Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 62017CC0496

    Conclusiones del Abogado General Sr. M. Campos Sánchez-Bordona, presentadas el 17 de octubre de 2018.
    Deutsche Post AG contra Hauptzollamt Köln.
    Petición de decisión prejudicial planteada por el Finanzgericht Düsseldorf.
    Procedimiento prejudicial — Unión aduanera — Código aduanero de la Unión — Artículo 39 — Estatuto de operador económico autorizado — Reglamento de Ejecución (UE) 2015/2447 — Artículo 24, apartado 1, párrafo segundo — Solicitante que no sea una persona física — Formulario — Recogida de datos personales — Directiva 95/46/CE — Artículos 6 y 7 — Reglamento (UE) 2016/679 — Artículos 5 y 6 — Tratamiento de datos personales.
    Asunto C-496/17.

    ECLI identifier: ECLI:EU:C:2018:838

    CONCLUSIONES DEL ABOGADO GENERAL

    M. CAMPOS SÁNCHEZ-BORDONA

    presentadas el 17 de octubre de 2018 ( 1 )

    Asunto C‑496/17

    Deutsche Post AG

    contra

    Hauptzollamt Köln

    [Petición de decisión prejudicial planteada por el Finanzgericht Düsseldorf (Tribunal tributario de Dusseldorf, Alemania)]

    «Cuestión prejudicial — Derechos y obligaciones de las personas respecto a la legislación aduanera — Estatuto de operador económico autorizado — Cuestionario — Protección de datos de carácter personal — Número de identificación fiscal — Oficina tributaria competente para la liquidación del impuesto sobre la renta —Tratamiento de datos necesario para el cumplimiento de una obligación legal — Principio de la limitación de la finalidad del tratamiento de los datos personales»

    1.

    La Administración aduanera alemana requiere ciertos datos personales de los directivos y de los empleados de las empresas que aspiran a obtener o a mantener el estatuto de operador económico autorizado (en lo sucesivo, «AEO»), con el que gozan de un trato más favorable que el resto de los importadores o exportadores.

    2.

    La cuestión prejudicial versa sobre los límites que el derecho de la Unión impone a esos requerimientos, bien sea en el ámbito estrictamente aduanero, bien en el de la protección de los datos personales.

    I. Marco jurídico

    A.   Derecho de la Unión

    1. Normativa aduanera

    a) Código aduanero

    3.

    El artículo 38 del Reglamento n.o 952/2013 ( 2 ) prevé:

    «1.   Todo operador económico establecido en el territorio aduanero de la Unión que cumpla los criterios dispuestos en el artículo 39 podrá solicitar el estatuto de operador económico autorizado.

    [...]

    2.   El estatuto de operador económico autorizado consistirá en los siguientes tipos de autorización:

    a)

    la de operador económico autorizado de simplificaciones aduaneras que permitirá a su titular beneficiarse de determinados procedimientos simplificados en virtud de la legislación aduanera; o

    b)

    la de operador económico autorizado de seguridad y protección que concederá a su titular facilidades en materia de seguridad y protección.

    [...]»

    4.

    El artículo 39, letra a), preceptúa:

    «Los criterios para la concesión del estatuto de operador económico autorizado serán los siguientes:

    a)

    inexistencia de infracciones graves o reiteradas de la legislación aduanera y de la normativa fiscal, en particular que no haya habido condena alguna por un delito grave en relación con la actividad económica del solicitante;

    [...]».

    b) Reglamento de Ejecución (UE) 2015/2447 ( 3 )

    5.

    Con arreglo al artículo 24, apartado 1:

    «[...]

    Cuando el solicitante no sea una persona física, el criterio establecido en el artículo 39, letra a), del Código se considerará cumplido si, durante los tres últimos años, ninguna de las personas siguientes ha cometido infracciones graves o reiteradas de la legislación aduanera y de la normativa fiscal ni ha recibido condena alguna por un delito grave en relación con su actividad económica:

    a)

    solicitante;

    b)

    la persona encargada del solicitante o que controle su dirección;

    c)

    el empleado encargado de los asuntos aduaneros del solicitante.»

    c) Reglamento Delegado (UE) 2016/341 ( 4 )

    6.

    Conforme al artículo 1:

    «1.   El presente Reglamento establece medidas transitorias respecto de los medios de intercambio y almacenamiento de información a que se refiere el artículo 278 del Código hasta que estén operativos los sistemas electrónicos necesarios para la aplicación de las disposiciones del Código.

    2.   Los requisitos en materia de datos, los formatos y los códigos que se aplicarán durante los períodos transitorios establecidos en el presente Reglamento, el Reglamento Delegado (UE) 2015/2446 y el Reglamento de Ejecución (UE) 2015/2447, se establecen en los anexos del presente Reglamento.»

    7.

    El artículo 5 estipula:

    «1.   Hasta la fecha de mejora del sistema AEO a que se refiere el anexo de la Decisión de Ejecución 2014/255/UE, las autoridades aduaneras podrán permitir la utilización de medios distintos de las técnicas de tratamiento electrónico de datos en relación con las solicitudes y las decisiones relativas a AEO o con cualquier acontecimiento posterior que pueda afectar a la solicitud o decisión iniciales.

    2.   En los casos contemplados en el apartado 1 del presente artículo, será de aplicación lo siguiente:

    a)

    las solicitudes del estatuto de AEO se presentarán utilizando el formato de formulario que figura en el anexo 6, y

    b)

    las autorizaciones del estatuto de AEO se concederán utilizando el formato de formulario que figura en el anexo 7.»

    8.

    El punto 19 de las notas explicativas del anexo VI está dedicado al contenido del formulario de solicitud del estatuto de AEO:

    «Nombre del solicitante, fecha y firma:

    Firma: el firmante debe indicar su cargo. El firmante debe ser siempre la persona que represente globalmente al solicitante.

    Nombre: nombre y apellidos y sello del solicitante.

    [...]

    8.

    Nombres y apellidos de los directivos principales (directores gerentes, jefes de sección, responsables de contabilidad, jefe de la sección de aduanas, etc.). Descripción de los procedimientos seguidos cuando el empleado competente está ausente, provisional o permanentemente.

    9.

    Nombre y cargo en la empresa del solicitante con experiencia concreta en aduanas. Evaluación del nivel de conocimientos de estas personas sobre el uso de la informática para la realización de trámites aduaneros y comerciales y asuntos comerciales en general.

    [...]»

    2. Normativa sobre protección de datos: Reglamento (UE) n.o 2016/679 ( 5 )

    9.

    Según el artículo 4:

    «A efectos del presente Reglamento se entenderá por:

    1)

    “datos personales”: toda información sobre una persona física identificada o identificable (“el interesado”); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

    2)

    “tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

    [...]».

    10.

    El artículo 5 prevé:

    «Los datos personales serán:

    a)

    tratados de manera lícita, leal y transparente en relación con el interesado (“licitud, lealtad y transparencia”);

    b)

    recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales (“limitación de la finalidad”);

    c)

    adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (“minimización de datos”).

    [...]»

    11.

    El artículo 6 enuncia:

    «1.   El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

    a)

    el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

    [...]

    c)

    el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

    [...]

    e)

    el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

    [...]

    2.   Los Estados miembros podrán mantener o introducir disposiciones más específicas a fin de adaptar la aplicación de las normas del presente Reglamento con respecto al tratamiento en cumplimiento del apartado 1, letras c) y e), fijando de manera más precisa requisitos específicos de tratamiento y otras medidas que garanticen un tratamiento lícito y equitativo, con inclusión de otras situaciones específicas de tratamiento a tenor del capítulo IX.

