1.

La Administración aduanera alemana requiere ciertos datos personales de los directivos y de los empleados de las empresas que aspiran a obtener o a mantener el estatuto de operador económico autorizado (en lo sucesivo, «AEO»), con el que gozan de un trato más favorable que el resto de los importadores o exportadores.

2.

La cuestión prejudicial versa sobre los límites que el derecho de la Unión impone a esos requerimientos, bien sea en el ámbito estrictamente aduanero, bien en el de la protección de los datos personales.

3.

El artículo 38 del Reglamento n.o 952/2013 ( 2 ) prevé:

«1.   Todo operador económico establecido en el territorio aduanero de la Unión que cumpla los criterios dispuestos en el artículo 39 podrá solicitar el estatuto de operador económico autorizado.

[...]

2.   El estatuto de operador económico autorizado consistirá en los siguientes tipos de autorización:

[...]»

4.

El artículo 39, letra a), preceptúa:

«Los criterios para la concesión del estatuto de operador económico autorizado serán los siguientes:

[...]».

5.

Con arreglo al artículo 24, apartado 1:

«[...]

Cuando el solicitante no sea una persona física, el criterio establecido en el artículo 39, letra a), del Código se considerará cumplido si, durante los tres últimos años, ninguna de las personas siguientes ha cometido infracciones graves o reiteradas de la legislación aduanera y de la normativa fiscal ni ha recibido condena alguna por un delito grave en relación con su actividad económica:

6.

Conforme al artículo 1:

«1.   El presente Reglamento establece medidas transitorias respecto de los medios de intercambio y almacenamiento de información a que se refiere el artículo 278 del Código hasta que estén operativos los sistemas electrónicos necesarios para la aplicación de las disposiciones del Código.

2.   Los requisitos en materia de datos, los formatos y los códigos que se aplicarán durante los períodos transitorios establecidos en el presente Reglamento, el Reglamento Delegado (UE) 2015/2446 y el Reglamento de Ejecución (UE) 2015/2447, se establecen en los anexos del presente Reglamento.»

7.

El artículo 5 estipula:

«1.   Hasta la fecha de mejora del sistema AEO a que se refiere el anexo de la Decisión de Ejecución 2014/255/UE, las autoridades aduaneras podrán permitir la utilización de medios distintos de las técnicas de tratamiento electrónico de datos en relación con las solicitudes y las decisiones relativas a AEO o con cualquier acontecimiento posterior que pueda afectar a la solicitud o decisión iniciales.

2.   En los casos contemplados en el apartado 1 del presente artículo, será de aplicación lo siguiente:

8.

El punto 19 de las notas explicativas del anexo VI está dedicado al contenido del formulario de solicitud del estatuto de AEO:

«Nombre del solicitante, fecha y firma:

Firma: el firmante debe indicar su cargo. El firmante debe ser siempre la persona que represente globalmente al solicitante.

Nombre: nombre y apellidos y sello del solicitante.

[...]

[...]»

9.

Según el artículo 4:

«A efectos del presente Reglamento se entenderá por:

[...]».

10.

El artículo 5 prevé:

«Los datos personales serán:

[...]»

11.

El artículo 6 enuncia:

«1.   El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

[...]

[...]

[...]

2.   Los Estados miembros podrán mantener o introducir disposiciones más específicas a fin de adaptar la aplicación de las normas del presente Reglamento con respecto al tratamiento en cumplimiento del apartado 1, letras c) y e), fijando de manera más precisa requisitos específicos de tratamiento y otras medidas que garanticen un tratamiento lícito y equitativo, con inclusión de otras situaciones específicas de tratamiento a tenor del capítulo IX.

3.   La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por:

La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. [...] El derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido.

4.   Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:

12.

De acuerdo con el artículo 23, apartado 1, letra e):

«El derecho de la Unión o de los Estados miembros que se aplique al responsable o el encargado del tratamiento podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en los artículos 12 a 22 y el artículo 34, así como en el artículo 5 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 12 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:

[...]

13.

En su versión aplicable a los hechos, el artículo 139a, apartado 1, señala:

«El Bundeszentralamt für Steuern [(Oficina Tributaria Federal Central)] asignará a cada sujeto pasivo, para su inequívoca identificación en los procedimientos tributarios, un código único y permanente (código de identificación), que deberá ser facilitado por el sujeto pasivo o por el tercero que deba comunicar datos del mismo a las autoridades tributarias, en toda consulta, declaración o comunicación con las autoridades tributarias. El código de identificación consistirá en una secuencia numérica que no pueda formarse ni deducirse a partir de otros datos del sujeto pasivo, y cuya última cifra será un dígito de control [...]».

