I. Planteamiento: de la doctrina sobre el hallazgo casual a la cesión de datos lícitamente obtenidos para finalidades distintas a las que fueran objeto de la injerencia
La moderna investigación farmacológica está sometida a estrictos estándares de prevención; destinados a determinar con un alto nivel de certidumbre la posible existencia de efectos secundarios y resultados adversos relacionados con la posible irrupción en el mercado de un nuevo producto farmacéutico. Este deber, a través de la denominada farmacovigilancia, no se desvanece necesariamente cuando se obtiene la correspondiente autorización de comercialización, sino que es sujeta a un proceso de permanente actualización, mediante mecanismos de notificación de reacciones adversas que fueran detectándose tras la puesta en venta en el mercado del producto. La existencia de efectos secundarios y posibles resultados adversos no invalida necesariamente la aptitud del producto sanitario; en un equilibrio, auténtica ecuación, en el que se pondera la relación riesgo/beneficio que supone para los pacientes la administración de una concreta medicación. El medicamento irrumpe en el mercado, tras un complejo y largo proceso de ensayos clínicos; y su aprobación se hace depender en buena parte de esa ponderación del riesgo, que incluso puede ser no conocido en su plenitud, que podría derivar en los pacientes a los que se administra. No por ello esa causación del efecto secundario o resultado adverso pondrá necesariamente en cuestión la seguridad y propia autorización de comercialización del producto farmacéutico.
Este mismo esquema se reproduce en buena parte cuando, como consecuencia de una determinada investigación criminal, con más motivo si se emplean herramientas de investigación restrictivas de concretos de derechos fundamentales, sale a relucir la existencia de otras posibles infracciones criminales, con o sin vínculo de conexidad con el objeto inicial; y se plantea la posibilidad de su utilización para los fines de una nueva investigación, la expansión de la preexistente, o incluso el uso de esta información así obtenida para la tramitación de un expediente administrativo sancionador o de otra índole (expediente de liquidación tributaria, de restitución del orden urbanístico o medioambiental transgredido, etc.). Al igual que sucede en la legislación farmacéutica, la posibilidad de descubrimientos de hechos nuevos puede resultar ser una consecuencia necesaria o probable del hecho mismo de la investigación o de la técnica de investigación empleada; lo que definiremos como hallazgo, que no descubrimiento (2) , inevitable o probable (3) . Pero también que éste se produzca de forma inesperada; lo que ha sido definido por la doctrina como una situación de hallazgo casual.
Quienes han visto en estas situaciones de hallazgos casuales una de las excepciones a las denominadas reglas de exclusión probatoria o exclusionary rules, solían considerarlas como un supuesto en el que se sobrentendía que se habría producido una transgresión de derechos fundamentales por razón del hallazgo. Pero es ésta una apreciación que no podría en modo alguno ser considerada como de alcance universal; quizá, incluso, al contrario. Cuando se encuentran hallazgos inesperados en el curso de un registro domiciliario o de dispositivo de almacenamiento masivo de datos, de la ejecución de una orden de cesión de datos conservados por un tercero, amparados o no por el mandato de la Directiva 2002/58/CE (LA LEY 9590/2002) (4) , o una interceptación de comunicaciones, si es que se ha producido una posible afectación de derechos fundamentales, habría de ser en el ámbito propio del principio de especialidad o de la definición misma del objeto y alcance de la medida de injerencia donde hubiera de determinarse la incidencia real en el derecho fundamental concernido.
La entrada domiciliaria o la introspección en comunicaciones electrónicas en curso no deviene ilícita porque se haya accedido a evidencias que apunten a la posible comisión de infracciones criminales o administrativas más allá del objeto de la investigación. En este sentido, podríamos estar mucho más cerca de la posible afectación de otros derechos fundamentales o ámbitos del alcance de la protección constitucional de determinados derechos, como pudiera ser la protección de datos personales, que de la vulneración de aquellos derechos fundamentales que les servían de pantalla y respecto de los que se contaba con la correspondiente autorización. En otras palabras: la transgresión del derecho fundamental no tendrá necesariamente que producirse por el hecho mismo del hallazgo, amparado por una resolución de autoridad competente en cuanto a la eliminación de la barrera formal que suponen los derechos al secreto de las comunicaciones y la inviabilidad domiciliaria, sino por la ulterior utilización que pudiera darse a dicha información; tras el sometimiento de las circunstancias concretas de esa utilización a elementales filtros de proporcionalidad. Un ejemplo claro de ello podría encontrarse en la interesante STS, Sala 2ª, 620/2008, de 9 de octubre (LA LEY 158351/2008); donde, en un supuesto de entrada en un domicilio por razón de un incendio que da lugar al descubrimiento de una plantación indoor de cannabis, se llegó a distinguir entre el hecho legítimo del hallazgo de la plantación sin necesidad de una previa autorización judicial, como auténtico descubrimiento no intencionado, frente al consiguiente registro no avalado por autorización judicial de dependencias de la vivienda para buscar más evidencias relacionadas con tal descubrimiento.
Ni todos los hallazgos comprometen necesariamente derechos fundamentales, ni tampoco obedecen a un mismo patrón de un descubrimiento casual; como hemos visto. Además, si ya llegan a generarse dudas sobre la posibilidad de externalización de las evidencias obtenidas más allá del objeto de la investigación o del acto de injerencia para su utilización procesal en otras causas penales, la posibilidad de, asumiendo una especie de probática circular, reutilizar la información obtenida para su empleo como fuente de información en expedientes administrativos nos enfrenta a dilemas jurídicos de muy compleja solución.
II. Sobre la utilización de informaciones obtenidas en procedimientos penales para otros procedimientos de la misma naturaleza o de carácter administrativo en la jurisprudencia del Tribunal Europeo de Derechos Humanos
Resulta muy dificultoso identificar el primer precedente jurisprudencial del Tribunal Europeo de Derechos Humanos que abordara directamente el difícil dilema jurídico de si afecta o no al derecho al respeto de la privacidad recogido en el art. 8.2 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales (LA LEY 16/1950), firmado en Roma el 4 de noviembre de 1950 —CEDH (LA LEY 16/1950)— una cesión de datos obtenidos tras una injerencia legal de derechos fundamentales. Aun así, los primeros acercamientos al problema enfocan el conflicto jurídico desde una dimensión diversa; en la que no se pone en cuestión el sí, sino la dificultad jurídica de encontrar herramientas reaccionales de las partes afectadas por una cesión de datos en un contexto de investigación criminal para poder impugnar bien la legitimidad de la injerencia primaria, bien la decisión misma de cesión de los datos o la aceptación por un órgano de otro Estado de la solicitud de cesión de tal información. Tal fue la posición defendida, entre otras, por las SSTEDH de 24 de agosto de 1998 (caso LAMBERT v. Francia, asunto 23618/94), y, Secc. 4ª, de 29 de marzo de 2005 (caso MATHERON v. Francia, asunto 57752/00); o más recientemente de la STEDH, Secc. 3ª, de 7 de julio de 2015 (caso M.N. y otros v. San Marino; asunto 28005/12).
En el primer ejemplo citado, la información obtenida de un acto de injerencia afectante al derecho de las comunicaciones de personas investigadas en Italia es transmitida por la autoridad competente de dicho Estado a las autoridades judiciales francesas; quienes inician una investigación criminal en base a la misma. La sentencia del caso MATHERON v. Francia circunscribe el conflicto al propio ámbito del derecho interno francés, ante la remisión de información obtenida en una causa penal para el inicio de nuevas actuaciones en un ámbito territorial diverso (5) . La tercera sentencia resuelve un supuesto de hecho en el que la información recabada, datos bancarios, es objeto de cesión por autoridades de San Marino, ante su petición por la autoridad competente italiana mediante la emisión de un instrumento de cooperación judicial internacional. Todas las sentencias partían de un denominador común: la necesidad de que los ordenamientos nacionales arbitren vías por las cuales las personas afectadas directa o indirectamente en otro proceso por una inmisión sobre derechos protegidos por el art. 8.1 del CEDH (LA LEY 16/1950) puedan cuestionar, impugnar, la legitimidad de la decisión habilitante, aunque no hubieran adquirido formalmente la condición de partes en el aquel procedimiento. Que sea legítima o no, y bajo qué circunstancias, tal cesión de datos, es una cuestión que el Alto Tribunal europeo no llega a abordar directamente.
Habrá que esperar a la STEDH, Secc. 5ª, de 29 de junio de 2017 (caso TERRAZZONI v. Francia; asunto 33242/12), y al precedente de ésta, la STEDH, Secc. 5ª, de 16 de junio de 2016 (caso VERSINI-CAMPINCHI y CRASNIANSKI v. Francia; asunto 49176/11), para encontrar un primer acercamiento a la concreta cuestión sobre la legitimidad de la utilización de datos obtenidos con afectación de derechos fundamentales en una causa penal para otro procedimiento de distinta naturaleza. Aun así, incluso a la vista de los nuevos ejemplos recientemente publicados sobre la materia, nos enfrentamos a un abordaje fragmentario, parcial, de la cuestión; aunque en un escenario de cierta permisividad o despreocupación.
