Conclusiones de la AG Medina sobre acceso a emails en inspecciones de autoridades competencia

La Abogada General (“AG”) L. Medina ha presentado sus Conclusiones en los asuntos acumulados C-258/23 a C-260/23, en los que se ha solicitado al Tribunal de Justicia de la Unión Europea (“TJUE”) que aclare con carácter prejudicial si es necesario un control judicial previo sobre el registro y la incautación de correos electrónicos en el contexto de las investigaciones de las autoridades nacionales de competencia (“ANC”).

Principales puntos de las Conclusiones

En sus conclusiones, la AG Medina concluye que el Derecho de la UE —interpretado a la luz de los artículos 7 y 8 de la Carta de los Derechos Fundamentales— no exige, como regla general, una autorización judicial previa para que las ANC registren y accedan a correspondencia electrónica profesional en inspecciones sorpresa, siempre que a nivel nacional existan y se apliquen salvaguardias jurídicas estrictas y un control judicial ex post efectivo.

Entre las garantías necesarias, las Conclusiones se refieren a una orden de inspección debidamente motivada, que debe basarse en sospechas razonables de infracción y debe definir el objeto y el ámbito temporal de la investigación; la minimización de los datos objeto de búsqueda mediante parámetros de búsqueda estrictamente definidos; o la participación de representantes de las empresas con la posibilidad de formular objeciones. Del mismo modo, las Conclusiones subrayan que debe existir un control judicial ex post efectivo durante y después de la investigación, con la posibilidad de que se deriven consecuencias en caso de incumplimiento.

Por último, las Conclusiones incluyen dos clarificaciones pertinentes. En primer lugar, se requiere una autorización judicial previa para realizar inspecciones en residencias o domicilios privados; y, en segundo lugar, los Estados miembros pueden optar por establecer un mecanismo interno de autorización previa y asignarlo a una autoridad judicial u organismo independiente, incluido el Ministerio Fiscal, si cumple los requisitos de independencia e imparcialidad establecidos en la jurisprudencia europea.

Contexto y origen de la petición de decisión prejudicial

La necesidad de tal control judicial previo ha sido un tema muy discutido en el marco de los procedimientos sancionadores por infracciones de competencia de la Autoridade da Concorrência (AdC) en Portugal.

El Tribunal Constitucional portugués declaró inconstitucional la interpretación de la ley según la cual era posible acceder y obtener copia de correos electrónicos abiertos con la autorización del Ministerio Fiscal (Sentencias núms. 91/2023 y 314/2023). En ejecución de dicha sentencia, el Tribunal de Apelación (Tribunal da Relação) de Lisboa declaró nulas y sin efecto las incautaciones de correos electrónicos realizadas sin orden del Juez de Instrucción Penal (Juiz de Instrução Criminal, o JIC), determinando su retirada del expediente administrativo y la destrucción de copias; al tiempo que el Tribunal Supremo de Justicia, (Supremo Tribunal de Justiça, AFJ n.º 12/2024) declaró que corresponde al JIC ordenar o autorizar la incautación de correos electrónicos, abiertos o cerrados, en virtud de la aplicación del régimen de la Ley de Ciberdelincuencia a los procedimientos sancionadores en materia de competencia.

Esta línea jurisprudencial ha conducido a la suspensión de varios procedimientos en curso y a la incertidumbre sobre la validez de las pruebas basadas en correos electrónicos incautados sin autorización previa del JIC.

En este contexto, las conclusiones presentadas ahora por la Abogada General Medina, en línea con sus primeras conclusiones al respecto, presentadas en junio de 2024, ofrecen una orientación de lo que debería o podría exigirse en virtud del Derecho europeo y una primera indicación del posible sentido de la decisión del TJUE, sin perjuicio de que no sean vinculantes.

Sin embargo, la AG Medina ha clarificado que los Estados miembros pueden optar por establecer un mecanismo interno de autorización previa y asignarlo a una autoridad judicial o a una entidad independiente —que puede ser el Ministerio Fiscal si cumple con los requisitos de independencia e imparcialidad establecidos en la jurisprudencia europea. Este sería el caso del Ministerio Fiscal portugués. En este sentido, las conclusiones parecen apuntar al Derecho europeo como un umbral mínimo y no como un máximo.

En cuanto al —muy debatido— requisito constitucional de autorización por parte del JIC que deriva del Tribunal Constitucional, la AG Medina se limita a señalar que el Derecho europeo no impide que un Estado miembro establezca un mecanismo más estricto o exigente de autorización previa por parte de "una autoridad judicial, incluido también el fiscal". En este sentido, las Conclusiones parecen apuntar a estas disposiciones de la UE como un umbral mínimo en lugar de un techo máximo.

Así, la carga de articular los mínimos exigidos por el Derecho europeo con las garantías del Derecho constitucional portugués corresponde a la jurisdicción portuguesa. En sus Conclusiones, la Abogada General no se refiere a la incompatibilidad de un mecanismo de autorización previa por parte del JIC con el Derecho europeo ni a que esta limitación comprometa la aplicación efectiva de los artículos 101 y 102 del TFUE.

A la espera de una decisión final del TJUE, el debate sobre la articulación entre las salvaguardias exigidas por el Derecho de la UE y las decisiones constitucionales y legislativas portuguesas relativas a la incautación de emails profesionales sigue abierto.

¿Qué cabe esperar? Implicaciones prácticas

Las conclusiones de la AG Medina no vinculan al TJUE, cuya decisión determinará el alcance de esta interpretación a nivel de la Unión. Así, a pesar de la petición de decisión prejudicial procede de Portugal, la sentencia establecerá principios de interpretación jurídica en otros Estados miembros en lo que respecta al equilibrio entre las necesidades de aplicación pública de la normativa de competencia (y, en concreto, la incautación de emails profesionales) y las garantías que derivan por —al menos— el Derecho de la UE en materia de privacidad y protección de datos.