14.

A tenor del artículo 139b:

«(1)   Las personas físicas solo podrán recibir un único número de identificación [...]

(2)   Las autoridades tributarias solo podrán obtener y utilizar el número de identificación cuando sea necesario para el cumplimiento de sus funciones legales o cuando expresamente lo autorice u ordene una disposición legal. Otros organismos públicos o privados podrán:

(3)   La Oficina Tributaria Federal Central registrará los siguientes datos relativos a las personas físicas:

[...]

[...]

(4)   Los datos enumerados en el apartado 3 se registrarán a fin de:

15.

El artículo 38, apartados 1 y 3, en su versión aplicable en el momento de los hechos, prescribe:

«(1)   En cuanto a los rendimientos del trabajo dependiente, el impuesto sobre la renta se recaudará mediante retención practicada sobre el salario (impuesto sobre los salarios), siempre que el salario sea pagado por un empresario [...]

[...]

(3)   El empresario retendrá el impuesto sobre los salarios por cuenta del trabajador en cada pago de salarios [...]».

16.

El artículo 39, apartados 1 y 4, establece:

«(1)   Para efectuar la retención del impuesto sobre los salarios se determinarán, a instancia del trabajador, los elementos de la retención [...]

[...]

(4)   Son elementos de la retención:

[...]».

17.

Según el artículo 39e:

«(1)   La Oficina Tributaria Federal Central determinará en principio de forma automática, como elementos de la retención del impuesto sobre los salarios (artículo 39, apartado 4, primera frase, puntos 1 y 2), la clase impositiva de cada trabajador y, para los hijos relevantes en los casos de las clases I a IV, el número de desgravaciones por cargas familiares [...] En caso de que la oficina tributaria determine elementos de la retención con arreglo al artículo 39, se los comunicará a la Oficina Tributaria Federal Central a fin de que los ponga a disposición de la consulta automática por el empresario [...]

(2)   La Oficina Tributaria Federal Central registrará los elementos de la retención para ponerlos a disposición de la consulta automática por el empresario, indicando el número de identificación y añadiendo, para cada sujeto pasivo, a los datos mencionados en el artículo 139b, apartado 3, de la Abgabenordnung, los siguientes:

[...]

(4)   Al iniciar una relación laboral, el trabajador deberá comunicar a cada uno de sus empresarios, con el fin de poder consultar los elementos de la retención:

[...]

Al inicio de la relación laboral, el empresario deberá recabar telemáticamente de la Oficina Tributaria Federal Central los elementos electrónicos de la retención relativos al trabajador e incluirlos en la cuenta salarial del trabajador. [...]

[...]»

18.

Deutsche Post era titular de autorizaciones aduaneras concedidas en virtud del Reglamento (CEE) n.o 2913/92 ( 6 ) y del Reglamento (CEE) n.o 2454/93, ( 7 ) en particular, como destinatario autorizado y como expedidor autorizado. Se beneficia también de una garantía global para facilitar el régimen de tránsito de la Unión o el tránsito común y, desde que comenzó la aplicación plena del nuevo Código aduanero, de la autorización para tener un almacén de depósito temporal.

19.

Mediante escrito de 19 de abril de 2017, la Hauptzollamt (Oficina Aduanera Central) requirió a Deutsche Post que respondiese al formulario de autoevaluación, parte I (Información de la empresa), que se encuentra en internet, antes del 19 de mayo de 2017. Dicho formulario contenía, entre otras, las siguientes peticiones:

[...]

[...]

20.

La Oficina Aduanera Central advirtió a Deutsche Post de que, de no prestar la colaboración necesaria, resultaría imposible comprobar si cumplía los requisitos de autorización con arreglo al Código aduanero. Le advirtió, asimismo, de que revocaría las autorizaciones permanentes si no colaboraba o no reunía ya aquellos requisitos.

21.

Deutsche Post presentó una demanda ante el tribunal a quo, oponiéndose a la obligación de comunicar a la Oficina Aduanera Central los números de identificación fiscal (en lo sucesivo, «NIF») de las personas citadas en el formulario de autoevaluación, así como las coordenadas de las oficinas tributarias competentes en relación con ellas. Solicitaba al tribunal que declarase que no está obligada a responder a esa parte del formulario.