En el caso VERSINI-CAMPINCHI y CRASNIANSKI v. Francia, en el curso de una investigación criminal por homicidios imprudentes relacionados con la importación ilegal de carnes supuestamente contaminadas con la enfermedad de la encelopatía espongiforme bovina, se decide intervenir conversaciones telefónicas, entre otras personas, del abogado de la empresa supuestamente involucrada en la importación y distribución de la carne contaminada, así como altos cargos de la empresa. La interceptación no logra relacionar al abogado con el delito investigado; aunque al menos una de las conversaciones es extraída del procedimiento al afectar al secreto profesional (6) . Parte de la información obtenida involucraba al abogado con una vulneración de su deber de secreto profesional; trascendiendo al órgano de gobierno colegial de París, gracias a una comunicación de la Fiscalía en la que se daba cuenta del hecho descubierto. En base a esta información se incoa expediente disciplinario contra el abogado, que acaba con sanción.
Lo primero que destaca en la sentencia es que la posible afectación del derecho a la correspondencia privada a que se refiere el art. 8.1 del CEDH (LA LEY 16/1950) alcanzaría no solo al acto de injerencia autorizado en la causa penal, sino también a la ulterior utilización de la información así obtenida en el expediente disciplinario corporativo —§ 49—. A partir de aquí, y aunque no tiene el más mínimo reparo en valorar positivamente el marco regulatorio francés sobre interceptación de comunicaciones en investigaciones criminales, el TEDH muestra sus dudas sobre que la norma nacional sirviera de base para permitir la posibilidad de que la información así obtenida pudiera ser utilizada en otros procedimientos —§ 54—. Sin embargo, lejos de replantearse tal posibilidad de transgresión del art. 8.1 del CEDH (LA LEY 16/1950), en un contexto de afectación del secreto profesional de abogado, decide concluir ponderando positivamente la existencia de una norma nacional, avalada a nivel jurisprudencial interno, en ese sentido. Norma que podría permitir prever a un abogado que se extralimita en el ejercicio de su profesión, vulnerando su deber de secreto profesional, la posibilidad de que por el Ministerio Fiscal se diera cuenta al correspondiente Colegio de Abogados de la existencia de una infracción del código deontológico a los efectos de incoación del correspondiente expediente disciplinario. A partir de ahí centra el discurso de su argumentación jurídica sobre las posibilidades de alegación de estrategias de defensa en el expediente disciplinario, mediante la oposición de vicios legales en la transcripción de la conversación que diera pie a la incoación del expediente sancionador; llegando a la conclusión de que nada habría impedido a la reclamante haber opuesto la ilegalidad de la transcripción y su utilización en el expediente disciplinario, por considerar que ello habría afectado a su libertad de comunicaciones con sus clientes —§ 71 (7) —. Por ello, acaba por rechazar la impugnación referida a la imposibilidad de hacer valer pretensiones anulatorias de la fuente de conocimiento procedente de un procedimiento penal en el que la interesada abogada en ejercicio no fue parte, al entender que en todo momento gozó de la posibilidad de hacer valer tal pretensión en el expediente disciplinario y en los recursos judiciales planteados contra la decisión del órgano colegial —§ 74— (8) .
La Sra. TERRAZZONI era magistrada en el Tribunal d’instance de Tolón. En el curso de una investigación dirigida por autoridad judicial de Niza se intercepta una conversación entre una persona sospechosa de traficar con estupefacientes, contra la que se había emitido una orden de interceptación de comunicaciones, y la magistrada. El investigado le pide consejo sobre cómo actuar ante el Tribunal de Tolón, y ésta le facilita información sobre posibles líneas de defensa, le dice que trataría de conocer la composición del Tribunal, y le exterioriza su opinión despectiva sobre concretos compañeros. La magistrada toma en un momento la iniciativa de la conversación y le pregunta a su interlocutor si conocía a alguien interno en un concreto centro penitenciario; dándole a entender su deseo de que este conocido actuara contra una concreta persona que había agredido a su hermana; que quería verle reventar suplicando ayuda. El conocimiento del contenido de esta conversación da paso a una comunicación de la Fiscalía al Tribunal competente; iniciándose primero una causa penal que finalmente es archivada por no acreditación de comisión de infracción criminal alguna; y, seguidamente, un expediente disciplinario, en el que se pone de manifiesto a la magistrada la existencia de la conversación interceptada. En el expediente, solicita ésta infructuosamente que se uniera al mismo el contenido de la grabación, al considerarse por el órgano que tramitaba el expediente que el contenido de la conversación era un hecho que no había sido negado, y que la grabación era un documento que formaba parte de una investigación criminal. El expediente termina considerando que, aunque no se había podido probar una actuación delictiva en cuanto respectaba a procedimientos en los que había intervenido como magistrada contra la persona sobre la que se había interesado en su conversación, había incurrido en un incumplimiento de las obligaciones de reserva, prudencia y delicadeza implícitas en la profesión de magistrado. La magistrada acaba siendo sancionada con su expulsión de la carrera; tomándose especialmente en consideración por el órgano o competente —§ 23— que la audición de la conversación al inicio de las actuaciones preliminares se había llevado a cabo con todas las garantías, que la magistrada había reconocido su existencia y participación en la misma, y que, pese a que la conversación se había obtenido en un expediente en el que no había participado de la condición de parte, había gozado de la oportunidad de contradecirla en cuanto a su realidad y contenido.
Siguiendo con el argumento de la resolución precedente, la sentencia comienza por advertirnos que la afectación al derecho a la correspondencia privada se expandiría al hecho mismo de la cesión de la transcripción de las conversaciones para su uso en el expediente administrativo sancionador. Resta igualmente trascendencia al hecho de que la magistrada fuera una interlocutora ocasional; al tener como objetivo precisamente las conversaciones mantenidas por su interlocutor. Sin embargo, pone su énfasis en las exigencias de previsibilidad de la norma habilitante; y en concreto si afectaba en algo la circunstancia de ser una magistrada la interlocutora y si era jurídicamente factible utilizar la información obtenida en un procedimiento disciplinario. La respuesta es idéntica a la que el Alto Tribunal daría en el caso VERSINI-CAMPINCHI y CRASNIANSKI v. Francia; toda vez que ya la jurisprudencia de la Cour de cassation había dado carta de naturaleza a la captación de forma casual de las conversaciones de los investigados con terceros, así como a la posibilidad de que estas conversaciones, a través de sus transcripciones, pudieran ser utilizadas en el marco de otro procedimiento penal o procedimiento administrativo sancionador —§ 50—; con posibilidad de cuestionar la legitimidad y licitud de la grabación, su transcripción y utilización fuera del procedimiento penal de origen, así como respeto de las especiales salvaguardias por el estatuto jurídico de la magistrada, dadas las especiales circunstancias del caso por la naturaleza ocasional de la interceptación. Pero lo que más nos interesa en este supuesto es que el TEDH llega a afirmar que la cesión de la información obtenida en el procedimiento inicial como consecuencia de una injerencia legal sobre comunicaciones tanto al nuevo procedimiento penal abierto contra la magistrada, como al procedimiento sancionador incoado contra ésta, era legítima, al tener por objetivo el mismo fin legítimo buscado con el acto de injerencia inicial —§52— (9) . La principal aportación de esta sentencia radica, por ello, en el hecho de que se da carta de naturaleza a la posibilidad de utilizar la información obtenida en otros procedimientos para otras finalidades legítimas diversas, y, en concreto, en el contexto de expedientes administrativos sancionadores, siempre que respondieran a un mismo fin común de protección del orden (à la défense de l’ordre).
A estas sentencias seguiría la STEDH, Secc. 2ª, de 18 de enero de 2022 (caso ADOMAITIS v. Lituania; asunto 14833/18). En este caso es la persona del director de una prisión quien es objeto de una interceptación de sus comunicaciones, bajo la sospecha de recibir sobornos a cambio de dar un mejor trato a internos del establecimiento penitenciario que regía. La introspección en las comunicaciones de este no dio el resultado esperado; tomándose la decisión de archivar las actuaciones. La información obtenida, no obstante, fue ulteriormente utilizada en expediente disciplinario, terminando el mismo con el despido del interesado. En el expediente se constata cómo el interesado tuvo acceso a información sobre la decisión misma de interceptación de sus comunicaciones y otra documentación, desclasificada a tales efectos; con exclusión de información sobre cuestiones técnicas del sistema de interceptación empleado y personal de inteligencia que asumió tal cometido. También se constata cómo se le dio la oportunidad de cuestionar la licitud de la orden de interceptación.
