This document is an excerpt from the EUR-Lex website
Document 62019CC0439
Opinion of Advocate General Szpunar delivered on 17 December 2020.#Proceedings brought by B.#Request for a preliminary ruling from the Satversmes tiesa.#Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Regulation (EU) 2016/679 – Articles 5, 6 and 10 – National legislation providing for public access to personal data relating to penalty points imposed for road traffic offences – Lawfulness – Concept of ‘personal data relating to criminal convictions and offences’ – Disclosure for the purpose of improving road safety – Right of public access to official documents – Freedom of information – Reconciliation with the fundamental rights to respect for private life and to the protection of personal data – Re-use of data – Article 267 TFEU – Temporal effect of a preliminary ruling – Ability of a constitutional court of a Member State to maintain the legal effects of national legislation incompatible with EU law – Principles of primacy of EU law and of legal certainty.#Case C-439/19.
Conclusiones del Abogado General Sr. M. Szpunar, presentadas el 17 de diciembre de 2020.
Procedimiento incoado por B.
Petición de decisión prejudicial planteada por la Latvijas Republikas Satversmes tiesa.
Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículos 5, 6 y 10 — Normativa nacional que permite el acceso del público a datos personales sobre puntos impuestos por infracciones de tráfico — Licitud — Concepto de “datos personales relativos a condenas e infracciones penales” — Comunicación para mejorar la seguridad vial — Acceso del público a documentos oficiales — Libertad de información — Conciliación con los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales — Reutilización de los datos — Artículo 267 TFUE — Efectos temporales de una resolución prejudicial — Posibilidad de que el tribunal constitucional de un Estado miembro mantenga los efectos jurídicos de una normativa nacional que no es compatible con el Derecho de la Unión — Principios de primacía del Derecho de la Unión y de seguridad jurídica.
Asunto C-439/19.
Conclusiones del Abogado General Sr. M. Szpunar, presentadas el 17 de diciembre de 2020.
Procedimiento incoado por B.
Petición de decisión prejudicial planteada por la Latvijas Republikas Satversmes tiesa.
Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículos 5, 6 y 10 — Normativa nacional que permite el acceso del público a datos personales sobre puntos impuestos por infracciones de tráfico — Licitud — Concepto de “datos personales relativos a condenas e infracciones penales” — Comunicación para mejorar la seguridad vial — Acceso del público a documentos oficiales — Libertad de información — Conciliación con los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales — Reutilización de los datos — Artículo 267 TFUE — Efectos temporales de una resolución prejudicial — Posibilidad de que el tribunal constitucional de un Estado miembro mantenga los efectos jurídicos de una normativa nacional que no es compatible con el Derecho de la Unión — Principios de primacía del Derecho de la Unión y de seguridad jurídica.
Asunto C-439/19.
Court reports – general – 'Information on unpublished decisions' section
ECLI identifier: ECLI:EU:C:2020:1054
CONCLUSIONES DEL ABOGADO GENERAL
SR. MACIEJ SZPUNAR
presentadas el 17 de diciembre de 2020 ( 1 )
Asunto C‑439/19
B
con intervención de:
Latvijas Republikas Saeima
[Petición de decisión prejudicial presentada por la Satversmes tiesa (Tribunal Constitucional, Letonia)]
«Petición de decisión prejudicial — Reglamento (UE) 2016/679 — Tratamiento de datos personales — Información relativa a los puntos por infracciones de tráfico — Concepto de tratamiento de datos personales relativos a condenas e infracciones penales — Disposiciones nacionales que prevén la comunicación de dicha información y permiten su reutilización»
I. Introducción
1. |