22.

Deutsche Post alegaba, para fundar su demanda, que:

23.

La Oficina Aduanera Central se opuso a los argumentos de Deutsche Post aduciendo que la petición de los NIF es indispensable para identificar debidamente a las personas correspondientes cuando se realice una consulta a las oficinas tributarias. El intercambio de información está previsto solo cuando estas últimas oficinas tengan conocimiento de infracciones graves o reiteradas de la normativa tributaria. A este respecto no son relevantes los procedimientos penales o sancionadores finalizados. Las infracciones reiteradas de la normativa tributaria se toman en cuenta si su frecuencia guarda una relación desproporcionada con el carácter y las dimensiones de la actividad comercial del solicitante.

24.

Según la Oficina Aduanera Central, el grupo de personas a las que se refieren las preguntas es conforme con el artículo 24, apartado 1, párrafo segundo, del RECA y con las Orientaciones de la Comisión sobre los AEO. En cada caso, en función del riesgo, esa Oficina decide sobre qué personas concretas se ha de efectuar el intercambio de información con las oficinas tributarias. En cuanto a las personas dedicadas a asuntos aduaneros, para grandes departamentos aduaneros la consulta se limita a los directivos y responsables.

25.

El Finanzgericht Düsseldorf (Tribunal tributario de Düsseldorf, Alemania) alberga dudas acerca de si la consulta de los datos personales pedidos (los NIF y las oficinas tributarias competentes para la recaudación del impuesto sobre la renta en relación con las personas aludidas en los puntos 1.1.2, letra c), 1.1.6 y 1.3.1 del formulario) es un tratamiento lícito de dichos datos, según el RPD y el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (en adelante, «Carta»).

26.

Duda también de la necesidad de recurrir a los datos personales de los trabajadores y de los miembros del consejo de supervisión de la demandante, recogidos para la recaudación del impuesto sobre la renta, pues no guardan relación directa con la valoración de su fiabilidad aduanera ni con la actividad económica de Deutsche Post.

27.

En este contexto, aquel órgano jurisdiccional ha acordado elevar al Tribunal de Justicia la siguiente cuestión prejudicial:

«¿Debe interpretarse el artículo 24, apartado 1, párrafo segundo, del Reglamento de Ejecución (UE) 2015/2447 de la Comisión, de 24 de noviembre de 2015, por el que se establecen normas de desarrollo de determinadas disposiciones del Reglamento (UE) n.o 952/2013 del Parlamento Europeo y del Consejo, por el que se establece el código aduanero de la Unión, en el sentido de que permite a la autoridad aduanera requerir al solicitante que comunique los números de identificación fiscal asignados por la Oficina Tributaria Federal Central alemana para la recaudación del impuesto sobre la renta y las oficinas tributarias competentes para la liquidación del impuesto sobre la renta de los miembros del consejo de supervisión del solicitante y de las personas que actúen para el mismo como directores gerentes, directores de departamento, director contable, director del departamento de aduanas y los responsables de asuntos aduaneros y demás personas que trabajen en asuntos aduaneros?».

28.

Han depositado observaciones escritas Deutsche Post, la Oficina Aduanera Central, los Gobiernos de España, Hungría e Italia, así como la Comisión. En la vista, celebrada el 5 de julio de 2018, comparecieron Deutsche Post, la Oficina Aduanera Central y la Comisión.

29.

Con carácter previo al análisis de fondo, hay que clarificar qué normas de la Unión relativas a la protección de datos de carácter personal son aplicables en este asunto.

30.

La solicitud de comunicación de datos se remitió a Deutsche Post el 19 de abril de 2017, antes, por tanto, de la fecha de entrada en vigor (25 de mayo de 2018) del RPD. En aquel momento regía la Directiva 95/46/CE, ( 8 ) pese a lo que tanto el tribunal de reenvío como los intervinientes en el incidente prejudicial, salvo la Comisión, dan por sentado que se aplica el mencionado Reglamento.

31.

La explicación de esta aparente anomalía puede hallarse en la naturaleza del proceso nacional de origen. Tal como se explicó en la vista, Deutsche Post no habría entablado una acción de nulidad (Anfechtungsklage) que el juez debería ponderar según la normativa vigente en el momento de los hechos, sino una acción declarativa (Feststellungsklage) ( 9 ) que se ha de resolver según la situación jurídica vigente en el momento de la vista y del fallo.

