La sentencia en sí misma no examina la nueva ley de vigilancia electrónica, sino el texto conocido como Data Retention and Investigatory Powers Act o DRIPA, una ley temporal que expira a finales de 2016 con la que comparte numerosos puntos y a la que sustituye.
Según la más alta instancia judicial de la Unión Europea:
[...] los Estados miembros podrán establecer, con carácter preventivo, una conservación selectiva de esos datos con la única finalidad de luchar contra la delincuencia grave, siempre que tal conservación se limite a lo estrictamente necesario por lo que se refiere a las categorías de datos que deban conservarse, los medios de comunicación a que se refieran, las personas afectadas y el período de conservación establecido. El acceso de las autoridades nacionales a los datos conservados debe estar sujeto a requisitos, entre los que se encuentran en particular un control previo por una autoridad independiente y la conservación de los datos en el territorio de la Unión.
...
En la sentencia que se dicta hoy, el Tribunal de Justicia responde que el Derecho de la Unión se opone a una normativa nacional que establece la conservación generalizada e indiferenciada de los datos.
El TJUE es directo en sus conclusiones, recordando a las autoridades británicas su jurisprudencia y el hecho de que "la injerencia que resulta de una normativa nacional que establece la conservación de los datos de tráfico y de localización debe considerarse especialmente grave".
Aunque dirigido al Reino Unido, su dictamen se aplica a cualquier miembro de la Unión Europea que pueda querer implantar una legislación que contemple la recolección masiva e indiscriminada de datos personales sin una justificación clara. Según el TJUE, esta práctica "no puede considerarse justificada en una sociedad democrática".
La ley de cibervigilancia del Reino Unido (también conocida como snooper's charter) fue impulsada por la actual Primera Ministra Theresa May cuando todavía tenía la cartera de Interior y ha sido objeto de una gran polémica a nivel nacional e internacional por los poderes que otorga a las autoridades para espiar a los ciudadanos. Entre otras medidas, el texto obliga a los proveedores de acceso a recoger y almacenar los datos de navegación de los internautas británicos y almacenarlos durante un año, además de facilitar el hackeo de dispositivos y forzar a las operadoras a proporcionar acceso a comunicaciones cifradas (lo que podría suponer la anulación del cifrado punto a punto).
Las autoridades británicas ya han declarado que apelarán la sentencia.