En 1946, George Orwell comentó del siguiente modo la campaña «Mantengamos la muerte alejada de las carreteras», que existía entonces en un antiguo Estado miembro de la Unión Europea: «Si realmente se quiere mantener la muerte alejada de las carreteras, lo que hay que hacer es replantear todo el sistema de circulación de manera que las colisiones sean imposibles. Reflexionando sobre lo que esto significa (por ejemplo, implicaría derribar y volver a construir todo Londres), comprobamos que, hoy en día, está fuera del alcance de cualquier país. No siendo esto posible, lo único que podemos hacer es adoptar medidas paliativas, que en último término se reducen a hacer que la gente sea más prudente.» ( 2 ) |
2. |
El presente asunto que se sigue ante la Satversmes tiesa (Tribunal Constitucional, Letonia), el cual se ha dirigido al Tribunal de Justicia con la presente petición de decisión prejudicial, gira en torno a las «medidas paliativas» antes mencionadas: para promover la seguridad del tráfico haciendo que los conductores sean más conscientes y cuidadosos, se registran puntos por sus infracciones al volante. A continuación, esa información se comunica y se transmite para su reutilización. El órgano jurisdiccional remitente, que conoce de un recurso de inconstitucionalidad interpuesto ante él, trata de valorar la compatibilidad de la legislación nacional controvertida con el Reglamento (UE) 2016/679 ( 3 ) (en lo sucesivo, «RGPD»). |
3. |
Esto hace que el presente asunto sea casi un litigio clásico sobre protección de datos, en el sentido de que se encuadra de forma predominante fuera del mundo virtual e implica una relación vertical entre un Estado y un particular, prolongando una sucesión de asuntos que se le han planteado al Tribunal de Justicia desde la sentencia precursora Stauder, ( 4 ) probablemente la primera relativa a la protección de datos en sentido amplio. ( 5 ) |
4. |
Al juzgar hasta qué punto puede interferir un Estado miembro en los derechos personales de un individuo en aras de su objetivo de promover la seguridad vial, propondré al Tribunal de Justicia que declare que medidas como la legislación letona de la que aquí se trata no guardan proporcionalidad con el fin perseguido. |
5. |
Pero, antes de llegar a eso, el presente asunto suscita una amplia serie de fundamentales e intrincadas cuestiones que nos llevarán a velocidad vertiginosa a través del RGPD. Abróchense los cinturones. Pueden ahorrarse algún punto de penalización. |
II. Marco jurídico
A. Derecho de la Unión
1. RGPD
6. |
El capítulo I del RGPD, titulado «Disposiciones generales», contiene los artículos 1 a 4, que establecen el objeto, el ámbito de aplicación material y territorial y las definiciones. |
7. |
El artículo 1 del RGPD, titulado «Objeto», es del siguiente tenor: «1. El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos. 2. El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales. 3. La libre circulación de los datos personales en la Unión no podrá ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.» |
8. |
Con arreglo al artículo 2 del RGPD, titulado «Ámbito de aplicación material»: «1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. 2. El presente Reglamento no se aplica al tratamiento de datos personales:
[…]» |
9. |
El capítulo II del RGPD, que contiene los artículos 5 a 11, establece los principios del Reglamento: principios relativos al tratamiento de datos personales, la licitud del tratamiento, las condiciones para el consentimiento, incluido el consentimiento del niño en relación con los servicios de la sociedad de la información, el tratamiento de categorías especiales de datos personales y el de los datos personales relativos a condenas en infracciones penales, así como el tratamiento que no requiere identificación. |
10. |
Con arreglo al artículo 5 del RGPD, titulado «Principios relativos al tratamiento»: «1. Los datos personales serán:
2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva”).» |
11. |
El artículo 10 del RGPD, titulado «Tratamiento de datos personales relativos a condenas e infracciones penales», dispone lo siguiente: «El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas sobre la base del artículo 6, apartado 1, solo podrá llevarse a cabo bajo la supervisión de las autoridades públicas o cuando lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados. Solo podrá llevarse un registro completo de condenas penales bajo el control de las autoridades públicas.» |