    3.   La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por:

    a)

    el derecho de la Unión, o

    b)

    el derecho de los Estados miembros que se aplique al responsable del tratamiento.

    La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. [...] El derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido.

    4.   Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:

    a)

    cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;

    b)

    el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento;

    c)

    la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10;

    d)

    las posibles consecuencias para los interesados del tratamiento ulterior previsto;

    e)

    la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.»

    12.

    De acuerdo con el artículo 23, apartado 1, letra e):

    «El derecho de la Unión o de los Estados miembros que se aplique al responsable o el encargado del tratamiento podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en los artículos 12 a 22 y el artículo 34, así como en el artículo 5 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 12 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:

    [...]

    e)

    otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un interés económico o financiero importante de la Unión o de un Estado miembro, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social».

    B.   Derecho nacional

    1. Abgabeordnung (Ley tributaria)

    13.

    En su versión aplicable a los hechos, el artículo 139a, apartado 1, señala:

    «El Bundeszentralamt für Steuern [(Oficina Tributaria Federal Central)] asignará a cada sujeto pasivo, para su inequívoca identificación en los procedimientos tributarios, un código único y permanente (código de identificación), que deberá ser facilitado por el sujeto pasivo o por el tercero que deba comunicar datos del mismo a las autoridades tributarias, en toda consulta, declaración o comunicación con las autoridades tributarias. El código de identificación consistirá en una secuencia numérica que no pueda formarse ni deducirse a partir de otros datos del sujeto pasivo, y cuya última cifra será un dígito de control [...]».

    14.

    A tenor del artículo 139b:

    «(1)   Las personas físicas solo podrán recibir un único número de identificación [...]

    (2)   Las autoridades tributarias solo podrán obtener y utilizar el número de identificación cuando sea necesario para el cumplimiento de sus funciones legales o cuando expresamente lo autorice u ordene una disposición legal. Otros organismos públicos o privados podrán:

    1.

    obtener y utilizar el número de identificación solamente cuando sea necesario para la comunicación de datos entre ellos y las autoridades tributarias o cuando expresamente lo autorice u ordene una disposición legal;

    [...]

    3.

    utilizar el número de identificación de un sujeto pasivo lícitamente obtenido para el cumplimiento de sus obligaciones de información frente a las autoridades tributarias, siempre que la obligación de comunicación incumba al propio sujeto pasivo y la obtención y utilización del número de identificación estuviera amparada por el punto 1 [...]

    (3)   La Oficina Tributaria Federal Central registrará los siguientes datos relativos a las personas físicas:

    1.

    el número de identificación,

    [...]

    3.

    el apellido,

    4.

    apellidos anteriores,

    5.

    el nombre,

    6.

    el título de doctor,

    [...]

    8.

    la fecha y lugar de nacimiento,

    9.

    el sexo,

    10.

    la dirección actual o la última dirección conocida,

    11.

    las oficinas tributarias competentes,

    12.

    prohibiciones de información con arreglo a la Bundesmeldegsetz [(Ley federal censal)],

    13.

    la fecha de fallecimiento,

    14.

    la fecha de entrada y de salida.

    (4)   Los datos enumerados en el apartado 3 se registrarán a fin de:

    1.

    garantizar que a cada persona le sea asignado un único número de identificación y que un mismo número de identificación no sea asignado a más de una persona,

    2.

    determinar el número de identificación de cada sujeto pasivo,

    3.

    determinar las autoridades tributarias competentes para cada sujeto pasivo,

    4.

    poder comunicar a las autoridades competentes los datos que se han de recabar con arreglo a una ley o al derecho internacional,

    5.

    posibilitar a las autoridades tributarias el cumplimiento de las funciones que les asignen las leyes.»

    2. Einkommensteuergesetz (Ley del impuesto sobre la renta)

    15.

    El artículo 38, apartados 1 y 3, en su versión aplicable en el momento de los hechos, prescribe:

    «(1)   En cuanto a los rendimientos del trabajo dependiente, el impuesto sobre la renta se recaudará mediante retención practicada sobre el salario (impuesto sobre los salarios), siempre que el salario sea pagado por un empresario [...]

    [...]

    (3)   El empresario retendrá el impuesto sobre los salarios por cuenta del trabajador en cada pago de salarios [...]».

    16.

    El artículo 39, apartados 1 y 4, establece:

    «(1)   Para efectuar la retención del impuesto sobre los salarios se determinarán, a instancia del trabajador, los elementos de la retención [...]

    [...]

    (4)   Son elementos de la retención:

    1.

    la clase impositiva,

    2.

    el número de desgravaciones por cargas familiares en las clases impositivas I a IV,

    [...]».

    17.

    Según el artículo 39e:

    «(1)   La Oficina Tributaria Federal Central determinará en principio de forma automática, como elementos de la retención del impuesto sobre los salarios (artículo 39, apartado 4, primera frase, puntos 1 y 2), la clase impositiva de cada trabajador y, para los hijos relevantes en los casos de las clases I a IV, el número de desgravaciones por cargas familiares [...] En caso de que la oficina tributaria determine elementos de la retención con arreglo al artículo 39, se los comunicará a la Oficina Tributaria Federal Central a fin de que los ponga a disposición de la consulta automática por el empresario [...]

    (2)   La Oficina Tributaria Federal Central registrará los elementos de la retención para ponerlos a disposición de la consulta automática por el empresario, indicando el número de identificación y añadiendo, para cada sujeto pasivo, a los datos mencionados en el artículo 139b, apartado 3, de la Abgabenordnung, los siguientes:

    1.

    pertenencia legal a una comunidad religiosa con facultad de recaudación tributaria, así como la fecha de alta y de baja,

    2.

    estado civil y fecha de constitución o extinción del estado civil; para las personas casadas, el número de identificación del cónyuge,

    3.

    los hijos, con su número de identificación,

    [...]

    (4)   Al iniciar una relación laboral, el trabajador deberá comunicar a cada uno de sus empresarios, con el fin de poder consultar los elementos de la retención:

    1.

    su número de identificación y su fecha de nacimiento,

    [...]

    Al inicio de la relación laboral, el empresario deberá recabar telemáticamente de la Oficina Tributaria Federal Central los elementos electrónicos de la retención relativos al trabajador e incluirlos en la cuenta salarial del trabajador. [...]

    [...]»

    II. Litigio principal y cuestión prejudicial

    18.

    Deutsche Post era titular de autorizaciones aduaneras concedidas en virtud del Reglamento (CEE) n.o 2913/92 ( 6 ) y del Reglamento (CEE) n.o 2454/93, ( 7 ) en particular, como destinatario autorizado y como expedidor autorizado. Se beneficia también de una garantía global para facilitar el régimen de tránsito de la Unión o el tránsito común y, desde que comenzó la aplicación plena del nuevo Código aduanero, de la autorización para tener un almacén de depósito temporal.

    19.

    Mediante escrito de 19 de abril de 2017, la Hauptzollamt (Oficina Aduanera Central) requirió a Deutsche Post que respondiese al formulario de autoevaluación, parte I (Información de la empresa), que se encuentra en internet, antes del 19 de mayo de 2017. Dicho formulario contenía, entre otras, las siguientes peticiones:

    «1.1.2

    Indique, en la medida en que sea aplicable a la forma jurídica de su empresa:

    [...]

    c)

    los miembros de los consejos consultivos y consejos de supervisión, con nombre y apellido, fecha de nacimiento, número de identificación fiscal y oficina tributaria competente.