La sentencia vuelve a insistir en la extensión de la protección del art. 8.1 en cuanto respecta a la utilización de la información obtenida en la causa penal y su cesión como evidencia en el expediente administrativo sancionador —§ 81—. No se cuestiona tampoco, a nivel de previsión legal, la posibilidad del uso de dicho material obtenido como consecuencia de una orden de interceptación en un procedimiento disciplinario seguido precisamente contra la persona investigada sometida a tal medida en la causa penal. En este caso se tuvo especialmente en consideración esa finalidad de garantizar la transparencia y apertura al público del servicio público prestado por la institución que dirigía el interesado, tratando de garantizar que no se ignoraran los objetivos perseguidos por tal institución —§ 84—, con indiscutible basamento en el mandato del art. 8.2 del CEDH (LA LEY 16/1950). Pero destaca la sentencia por introducir como auténtica novedad un factor de proporcionalidad en el uso de la información obtenida en el curso de la investigación criminal fallida. Se tendrá para ello en cuenta el peso de la condición de director de una prisión del interesado y la seriedad de los hechos por los que estaba siendo investigado en la causa penal; de lo que se deduce que, ante la trascendencia de éstos, ante la necesidad de garantizar la efectividad de las instituciones públicas y de un alto estándar de moral y disciplina de las autoridades que las dirigen, no tornaría en ilícita la información así transmitida al procedimiento disciplinario. Con esta sentencia, por tanto, pasamos del establecimiento de fines legítimos que justifican la decisión de la transferencia de información a otros procesos penales o administrativos, a la realización de un juicio de proporcionalidad; que no deja de perder el referente de la finalidad legítima inicial, con el que mantiene una íntima relación de comunidad de objetivo.
El último referente al tratamiento de la cuestión de la cesión de datos procedentes de injerencias legales afectantes al entorno protegido por el art. 8 del CEDH (LA LEY 16/1950) debe encontrarse en las SSTEDH, Secc. 5ª, de 16 de mayo de 2023, de los casos SHIPS WASTE OIL COLLECTOR B.V v. Holanda (asunto 2799/16), BURANDO HOLDING B.V. y PORT INVEST B.V. v. Holanda (asuntos 3124/16 y 3205/16) y JANSSEN DE JONG GROEP B.V. y otros v. Holanda (asunto 2800/16) (10) . Los dos primeros recursos traen causa de una investigación criminal por delito ecológico, relacionados con el incumplimiento de la normativa sobre vertidos procedentes de embarcaciones, en los que se había acordado una interceptación legal de telecomunicaciones de determinados cargos de las empresas involucradas; el tercero con una investigación por supuesto delito de cohecho en relación con contratas de infraestructuras públicas, también con orden de interceptación de telecomunicaciones. En los tres casos, el análisis de los contenidos de las conversaciones permitió detectar la existencia de prácticas de competencia desleal consistentes en fijación de precios. El fiscal que dirige cada una de las investigaciones toma la decisión de remitir a la autoridad pública holandesa encargada de la defensa de la competencia (Nederlandse Mededingingsautoriteit —NMA—) copias de las grabaciones o de las transcripciones realizadas que tenían relación con tales prácticas. El NMA inicia sendas investigaciones encaminadas a comprobar la existencia de prácticas comerciales prohibidas. Los tres expedientes terminan en sanción administrativa. La propia licitud de la transmisión de datos obtenidos en una causa penal para su empleo como evidencias en el correspondiente procedimiento administrativo sancionador es objeto de cuestionamiento; al entender los interesados que tal posibilidad no tenía cabida en la norma aplicable, la Nederlandse Mededingingsautoriteit (11) —NMA—.
Las tres sentencias, todas desestimatorias de las pretensiones de los interesados, insisten en el planteamiento de sus precedentes jurisprudenciales de que la cesión de datos obtenidos como consecuencia de una interceptación de comunicaciones puede constituir una interferencia independiente (separate interference) del derecho protegido por el art. 8.1 del CEDH (LA LEY 16/1950) —§ 41— (12) . En ninguno de los recursos se llegó a cuestionar la licitud de las injerencias acordadas en las causas penales ni la regularidad procesal en su obtención y tratamiento en éstas. Los recursos se enfocan sobre la legitimidad de la cesión de los datos a expediente administrativo y su utilización como evidencias en dicha sede. El TEDH centra el objeto de su análisis en un primer momento en valorar si la no previa comunicación de la cesión de datos a la autoridad administrativa en materia de competencia podía afectar a la exigencia de cognoscibilidad del acto de injerencia; pero se muestra comprensivo de que el carácter secreto en que aún se estaba desarrollando la investigación criminal justificaba sin duda la dilación de tal puesta en conocimiento —§ 50—. Su discurso jurídico ganará en intensidad cuando llega a la conclusión de que, como quiera que la cesión de datos ordenada era una derivación de una orden de interceptación de telecomunicaciones en la que se habían garantizado las salvaguardias adecuadas contra el riesgo de arbitrariedad, no podría considerarse una interferencia ilimitada el poder ordenar una cesión de los datos así obtenidos; al menos en tanto en cuanto la ley nacional en estos supuestos de medidas de vigilancia discreta permitiera a las personas concernidas tener un conocimiento sobre el alcance y ejercicio por las autoridades competentes de esta potestad de transmisión de los datos —§ 51—. El análisis de la NMA y su engarce con la legislación específica sobre competencia y la autoridad de control hacen que el TEDH comparta la conclusión de las autoridades nacionales de entender que esa facultad de cesión atribuida al Ministerio Fiscal se ajustaba a la ley, dentro de esos estrictos márgenes marcados por la norma nacional y su interpretación jurisprudencial. La exigencia de una concreta superación del juicio de proporcionalidad de la medida es abordada en el § 63; donde se constata especialmente la exigencia por la norma nacional del fundamento de la decisión en un imperioso interés general (compelling general interest), explícitamente relacionado con el mandato del art. 8.2 del CEDH (LA LEY 16/1950). Garantía que se vería reforzada por la necesidad de que la identificación de los concretos datos que habrían de ser objeto de cesión debería contar con una concreta base legal que le sirviera de fundamento; así como la sujeción a un adicional juicio de necesidad, en el sentido de que se justificara la imposibilidad de que la autoridad administrativa competente pudiera acceder a la información objeto de cesión por otras vías menos intrusivas.
La sentencia dedica sus últimos parágrafos a dos muy interesantes cuestiones: la no necesaria reserva de autorización judicial para la cesión de los datos y la superación del principio de proporcionalidad. Esa consideración de la orden de cesión de datos como un auténtico aliud, aunque afectante igualmente al mandato del art. 8.1 del CEDH (LA LEY 16/1950), le lleva a concluir en su § 67 que, ante el régimen de salvaguardias desplegadas por el legislador holandés, la reserva de autorización judicial, como garantía de evitación de situaciones de arbitrariedad o abuso de poder, no se mostraba indispensable. En cuanto al juicio de proporcionalidad, el Alto Tribunal se muestra satisfecho, dentro del amplio margen de apreciación con cuentan los Estados miembros, con el alegato del bienestar económico del Estado —§ 68—.