32.

Corresponde al tribunal de remisión interpretar su derecho procesal nacional, sobre el que el Tribunal de Justicia no se pronuncia. Por tanto, si, en virtud de las normas internas, entiende que el litigio ha de dilucidarse, ratione temporis, con arreglo al RPD y no a la Directiva 95/46, el Tribunal de Justicia ha de facilitarle la interpretación de aquel y no de esta. ( 10 )

33.

Con la pregunta prejudicial se busca la interpretación, y no la eventual declaración de invalidez, del artículo 24, apartado 1, del RECA, a cuyo fin habrán de tenerse en cuenta el RPD y los artículos 7 y 8 de la Carta. ( 11 ) El tribunal a quo no ha planteado, repito, la posible invalidez de aquel artículo, que se limita a fijar las condiciones para la concesión del estatuto de AEO y no exige, por sí mismo, la transmisión ni el tratamiento de datos de carácter personal por parte de un tercero.

34.

El estatuto de AEO confiere ventajas ( 12 ) a los operadores económicos que, en el contexto de sus operaciones aduaneras, se consideren fiables en todo el territorio de la Unión (artículo 5, apartado 5, del Código aduanero). Entre dichas ventajas destaca, según lo previsto en el artículo 38, apartado 6, de ese mismo Código, la de gozar de un trato más favorable que los demás operadores, en cuanto a los controles aduaneros. En función del tipo de autorización concedida, un AEO estará sometido a menos controles físicos y documentales.

35.

Como los AEO deben tener una fiabilidad y una reputación contrastadas, la concesión de ese estatuto se supedita al cumplimiento de las condiciones fijadas por el artículo 39 del Código aduanero, ( 13 ) a saber:

36.

Esas condiciones son exigibles a todos los operadores que solicitan el estatuto AEO, ya sean personas jurídicas o físicas. En este asunto, como Deutsche Post es una persona jurídica, el requisito de no haber cometido infracciones graves o reiteradas de la legislación aduanera y de la normativa fiscal, ni haber sido condenados por delitos graves en relación con su actividad económica, se extiende a algunos de sus empleados (aquellos con las funciones más relevantes que a continuación se citan). ( 14 ) Así lo enuncia el artículo 24 del RECA, precepto dictado en desarrollo del artículo 39, letra a), del Código aduanero. ( 15 )

37.

Han de estar exentos de esos reproches, según el artículo 24 del RECA, «la persona encargada del solicitante o que controle su dirección» y «el empleado encargado de los asuntos aduaneros del solicitante». ( 16 )

38.

El artículo 24 del RECA determina los límites que las autoridades aduaneras no han de sobrepasar en sus solicitudes de información respecto al círculo de personas investigables. También se han de atener a él en cuanto a la finalidad que debe perseguir la recopilación de los datos de dichas personas.

39.

La lógica del artículo 24 del RECA es que, para atribuir ( 17 ) el estatuto de AEO, las autoridades aduaneras han de disponer de ciertos datos de los responsables principales de las empresas, así como de las personas físicas que dirigen sus actividades aduaneras. ( 18 )

40.

El tenor del artículo 24 del RECA es restrictivo: menciona exclusivamente a la persona encargada (del operador que solicita el estatuto AEO) o que controle su dirección y al empleado responsable de los asuntos aduaneros. El precepto utiliza el singular, de manera que se impone una interpretación rigurosa, apoyada también en el hecho de que las informaciones que se comunican son datos personales. Una norma de derecho derivado subordinada jerárquicamente al artículo 24 del RECA, como es el anexo 6 del Reglamento Delegado 2016/341, no puede ampliar su ámbito subjetivo de aplicación.

41.

Así pues, las autoridades aduaneras solo pueden reclamar datos personales acerca de:

42.

A partir de esta premisa, comparto el parecer del tribunal de reenvío, para el que la petición de los datos personales de los miembros del consejo de supervisión o del consejo consultivo de una empresa no tiene la cobertura del artículo 24 del RECA. En esa misma línea, tampoco hay base en el precepto para requerir los datos de los directores de otros departamentos y de los directores de contabilidad, salvo que esas personas asuman, además, el poder de decisión final en la empresa o se ocupen de sus asuntos aduaneros.

43.