2. Directiva 2003/98/CE
12. |
El artículo 1 de la Directiva 2003/98/CE ( 6 ) lleva por título «Objeto y ámbito de aplicación» y tiene el siguiente tenor: «1. La presente Directiva establece un conjunto mínimo de normas que regulen la reutilización y los instrumentos prácticos que faciliten la reutilización de los documentos existentes conservados por organismos del sector público de los Estados miembros. 2. La presente Directiva no se aplicará a:
3. La presente Directiva se basa en los regímenes de acceso de los Estados miembros y no les afecta de forma alguna. 4. La presente Directiva no menoscaba ni afecta en modo alguno el nivel de protección de las personas físicas en lo que respecta al tratamiento de datos personales con arreglo a las disposiciones del Derecho de la Unión y nacional, y, en particular, no altera las obligaciones ni los derechos establecidos en la Directiva 95/46/CE. [ ( 7 )] 5. Las obligaciones de la presente Directiva se aplicarán únicamente en la medida en que las obligaciones impuestas sean compatibles con las disposiciones de los acuerdos internacionales sobre protección de los derechos de propiedad intelectual, en particular el Convenio de Berna [ ( 8 )] y el Acuerdo ADPIC. [ ( 9 )] |
13. |
El artículo 2 de la Directiva 2003/98, titulado «Definiciones», es del siguiente tenor: «A efectos de la presente Directiva, se entenderá por:
|
14. |
El artículo 3 de la Directiva 2003/98, titulado «Principio general», presenta el siguiente tenor: «1. Sin perjuicio de lo dispuesto en el apartado 2, los Estados miembros velarán por que los documentos a los que se aplica la presente Directiva, de conformidad con el artículo 1, puedan ser reutilizados para fines comerciales o no comerciales de conformidad con las condiciones establecidas en los capítulos III y IV. 2. En el caso de los documentos respecto de los que las bibliotecas, incluidas las universitarias, los museos y los archivos posean derechos de propiedad intelectual, los Estados miembros velarán por que, cuando esté autorizada la reutilización de dichos documentos, estos puedan ser reutilizados para fines comerciales o no comerciales de conformidad con las condiciones establecidas en los capítulos III y IV.» |
B. Derecho letón
15. |
El artículo 141, apartado 2, del Ceļu satiksmes likums (Ley de tráfico) ( 10 ) está redactado del siguiente modo: «La información relativa a un vehículo propiedad de una persona jurídica, […] al derecho de una persona a conducir vehículos, a las multas por la comisión de infracciones de tráfico impuestas a una persona y no abonadas en los plazos fijados por ley y demás información inscrita en el registro nacional de vehículos y conductores [en lo sucesivo, “registro nacional de vehículos”], así como en el sistema de información sobre medios de tracción y conductores, se considerará información accesible al público.» |
III. Hechos, procedimiento y cuestiones prejudiciales planteadas
16. |
B, el demandante en el procedimiento que se sigue ante el órgano jurisdiccional remitente, es una persona física a la que le fueron impuestos puntos por infracciones de tráfico en virtud de la Ley de tráfico y de un decreto de desarrollo de esta. ( 11 ) La Ceļu satiksmes drosība direkcija (Dirección de Seguridad Vial, Letonia; en lo sucesivo, «CSDD») es un organismo público que anotó estos puntos en el registro nacional de vehículos. |
17. |
Dado que la información relativa a los puntos se puede comunicar a quien lo solicite y, según B, fue comunicada para su reutilización a distintas empresas, B ha presentado un recurso de inconstitucionalidad ante el órgano jurisdiccional remitente, mediante el que impugna la conformidad del artículo 141, apartado 2, de la Ley de tráfico con el derecho a la inviolabilidad de la vida privada que consagra el artículo 96 de la Latvijas Republikas Satversme (Constitución letona). |
18. |