Superando la visión de la controversia jurídica exclusivamente dirigida a garantizar el reconocimiento a los interesados de remedios jurídicos efectivos para hacer valer sus derechos reaccionales que caracterizara a las SSTEDH de los casos LAMBERT y MATHERON v. Francia y M.N. y otros v. San Marino, la jurisprudencia del TEDH ha evolucionado decididamente hacia el propósito de abordarla desde su dimensión jurídica genuina. De la consideración de la decisión de cesión de datos como una especie de expansión o derivación del acto de injerencia, con afectación común al art. 8.1 del CEDH (LA LEY 16/1950), que supusiera la injerencia legal sobre aspectos de la privacidad de las personas que le sirviera de fuente —casos VERSINI-CAMPINCHI y CRASNIANSKI y TERRAZZONI v. Francia—, se ha pasado desde la sentencia del caso SHIPS WASTE OIL COLLECTOR B.V. a una cesura de ese vínculo que unía al prístino acto de injerencia legal con la decisión de utilización de esa información en otra causa judicial o expediente administrativo. Cesura que no por ello excluirá la decisión de cesión de los datos y su ulterior utilización para concretas finalidades públicas legítimas bajo el amparo de lo establecido en el art. 8, apartados 1 y 2 del CEDH (LA LEY 16/1950). La legítima utilización de estos datos en procedimientos administrativos dirigidos a salvaguardar concretas finalidades legítimas encontraría carta de naturaleza ya de forma indiscutible en la STEDH del caso TERRAZZONI; quedando definitivamente consolidada en las tres sentencias de 16 de mayo de 2023. Estas últimas sentencias, recalcando la autonomía de la cesión de datos frente a la injerencia sobre telecomunicaciones, se mostrarán especialmente exigentes del respeto de la preexistencia y previsibilidad de la ley habilitante; aunque se manifiesten comprensivas de un menor rigor frente a los ejemplos de leyes basadas en la llamada inteligencia extranjera —bulk interception— (13) . Pero a su vez, se someterá la decisión sobre la cesión de datos, que no necesariamente ha de corresponder a una autoridad judicial cuando la autoridad competente pudiera tomar la decisión en condiciones de garantizar la evitación de cualquier riesgo de abuso o arbitrariedad, a una adecuada superación de juicios de proporcionalidad y necesidad; como estándares mínimos estos sujetos a un posible mayor nivel de exigencia por parte de las legislaciones internas. El primero, ya anticipado en la STEDH del caso ADOMAITIS v. Lituania, exigirá ponderar si la finalidad pública perseguida, de entre las listadas en el art. 8.2 del CEDH (LA LEY 16/1950), debe prevalecer sobre el interés particular del ciudadano que vuelve a verse afectado en su derecho al respeto de su correspondencia, en un sentido amplio, por el hecho mismo de la cesión de los datos obtenidos en la causa penal; el segundo, por la constatación de que no existiría la posibilidad de acudir el órgano administrativo competente a otra vía para la obtención de las evidencias menos gravosas para los derechos del ciudadano afectado por la orden de cesión de sus datos.
Conforme esta doctrina jurisprudencial, una norma nacional que regulara con el suficiente detalle los supuestos en que la cesión de datos obtenidos en una investigación criminal, y en concreto mediante medidas afectantes a los distintos ámbitos de la privacidad protegidos por el art. 8.1 del CEDH (LA LEY 16/1950) (14) ; que atribuyera la decisión a una autoridad con capacidad para garantizar que la potestad pudiera llevarse a cabo sin riesgo de abuso o arbitrariedad, y que aquélla se sometiera a una adecuada ponderación de la proporcionalidad y necesidad de la medida, permitiría sin duda la cesión de tales datos tanto para otras causas criminales no relacionadas con el objeto inicial de la investigación, como para su utilización en procedimientos administrativos. La finalidad de esta cesión en el supuesto de los procedimientos administrativos podría tener un nexo indiscutible con el objeto inicial de la investigación (se inicia procedimiento sancionador contra autoridad a la que previamente se había investigado, con resultado infructuoso, por la comisión de una concreta infracción criminal relacionada con el desempeño de su cargo); pero también abrir las puertas a la posible utilización de la información para finalidades ajenas a esta inicial finalidad investigadora criminal (se descubre un hecho nuevo con trascendencia para fines públicos superiores como la salvaguardia de la economía nacional, que podría dar lugar a procedimientos de liquidación tributaria o de revisión de subvenciones concedidas, o a la incoación de procedimiento administrativo sancionador).
III. La situación del Derecho de la Unión Europea
Hasta la publicación y entrada en vigor de la Directiva 2014/41/UE, del Parlamento Europeo y del Consejo, de 3 de abril de 2014 (LA LEY 6702/2014), relativa a la orden europea de investigación en materia penal, eran varios y dispersos los instrumentos legales del acervo comunitario que se abrían a la posibilidad de facilitar una cesión de datos obtenidos en el curso de procedimientos penales de investigación para otras finalidades legítimas; cuando menos en el mismo nivel de investigación.
Esta dispersión normativa llegó a generar, de hecho, serios problemas a la hora de establecer criterios interpretativos claros sobre, por ejemplo, cuándo, a la hora del recabo de información sobre datos almacenados en una base de datos comercial gestionada por una empresa de prestadora de servicios de la sociedad de la información, resultaba aplicable un exhorto europeo de obtención de pruebas (15) , una solicitud de reconocimiento y ejecución de aseguramiento de pruebas (16) , o una cesión de datos personales tratados en el marco de la cooperación policial y judicial en materia penal (17) . Pero, por supuesto, en todo caso, bien se tratara de una cesión basada en un intercambio espontáneo de información, o una cesión de datos interesada por la autoridad de un Estado miembro de la Unión a otra autoridad de otro Estado miembro, tal cesión de datos habría de quedar supeditada no solo a la sujeción al derecho interno de la autoridad requirente, sino especialmente a su sometimiento a criterios de proporcionalidad/necesidad; así como, en base a un auténtico principio de especialidad ad hoc, al eventual posible establecimiento de limitaciones, en aplicación de la normativa del Estado requerido, para usos diversos que no tuvieran una relación directa con procedimientos judiciales o administrativos directamente relacionados con el procedimiento que hubiera dado paso a la utilización de la información objeto de cesión; sin más excepción que aquellos supuestos en que fuera preciso prevenir una amenaza inmediata y grave para la seguridad pública, o previa autorización del Estado requerido o consentimiento de la persona interesada, para cualquier otra utilidad. De hecho, el art. 23 del Convenio Europeo sobre asistencia judicial en materia penal de 2000 (18) , incidía claramente en esta línea. Por su parte, la Decisión Marco 2008/977/JAI (LA LEY 19814/2008) del Consejo, con un incuestionable sometimiento a los referentes de los arts. 7 (LA LEY 12415/2007) y 8 de la Carta de Derechos Fundamentales de la Unión Europea (LA LEY 12415/2007) —CDFUE—, incidía en esta posibilidad de recabo y captación y cesión de datos, aunque con pleno sometimiento a los principios de licitud, proporcionalidad y finalidad —art. 3—. Destacaba especialmente este último principio que limita la utilización de los datos captados y almacenados a la finalidad concreta para la que se obtuvieron sin más limitaciones que las previstas en el referido precepto; a saber: que el tratamiento no sea incompatible con los fines para los que se recogieron los datos, que las autoridades competentes estén autorizadas para tratar los datos para tales otros fines con arreglo a la normativa aplicable, y que el tratamiento sea necesario para ese otro fin y proporcionado a él.
Más allá del ámbito de la cooperación judicial a nivel comunitario, la verdad es que las dos normas que abordan la posibilidad de utilización procesal o en expedientes administrativos de datos obtenidos en otros procedimientos de tal naturaleza (19) no ofrecen una especial oposición a ello. El art. 23.1 del RGPD (LA LEY 6637/2016) se abre a la posibilidad de excepción a derechos de los ciudadanos en orden a la protección de sus datos personales; lo que incluiría sin duda la posibilidad de cesiones no consentidas o inicialmente desconocidas para distintas finalidades que sin duda incluirían la prevención, investigación, detección o enjuiciamiento de infracciones penales —apartado d)—. Pero, a su vez tales excepciones abarcarían a diversos ámbitos que podrían tener una conexión directa con concretos procedimientos administrativos; tales como la seguridad del Estado, la seguridad pública, otros objetivos referidos a un interés económico o financiero importante de la Unión o de un Estado miembro, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social, la protección de la independencia judicial y de los procedimientos judiciales o la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas. Esta posibilidad viene recogida igualmente, desde la perspectiva de su definición en una norma nacional que regule el supuesto específico de utilización de los datos para finalidades diversas a las que justificaran su recogida, en el art. 9.1 de la Directiva (UE) 2016/680 (LA LEY 6638/2016); con remisión a las específicas finalidades legítimas previstas en su art. 1.1, dentro de su ámbito de aplicación: la prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública.
Sin embargo, el abordaje de la Directiva 2002/58/CE (LA LEY 9590/2002) ha llevado al Tribunal de Justicia de la Unión Europea a unos planteamientos que podrían revolucionar la propia concepción del principio de proporcionalidad como uno de los dos pilares esenciales en los que se asienta la lícita cesión de datos obtenidos en el curso de una injerencia legal afectante a contenidos, datos de tráfico o datos de localización.
La STJUE (Gran Sala) de 6 de octubre de 2020 (LA LEY 177790/2020) (casos LA QUADRAUTE DU NET y otros; asuntos 511, 512 y 520/18) inauguró una línea jurisprudencial tendente a establecer ciertas limitadas excepciones a la conservación masiva e indiferenciada de datos relativos a las comunicaciones (20) . Entre estas excepciones que describiera la sentencia se encontraba la posibilidad de emisión, por autoridad competente, de órdenes de conservación generalizada e indiscriminada de datos de tráfico y de localización; en tanto en cuanto ello fuera preciso a los efectos de salvaguardar la seguridad nacional.