    1.1.6

    Identifique a los principales directivos (directores/as gerentes, directores/as de departamento, director/a de contabilidad, director/a del departamento de aduanas, etc.) de la empresa y describa las normas de representación correspondientes. Los datos mínimos que debe indicar son el nombre y apellido, fecha de nacimiento, número de identificación fiscal y oficina tributaria competente.

    [...]

    1.3.1

    Identifique a los responsables de asuntos aduaneros de su organización o a las personas que se ocupen de asuntos aduaneros (p. ej., técnicos/as aduaneros, director/a del departamento de aduanas), indicando nombre y apellidos, fecha de nacimiento, número de identificación fiscal, oficina tributaria competente y puesto en la organización.»

    20.

    La Oficina Aduanera Central advirtió a Deutsche Post de que, de no prestar la colaboración necesaria, resultaría imposible comprobar si cumplía los requisitos de autorización con arreglo al Código aduanero. Le advirtió, asimismo, de que revocaría las autorizaciones permanentes si no colaboraba o no reunía ya aquellos requisitos.

    21.

    Deutsche Post presentó una demanda ante el tribunal a quo, oponiéndose a la obligación de comunicar a la Oficina Aduanera Central los números de identificación fiscal (en lo sucesivo, «NIF») de las personas citadas en el formulario de autoevaluación, así como las coordenadas de las oficinas tributarias competentes en relación con ellas. Solicitaba al tribunal que declarase que no está obligada a responder a esa parte del formulario.

    22.

    Deutsche Post alegaba, para fundar su demanda, que:

    el número de personas de su empresa afectadas por esas preguntas era muy elevado y que, por motivos de protección de datos, no podía responderlas, pues algunos de sus trabajadores no estaban conformes con que se facilitasen sus datos. Además, las personas afectadas por los puntos 1.1.2, letra c), 1.1.6 y 1.3.1 excedían de las mencionadas en el artículo 24, apartado 1, párrafo segundo, letras b) y c), del RECA.

    La situación de sus trabajadores en relación con el impuesto sobre la renta era irrelevante para establecer si se habían cometido infracciones graves o reiteradas de la normativa aduanera o tributaria o delitos graves en el marco de su actividad económica. La comunicación de sus NIF no era necesaria ni idónea para valorar su fiabilidad aduanera.

    23.

    La Oficina Aduanera Central se opuso a los argumentos de Deutsche Post aduciendo que la petición de los NIF es indispensable para identificar debidamente a las personas correspondientes cuando se realice una consulta a las oficinas tributarias. El intercambio de información está previsto solo cuando estas últimas oficinas tengan conocimiento de infracciones graves o reiteradas de la normativa tributaria. A este respecto no son relevantes los procedimientos penales o sancionadores finalizados. Las infracciones reiteradas de la normativa tributaria se toman en cuenta si su frecuencia guarda una relación desproporcionada con el carácter y las dimensiones de la actividad comercial del solicitante.

    24.

    Según la Oficina Aduanera Central, el grupo de personas a las que se refieren las preguntas es conforme con el artículo 24, apartado 1, párrafo segundo, del RECA y con las Orientaciones de la Comisión sobre los AEO. En cada caso, en función del riesgo, esa Oficina decide sobre qué personas concretas se ha de efectuar el intercambio de información con las oficinas tributarias. En cuanto a las personas dedicadas a asuntos aduaneros, para grandes departamentos aduaneros la consulta se limita a los directivos y responsables.

    25.

    El Finanzgericht Düsseldorf (Tribunal tributario de Düsseldorf, Alemania) alberga dudas acerca de si la consulta de los datos personales pedidos (los NIF y las oficinas tributarias competentes para la recaudación del impuesto sobre la renta en relación con las personas aludidas en los puntos 1.1.2, letra c), 1.1.6 y 1.3.1 del formulario) es un tratamiento lícito de dichos datos, según el RPD y el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (en adelante, «Carta»).

    26.

    Duda también de la necesidad de recurrir a los datos personales de los trabajadores y de los miembros del consejo de supervisión de la demandante, recogidos para la recaudación del impuesto sobre la renta, pues no guardan relación directa con la valoración de su fiabilidad aduanera ni con la actividad económica de Deutsche Post.

    27.

    En este contexto, aquel órgano jurisdiccional ha acordado elevar al Tribunal de Justicia la siguiente cuestión prejudicial:

    «¿Debe interpretarse el artículo 24, apartado 1, párrafo segundo, del Reglamento de Ejecución (UE) 2015/2447 de la Comisión, de 24 de noviembre de 2015, por el que se establecen normas de desarrollo de determinadas disposiciones del Reglamento (UE) n.o 952/2013 del Parlamento Europeo y del Consejo, por el que se establece el código aduanero de la Unión, en el sentido de que permite a la autoridad aduanera requerir al solicitante que comunique los números de identificación fiscal asignados por la Oficina Tributaria Federal Central alemana para la recaudación del impuesto sobre la renta y las oficinas tributarias competentes para la liquidación del impuesto sobre la renta de los miembros del consejo de supervisión del solicitante y de las personas que actúen para el mismo como directores gerentes, directores de departamento, director contable, director del departamento de aduanas y los responsables de asuntos aduaneros y demás personas que trabajen en asuntos aduaneros?».

    28.

    Han depositado observaciones escritas Deutsche Post, la Oficina Aduanera Central, los Gobiernos de España, Hungría e Italia, así como la Comisión. En la vista, celebrada el 5 de julio de 2018, comparecieron Deutsche Post, la Oficina Aduanera Central y la Comisión.

    III. Respuesta a la cuestión prejudicial

    29.

    Con carácter previo al análisis de fondo, hay que clarificar qué normas de la Unión relativas a la protección de datos de carácter personal son aplicables en este asunto.

    30.

    La solicitud de comunicación de datos se remitió a Deutsche Post el 19 de abril de 2017, antes, por tanto, de la fecha de entrada en vigor (25 de mayo de 2018) del RPD. En aquel momento regía la Directiva 95/46/CE, ( 8 ) pese a lo que tanto el tribunal de reenvío como los intervinientes en el incidente prejudicial, salvo la Comisión, dan por sentado que se aplica el mencionado Reglamento.

    31.

    La explicación de esta aparente anomalía puede hallarse en la naturaleza del proceso nacional de origen. Tal como se explicó en la vista, Deutsche Post no habría entablado una acción de nulidad (Anfechtungsklage) que el juez debería ponderar según la normativa vigente en el momento de los hechos, sino una acción declarativa (Feststellungsklage) ( 9 ) que se ha de resolver según la situación jurídica vigente en el momento de la vista y del fallo.

    32.

    Corresponde al tribunal de remisión interpretar su derecho procesal nacional, sobre el que el Tribunal de Justicia no se pronuncia. Por tanto, si, en virtud de las normas internas, entiende que el litigio ha de dilucidarse, ratione temporis, con arreglo al RPD y no a la Directiva 95/46, el Tribunal de Justicia ha de facilitarle la interpretación de aquel y no de esta. ( 10 )

    33.

    Con la pregunta prejudicial se busca la interpretación, y no la eventual declaración de invalidez, del artículo 24, apartado 1, del RECA, a cuyo fin habrán de tenerse en cuenta el RPD y los artículos 7 y 8 de la Carta. ( 11 ) El tribunal a quo no ha planteado, repito, la posible invalidez de aquel artículo, que se limita a fijar las condiciones para la concesión del estatuto de AEO y no exige, por sí mismo, la transmisión ni el tratamiento de datos de carácter personal por parte de un tercero.