Al haber sido adoptado el artículo 141, apartado 2, de la Ley de tráfico por la Latvijas Republikas Saeima (Parlamento letón; en lo sucesivo, «Saeima»), esta institución ha intervenido en el procedimiento. La CSDD, que es quien efectúa el tratamiento de datos controvertido, también ha presentado observaciones. Asimismo, la Datu valsts inspekcija (Agencia Estatal de Protección de Datos, Letonia), que en Letonia es la autoridad de control a efectos del artículo 51 del RGPD, y otras varias autoridades y personas han sido invitadas a presentar sus observaciones, en calidad de amici curiae, ante el órgano jurisdiccional remitente. |
19. |
La Saeima reconoce que, de conformidad con la disposición controvertida, cualquier persona puede obtener información sobre los puntos impuestos a otra persona por infracciones de tráfico, ya sea solicitándolo directamente a la CSDD, ya sea recurriendo a los servicios prestados por reutilizadores comerciales. |
20. |
Así las cosas, la Saeima considera que esta disposición es legítima, pues está justificada por el objetivo de promover la seguridad vial, que requiere que los infractores de las normas de tráfico sean públicamente conocidos y que los conductores resulten disuadidos de cometer infracciones. |
21. |
Asimismo, afirma que se ha de respetar el derecho de acceso a la información que reconoce el artículo 100 de la Constitución letona. En cualquier caso, el tratamiento de información relativa a los puntos se somete al control de las autoridades públicas y se lleva a cabo de conformidad con las garantías adecuadas para los derechos y libertades de los interesados. |
22. |
La Saeima añade que, en la práctica, la comunicación de la información que contiene el registro nacional de vehículos está sujeta a la condición de que el solicitante proporcione el número nacional de identificación del conductor cuyos datos desea conocer. Este requisito para la obtención de la información se justifica por el hecho de que, a diferencia del nombre, el número nacional de identificación es un identificador único. |
23. |
Por su parte, la CSDD explicó al órgano jurisdiccional remitente cómo funciona el sistema de puntos y confirmó que la legislación nacional no impone ningún límite al acceso público a los datos sobre los puntos ni a su reutilización. |
24. |
La CSDD también aportó datos sobre los contratos celebrados con los reutilizadores comerciales. Indicó que, en esos contratos, no se contempla la transferencia legal de datos y que los reutilizadores garantizan que la información que transmitan a sus clientes no excederá de la que se puede obtener de la CSDD. Asimismo, una de las cláusulas de los contratos establece que el adquirente de la información debe utilizarla de conformidad con lo dispuesto en la normativa vigente y con arreglo a los fines indicados en el contrato. |
25. |
La Agencia Estatal de Protección de Datos expresó sus dudas en cuanto a la conformidad de la disposición controvertida con el artículo 96 de la Constitución letona. No descartó la posibilidad de que el tratamiento de los datos de que se trata sea inadecuado o desproporcionado. |
26. |
Asimismo, observó que, aunque las estadísticas sobre accidentes de tráfico en Letonia muestran un descenso en el número de accidentes, no hay pruebas de que el sistema de puntos y el acceso público a la información al respecto hayan contribuido a esta favorable evolución. |
27. |
La Satversmes tiesa (Tribunal Constitucional) señala, antes de nada, que el procedimiento del que conoce no versa sobre el artículo 141, apartado 2, de la Ley de tráfico en su totalidad, sino solo en la medida en que este declara accesible al público la información sobre los puntos recogida en el registro nacional de vehículos. |
28. |
Asimismo, dicho tribunal considera que los referidos puntos constituyen datos personales, de modo que han de ser tratados de conformidad con el derecho al respeto de la vida privada. Recalca que, al valorar el alcance del artículo 96 de la Constitución letona, debe tenerse en cuenta el RGPD, así como el artículo 16 TFUE y el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»). |
29. |
En cuanto a los objetivos de la Ley de tráfico, el órgano jurisdiccional remitente manifiesta que, con el fin de influir en el comportamiento de los conductores y reducir así las situaciones de peligro para la vida, la salud y los bienes de las personas, las infracciones cometidas por los conductores, que en Letonia se consideran infracciones administrativas, se inscriben en el registro nacional de sanciones y los puntos impuestos se anotan en el registro nacional de vehículos. |