La sentencia llegó a plantearse la posibilidad de que la información obtenida como consecuencia de técnicas de bulk interception en un contexto de salvaguardia de la seguridad nacional pudiera servir de base para una ulterior cesión de datos obtenidos para otros fines tales como la protección de la seguridad pública o la investigación de infracciones criminales. Pero para comprender esta posición contraria a la expansión de la utilizabilidad de datos obtenidos para fines diversos de los que permitieron el acto de injerencia habrá que esperar a la STJUE (Gran Sala) de 5 de abril de 2022 (LA LEY 39345/2022) (caso G.D. y COMISSIONER AN GARDA SÍOCHÁNA; asunto C-140/20). El § 98 de esta última sentencia recupera de la sentencia del caso LA QUADRATURE DU NET y otros el principio de que la posibilidad de una utilización de los datos objeto de conservación o tratamiento en base a una excepción lícita de entre las permitidas por el art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002) para fines diversos a los inicialmente previstos se haría depender del criterio de que ello solo sería factible «…si la importancia del objetivo perseguido por el acceso fuera mayor que la del objetivo que justificó la conservación». Y este principio de jerarquía, nos dirá el parágrafo 99, quebraría si se permitiera hacer uso de los datos conservados de forma generalizada como consecuencia de necesidades propias de la seguridad nacional para atender a demandas concretas de investigación de infracciones criminales graves. Obrar de otra forma, concluirá la sentencia en el § 100, sería «…privar de todo efecto útil a la prohibición de efectuar tal conservación a efectos de la lucha contra la delincuencia grave, recordada en el apartado 65 antes citado». No podemos determinar si deliberadamente, pero lo cierto es que el TJUE opta por no aplicar ese aparente principio de degradación de la intensidad de la injerencia que parece derivarse de la jurisprudencia del TEDH que antes hemos analizado. El fin que permite según la jurisprudencia del Tribunal de Luxemburgo acceder a determinada información referida a datos de tráfico o de localización torna impermeable para su ulterior utilización para otras finalidades que no adquirieran, como mínimo, una trascendencia similar, si no superior a aquél.
Tal línea argumentativa sería seguida por la STJUE (Gran Sala) de 20 de septiembre de 2022 (LA LEY 198383/2022) (casos SPACENET AG y TELEKOM DEUTSCHLAND GMBH: asuntos C-793 y 794/19). La sentencia vuelve a insistir en su abierta contrariedad al aprovechamiento de información obtenida para fines de mayor importancia para una utilidad de raigambre inferior. Conforme tal planteamiento, la información obtenida por los servicios de inteligencia para la protección de la seguridad nacional mediante órdenes específicas de conservación generalizada de datos no podría ser utilizada para la lucha contra la delincuencia grave —§ 128— (21) . Con tal radical planteamiento deberíamos entender que la pretensión del TJUE es poner coto a cualquier riesgo de búsqueda de puertas traseras que pudieran permitir eludir la oposición taxativa del TJUE a la conversación generalizada de datos para fines de investigación criminal. Pero las mismas razones serían exportables para aplicar idéntico régimen restrictivo a los datos obtenidos, con afectación de la excepción del art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002), en la lucha contra la delincuencia grave, frente una pretendida cesión de datos para fines de lucha contra la delincuencia en general o procedimientos administrativos.
La STJUE (Sala Primera) de 7 de septiembre de 2023 (LA LEY 199232/2023) (caso A.G. y LIETUVOS RESPUBLIKOS GENERALINĖ PROKURATŪRA; asunto C-162/22) será la responsable del aparente definitivo posicionamiento del TJUE en la instauración de tal principio de proscripción de la cesión de datos obtenidos en el curso de una injerencia sobre derechos fundamentales relacionados con la protección de contenidos y datos de tráfico o datos de localización, protegidos por el mandato del art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002), para finalidades de menor trascendencia o relevancia que aquéllas que hubieran servido de justificación para la ejecución del acto de injerencia. La sentencia, amparándose en el precedente de la STJUE del caso G.D. y COMISSIONER AN GARDA SÍOCHÁNA, nos recuerda que, en aplicación del principio de proporcionalidad, existe una jerarquía entre los objetivos de interés general que permiten justificar una medida adoptada en virtud del artículo 15, apartado 1, de la Directiva 2002/58/CE (LA LEY 9590/2002), en función de su importancia respectiva; y que la importancia del objetivo perseguido por tal medida debe ser correlativa a la gravedad de la injerencia que supone la medida. Acoge igualmente esa idea de que la utilización de la información obtenida como consecuencia de tales actos de injerencia se haría depender de que el nuevo fin perseguido fuera de superior entidad; y ello en un contexto en el que el valor superior de todos, precisamente el único que permitiría una conservación generalizada de datos de tráfico y localización, no sería otro que el de la seguridad nacional —§ 36 (22) —; nunca para la salvaguardia de la seguridad pública o la lucha contra la delincuencia grave. Para despejar cualquier duda al respecto, el TJUE va incluso más allá, expandiendo tal regla a otras opciones de injerencia diversas al supuesto de la conservación generalizada de datos en relación con la seguridad nacional; que solamente cabría una solución diferente a esta regla de exigencia de un nivel superior del bien jurídico protegido, «…si la importancia del objetivo perseguido por el acceso fuera mayor que la del objetivo que justificó la conservación» —§ 40—.
Hablar, sin embargo, de interés superior en términos genéricos sería simplemente un imposible jurídico; pues es el de la seguridad nacional el interés que se coloca precisamente en la cúspide de la escala de trascendencia de fines públicos justificadores de la adopción de determinadas medidas restrictivas de la confidencialidad de las comunicaciones. La sentencia, más bien, aparenta estar pensando en finalidades extrañas a esa finalidad genérica que justificara el concreto acto de injerencia. El hecho de que una determinada medida fuera acordada en prevención contra el asentamiento de células terroristas dormidas de una determinada facción integrista religiosa no debería impedir utilizar la información obtenida en cuanto a la intervención de un gobierno extranjero pretendiendo influir en el sentido del voto en unas elecciones generales; y ello, sin entrar a discutir si este último fin concreto fuera o no superior a aquel que justificara el acto de injerencia. Por ello, ante una finalidad genérica común no debería preocuparnos tanto ese nivel de superación como uno de simple equiparación. De este modo, podría aprovecharse para actuaciones en materia de seguridad nacional información obtenida en el curso de una investigación criminal en relación con la delincuencia grave; mas no para la lucha contra la delincuencia en general, o, incluso en materia de seguridad pública.
Es aquí donde se aborda este supuesto de utilización de segundo orden o derivativa de la información obtenida en base a una lícita injerencia sobre datos obtenidos de operadoras de telecomunicaciones. Esta aparente degradación en la protección del dato relativo a las comunicaciones no es reconocida en momento alguno por el TJUE. Tan es así que el parágrafo 41 comienza afirmando de forma taxativa que «…estas consideraciones se aplican mutatis mutandis a una utilización posterior de los datos de tráfico y de localización conservados por proveedores de servicios de comunicaciones electrónicas en aplicación de una medida adoptada en virtud del artículo 15, apartado 1, de la Directiva 2002/58 (LA LEY 9590/2002) a efectos de la lucha contra la delincuencia grave». La gravedad de la injerencia, aunque se produjera una indiscutible mutación en la naturaleza de ésta, se mantendría por ello inalterada; por mucho que pudiéramos pensar que esa mayor energía invasiva del acto de injerencia pudiera entenderse consumida una vez levantado el manto protector de la confidencialidad de las comunicaciones que garantiza el art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002). Y ello, con más motivo, habría de alcanzar a aquellos supuestos en los que pretendiera llevarse a efecto una cesión de datos de tal naturaleza obtenidos en el curso de la lucha contra la delincuencia grave; más en concreto en los supuestos en que se tratara de su utilización para alcanzar objetivos tales como «…la lucha contra las conductas indebidas en el ejercicio del cargo relacionadas con la corrupción (23) , que son de una importancia menor, en la jerarquía de los objetivos de interés general, que el de la lucha contra la delincuencia grave y el de la prevención de las amenazas graves contra la seguridad pública».
Fácil resulta comprobar cómo el TEDH está diseñando una regla que rompe con absoluta claridad con la solución planteada por el Tribunal Europeo de Derechos Humanos. Esta regla supone, en cuanto aquí nos interesa, que la transformación que se produce en la información que es obtenida en el curso de una injerencia legal afectante al entorno de la confidencialidad de las comunicaciones, objeto de especial protección por el art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002), no supone una relajación en las exigencias en torno a la posibilidad de un aprovechamiento de la información lícitamente obtenida para otros fines concretos; que para que pueda emitirse una orden o autorización de cesión de los datos así obtenidos habría de superarse el mismo estricto nivel de exigencia de superación del principio de proporcionalidad de la medida que el propio del juicio de proporcionalidad que impone dicho precepto. La permeabilidad habría, cuando menos, de alcanzar ese estándar de delincuencia grave que se exige cuando el fin legítimo hubiera de ser éste, en función de las exigencias que desarrolla la jurisprudencia del TEDH; mas nunca bajar en la escala y afectar, en su caso, ni a la lucha contra la delincuencia en general, ni tampoco a la actuación administrativa contra determinadas conductas que pudieran afectar a valores tan trascendentes como la garantía del correcto funcionamiento de las instituciones públicas, en tanto en cuanto no existiera una norma comunitaria que no dispusiera lo contrario (24) .