    A.   La interpretación del artículo 24 del RECA

    34.

    El estatuto de AEO confiere ventajas ( 12 ) a los operadores económicos que, en el contexto de sus operaciones aduaneras, se consideren fiables en todo el territorio de la Unión (artículo 5, apartado 5, del Código aduanero). Entre dichas ventajas destaca, según lo previsto en el artículo 38, apartado 6, de ese mismo Código, la de gozar de un trato más favorable que los demás operadores, en cuanto a los controles aduaneros. En función del tipo de autorización concedida, un AEO estará sometido a menos controles físicos y documentales.

    35.

    Como los AEO deben tener una fiabilidad y una reputación contrastadas, la concesión de ese estatuto se supedita al cumplimiento de las condiciones fijadas por el artículo 39 del Código aduanero, ( 13 ) a saber:

    cumplimiento de la legislación aduanera así como de la normativa fiscal y, en particular, inexistencia de condenas por delitos graves en relación con la actividad económica del solicitante;

    demostración, por el solicitante, de un alto nivel de control de sus operaciones y del flujo de mercancías, mediante un sistema de gestión de los registros comerciales y, en su caso, de los registros de transporte, que permita la correcta realización de los controles aduaneros;

    solvencia financiera acreditada; y

    dependiendo del tipo de estatuto de AEO, nivel adecuado de competencia o de cualificaciones profesionales directamente relacionadas con la actividad que ejerza (AEOC) o normas adecuadas en materia de seguridad (AEOS).

    36.

    Esas condiciones son exigibles a todos los operadores que solicitan el estatuto AEO, ya sean personas jurídicas o físicas. En este asunto, como Deutsche Post es una persona jurídica, el requisito de no haber cometido infracciones graves o reiteradas de la legislación aduanera y de la normativa fiscal, ni haber sido condenados por delitos graves en relación con su actividad económica, se extiende a algunos de sus empleados (aquellos con las funciones más relevantes que a continuación se citan). ( 14 ) Así lo enuncia el artículo 24 del RECA, precepto dictado en desarrollo del artículo 39, letra a), del Código aduanero. ( 15 )

    37.

    Han de estar exentos de esos reproches, según el artículo 24 del RECA, «la persona encargada del solicitante o que controle su dirección» y «el empleado encargado de los asuntos aduaneros del solicitante». ( 16 )

    38.

    El artículo 24 del RECA determina los límites que las autoridades aduaneras no han de sobrepasar en sus solicitudes de información respecto al círculo de personas investigables. También se han de atener a él en cuanto a la finalidad que debe perseguir la recopilación de los datos de dichas personas.

    1. Personas físicas investigables antes de conceder el estatuto de AEO a una persona jurídica

    39.

    La lógica del artículo 24 del RECA es que, para atribuir ( 17 ) el estatuto de AEO, las autoridades aduaneras han de disponer de ciertos datos de los responsables principales de las empresas, así como de las personas físicas que dirigen sus actividades aduaneras. ( 18 )

    40.

    El tenor del artículo 24 del RECA es restrictivo: menciona exclusivamente a la persona encargada (del operador que solicita el estatuto AEO) o que controle su dirección y al empleado responsable de los asuntos aduaneros. El precepto utiliza el singular, de manera que se impone una interpretación rigurosa, apoyada también en el hecho de que las informaciones que se comunican son datos personales. Una norma de derecho derivado subordinada jerárquicamente al artículo 24 del RECA, como es el anexo 6 del Reglamento Delegado 2016/341, no puede ampliar su ámbito subjetivo de aplicación.

    41.

    Así pues, las autoridades aduaneras solo pueden reclamar datos personales acerca de:

    el responsable de la empresa solicitante del estatuto de AEO, que será habitualmente la persona con poderes ejecutivos de dirección; ( 19 )

    el encargado de los asuntos aduaneros de la citada empresa. La misma interpretación estricta es aplicable aquí y supone que solo se pueden demandar los datos personales del responsable último de las actividades aduaneras de la empresa.

    42.

    A partir de esta premisa, comparto el parecer del tribunal de reenvío, para el que la petición de los datos personales de los miembros del consejo de supervisión o del consejo consultivo de una empresa no tiene la cobertura del artículo 24 del RECA. En esa misma línea, tampoco hay base en el precepto para requerir los datos de los directores de otros departamentos y de los directores de contabilidad, salvo que esas personas asuman, además, el poder de decisión final en la empresa o se ocupen de sus asuntos aduaneros.

    2. Informaciones y datos exigibles por las autoridades aduaneras

    43.

    Conforme al artículo 24 del RECA, como ya he indicado, solo se podrá recabar la información imprescindible para verificar la ausencia de «infracciones graves o reiteradas de la legislación aduanera y de la normativa fiscal», así como de condenas por «un delito grave en relación con su actividad económica».

    44.

    Esa es, pues, la única finalidad a la que debe obedecer la colecta de información por las autoridades aduaneras. El precepto no especifica, sin embargo, qué tipo de datos son adecuados para lograr su objetivo: corresponde a los Estados miembros determinarlos, en el buen entendimiento de que han de ser únicamente los indispensables para cerciorarse de la (in)existencia de las conductas que afecten a la fiabilidad de los principales responsables de la empresa.

    45.

    Para comprobar si los empleados, antes aludidos, de la empresa candidata al estatuto AEO carecen de la integridad necesaria para disfrutar de la confianza de la Administración aduanera, el artículo 24 del RECA apela a tres categorías de infracciones:

    Las «infracciones graves o reiteradas a la legislación aduanera». Se entiende por «legislación aduanera» la que define el artículo 5, punto 2, del Código aduanero. ( 20 ) Como es justamente la Administración aduanera la que gestiona la aplicación de ese cuerpo normativo, en principio, ya posee por sí misma los datos suficientes. La Oficina Aduanera Central reconoce que tiene acceso directo a las bases de datos federales con información sobre infracciones aduaneras o relativas a la actividad económica de la empresa.

    Las «infracciones graves o reiteradas de la normativa fiscal», concepto que engloba, como señala la Comisión, una amplia gama de tributos. ( 21 ) Sobre esta segunda categoría, las autoridades aduaneras habrán de obtener de terceros las informaciones indispensables para asegurarse de que los empleados de la empresa candidata al estatuto de AEO no han sido sancionados por dichos actos ilícitos.

    Los «delito[s] grave[s] en relación con su actividad económica», noción que, como afirma la Comisión, incluye los delitos de este género que, cometidos por algunos de sus directivos principales, perjudiquen seriamente la reputación y la honorabilidad de la empresa en lo que concierne a la gestión aduanera. ( 22 ) De nuevo, se trata de infracciones de las que, habitualmente, no tendrán constancia las autoridades aduaneras en sus propios archivos.

    46.

    ¿Qué datos podrán recabar las autoridades aduaneras, conforme al artículo 24 del RECA, para detectar la presencia de estas infracciones, con vistas a la concesión del estatuto de AEO?

    47.

    La Oficina Aduanera Central sostiene que debe contar con los NIF y con las coordenadas de las oficinas de tributación de los directivos y trabajadores de Deutsche Post que ejercen el control sobre su gestión aduanera. Solo así, afirma, puede constatar si estos han cometido infracciones graves o reiteradas de la legislación fiscal, ya que muchos impuestos son gestionados en Alemania por las autoridades regionales. El NIF sería el dato básico para requerir con precisión a esas autoridades la información necesaria sobre aquellas personas.