Conforme al artículo 24 del RECA, como ya he indicado, solo se podrá recabar la información imprescindible para verificar la ausencia de «infracciones graves o reiteradas de la legislación aduanera y de la normativa fiscal», así como de condenas por «un delito grave en relación con su actividad económica».

44.

Esa es, pues, la única finalidad a la que debe obedecer la colecta de información por las autoridades aduaneras. El precepto no especifica, sin embargo, qué tipo de datos son adecuados para lograr su objetivo: corresponde a los Estados miembros determinarlos, en el buen entendimiento de que han de ser únicamente los indispensables para cerciorarse de la (in)existencia de las conductas que afecten a la fiabilidad de los principales responsables de la empresa.

45.

Para comprobar si los empleados, antes aludidos, de la empresa candidata al estatuto AEO carecen de la integridad necesaria para disfrutar de la confianza de la Administración aduanera, el artículo 24 del RECA apela a tres categorías de infracciones:

46.

¿Qué datos podrán recabar las autoridades aduaneras, conforme al artículo 24 del RECA, para detectar la presencia de estas infracciones, con vistas a la concesión del estatuto de AEO?

47.

La Oficina Aduanera Central sostiene que debe contar con los NIF y con las coordenadas de las oficinas de tributación de los directivos y trabajadores de Deutsche Post que ejercen el control sobre su gestión aduanera. Solo así, afirma, puede constatar si estos han cometido infracciones graves o reiteradas de la legislación fiscal, ya que muchos impuestos son gestionados en Alemania por las autoridades regionales. El NIF sería el dato básico para requerir con precisión a esas autoridades la información necesaria sobre aquellas personas.

48.

Por el contrario, Deutsche Post asegura que la situación de sus trabajadores en relación con el impuesto sobre la renta es irrelevante para valorar si se han cometido infracciones graves o reiteradas de la normativa fiscal. La comunicación de sus NIF no sería, pues, imprescindible ni idónea para apreciar su fiabilidad en cuanto a la gestión aduanera.

49.

De las observaciones escritas y de las explicaciones ofrecidas en la vista se infiere que el NIF es un identificador personal usado en las relaciones de las personas físicas con la Administración tributaria alemana para diversas cuestiones. Hay consenso en que su principal utilización es para la gestión del impuesto sobre la renta, lo que explica su vinculación en el litigio principal con las coordenadas de las oficinas tributarias competentes para su liquidación.

50.

La interpretación del derecho alemán no corresponde al Tribunal de Justicia, sino al tribunal de reenvío. Este último asevera que los NIF asignados por la Oficina Tributaria Federal Central a los empleados de Deutsche Post (artículo 139a, apartado 1, primera frase, de la Ley tributaria) solo se pueden recoger y almacenar para la recaudación del impuesto sobre la renta, mediante la retención de ese impuesto sobre los salarios (artículo 39e, apartado 4, primera frase, punto 1, de la Ley del impuesto sobre la renta).

51.

Los datos personales de los trabajadores de Deutsche Post, recopilados con la finalidad ya mencionada, no guardarían, según la jurisdicción remitente, una relación directa con la actividad económica de esa empresa y no serían pertinentes, por eso, para valorar su fiabilidad a efectos aduaneros. ( 23 )

52.

Creo, sin embargo, que, desde la perspectiva de la legislación aduanera, nada obsta a que la Administración alemana solicite el NIF (y la designación de la oficina competente para la liquidación del impuesto sobre la renta) del directivo y del encargado de los asuntos aduaneros de la empresa que aspire al estatuto de AEO. Sin perjuicio de lo que más adelante expondré sobre la protección de estos datos personales, su constancia puede servir para verificar la ausencia de infracciones cometidas por aquellas personas.

53.

El argumento de la jurisdicción de reenvío podría ser pertinente si existiese la disociación (a la que parece aludir) entre las informaciones obtenibles a partir del NIF, por fuerza referidas a cada persona física, y la actividad de la empresa. Pero de lo que se trata con esta comprobación es de verificar, precisamente, si las dos personas físicas que desempeñan funciones relevantes en la entidad candidata al AEO han incurrido, durante los tres últimos años, en conductas propias (esto es, no de la empresa) que desmerezcan su fiabilidad, contagiando, por así decir, la ausencia de su rectitud —si es que hubieran sido sancionados en el pasado— a la entidad cuya gestión general o aduanera llevan a cabo.

54.