No nos enfrentamos a un problema de confrontación de posiciones jurisprudenciales en el que pudiera llegarse a pensar que el TJUE entrara de lleno en el ámbito interpretativo propio del TEDH. Independientemente de que pudiéramos plantearnos las consecuencias jurídicas de un choque de posiciones jurisprudenciales, la verdad es que lo que lleva a efecto el TJUE es la interpretación de una concreta norma propia, sometida como tal al ordenamiento jurídico comunitario; y en el que la garantía de respeto de al menos ese estándar de protección que ofrece el TEDH quedaría asegurado por la superación de ese nivel tuitivo al que se refiere el art. 52.3 de la CDFUE (LA LEY 12415/2007).
Otro problema al que nos enfrentaría esta evolución jurisprudencial de TEDH sería el de la cualidad de autoridad judicial o administrativa independiente que se impone respecto de autoridades con capacidad de decisión sobre la ejecución de medidas de injerencia afectantes al mandato del mencionado precepto de la Directiva 2002/58/CE (LA LEY 9590/2002). Ya de forma más concluyente, tras el precedente incontestable de la STJUE (Gran Sala) de 2 de marzo de 2021 (LA LEY 3921/2021) (caso PROKURATUR; asunto C-746/2018), la STJUE del caso G.D. y COMISSIONER AN GARDA SÍOCHÁNA nos recuerda que esas especiales cualidades de independencia propias de una autoridad judicial, o con niveles de independencia hasta cierto punto parangonables, deben garantizarse como criterio general en la decisión de medidas de injerencias que afecten a contenidos o datos de tráfico de comunicaciones o datos de localización. En tanto en cuanto estuviéramos exigiendo el mismo nivel de gravedad propio de la lucha contra la delincuencia grave, tanto cuando se acuerda una injerencia afectante a la confidencialidad de las comunicaciones como cuando se pretende una cesión de datos así obtenidos, no tendíamos otra opción que la de exigir la misma independencia de la autoridad competente para ordenar la transferencia de los datos para una finalidad legítima.
Eso sí, tal doctrina de, cuando menos, la equiparación del nivel de trascendencia de la finalidad pública perseguida con el acto de injerencia con el propio de la decisión de cesión de datos obtenidos para otras finalidades, tiene un alcance claramente fragmentario en la jurisprudencia del TJUE. Por supuesto que la Directiva 2002/58/CE (LA LEY 9590/2002) se sobrepone a normas procesales o procedimentales administrativas internas de los estados miembros de la Unión. Pero su alcance no iría más allá del mandato del art. 15.1 de dicha Directiva o de otras normas comunitarias que pudieran servir de fundamento. Que puedan establecerse otras normas que pudieran alcanzar un rigor equiparable en aplicación del principio de proporcionalidad no es descartable a priori; pero debería tenerse en cuenta igualmente la gravedad de la injerencia y la posible equiparación de bienes jurídicos protegidos respecto del supuesto de una eventual cesión de datos. A partir de aquí, habrían de ser las normas de derecho interno las que regularan el conflicto.
IV. La situación del ordenamiento jurídico español
Ya hemos visto cómo la jurisprudencia del TEDH se abre claramente a la posibilidad de transferencia o cesión de información obtenida en el curso de injerencias sobre derechos fundamentales garantidos por el art. 8.1 del CEDH (LA LEY 16/1950) para determinados fines legítimos; con tal que la decisión superara ponderados filtros de proporcionalidad y necesidad, y el supuesto estuviera respaldado por una norma que cumpliera con las exigencias de calidad de la norma habilitante exigidas por la jurisprudencia del TEDH. La jurisprudencia del TJUE, al menos en cuanto respecta a información obtenida en el curso de injerencias afectantes a la confidencialidad de las comunicaciones, y más en concreto en cuanto resultara de aplicación el art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002), se muestra, como hemos visto, mucho más restrictiva.
Aun así, incluso en ámbitos que quedaran extramuros de la restrictiva posición del TJUE, no hemos de dejar atrás que desde la Resolución sobre admisibilidad del caso WEBER y SARAVIA v. Alemania, de 29 de junio de 2006 (asunto 54934/00), se nos recordará que constituiría un acto de injerencia sobre tal derecho amparado por el art. 8.1 del CEDH (LA LEY 16/1950) cualquier tipo de recopilación sistemática de información sobre una persona, aunque lo fuera con fines de investigación criminal, incluso sin el uso o cobertura de medios tecnológicos; lo que podría suponer sin duda el alcance a decisiones que en sí mismas fueran consideradas como un tratamiento de datos personales; que lo es la transferencia o cesión de datos para un uso diverso al que le hubiera servido de justificación inicial.
1. Cesión de datos obtenidos en una investigación criminal para el inicio de una nueva causa penal
La permeabilidad de información obtenida en procedimientos penales para dar inicio a nuevas causas criminales es en sí misma la tónica general; al menos en aquellos supuestos en que la información no es consecuencia de concretos actos de injerencia sobre determinados derechos fundamentales. Así, el art. 262, párrafo primero, de la LECRIM (LA LEY 1/1882) no parece que pudiera entenderse que excepcionara a las autoridades judiciales del deber de puesta conocimiento de la notitia criminis descubierta en el curso del ejercicio del cargo. Existen otras normas, aunque de carácter manifiestamente instrumental, que se abren a tal posibilidad; o incluso llegan a imponer el deber de dar inicio a nuevas causas ante el desvelo de hechos que escapan de su propio ámbito material. Así sucede, en concreto, en el nuevo art. 17 de la LECRIM (LA LEY 1/1882), al imponer la investigación separada de hechos, también los descubiertos en su seno, que no encontraran una vinculación con alguno de los criterios de conexidad propia o impropia que la norma despliega en los apartados 2 y 3; o cuando, aun cumpliendo con tales exigencias, las necesidades propias del principio de aceleración procesal así lo exigieren. También normas que, como los arts. 624 (LA LEY 1/1882) y 760 de la LECRIM (LA LEY 1/1882), o el art. 28 de la Ley Orgánica 5/1995, de 22 de mayo (LA LEY 1942/1995), del Tribunal del Jurado, determinan la posibilidad de cambio de procedimiento cuando se constata que el hecho investigado se corresponde con un cauce procesal diverso; pero que a su vez podrían servir de base para, a la vista del descubrimiento de hechos nuevos, dar a los mismos el cauce de investigación adecuado mediante una cesión o transmisión de estos datos a la autoridad judicial o fiscal investigadora competente.
Es fácil comprobar cómo este generoso régimen permeable a la utilización procesal de hechos descubiertos en el curso de investigaciones criminales para fines de nuevas investigaciones de la misma naturaleza solamente precisaría, a lo sumo, aparte de evitar transgresiones al principio de especialidad (25) , una sujeción a los principios de proporcionalidad y necesidad en la decisión de mandar deducir el testimonio o solicitar la remisión de testimonio de otro órgano. Unos principios que, aparte de en el propio mandato constitucional, encontrarían sustento en el art. 8.2 del CEDH (LA LEY 16/1950) y la jurisprudencia del TEDH antes citada; la propia jurisprudencia del Tribunal Constitucional y del Tribunal Supremo sobre la vigencia de estos principios en toda restricción de derechos fundamentales, a la vez que en la incontestable fuerza expansiva de los llamados principios rectores recogidos en el art. 588 bis a de la LECRIM (LA LEY 1/1882) (26) .
El art. 579 bis de la LECRIM (LA LEY 1/1882), a su vez, serviría de base para la utilización de información obtenida como consecuencia de medidas restrictivas de derechos fundamentales, tanto en un contexto de consecuencia necesaria del alcance y objeto del diseño de la medida de injerencia como de hallazgos casuales. Si bien el citado precepto aparentemente solo alcanzaría en su fuerza expansiva a las medidas de investigación tecnológicas reguladas en el Capítulo IV del Título III del Libro II de la LECRIM (LA LEY 1/1882), en base a la norma de remisión recogida en el art. 588 bis i, resulta evidente que esta misma potencialidad de expansión que hemos reconocido a los principios rectores habría de regir en cuanto a la información obtenida en base a concretas medidas restrictivas de derechos fundamentales. El apartado 3 de este precepto, aunque en una defectuosa redacción normativa (27) , somete a la decisión sobre la posible utilización procesal de la información casualmente descubierta a una serie de criterios entre los que implícitamente se encuentra el respeto del principio de proporcionalidad.