    48.

    Por el contrario, Deutsche Post asegura que la situación de sus trabajadores en relación con el impuesto sobre la renta es irrelevante para valorar si se han cometido infracciones graves o reiteradas de la normativa fiscal. La comunicación de sus NIF no sería, pues, imprescindible ni idónea para apreciar su fiabilidad en cuanto a la gestión aduanera.

    49.

    De las observaciones escritas y de las explicaciones ofrecidas en la vista se infiere que el NIF es un identificador personal usado en las relaciones de las personas físicas con la Administración tributaria alemana para diversas cuestiones. Hay consenso en que su principal utilización es para la gestión del impuesto sobre la renta, lo que explica su vinculación en el litigio principal con las coordenadas de las oficinas tributarias competentes para su liquidación.

    50.

    La interpretación del derecho alemán no corresponde al Tribunal de Justicia, sino al tribunal de reenvío. Este último asevera que los NIF asignados por la Oficina Tributaria Federal Central a los empleados de Deutsche Post (artículo 139a, apartado 1, primera frase, de la Ley tributaria) solo se pueden recoger y almacenar para la recaudación del impuesto sobre la renta, mediante la retención de ese impuesto sobre los salarios (artículo 39e, apartado 4, primera frase, punto 1, de la Ley del impuesto sobre la renta).

    51.

    Los datos personales de los trabajadores de Deutsche Post, recopilados con la finalidad ya mencionada, no guardarían, según la jurisdicción remitente, una relación directa con la actividad económica de esa empresa y no serían pertinentes, por eso, para valorar su fiabilidad a efectos aduaneros. ( 23 )

    52.

    Creo, sin embargo, que, desde la perspectiva de la legislación aduanera, nada obsta a que la Administración alemana solicite el NIF (y la designación de la oficina competente para la liquidación del impuesto sobre la renta) del directivo y del encargado de los asuntos aduaneros de la empresa que aspire al estatuto de AEO. Sin perjuicio de lo que más adelante expondré sobre la protección de estos datos personales, su constancia puede servir para verificar la ausencia de infracciones cometidas por aquellas personas.

    53.

    El argumento de la jurisdicción de reenvío podría ser pertinente si existiese la disociación (a la que parece aludir) entre las informaciones obtenibles a partir del NIF, por fuerza referidas a cada persona física, y la actividad de la empresa. Pero de lo que se trata con esta comprobación es de verificar, precisamente, si las dos personas físicas que desempeñan funciones relevantes en la entidad candidata al AEO han incurrido, durante los tres últimos años, en conductas propias (esto es, no de la empresa) que desmerezcan su fiabilidad, contagiando, por así decir, la ausencia de su rectitud —si es que hubieran sido sancionados en el pasado— a la entidad cuya gestión general o aduanera llevan a cabo.

    B.   El artículo 24 del RECA y la normativa de la Unión sobre protección de datos de carácter personal

    54.

    Al igual que otros datos análogos de carácter fiscal así calificados por el Tribunal de Justicia, ( 24 ) el NIF es un dato personal en el sentido del artículo 4, punto 1, del RPD, en tanto que información sobre una persona identificada o identificable. ( 25 )

    55.

    La indicación de las oficinas tributarias competentes para la liquidación del impuesto sobre la renta de una determinada persona aparece, en el auto de remisión, como estrechamente vinculada al NIF, a causa de la estructura federal del sistema impositivo alemán. Puede reputarse, en este contexto, de modo accesorio, un dato fiscal relativo a una persona identificada o identificable.

    56.

    Como destaca el tribunal de remisión, la consulta automatizada del NIF permite acceder a informaciones particularmente sensibles. ( 26 ) Es, pues, un instrumento que permite identificar a la persona titular y obtener cierta información sobre su vida privada y familiar, obrante en poder de la Administración.

    57.

    La actividad que se desarrolla en torno a los NIF en las relaciones de la Administración aduanera con los candidatos al estatuto de AEO puede ser calificada como recogida o como comunicación por transmisión. En ambos supuestos, se produce un tratamiento de datos, en el sentido del artículo 4, punto 2, del RPD. La Administración aduanera alemana pide los NIF y los estructura y emplea para solicitar a las oficinas tributarias competentes información sobre posibles infracciones graves o reiteradas de la legislación fiscal cometidas por dichas personas. La simple obtención de tales datos ya implica tratamiento, como lo es, en mayor medida, su estructuración y uso posterior para tener información sobre esas personas. ( 27 )

    58.

    El Tribunal de Justicia ha entendido, asimismo, que existe tratamiento de datos cuando se transfieren datos de un organismo público a otro ( 28 ) y también cuando un empleador remite datos personales a una autoridad nacional. ( 29 ) Por tanto, la transmisión de los datos personales de directivos y empleados por parte de Deutsche Post a la Oficina Aduanera Central constituye «tratamiento de datos» a los efectos del RPD.

    59.

    El artículo 5, apartado 1, letra b), del RDP señala como principio rector del tratamiento el de la limitación de la finalidad, según el que «los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines». ( 30 )

    60.

    Es necesario decidir, pues, si la utilización por las autoridades aduaneras alemanas de los NIF de los directivos y de los encargados de asuntos aduaneros de Deutsche Post, requeridos a esta última entidad, es compatible con el objetivo atribuido por la legislación interna a la colecta de esos datos personales.

    61.

    El juez de reenvío muestra sus dudas al respecto ( 31 ) y cree que no hay una relación directa entre los NIF y las oficinas tributarias competentes para la liquidación del impuesto sobre la renta de directivos y empleados con las actividades aduaneras de Deutsche Post. Como se puso de manifiesto en la vista y he explicado antes, el derecho alemán prevé la utilización de estos datos fiscales, fundamental aunque no exclusivamente, en la relación laboral entre el empleador y el trabajador a efectos de la recaudación del impuesto sobre la renta.

    62.

    Los NIF (y, de modo accesorio, la indicación de las oficinas tributarias competentes para la liquidación del impuesto sobre la renta) son, pues, datos personales que no han sido ideados para su uso en el marco de las relaciones entre una empresa y la Administración aduanera alemana para obtener o mantener el estatuto de AEO. Por tanto, estaríamos ante un tratamiento de datos personales que, en principio, no se atiene a la finalidad para la que fueron recabados, en contra de la regla del artículo 5, apartado 1, letra b), del RPD.

    63.

    Un tratamiento de datos personales de este tipo podría, no obstante, tener justificación. Bastaría, por ejemplo, que las personas físicas afectadas prestasen su consentimiento, según el artículo 6, apartado 1, letra a), del RPD. Consta, sin embargo, en autos que los empleados de Deutsche Post se oponen, lo que descarta esta solución.

    64.

    Otras justificaciones posibles se hallan en el artículo 6, apartado 1, ( 32 ) a tenor del que el tratamiento de datos es lícito cuando sea necesario «para el cumplimiento de una obligación legal aplicable al responsable del tratamiento» [letra c)] o «para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento» [letra e)]. ( 33 ) En ambas situaciones, el artículo 6, apartado 3, del RPD preceptúa que la base del tratamiento deberá establecerla el derecho de la Unión o el derecho de los Estados miembros que se aplique al responsable de ese tratamiento.

    65.

    La licitud de la solicitud y del tratamiento de datos personales que la Administración aduanera dirige a Deutsche Post encuentra fundamento en la obligación legal ( 34 ) impuesta a esa Administración de verificar que la atribución del estatuto de AEO se conceda solo a empresas cuyos directivos y cuyos responsables de asuntos aduaneros no hayan cometido las infracciones antes mencionadas. Esta obligación legal deriva, en última instancia, del artículo 24 del RECA. Entiendo, por tanto, que concurre la justificación expuesta en el artículo 6, apartado 1, letra c), del RPD.