Al igual que otros datos análogos de carácter fiscal así calificados por el Tribunal de Justicia, ( 24 ) el NIF es un dato personal en el sentido del artículo 4, punto 1, del RPD, en tanto que información sobre una persona identificada o identificable. ( 25 )

55.

La indicación de las oficinas tributarias competentes para la liquidación del impuesto sobre la renta de una determinada persona aparece, en el auto de remisión, como estrechamente vinculada al NIF, a causa de la estructura federal del sistema impositivo alemán. Puede reputarse, en este contexto, de modo accesorio, un dato fiscal relativo a una persona identificada o identificable.

56.

Como destaca el tribunal de remisión, la consulta automatizada del NIF permite acceder a informaciones particularmente sensibles. ( 26 ) Es, pues, un instrumento que permite identificar a la persona titular y obtener cierta información sobre su vida privada y familiar, obrante en poder de la Administración.

57.

La actividad que se desarrolla en torno a los NIF en las relaciones de la Administración aduanera con los candidatos al estatuto de AEO puede ser calificada como recogida o como comunicación por transmisión. En ambos supuestos, se produce un tratamiento de datos, en el sentido del artículo 4, punto 2, del RPD. La Administración aduanera alemana pide los NIF y los estructura y emplea para solicitar a las oficinas tributarias competentes información sobre posibles infracciones graves o reiteradas de la legislación fiscal cometidas por dichas personas. La simple obtención de tales datos ya implica tratamiento, como lo es, en mayor medida, su estructuración y uso posterior para tener información sobre esas personas. ( 27 )

58.

El Tribunal de Justicia ha entendido, asimismo, que existe tratamiento de datos cuando se transfieren datos de un organismo público a otro ( 28 ) y también cuando un empleador remite datos personales a una autoridad nacional. ( 29 ) Por tanto, la transmisión de los datos personales de directivos y empleados por parte de Deutsche Post a la Oficina Aduanera Central constituye «tratamiento de datos» a los efectos del RPD.

59.

El artículo 5, apartado 1, letra b), del RDP señala como principio rector del tratamiento el de la limitación de la finalidad, según el que «los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines». ( 30 )

60.

Es necesario decidir, pues, si la utilización por las autoridades aduaneras alemanas de los NIF de los directivos y de los encargados de asuntos aduaneros de Deutsche Post, requeridos a esta última entidad, es compatible con el objetivo atribuido por la legislación interna a la colecta de esos datos personales.

61.

El juez de reenvío muestra sus dudas al respecto ( 31 ) y cree que no hay una relación directa entre los NIF y las oficinas tributarias competentes para la liquidación del impuesto sobre la renta de directivos y empleados con las actividades aduaneras de Deutsche Post. Como se puso de manifiesto en la vista y he explicado antes, el derecho alemán prevé la utilización de estos datos fiscales, fundamental aunque no exclusivamente, en la relación laboral entre el empleador y el trabajador a efectos de la recaudación del impuesto sobre la renta.

62.

Los NIF (y, de modo accesorio, la indicación de las oficinas tributarias competentes para la liquidación del impuesto sobre la renta) son, pues, datos personales que no han sido ideados para su uso en el marco de las relaciones entre una empresa y la Administración aduanera alemana para obtener o mantener el estatuto de AEO. Por tanto, estaríamos ante un tratamiento de datos personales que, en principio, no se atiene a la finalidad para la que fueron recabados, en contra de la regla del artículo 5, apartado 1, letra b), del RPD.

63.

Un tratamiento de datos personales de este tipo podría, no obstante, tener justificación. Bastaría, por ejemplo, que las personas físicas afectadas prestasen su consentimiento, según el artículo 6, apartado 1, letra a), del RPD. Consta, sin embargo, en autos que los empleados de Deutsche Post se oponen, lo que descarta esta solución.

64.

Otras justificaciones posibles se hallan en el artículo 6, apartado 1, ( 32 ) a tenor del que el tratamiento de datos es lícito cuando sea necesario «para el cumplimiento de una obligación legal aplicable al responsable del tratamiento» [letra c)] o «para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento» [letra e)]. ( 33 ) En ambas situaciones, el artículo 6, apartado 3, del RPD preceptúa que la base del tratamiento deberá establecerla el derecho de la Unión o el derecho de los Estados miembros que se aplique al responsable de ese tratamiento.

65.