Como bien es sabido, la norma llega a apartarse, aunque no de una forma incontestable, de unos precedentes jurisprudenciales, como pudiera ser, por poner un solo ejemplo, la STS, Sala 2ª, 446/2012, de 5 de junio (LA LEY 72631/2012), que exigían para permitir que la información obtenida en el curso de una interceptación de comunicaciones pudiera ser utilizada en otra investigación criminal, que los hechos nuevos aparentaran «…una gravedad suficiente como para tolerar proporcionalmente su adopción»; es decir, un juicio de ponderación sobre si la naturaleza penal de los hechos descubiertos, por su gravedad, habría permitido por sí misma la adopción de una medida de interceptación de comunicaciones. La relación entre esta posición jurisprudencial y el último de los criterios ponderativos que recoge el art. 579 bis.3 de la LECRIM (LA LEY 1/1882) (evaluación de la imposibilidad de haber solicitado la medida que lo incluyera en su momento) es compleja; pero al menos habría de garantizar el sometimiento de la decisión sobre el aprovechamiento procesal de la información obtenida a un principio de proporcionalidad que se encuentra en la cúspide de los principios rectores (28) .
Pero dicha norma difícilmente podría superar el rigor de la jurisprudencia del TJUE, especialmente, teniendo en cuenta la solución planteada por la STJUE del caso A.G. y LIETUVOS RESPUBLIKOS GENERALINĖ PROKURATŪRA; para la que la licitud de una cesión de datos procedentes de una infracción criminal obtenidos como consecuencia de una medida de excepción a la norma protectora del art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002) exigiría, cuando menos, una paridad o equiparación en la concepción de delincuencia grave, tal y como es entendida por dicha jurisprudencia; sin más excepción que aquellos supuestos en los que la menor intensidad de la injerencia, a su vez, permitiera, como en el ejemplo de los datos de identidad civil, una relajación en las exigencias referidas a la naturaleza del bien jurídico protegido por la norma penal sancionadora.
Si dicha jurisprudencia somete a un mismo nivel de exigencia tanto al acto primario de la injerencia sobre concretos ámbitos de la confidencialidad de las comunicaciones, como al derivado de cesión de datos así obtenidos para su utilización en una nueva investigación criminal, no cabrá otra opción que acudir a los supuestos en que, por aplicación del principio de proporcionalidad, entiende el TJUE que tales medidas son conformes con el Derecho de la Unión. El régimen de elenco de infracciones criminales que se incluyen como susceptibles de ser objeto de una medida de investigación tecnológica, tal y como se regula en los arts. 579.1 (LA LEY 1/1882) y 588 ter a de la LECRIM (LA LEY 1/1882), apenas podría superar parcialmente este concepto de delincuencia grave o asimilable que se deduce de la jurisprudencia del TJUE (29) . Realmente, y a falta de una evolución jurisprudencial del TJUE que expandiera las modalidades delictivas o bienes jurídicos objeto de protección por la norma penal, solo superarían este principio de proporcionalidad cesiones de datos que tuvieran por finalidad la investigación, al menos, de las siguientes actividades delictivas:
- 1. La lucha contra el terrorismo (30) . Destaca en este sentido cómo el nuevo Reglamento (UE) 2023/2131 (LA LEY 27133/2023) instaura, mediante una modificación del Reglamento (UE) 2018/1727 (LA LEY 18403/2018), un deber de compartición de información de investigaciones relacionadas con la lucha contra el terrorismo, una vez que éstas son judicializadas (31) .
- 2. La lucha contra la delincuencia organizada. La Decisión Marco 2008/841/JAI del Consejo, de 24 de octubre de 2008, relativa a la lucha contra la delincuencia organizada, sería la norma que definiría, prima facie, este concepto de delincuencia organizada, bajo los conceptos de organización delictiva y asociación estructurada. Lógicamente, la propia relevancia penal del funcionamiento de estas organizaciones permitirá la cesión de datos tanto referidos a su propia existencia, estructura y actividad, como en cuanto a los delitos cometidos en su seno (32) .
- 3. La lucha contra la trata de seres humanos; tal y como se colige de la lectura del art. 9.4 de la 2011/36/UE (33) .
- 4. La lucha contra los abusos sexuales contra menores y la pornografía infantil; tal como se infiere del mandato del art. 15.2 de la 2011/92/UE (34) . En cuanto a la cesión de datos obtenidos en la lucha contra tales execrables conductas delictivas, el Reglamento (UE) 2021/1232 (LA LEY 17549/2021) (35) impone concretos deberes de cesión de datos facilitados por operadoras concernidas en el deber de filtrado de comunicaciones para tal finalidad para su remisión a las autoridades competentes para su persecución; pudiendo hacer precisa la cesión de datos entre autoridades cuando el destinatario final fuere diverso.
- 5. La lucha contra ataques a la integridad de los mercados financieros de la Unión Europea y la confianza del público en los instrumentos financieros. En concreto, en cuanto respecta a las posibilidades de investigación tecnológica de conformidad con lo establecido en el artículo 12, apartado 2, letras a) y d), de la Directiva 2003/6/CE del Parlamento Europeo y del Consejo, de 28 de enero de 2003 (LA LEY 2667/2003), sobre las operaciones con información privilegiada y la manipulación del mercado (abuso del mercado), así como del artículo 23, apartado 2, letras g) y h), del Reglamento (UE) n.o 2014/596 del Parlamento Europeo y del Consejo, de 16 de abril de 2014 (LA LEY 24570/2012), sobre el abuso de mercado (Reglamento sobre abuso de mercado) y por el que se derogan la Directiva 2003/6/CE (LA LEY 2667/2003) del Parlamento Europeo y del Consejo, y las Directivas 2003/124/CE (LA LEY 12084/2003), 2003/125/CE (LA LEY 12083/2003) y 2004/72/CE (LA LEY 5142/2004) de la Comisión (36) .
- 6. La lucha contra determinados delitos que afectan a derechos fundamentales trascendentales, relacionados, en concreto, con los órdenes de la libertad personal —art. 5 del CEDH (LA LEY 16/1950)— y la privacidad —art. 8 del CEDH (LA LEY 16/1950)—. Lo cual podría incluir, según la más reciente jurisprudencia del TJUE, especialmente desde la STJUE del caso G.D. y COMISSIONER AN GARDA SÍOCHÁNA, y siempre desde un contexto de respeto de los principios de proporcionalidad y necesidad aplicados a cada caso concreto:
- a. La lucha contra los delitos perpetrados, en particular, contra los menores y otras personas vulnerables —§ 49—.
- b. La necesidad de dar una adecuada protección a determinados derechos fundamentales, reconocidos en la CDFUE (LA LEY 12415/2007), tales como la integridad personal —art. 3—, prohibición de la tortura y tratos inhumanos o degradantes —art. 4—, libertad y seguridad —art. 6— y privacidad —art. 7—. Esta nueva línea de apertura, inspirada sin duda en concretos procedentes del TEDH, encuentra un cierto paralelismo normativo con la imposición de concretos deberes a prestadores de servicios de Internet en el conocido como Reglamento de Servicios Digitales (37) ; como norma que impone a estos deberes proactivos de detección, retención y cesión a las autoridades competentes de contenidos y trazabilidad de los mismos, detectados en las redes que gestionan; de los que pudiera deducirse que se ha cometido, se está cometiendo o puede que se cometa «…un delito que implique una amenaza para la vida o la seguridad de una o más personas» —art. 18 del Reglamento—.
- 7. La lucha contra delitos contra altas instituciones del Estado, de traición y relativos a la defensa nacional, aun sin un referente claro en la jurisprudencia del TJUE sí podría aparentemente facilitar una orden de cesión de datos. Es el máximo nivel de compromiso de bienes jurídicos que propone el TJUE en su escala decreciente de superación del principio de proporcionalidad; hasta el punto de soportar medidas concretas de conservación indiscriminada de datos. Obviamente, si la información obtenida en una legítima injerencia, en el contexto de una investigación criminal, permite acceder a datos que comprometan la seguridad nacional o un concepto de seguridad pública que llega incluso a equipararse con el objetivo de lucha contra la delincuencia grave, la posibilidad de aprovechamiento de la misma para aquellas finalidades investigadoras sería incontestable.
Como puede apreciarse fácilmente, ni el implícitamente denostado por el TJUE criterio de la gravedad del delito en función de la penalidad impuesta por el legislador nacional, ni el criterio instrumental de la utilización de medios tecnológicos en la comisión del delito podrían por sí solos servir de base para la adopción de una decisión de cesión de datos previamente obtenidos en el curso de una injerencia legal afectante a la confidencialidad de las comunicaciones. Servirían solo como criterios de ponderación en el caso concreto de la decisión de cesión de datos.