    66.

    La licitud del tratamiento de los NIF del directivo y del responsable de asuntos aduaneros de una empresa, a los efectos de la atribución del estatuto de AEO, puede también hallar fundamento en el «ejercicio de poderes públicos conferidos al responsable del tratamiento» [artículo 6, apartado 1, letra e), del RPD], ( 35 ) ya que es ineludible para que la Administración aduanera ejerza el poder público que se le ha atribuido para controlar a las empresas con estatuto de AEO. Este estatuto supone una cierta delegación de las funciones de control aduanero en favor de los AEO, que se contrarresta con una amplia facultad de la Administración para verificar y vigilar su fiabilidad.

    67.

    La solicitud y el tratamiento de los datos a los que afecta el litigio, lícitos por apoyarse en el artículo 6, apartado 1, letras c) y e), pueden generar algunas limitaciones de los derechos que los artículos 12 a 22 del RPD reconocen a los titulares de aquellos datos personales. Corresponde al tribunal de reenvío determinar si la Oficina Aduanera Central, al tratar esos datos, limita alguno de los derechos de las personas afectadas, por ejemplo, los derechos de acceso, de rectificación, de supresión o de oposición.

    68.

    Esas limitaciones, si existieran, podrían justificarse por algunos de los «objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un interés económico o financiero importante de la Unión o de un Estado miembro, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social» [artículo 23, apartado 1, letra c), del RDP]. La medida que las imponga habría de respetar, además, «en lo esencial los derechos y libertades fundamentales» y ser «necesaria y proporcionada en una sociedad democrática». ( 36 )

    69.

    A mi parecer, el designio de asegurar la fiabilidad aduanera del directivo y del responsable de asuntos aduaneros de una empresa, a efectos de la concesión del estatuto de AEO, responde a un objetivo de interés público general de la Unión y del Estado alemán, desde el punto de vista económico, fiscal y presupuestario. El control de la fiabilidad de los AEO favorecerá la recaudación de los derechos de aduana, que son un recurso propio de la Unión, que ingresan los Estados miembros y transfieren al presupuesto de la Unión, previa detracción de un porcentaje por gestión administrativa.

    70.

    La falta de integridad del directivo de la empresa y de su responsable de asuntos aduaneros son factores que pueden comprometer la fiabilidad aduanera de dicha empresa, con incidencia directa en la concesión del estatuto de AEO. ( 37 ) Como advertí en mis conclusiones del asunto Impresa di Costruzioni Ing. E. Mantovani y Guerrato, ( 38 ) es lógico que se evalúe la falta de credibilidad de una empresa bajo el prisma de los actos ilícitos protagonizados por los responsables de su dirección.

    71.

    Esta circunstancia justifica que la Administración aduanera pueda indagar en los historiales fiscales de aquellos directivos, que incluyen sus trayectorias en relación con el impuesto sobre la renta. Si el directivo de la empresa o su responsable de asuntos aduaneros han cometido infracciones relativas a la recaudación de este impuesto, o de cualquier otro, creo que la Administración aduanera ha de poder obtener información sobre ellas.

    72.

    En esa misma línea, la recopilación y el uso de datos de este carácter son medios proporcionados para alcanzar el objetivo marcado por el artículo 24, apartado 1, del RECA. ( 39 ) Según las afirmaciones vertidas en la vista por la Oficina Tributaria Federal Central, no existen en el derecho alemán otros medios alternativos menos restrictivos, pues la estructura federal del Estado alemán conlleva que algunos impuestos, como el impuesto de la renta, sean gestionados por las autoridades regionales. El NIF constituye el medio más adecuado para que la Administración aduanera (federal) recabe y obtenga la información fiscal en manos de varias autoridades regionales. ( 40 )

    73.

    Conviene hacer dos últimas precisiones:

    La Administración aduanera está obligada por los artículos 13 y 14 del RPD a facilitar información al directivo y al responsable de asuntos aduaneros de una empresa con estatuto de AEO del tratamiento que va a llevar a cabo de sus datos personales (NIF y oficina tributaria), con objeto de que puedan ejercer los derechos que les reconocen los artículos 15 a 22 del RPD.

    El Tribunal de Justicia ha entendido que la exigencia de tratamiento leal de los datos personales obliga a una Administración pública a informar a los interesados de la transmisión de esos datos a otra Administración pública para su tratamiento por esta en su calidad de destinataria de dichos datos. ( 41 )

    IV. Conclusión

    74.

    A tenor de las consideraciones precedentes, propongo al Tribunal de Justicia responder al Finanzgericht Düsseldorf (Tribunal tributario de Dusseldorf, Alemania) de la manera siguiente:

    «1)

    El artículo 24, apartado 1, párrafo segundo, del Reglamento de Ejecución (UE) 2015/2447 de la Comisión, de 24 de noviembre de 2015, por el que se establecen normas de desarrollo de determinadas disposiciones del Reglamento (UE) n.o 952/2013 del Parlamento Europeo y del Consejo, por el que se establece el Código aduanero de la Unión, debe interpretarse en el sentido de que:

    Permite a la Administración aduanera requerir a una empresa que aspire a obtener el estatuto de operador económico autorizado la comunicación del número de identificación fiscal y la mención de la oficina tributaria competente para la liquidación del impuesto sobre la renta, referidos exclusivamente a “la persona encargada del solicitante o que controle su dirección y al empleado encargado de los asuntos aduaneros del solicitante”.

    No permite extender el requerimiento de esos datos a los miembros del consejo de supervisión del solicitante ni a sus restantes directivos y empleados.

    2)

    El artículo 6, apartado 1, letras c) y e), del Reglamento (UE) n.o 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, habilita a una Administración aduanera para recopilar y tratar datos personales, como los números de identificación fiscal y la mención de la oficina tributaria competente para la liquidación del impuesto sobre la renta, del directivo responsable y del encargado de asuntos aduaneros de una empresa que aspire al estatuto de operador económico autorizado, aunque aquellos no hayan otorgado su consentimiento, con objeto de cumplir la obligación legal de verificar la fiabilidad, a efectos aduaneros, de tal empresa, prevista en el artículo 24, apartado 1, párrafo segundo, del Reglamento de Ejecución n.o 2015/2447.»


    ( 1 ) Lengua original: español.

    ( 2 ) Reglamento (UE) del Parlamento Europeo y del Consejo, de 9 de octubre de 2013, por el que se establece el Código aduanero de la Unión (DO 2013, L 269, p. 1; en lo sucesivo, «Código aduanero»).

    ( 3 ) Reglamento de la Comisión, de 24 de noviembre de 2015, por el que se establecen normas de desarrollo de determinadas disposiciones del Reglamento n.o 952/2013 (DO 2015, L 343, p. 558; en lo sucesivo, «RECA»).

    ( 4 ) Reglamento de la Comisión, de 17 de diciembre de 2015, por el que se completa el Reglamento n.o 952/2013 en lo que se refiere a las normas transitorias para determinadas disposiciones del Código aduanero de la Unión mientras no estén operativos los sistemas electrónicos pertinentes y por el que se modifica el Reglamento Delegado (UE) 2015/2446 (DO 2016, L 69, p. 1).

    ( 5 ) Reglamento del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (DO 2016, L 119, p. 1; en lo sucesivo, «RPD»).