La licitud de la solicitud y del tratamiento de datos personales que la Administración aduanera dirige a Deutsche Post encuentra fundamento en la obligación legal ( 34 ) impuesta a esa Administración de verificar que la atribución del estatuto de AEO se conceda solo a empresas cuyos directivos y cuyos responsables de asuntos aduaneros no hayan cometido las infracciones antes mencionadas. Esta obligación legal deriva, en última instancia, del artículo 24 del RECA. Entiendo, por tanto, que concurre la justificación expuesta en el artículo 6, apartado 1, letra c), del RPD.

66.

La licitud del tratamiento de los NIF del directivo y del responsable de asuntos aduaneros de una empresa, a los efectos de la atribución del estatuto de AEO, puede también hallar fundamento en el «ejercicio de poderes públicos conferidos al responsable del tratamiento» [artículo 6, apartado 1, letra e), del RPD], ( 35 ) ya que es ineludible para que la Administración aduanera ejerza el poder público que se le ha atribuido para controlar a las empresas con estatuto de AEO. Este estatuto supone una cierta delegación de las funciones de control aduanero en favor de los AEO, que se contrarresta con una amplia facultad de la Administración para verificar y vigilar su fiabilidad.

67.

La solicitud y el tratamiento de los datos a los que afecta el litigio, lícitos por apoyarse en el artículo 6, apartado 1, letras c) y e), pueden generar algunas limitaciones de los derechos que los artículos 12 a 22 del RPD reconocen a los titulares de aquellos datos personales. Corresponde al tribunal de reenvío determinar si la Oficina Aduanera Central, al tratar esos datos, limita alguno de los derechos de las personas afectadas, por ejemplo, los derechos de acceso, de rectificación, de supresión o de oposición.

68.

Esas limitaciones, si existieran, podrían justificarse por algunos de los «objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un interés económico o financiero importante de la Unión o de un Estado miembro, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social» [artículo 23, apartado 1, letra c), del RDP]. La medida que las imponga habría de respetar, además, «en lo esencial los derechos y libertades fundamentales» y ser «necesaria y proporcionada en una sociedad democrática». ( 36 )

69.

A mi parecer, el designio de asegurar la fiabilidad aduanera del directivo y del responsable de asuntos aduaneros de una empresa, a efectos de la concesión del estatuto de AEO, responde a un objetivo de interés público general de la Unión y del Estado alemán, desde el punto de vista económico, fiscal y presupuestario. El control de la fiabilidad de los AEO favorecerá la recaudación de los derechos de aduana, que son un recurso propio de la Unión, que ingresan los Estados miembros y transfieren al presupuesto de la Unión, previa detracción de un porcentaje por gestión administrativa.

70.

La falta de integridad del directivo de la empresa y de su responsable de asuntos aduaneros son factores que pueden comprometer la fiabilidad aduanera de dicha empresa, con incidencia directa en la concesión del estatuto de AEO. ( 37 ) Como advertí en mis conclusiones del asunto Impresa di Costruzioni Ing. E. Mantovani y Guerrato, ( 38 ) es lógico que se evalúe la falta de credibilidad de una empresa bajo el prisma de los actos ilícitos protagonizados por los responsables de su dirección.

71.

Esta circunstancia justifica que la Administración aduanera pueda indagar en los historiales fiscales de aquellos directivos, que incluyen sus trayectorias en relación con el impuesto sobre la renta. Si el directivo de la empresa o su responsable de asuntos aduaneros han cometido infracciones relativas a la recaudación de este impuesto, o de cualquier otro, creo que la Administración aduanera ha de poder obtener información sobre ellas.

72.

En esa misma línea, la recopilación y el uso de datos de este carácter son medios proporcionados para alcanzar el objetivo marcado por el artículo 24, apartado 1, del RECA. ( 39 ) Según las afirmaciones vertidas en la vista por la Oficina Tributaria Federal Central, no existen en el derecho alemán otros medios alternativos menos restrictivos, pues la estructura federal del Estado alemán conlleva que algunos impuestos, como el impuesto de la renta, sean gestionados por las autoridades regionales. El NIF constituye el medio más adecuado para que la Administración aduanera (federal) recabe y obtenga la información fiscal en manos de varias autoridades regionales. ( 40 )

73.

Conviene hacer dos últimas precisiones:

74.

A tenor de las consideraciones precedentes, propongo al Tribunal de Justicia responder al Finanzgericht Düsseldorf (Tribunal tributario de Dusseldorf, Alemania) de la manera siguiente: