundamental, el relativo a la privacidad no es absoluto, pudiendo ceder ante otros ámbitos susceptibles de protección jurídica, como pueda ser el relativo a la seguridad nacional. El dictamen del TJUE posibilita, ante “situaciones en las que un estado miembro tenga que enfrentarse a una seria amenaza a la seguridad nacional” que podrá hacerse uso de la información referida anteriormente, pero siempre y cuando sea limitada en el tiempo y a lo estrictamente necesario, junto con la intervención y decisión vinculante de un Juzgado o un organismo administrativo independiente, dejando una interpretación abierta en lo relativa a la “seria amenaza” (aparentemente, pudiendo decidir qué lo es y qué no cada Estado), así como a la mera identificación de ese “organismo administrativo independiente”, no aclarando si se refiere efectivamente a las Autoridades de Control en materia de protección de datos de cada país.
En estos supuestos, además, se permitirá el empleo de técnicas de análisis automatizado de la información que sea objeto de supervisión.
Por lo que respecta a nuestra normativa interna, la sorprendentemente aún vigente Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, aunque derivada de la invalidada Directiva 2006/24/CE (caso “Digital Rights Ireland”), indica que “los datos conservados de conformidad con lo dispuesto en esta Ley sólo podrán ser cedidos de acuerdo con lo dispuesto en ella para los fines que se determinan y previa autorización judicial” (art. 6.1), estableciéndose que la “obligación de conservación de datos impuesta cesa a los doce meses computados desde la fecha en que se haya producido la comunicación. Reglamentariamente, previa consulta a los operadores, se podrá ampliar o reducir el plazo de conservación para determinados datos o una categoría de datos hasta un máximo de dos años o un mínimo de seis meses, tomando en consideración el coste del almacenamiento y conservación de los datos, así como el interés de los mismos para los fines de investigación, detección y enjuiciamiento de un delito grave, previa consulta a los operadores” (art 5.1.).
Sirvan de conclusión las palabras de la propia Directora Jurídica de “Privacy Internacional” que, una vez conocido el fallo del Tribunal, declaró que:
“La Sentencia de hoy refuerza el imperio de la ley en la Unión Europea. En estos tiempos turbulentos, sirve como recordatorio de que ningún gobierno debería estar por encima de la ley. Las sociedades democráticas deben poner límites y controles a los poderes de vigilancia de nuestra policía y agencias e inteligencia”.