    ( 6 ) Reglamento del Consejo, de 12 de octubre de 1992, por el que se aprueba el Código aduanero comunitario (DO 1992, L 302, p. 1).

    ( 7 ) Reglamento de la Comisión, de 2 de julio de 1993, por el que se fijan determinadas disposiciones de aplicación del Reglamento n.o 2913/92 (DO 1993, L 253, p. 1).

    ( 8 ) Directiva del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31).

    ( 9 ) Conforme al apartado 5 del auto de remisión prejudicial, «la demandante solicita que se declare que [...]».

    ( 10 ) De cualquier forma, la solución no variaría sustancialmente aplicando uno u otra, ya que el RPD retoma muchos de los contenidos de la Directiva 95/46, a la que sustituye.

    ( 11 ) El Tribunal de Justicia ya ha declarado «que las disposiciones de la Directiva 95/46, en cuanto regulan el tratamiento de datos personales que puede vulnerar las libertades fundamentales y, en particular, el derecho al respeto de la vida privada, deben ser necesariamente interpretadas a la luz de los derechos fundamentales protegidos por la Carta» (sentencias de 6 de octubre de 2015, Schrems, C‑362/14, EU:C:2015:650, apartado 38; y de 9 de marzo de 2017, Manni, C‑398/15, EU:C:2017:197, apartado 39).

    ( 12 ) Entre ellas se encuentran las siguientes: mayor facilidad para acogerse a procedimientos aduaneros simplificados; notificación previa de la realización de un control aduanero; menor número de controles físicos y documentales que los demás operadores económicos por lo que respecta a los controles aduaneros; tratamiento prioritario de los envíos seleccionados para inspección; posibilidad de elegir el lugar de la inspección; y ventajas «indirectas», no reflejadas explícitamente en la legislación aduanera, pero que pueden ejercer un efecto muy positivo en las operaciones mercantiles generales del AEO. Que un AEO reúna los criterios de protección y seguridad significa que garantiza la seguridad y la protección en la cadena de suministro.

    ( 13 ) Según el artículo 38, apartado 4, del Código aduanero, las autoridades aduaneras de todos los Estados miembros reconocen el estatuto de AEO concedido por un Estado miembro.

    ( 14 ) Entiendo que, además de sus empleados, la propia empresa solicitante debe satisfacer esos mismos requisitos.

    ( 15 ) El artículo 41, párrafo primero, del Código aduanero estipula que «la Comisión adoptará, mediante actos de ejecución, las modalidades de aplicación de los criterios a los que se refiere el artículo 39».

    ( 16 ) El artículo 5 del Reglamento Delegado 2016/341 prevé que las solicitudes del estatuto de AEO se presentarán utilizando el formato de formulario que figura en el anexo 6. En ese anexo, el punto 19 de las notas explicativas señala que debe incluirse la firma de la persona que represente globalmente al solicitante, indicando cargo, nombre, apellidos y sello. Además, el solicitante debe facilitar, entre otros, estos datos: «Nombres y apellidos de los directivos principales (directores gerentes, jefes de sección, responsables de contabilidad, jefe de la sección de aduanas, etc.). Descripción de los procedimientos seguidos cuando el empleado competente está ausente, provisional o permanentemente».

    ( 17 ) En aras de una mayor simplificación, me referiré, en adelante, únicamente a la atribución del estatuto de AEO, aunque los razonamientos son extensibles al mantenimiento de dicho estatuto.

    ( 18 ) Véanse las Orientaciones de la Comisión Europea sobre los Operadores Económicos Autorizados, TAXUD/B2/047/2011-REV6, de 11 de marzo de 2016, pp. 126 y 127, que recogen las informaciones que han de aportar las empresas en los cuestionarios de autoevaluación del estatuto de AEO.

    ( 19 ) Si el ejercicio de esa función directiva fuese mancomunado, la solicitud de datos podría, lógicamente, extenderse a quienes la desempeñan bajo ese régimen de mancomunidad.

    ( 20 ) Se reputa por tal «el cuerpo legal integrado por: a) el Código y las disposiciones para completarlo o para su ejecución, adoptadas a nivel de la Unión o a nivel nacional; b) el arancel aduanero común; c) la legislación relativa al establecimiento de un régimen de la Unión de franquicias aduaneras; y d) los acuerdos internacionales que contengan disposiciones aduaneras aplicables en la Unión».

    ( 21 ) Entre otros, los impuestos referentes al tráfico de mercancías y servicios, que tienen un nexo directo con la actividad económica del solicitante (es el caso, por ejemplo, del IVA), los impuestos especiales y los relativos a la fiscalidad de las empresas.

    ( 22 ) En las Orientaciones de la Comisión Europea sobre los Operadores Económicos Autorizados, TAXUD/B2/047/2011-REV6, de 11 de marzo de 2016, p. 37, figuran delitos como la quiebra fraudulenta (insolvencia); cualquier infracción de la legislación sanitaria; infracciones de la legislación medioambiental, como el movimiento transfronterizo ilegal de residuos peligrosos; el fraude sobre productos y tecnología de doble uso; la pertenencia a organización delictiva; el soborno y la corrupción; la ciberdelincuencia; el blanqueo de dinero; la participación directa o indirecta en negocios vinculados con actividades terroristas; o la participación directa o indirecta en la promoción o el apoyo de la migración ilegal a la UE.

    ( 23 ) Auto de remisión, apartado 16.

    ( 24 ) Sentencias de 1 de octubre de 2015, Bara y otros (C‑201/14, EU:C:2015:638), apartado 29; y de 27 de septiembre de 2017, Puškár (C‑73/16, EU:C:2017:725), apartado 41.

    ( 25 ) Según reiterada jurisprudencia, el respeto del derecho a la vida privada en lo que atañe al tratamiento de los datos de carácter personal se aplica a toda información sobre una persona física identificada o identificable (sentencias de 9 de noviembre de 2010, Volker und Markus Schecke y Eifert, C‑92/09 y C‑93/09, EU:C:2010:662, apartado 52; y de 17 de octubre de 2013, Schwartz, C‑291/12, EU:C:2013:670, apartado 26).

    ( 26 ) Entre otras, conforme al auto de reenvío, la pertenencia legal a una comunidad religiosa con facultad de recaudación tributaria; las fechas de alta y baja; el estado civil y la fecha de constitución o extinción del mismo; eventualmente, el NIF del cónyuge y de los hijos del trabajador, en relación con las desgravaciones familiares.

    ( 27 ) En la sentencia de 27 de septiembre de 2017, Puškár (C‑73/16, EU:C:2017:725), apartado 34, el Tribunal de Justicia consideró «tratamiento de datos» la inclusión en una lista del nombre, número de identificación nacional y NIF de personas que ocupaban puestos directivos como testaferros. Esa lista había sido elaborada por la Dirección de Tributos y la Unidad de Delitos de la Administración Tributaria de la República Eslovaca y tanto su consecución como su utilización por las distintas instancias tributarias son tratamiento de datos.

    ( 28 ) Sentencia de 1 de octubre de 2015, Bara y otros (C‑201/14, EU:C:2015:638), apartado 29.

    ( 29 ) «La recogida, registro, organización, conservación, consulta y utilización de tales datos por el empleador, así como su transmisión por este último a las autoridades nacionales competentes en materia de supervisión de las condiciones de trabajo, revisten, por tanto, el carácter de “tratamiento de datos personales”, en el sentido del artículo 2, letra b), de la Directiva 95/46» (subrayado añadido) (sentencia de 30 de mayo de 2013, Worten, C‑342/12, EU:C:2013:355, apartado 20).

    ( 30 ) Este artículo añade que, «de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales (“limitación de la finalidad”)».

    ( 31 ) Según el tribunal a quo, «los números de identificación fiscal asignados por la Oficina Tributaria Federal Central a los empleados que trabajan para la demandante (artículo 139a, apartado 1, primera frase, de la Ley Tributaria) solo pueden ser recogidos y almacenados con el fin de la recaudación del impuesto sobre la renta mediante retención del impuesto sobre los salarios (artículo 39e, apartado 4, primera frase, punto 1, de la Ley del impuesto sobre la renta). Por lo tanto, los datos personales de los trabajadores de la demandante recogidos con ese fin no guardan una relación directa con la valoración de su fiabilidad a efectos aduaneros. En particular, los datos personales de los trabajadores de la demandante que han sido recogidos con fines de la recaudación del impuesto sobre la renta mediante la retención del impuesto sobre los salarios no guardan relación con la actividad económica de la demandante en sí».

    ( 32 ) Resulta oportuno asimismo recordar que del objetivo de asegurar un nivel de protección equivalente en todos los Estados miembros que persigue la Directiva 95/46 se deduce que el artículo 7 de esta establece una lista exhaustiva y taxativa de los casos en los que un tratamiento de datos personales puede considerarse lícito (sentencias de 24 de noviembre de 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 y C‑469/10, EU:C:2011:777, apartado 30; y de 27 de septiembre de 2017, Puškár, C‑73/16, EU:C:2017:725, apartado 105). Esta afirmación es extrapolable a la lista del artículo 6, apartado 1, del RPD.

    ( 33 ) Sentencia de 20 de mayo de 2003, Österreichischer Rundfunk y otros (C‑465/00, C‑138/01 y C‑139/01, EU:C:2003:294), apartado 64; y de 30 de mayo de 2013, Worten (C‑342/12, EU:C:2013:355), apartado 36.

    ( 34 ) Según la jurisprudencia del Tribunal, «el requisito de que cualquier limitación del ejercicio de los derechos fundamentales deba ser establecida por ley implica que la base legal que permita la injerencia en dichos derechos debe definir ella misma el alcance de la limitación del ejercicio del derecho de que se trate» [véanse, en este sentido, el dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017 (EU:C:2017:592), apartado 139; y la sentencia de 17 de diciembre de 2015, WebMindLicenses (C‑419/14, EU:C:2015:832), apartado 81].

    ( 35 ) La sentencia de 27 de septiembre de 2017, Puškár (C‑73/16, EU:C:2017:725), apartados 106109, afirmó que una lista de personas calificadas de testaferros por la Dirección de Tributos de Eslovaquia, elaborada para mejorar la recaudación tributaria y luchar contra el fraude fiscal, entraba en el ámbito de aplicación del artículo 7, letra e), de la Directiva 95/46 (disposición mencionada en el artículo 6, apartado 1, letra e), del RPD), porque los objetivos que perseguía eran, realmente, misiones de interés público.

    ( 36 ) Con arreglo al artículo 52, apartado 1, segunda frase, de la Carta, las restricciones a la protección de los datos personales, que garantiza su artículo 8, apartado 1, se han de fijar observando el principio de proporcionalidad y sin sobrepasar los límites de lo estrictamente necesario (sentencias de 8 de abril de 2014, Digital Rights Ireland y otros, C‑293/12, y C‑594/12, EU:C:2014:238, apartado 52; de 11 de diciembre de 2014, Ryneš, C‑212/13, EU:C:2014:2428, apartado 28; y de 6 de octubre de 2015, Schrems, C‑362/14, EU:C:2015:650, apartado 92).

    ( 37 ) En otros ámbitos del derecho de la Unión hay también supuestos en los que la falta de honorabilidad o de integridad de los directivos de una empresa inciden en la aptitud de esta para llevar a cabo una actividad económica o beneficiarse de un privilegio. Por ejemplo, la Directiva 2013/36/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, relativa al acceso a la actividad de las entidades de crédito y a la supervisión prudencial de las entidades de crédito y las empresas de inversión, por la que se modifica la Directiva 2002/87/CE y se derogan las Directivas 2006/48/CE y 2006/49/CE (DO 2013, L 176, p. 338), en su artículo 23, apartado 1, letra b), señala, en relación con la adquisición de participaciones cualificadas en entidades de crédito, que «las autoridades competentes, con objeto de garantizar una gestión sólida y prudente de la entidad de crédito en la que se propone la adquisición, y atendiendo a la influencia probable del adquirente propuesto sobre dicha entidad de crédito, evaluarán la idoneidad del adquirente propuesto y la solidez financiera de la adquisición propuesta de conformidad con los siguientes criterios: [...] b) la reputación, conocimientos, capacidades y experiencia, con arreglo a lo indicado en el artículo 91, apartado 1, de todo miembro del órgano de dirección y todo miembro de la alta dirección que vaya a dirigir la actividad de la entidad de crédito como consecuencia de la adquisición propuesta». Véanse al respecto, mis conclusiones de 27 de junio de 2018, Berlusconi y Fininvest, C‑219/17, EU:C:2018:502.

    ( 38 ) Asunto C‑178/16 (EU:C:2017:487), punto 54. En el apartado 34 de la sentencia de 20 diciembre de 2017 (EU:C:2017:1000), dictada en ese asunto, el Tribunal de Justicia declaró que el «derecho de la Unión parte de la premisa de que las personas jurídicas actúan por medio de sus representantes. Así pues, la conducta contraria a la moralidad profesional de estos últimos puede constituir un factor pertinente para apreciar la moralidad profesional de una empresa. Por tanto, es perfectamente admisible que, en el ejercicio de sus competencias para fijar las condiciones de aplicación de las causas de exclusión facultativas, los Estados miembros incluyan, entre los elementos pertinentes para apreciar la integridad de la empresa licitadora, las actuaciones de los administradores de la empresa eventualmente contrarias a la moralidad profesional».

    ( 39 ) En cuanto a la observancia del principio de proporcionalidad, la protección del derecho fundamental al respeto de la vida privada en el ámbito de la Unión exige, con arreglo a la jurisprudencia reiterada del Tribunal de Justicia, que las excepciones a la protección de los datos personales y las limitaciones de esa protección no excedan de lo estrictamente necesario (sentencias de 8 de abril de 2014, Digital Rights Ireland y otros, C‑293/12 y C‑594/12, EU:C:2014:238, apartados 5152; de 6 de octubre de 2015, Schrems, C‑362/14, EU:C:2015:650, apartado 92; de 21 de diciembre de 2016, Tele2 Sverige y Watson y otros, C‑203/15 y C‑698/15, EU:C:2016:970, apartado 96; de 27 de septiembre de 2017, Puškár, C‑73/16, EU:C:2017:725, apartado 112).

    ( 40 ) En la vista se debatió si la aportación, por la empresa, de certificados de conformidad fiscal de su directivo y de su responsable de asuntos aduaneros podría ser una opción menos restrictiva. Según explicó la Oficina Aduanera Central, no es así, pues esos certificados deben solicitarlos directamente y a su cargo dichas personas y, además, contienen más información de la imprescindible a efectos del estatuto de AEO. Corresponde al tribunal de reenvío valorar esas, u otras, alegaciones sobre este extremo.

    ( 41 ) Sentencia de 1 de octubre de 2015, Bara y otros (C‑201/14, EU:C:2015:638), apartado 40.

    Top