30. |
Expone el órgano jurisdiccional remitente que el registro nacional de sanciones constituye un único registro donde se recogen las sanciones impuestas a los que han cometido infracciones (ya sean penales o administrativas), con el fin, en particular, de facilitar el control de las sanciones y restricciones impuestas. En cambio, el registro nacional de vehículos hace posible el seguimiento de las infracciones de tráfico y la adopción de medidas dependiendo del número de infracciones cometidas. Con el sistema de puntos se trata de promover la seguridad vial, al diferenciar a los conductores que sistemáticamente y de mala fe incumplen las normas de tráfico, respecto a los conductores que cometen infracciones ocasionales, y al influir de forma disuasoria en el comportamiento de los usuarios de la vía pública. |
31. |
El órgano jurisdiccional remitente observa que el artículo 141, apartado 2, de la Ley de tráfico otorga a cualquier persona el derecho a solicitar y obtener de la CSDD la información del registro nacional de vehículos relativa a los puntos impuestos a los conductores. En la práctica, esta información se proporciona al solicitante tan pronto como este indique el número nacional de identificación del conductor de que se trate. |
32. |
La Satversmes tiesa (Tribunal Constitucional) continúa explicando que los puntos impuestos por infracciones de tráfico, al ser considerados información pública, están comprendidos en el ámbito de aplicación de la Ley relativa a la divulgación de la información y, por tanto, pueden reutilizarse para fines comerciales o no comerciales distintos de la finalidad originaria para la cual se generó la información. |
33. |
Con objeto de interpretar y aplicar el artículo 96 de la Constitución letona de conformidad con el Derecho de la Unión, el órgano jurisdiccional remitente desea saber, en primer lugar, si unos puntos impuestos por infracciones de tráfico como los previstos por la legislación letona están comprendidos en el ámbito de aplicación del artículo 10 del RGPD. En particular, el órgano jurisdiccional remitente pide que se dilucide si el artículo 141, apartado 2, de la Ley de tráfico infringe el artículo 10 del RGPD, ya que este dispone que el tratamiento de los datos que allí se mencionan solo puede llevarse a cabo «bajo la supervisión de las autoridades públicas» o con «garantías adecuadas para los derechos y libertades de los interesados». |
34. |
Dicho tribunal señala que el artículo 8, apartado 5, de la Directiva 95/46, que dejó a los Estados miembros la apreciación de si las normas especiales sobre los datos relativos a infracciones y condenas penales debían extenderse a los datos relativos a las infracciones y sanciones administrativas, fue transpuesto en Letonia mediante el artículo 12 del Fizisko personu datu aizsardzības likums (Ley de protección de datos de las personas físicas), con arreglo al cual los datos personales relativos a infracciones administrativas, al igual que los relativos a infracciones y condenas penales, solo podían ser tratados por las personas y en los supuestos legalmente previstos. |
35. |
De ello se sigue que, durante más de una década, se han aplicado requisitos similares en Letonia para el tratamiento de los datos personales relativos a infracciones y condenas penales y el de los datos relativos a infracciones administrativas. |
36. |
El mencionado tribunal observa, asimismo, que, de conformidad con el considerando 4 del RGPD, su artículo 10 debe valorarse teniendo en cuenta la función de los derechos fundamentales en la sociedad. A este respecto, considera que el objetivo de evitar que una condena previa de una persona tenga una incidencia excesivamente negativa en su vida privada y profesional puede aplicarse tanto a las condenas penales como a las infracciones administrativas. |
37. |
