El tribunal superior de Europa ha cuestionado la recopilación y el análisis masivos del Reino Unido de los datos de teléfono, correo electrónico y navegación web de la población.
El Tribunal de Justicia de la Unión Europea (TJCE) dictaminó hoy que la recopilación de datos de tráfico de comunicaciones de empresas de telecomunicaciones e Internet era una interferencia «particularmente grave» de los derechos de privacidad según la legislación europea.
El tribunal determinó que el Reino Unido y otros estados miembros de la UE no pueden utilizar las exenciones de «seguridad nacional» para anular la ley de privacidad de la UE al recopilar datos de personas de las empresas de comunicaciones.
Es probable que la decisión plantee dudas sobre la capacidad del Reino Unido para asegurar un acuerdo de adecuación con la UE para seguir compartiendo datos con los países europeos después del Brexit.
El fallo del tribunal siguió a una impugnación legal del grupo de campaña Privacy International sobre la legalidad del régimen de recopilación de datos de comunicaciones masivas (BCD) del Reino Unido.
El tribunal emitió sentencias separadas sobre los programas de recolección y retención de datos masivos de Francia y Bélgica, junto con la decisión del Reino Unido.
Caroline Wilson Palow, directora legal de Privacy International, dijo que la sentencia requeriría que los estados de la UE, incluido el Reino Unido, impongan límites a los poderes de vigilancia de la policía y las agencias de inteligencia.
“La ley europea se aplica cada vez que un gobierno nacional intenta pedirle a un proveedor de telecomunicaciones que procese datos personales para el estado, incluido el acceso a datos de comunicaciones o la retención de datos, incluso en el contexto de la seguridad nacional”, dijo.
«Creemos que esta es una gran victoria para el estado de derecho porque significa que ahora se aplicarán las protecciones fundamentales de privacidad, protección de datos y libertad de expresión bajo la ley de la UE».
La decisión cuestiona el uso histórico por parte del Reino Unido de la Ley de Telecomunicaciones de 1984 para exigir que las empresas de telecomunicaciones e Internet retengan y entreguen los datos de comunicaciones de sus clientes al MI5 y GCHQ.
El Reino Unido también deberá evaluar el impacto de la decisión del tribunal sobre la Ley de poderes de investigación de 2016, que ha regido la recopilación de datos de comunicaciones masivas desde 2018, dijo Wilson Palow.
La decisión pone al Reino Unido bajo presión para reformar sus leyes de vigilancia o arriesgarse a perder una decisión de adecuación que permitirá a las organizaciones del Reino Unido compartir datos con Europa después del Brexit.
La UE anuló el acuerdo de intercambio de datos entre la UE y EE. UU. Privacy Shield en julio, después de plantear preocupaciones sobre la vigilancia de los ciudadanos de la UE por parte de EE. UU.
«Definitivamente va a influir en la cuestión de la adecuación, sin duda», dijo Wilson Palow. «Este será un juicio más que el Reino Unido tendrá que considerar para ver si sus prácticas están en línea con lo que la UE consideraría protecciones de privacidad necesarias».
Los ciudadanos sienten que su vida privada está sujeta a una ‘vigilancia constante’
Las agencias legales y de inteligencia de Europa tienen acceso a los datos de comunicación de los ciudadanos, incluidos los detalles de los sitios web que han visitado, los registros de dónde se enviaron los correos electrónicos y a qué hora, las líneas de asunto del correo electrónico y la ubicación de los teléfonos móviles y los registros de llamadas.
Estos «metadatos» se pueden utilizar para construir un perfil muy detallado de un individuo, incluida información sensible, como su sexualidad, creencias religiosas y condiciones médicas junto con sus contactos y asociados, intereses y hábitos, y movimientos a lo largo del tiempo.
El TJCE confirmó hoy en su sentencia que los datos de comunicaciones permitieron a la inteligencia y otras agencias gubernamentales construir perfiles de individuos. Dijo que los datos no eran menos sensibles que el contenido de las comunicaciones.
“Esas operaciones no requieren autorización previa de un tribunal u organismo administrativo independiente y no implican notificar a las personas involucradas de ninguna manera”, dijo el tribunal.
La práctica “es probable que genere en la mente de las personas afectadas la sensación de que su vida privada está sujeta a una vigilancia constante”, agregó.
El tribunal dijo que los estados miembros de la UE, incluido el Reino Unido, no pueden exigir que los servicios de comunicaciones electrónicas realicen la transmisión «general e indiscriminada» de datos de tráfico y datos de ubicación a las agencias de seguridad e inteligencia, incluso por razones de seguridad nacional.
Francia ‘ya no puede imponer la retención masiva de metadatos’
En una sentencia paralela, la sentencia del TJCE significará que Francia ya no puede exigir que los proveedores de servicios de Internet y las compañías telefónicas registren los metadatos de toda su población.
En un comunicado, el grupo de campaña, La Quadrature du Net, dijo que el «fallo establece un marco legal que protege mucho más las libertades y el derecho a la privacidad que la ley francesa existente».
El grupo de campaña dijo que el gobierno francés aún puede exigir a los ISP que retengan las direcciones IP de toda la población, estas direcciones ahora solo pueden usarse con el propósito de combatir delitos graves o salvaguardar la seguridad nacional, en particular, el terrorismo.
“Otra victoria importante es que la ley ya no puede obligar a los servicios de alojamiento web a monitorear a todos sus usuarios en nombre del estado, haciendo un seguimiento de quién publica qué, con qué dirección IP, cuándo, etc.”, dijo.