2. Cesión de datos obtenidos para su utilización en procedimientos administrativos
La legislación española ya parte de base de un esquema de limitada permeabilidad de datos procedentes de procedimientos penales a procedimiento administrativos, y, en concreto, sancionadores. La STC 17/2013, de 31 de enero (LA LEY 1624/2013), ya nos prevenía claramente que, más allá de los supuestos previstos en la entonces vigente Ley Orgánica de protección de datos de carácter personal, regía un estricto principio de expresa previsión legal; lo que le llevara a la más reciente STC, Sala Segunda, 67/2020, de 29 de junio (LA LEY 85632/2020), en aplicación del mandato del art. 94.3 de la Ley General Tributaria (LA LEY 1914/2003), a no ver óbice constitucional alguno en el aprovechamiento de datos contables obtenidos en el curso de un registro, en despacho profesional de abogados, de dispositivo de almacenamiento masivo de datos por supuesto delito de blanqueo de capitales, en un expediente de liquidación tributaria (38) . Esta última sentencia se cuidaba, eso sí, de mostrarse respetuosa de precedentes jurisprudenciales del TJUE, haciendo expresa mención a la STJUE (Gran Sala) de 21 de diciembre de 2016 (caso TELE2 SVERIGE AB y otros; asuntos C-203/15 y C-698/15), en el sentido de mostrarse exigente de que se ejerciera un control jurisdiccional sobre los datos o pruebas trasladadas a un procedimiento administrativo.
Este respeto debería forzar sin duda a que llegáramos a la conclusión de que, en tanto en cuanto no se viera afectado el ámbito de aplicación de los arts. 5 (LA LEY 9590/2002) y 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002), y a su vez la decisión de transferencia de información, conforme al Derecho de la Unión, se viera amparada por una concreta habilitación legal, tal y como nos ha recordado la reciente STJUE (Sala Sexta) de 7 de marzo de 2024 (LA LEY 25135/2024) (caso ENDEMOL SHINE FINLAND OY; asunto C-740/22), una cesión de datos podría ser, según las circunstancias, legítima y jurídicamente factible.
La LO 7/2021 (LA LEY 11831/2021), nos enfrenta, sin embargo, a un escenario de compleja interpretación. El art. 1 introduce dentro de su ámbito de aplicación no solo la prevención, detección, investigación y enjuiciamiento de infracciones penales o ejecución de sanciones penales, sino también, bajo el mismo régimen, la protección y prevención frente a las amenazas contra la seguridad pública; lo cual podría dar pie a cierto grado de permeabilidad entre unos y otros intereses jurídicos. Sin embargo, el art. 2.2 remite a lo que se establezca en la Ley Orgánica del Poder Judicial (LA LEY 1694/1985) o Estatuto Orgánico del Ministerio Fiscal (LA LEY 2938/1981), en cuanto respecta al tratamiento de datos relacionados con actuaciones o procesos de los que autoridades judiciales y fiscales sean competentes; lo que nos lleva a un art. 236.quinquies.3 de la LOPJ (LA LEY 1694/1985) que, al menos explícitamente, solamente prevé la cesión de datos al Consejo General del Poder Judicial y Ministerio de Justicia en el ejercicio de competencias propias establecidas en la ley en materia de control e inspección. Por si fuera poco, el art. 2.3,e) de la LO 7/2021 (LA LEY 11831/2021) excluye de su ámbito de aplicación a «Los tratamientos realizados en las acciones civiles y procedimientos administrativos o de cualquier índole vinculados con los procesos penales que no tengan como objetivo directo ninguno de los fines del artículo 1». Es decir: tal y como nos advierte en concreto la STJUE de 7 de marzo de 2024 (LA LEY 25140/2024), han de ser normas administrativas específicas las que, con pleno respeto sin duda de los mandatos del RGPD, establezcan la concreta posibilidad de cesión de datos de un proceso penal a otro administrativo; pero que nunca podrían abarcar al supuesto de evidencias obtenidas en el curso de una injerencia amparada por el art. 15.1 de la Directiva 2002/58/CE (LA LEY 9590/2002).
Actualmente resulta complejo encontrar normas administrativas que, como el art. 94.3 de la Ley General Tributaria (LA LEY 1914/2003), sirvan de indiscutible fundamento jurídico para tal accesibilidad; y más teniendo en cuenta que la Ley 39/2015, de 1 de octubre, del procedimiento Administrativo Común de las Administraciones Públicas (LA LEY 15010/2015) ha derogado, con carácter general, cualquier referencia a la posibilidad de recabo de información sobre estado de procedimientos penales y resolución poniendo fin al procedimiento cuando se había paralizado previamente un expediente administrativo sancionador sobre los mismos hechos; tal y como expresamente se establecía en el art. 7 del Real Decreto 1398/1993, de 4 de agosto (LA LEY 2846/1993), por el que se aprueba el Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora. Solamente podemos encontrar normas sectoriales que, con carácter concreto mantienen, sin una derogación expresa, un régimen de coordinación entre autoridades judiciales y administrativas; como, en concreto, sucede en el procedimiento sancionador en materia de tráfico, circulación de vehículos a motor y seguridad vial, en su art. 2 del RD 320/1994, de 25 de febrero (LA LEY 1452/1994); o de forma más vehemente en el art. 33 de la Ley Orgánica 3/2012 (LA LEY 13142/2012), de protección de la salud del deportista y lucha contra el dopaje (39) .
Realmente, el escenario al que nos enfrentan las sentencias del TJUE sobre esa posibilidad de cesión de datos procedentes de una causa penal para un procedimiento administrativo no ofrece más novedad que el establecimiento de una regla de exclusión de informaciones procedentes de causas penales en tanto que éstas hubieran tenido su origen en una injerencia sobre contenidos o datos de tráfico de comunicaciones o datos de geolocalización gestionados por los prestadores concernidos por el mandato de la Directiva 2002/58/CE (LA LEY 9590/2002).
Sobre esta base, la férrea garantía del principio de legalidad en la cesión de los datos seguiría plenamente vigente, en tanto en cuanto ese principio de no permeabilidad derivado de la jurisprudencia del TJUE no encontrara otra base normativa dentro del ámbito del Derecho de la Unión. Esa posición más abierta de la jurisprudencia del TEDH, en cuanto a la posibilidad de expandir el fin legítimo propio de la injerencia acordada en el contexto de una investigación criminal a otros intereses legítimos diversos, aunque igualmente relevantes, aunque sometida a concretas exigencias en orden al control frente a abusos o arbitrariedades mediante la ponderación de la decisión bajo criterios de proporcionalidad y necesidad y garantía de existencia de vías reaccionales para cuestionar la decisión, podría ser exportable sin duda a nuestra legislación nacional. Pero no hemos de olvidar que ese férreo sometimiento a un estricto principio de legalidad, que igualmente se impone en la jurisprudencia del TEDH, sigue lastrando cualquier posibilidad de utilización de la información obtenida en procedimientos penales, especialmente con afectación de derechos fundamentales, como evidencias en procedimientos administrativos sancionadores o tributarios.
Aún así, no deberíamos olvidar que parte de la doctrina administrativa se ha mostrado reacia a la permeabilidad de la información obtenida en base a injerencias legales sobre derechos fundamentales en un procedimiento penal; proponiendo un criterio de admisibilidad solamente para aquellas circunstancias en las que la autoridad administrativa competente hubiera tenido la misma capacidad de acordar el acto de injerencia del que se derivara la obtención de la información que la autoridad judicial en el correspondiente procedimiento (40) . Se trataría, realmente, de una aplicación del mismo criterio empleado por la jurisprudencia de la Sala Segunda del Tribunal Supremo sobre el hallazgo casual.
Este criterio es razonable, plausible y comprensible. Además, no sería sino aplicación lógica de unos principios que han sido inspirados por una jurisprudencia del TJUE que, derivados de claros mandatos de la Carta de Derechos Fundamentales de la Unión Europea (LA LEY 12415/2007), deberían servir de ejemplo para la consideración del alcance de determinados derechos fundamentales comunes a los Estados miembros de la Unión. Y ello independientemente de que pudiéramos o no hallar una concreta norma del Derecho de la Unión que permitiera la penetración de aquélla y su jurisprudencia. Aplicar ese criterio de equiparación de finalidades legítimas tan solo a las injerencias sobre contenidos y datos de tráfico de telecomunicaciones o datos de geolocalización asociados, solo por razón de la existencia de una norma comunitaria que le sirve de base, pero negarlo a otros supuestos de injerencia, como serían la afectación de la inviolabilidad domiciliaria o el derecho al entorno virtual, por la sola razón de inexistencia de un referente normativo que permitiera la aplicación de la Carta es un planteamiento difícil de asumir.