La Satversmes tiesa (Tribunal Constitucional) desea que se aclare, en segundo lugar, el ámbito de aplicación del artículo 5 del RGPD. En particular, se pregunta si, a la luz del considerando 39 de dicho Reglamento, el legislador letón ha cumplido con su obligación, establecida en el artículo 5, apartado 1, letra f), del RGPD, de asegurar que los datos personales sean tratados con «integridad y confidencialidad». Observa que el artículo 141, apartado 2, de la Ley de tráfico, que, al conceder el acceso a la información sobre los puntos, permite averiguar si una persona ha sido sancionada por una infracción de tráfico, no ha ido acompañado de medidas específicas que garanticen la seguridad de tales datos. |
38. |
En tercer lugar, el órgano jurisdiccional remitente desea saber si la Directiva 2003/98 es relevante para apreciar si el artículo 141, apartado 2, de la Ley de tráfico es compatible con el artículo 96 de la Constitución letona. Dicho tribunal señala que, conforme a dicha Directiva, la reutilización de los datos personales puede permitirse únicamente si se respeta el derecho a la vida privada. |
39. |
En cuarto lugar, habida cuenta de la jurisprudencia según la cual la interpretación del Derecho de la Unión efectuada en las decisiones prejudiciales tiene efectos erga omnes y ex tunc, el órgano jurisdiccional remitente se pregunta si, pese a todo, en caso de que el artículo 141, apartado 2, de la Ley de tráfico se considere incompatible con el artículo 96 de la Constitución letona, considerado a la luz del Derecho de la Unión según lo interpreta el Tribunal de Justicia, podría mantener los efectos temporales de dicho artículo 141, apartado 2, hasta la fecha en que dicte la sentencia en la que declare la inconstitucionalidad de la referida disposición, habida cuenta del gran número de relaciones jurídicas que se verán afectadas por tal sentencia. |
40. |
A este respecto, el órgano jurisdiccional remitente expone que, con arreglo a la legislación letona, una ley declarada inconstitucional debe considerarse inválida desde la fecha de publicación de la sentencia de la Satversmes tiesa (Tribunal Constitucional), a no ser que esta resuelva otra cosa. Asimismo, dicho tribunal explica su práctica consistente en buscar un equilibrio entre el principio de seguridad jurídica y los derechos fundamentales de las distintas partes interesadas, cuando fija la fecha en que dejará de estar en vigor la disposición declarada inconstitucional. |
41. |
En estas circunstancias, mediante resolución de 4 de junio de 2019, recibida en el Tribunal de Justicia el 11 de junio de 2019, la Satversmes tiesa (Tribunal Constitucional) planteó las siguientes cuestiones prejudiciales:
|
42. |
Presentaron observaciones escritas los Gobiernos letón, neerlandés, austriaco y portugués, así como la Comisión Europea. |
43. |
Ante la expansión del virus SARS-CoV-2, el Tribunal de Justicia decidió cancelar la vista de este asunto, que había sido señalada para el 11 de mayo de 2020. En el marco de las diligencias de ordenación del procedimiento, y con carácter excepcional, el Tribunal de Justicia decidió sustituir esa vista por unas preguntas con solicitud de respuesta escrita. Los Gobiernos letón y sueco y la Comisión respondieron a las preguntas que les formuló el Tribunal de Justicia. |
IV. Apreciación
44. |
La presente petición de decisión prejudicial suscita una serie de cuestiones fundamentales sobre el RGPD. Sin embargo, todas ellas presuponen que el RGPD es aplicable al asunto. ( 12 ) Señalo este aspecto, dado que la Unión Europea no ha legislado el ámbito de los puntos impuestos por infracciones de tráfico. |
A. Sobre el ámbito de aplicación material del RGPD: artículo 2, apartado 2, letra a)
45. |
Con arreglo al artículo 2, apartado 2, letra a), del RGPD, este Reglamento no se aplica al tratamiento de datos personales en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión. Está claro que, mientras que el artículo 2, apartado 1, del RGPD establece de forma positiva lo que sí está comprendido en el ámbito de aplicación de dicho Reglamento, ( 13 ) el artículo 2, apartado 2, excluye cuatro tipos de actividad. Como excepción que es a la regla general, el artículo 2, apartado 2, del RGPD debe interpretarse restrictivamente. ( 14 ) |
46. |