El fallo en el caso francés sigue a una impugnación legal de La Quadrature du Net, la federación de proveedores de servicios de Internet FFDN, y un proveedor de servicios de Internet sin fines de lucro, al pedir la anulación de las regulaciones que permiten a Francia ordenar la retención indiscriminada de datos.
El grupo de campaña dijo que la ley francesa estaba en flagrante contradicción con el tribunal de la UE.
“La Corte observa que los mecanismos franceses para controlar los servicios de inteligencia no son suficientes, y aseguraremos que las salvaguardas necesarias se fortalezcan durante la reforma anunciada de la ley francesa”, dijo.
Tribunal de Poderes de Investigación
El fallo del TJCE en Privacy International, sigue a una impugnación legal de la ONG sobre la legalidad del uso de BCD y datos personales masivos por parte de las agencias de inteligencia en junio de 2015, en el Tribunal de Poderes de Investigación, el tribunal más secreto del Reino Unido.
El Reino Unido afirmó que la recopilación de datos a granel quedaba fuera del alcance de la UE porque se relaciona con la seguridad nacional más que con delitos graves, argumentando que el artículo 8 del Convenio Europeo de Derechos Humanos, que garantiza a las personas el derecho a una vida familiar y hogareña privada y correspondencia privada: proporciona suficientes garantías para el público.
Privacy International argumentó que los datos de las comunicaciones podían “permitir sacar conclusiones muy precisas” sobre la vida privada y las relaciones de las personas.
El Tribunal de Competencias de Investigación remitió dos preguntas al Tribunal de Justicia de las Comunidades Europeas en septiembre de 2017, a raíz de la audiencia.
Solicitó al TJCE que decida, en primer lugar, si exigir a las empresas de telecomunicaciones y de Internet que proporcionen datos a las agencias de inteligencia de los estados miembros entra dentro del ámbito de la legislación de la UE y la Directiva sobre privacidad electrónica.
En segundo lugar, si la respuesta a la primera pregunta fue afirmativa, si las salvaguardias legales de la sentencia Tele2 / Watson de 2016, que determinó que la retención general e indiscriminada de comunicaciones era ilegal, deberían aplicarse en la medida en que obstaculizaran a las agencias de seguridad e inteligencia en el ámbito nacional. Casos de seguridad.
En respuesta a la primera pregunta, el tribunal encontró inequívocamente que cuando los gobiernos exigen que las empresas de telecomunicaciones e Internet compartan datos de comunicaciones con el estado, o les exigen que retengan los datos para un acceso posterior, se aplica la ley de la UE.
Aunque aún no están claras las implicaciones completas de la sentencia, en un comunicado de prensa, el tribunal se refirió a posibles salvaguardias. Estos incluyeron la sugerencia de que los gobiernos accedieran a los datos por un tiempo limitado, cuando era estrictamente necesario, y que el acceso estaba «sujeto a una revisión efectiva, ya sea por un tribunal o un organismo administrativo independiente». Por ejemplo, las agencias de inteligencia podrían limitarse a categorías de personas o una ubicación geográfica.
Los gobiernos europeos buscaron mayores poderes de vigilancia
La decisión del tribunal europeo es un revés para el Reino Unido y otros estados de la UE, que defendieron el derecho a continuar recolectando BCD sin controles adicionales en una audiencia de dos días los días 9 y 10 de septiembre de 2019.
Los Estados miembros realizaron presentaciones orales de 15 minutos y presentaciones escritas ante el tribunal de Luxemburgo, argumentando que los datos de retención generalizados e indiscriminados eran necesarios para la seguridad nacional y para combatir la delincuencia.
El gobierno del Reino Unido argumentó que la aplicación de las sentencias del TJCE y otras leyes de la UE a la legislación de vigilancia actual paralizaría la capacidad de los servicios de inteligencia para recolectar BCD.
El fallo de hoy sigue a una opinión del Abogado General de la UE de que los estados miembros no pueden utilizar las exenciones de seguridad nacional para escapar de las salvaguardias de la legislación europea, cuando imponen obligaciones legales a las empresas de telefonía e Internet para retener los datos de sus clientes.
Sánchez-Bordona dijo en enero que la directiva europea sobre privacidad electrónica, 2002/58, y el Tratado de la Unión Europea, que permiten a los estados miembros tener poderes para anular la privacidad por motivos de seguridad nacional, se aplican a la recopilación de datos masivos.
Estas leyes deben «interpretarse en el sentido de que excluyen la legislación nacional que impone a los proveedores de redes de comunicaciones electrónicas la obligación de proporcionar a las agencias de seguridad e inteligencia de un estado miembro ‘datos de comunicaciones masivas’, lo que implica la recopilación previa general e indiscriminada de datos». escribió el AG.
La ley europea sobre retención de datos ha estado en un limbo legal desde 2014, cuando el TJCE declaró que la Directiva de Protección de Datos de Europa interfería de manera seria con los derechos fundamentales de las personas y la declaró inválida luego de una impugnación legal por Digital Rights Ireland.
Los estados miembros de la UE no han tenido prisa por restablecer una nueva versión de la directiva, con protecciones más fuertes para la privacidad individual, dándoles la libertad de continuar con sus programas de retención de datos existentes.
En el Reino Unido, ahora se espera que el caso vuelva al Tribunal de Poderes de Investigación para un fallo sobre la queja de Privacy International contra el programa de vigilancia BCD del Reino Unido a la luz de la sentencia del TJCE.