El legislador de la Unión eligió la técnica legislativa del Reglamento como medio para conseguir una mayor uniformidad de la protección de datos en la Unión, en particular, con el fin de propiciar una igualdad de condiciones entre los operadores (económicos) dentro del mercado interior, con independencia de su lugar de establecimiento. ( 15 ) |
47. |
El artículo 16 TFUE no solo contiene la base jurídica para la adopción de textos como el RGPD, sino que también, con carácter general, al estar encuadrado en la Primera Parte, título II, del Tratado FUE, ( 16 ) constituye una cláusula horizontal de carácter constitucional que debe ser tenida en cuenta en el ejercicio de toda competencia de la Unión. |
48. |
Al igual que su predecesora, la Directiva 95/46, el RGPD tiene por objeto garantizar un nivel elevado de protección de las libertades y los derechos fundamentales de las personas físicas, sobre todo de su vida privada, en relación con el tratamiento de datos personales. ( 17 ) |
49. |
El tenor del artículo 2, apartado 2, letra a), del RGPD reproduce esencialmente el del artículo 16 TFUE, apartado 2, ( 18 ) que constituye la base jurídica de dicho Reglamento en el Derecho primario. Con arreglo al artículo 16 TFUE, apartado 2, el legislador de la Unión establecerá las normas sobre protección de las personas físicas respecto del tratamiento de datos de carácter personal por los Estados miembros «en el ejercicio de las actividades comprendidas en el ámbito de aplicación del Derecho de la Unión, y sobre la libre circulación de estos datos». ( 19 ) Así pues, dicha disposición es de naturaleza declarativa. En consecuencia, el siguiente análisis es igualmente válido para el artículo 2, apartado 2, letra a), del RGPD y para el artículo 16 TFUE, apartado 2. |
50. |
Lo primero que se ha de destacar es que los términos del artículo 2, apartado 2, letra a), del RGPD («actividad no comprendida en el ámbito de aplicación del Derecho de la Unión») difieren de los del artículo 51, apartado 1, de la Carta, ( 20 ) con arreglo al cual «las disposiciones de la presente Carta están dirigidas a […] los Estados miembros únicamente cuando apliquen el Derecho de la Unión». ( 21 ) |
51. |
Si se quiere ver en esto un indicio de que el artículo 2, apartado 2, letra a), del RGPD está redactado en términos más amplios que el artículo 51, apartado 1, de la Carta, ( 22 ) dado que el Tribunal de Justicia ha interpretado este último en el sentido de que la Carta se ha de aplicar «cuando una normativa nacional esté incluida en el ámbito de aplicación del Derecho de la Unión», ( 23 ) habrá de concluirse que no hay ninguna diferencia sustancial en el tenor de estas dos disposiciones, según las interpreta el Tribunal de Justicia. ( 24 ) |
52. |
Dicho esto, yo no creo que deban establecerse analogías con la jurisprudencia del Tribunal de Justicia relativa al ámbito de aplicación de la Carta. ( 25 ) Sería excesivamente restrictivo e iría en contra del objetivo perseguido por el artículo 16 TFUE y por el RGPD. En efecto, la lógica de la Carta es totalmente distinta de la del RGPD: aquella trata de contener el ejercicio del poder por las instituciones de la Unión y los Estados miembros cuando actúen dentro del ámbito de aplicación del Derecho de la Unión y, a la inversa, intenta proporcionar a las personas físicas un medio de defensa de sus respectivos derechos. En cambio, la protección de los datos personales es más que un derecho fundamental. Tal como queda patente en el artículo 16 TFUE, ( 26 ) la protección de los datos personales constituye por sí misma una política de la Unión. El propio propósito del RGPD es que este se aplique a cualquier tratamiento de datos personales, sin que importe su objeto y, por lo demás, con independencia de que lo realicen los Estados miembros o las personas físicas. Interpretar el tenor del artículo 2, apartado 2, letra a), del RGPD de forma restrictiva iría totalmente en contra de este objetivo. El RGPD, que se concibió como un tigre para vigilar la protección de datos, se reduciría a un gatito doméstico. |
53. |
La sola existencia de una disposición como el artículo 10 del RGPD, que interpretaré en detalle más adelante, al analizar la primera cuestión prejudicial del órgano jurisdiccional remitente, es buen ejemplo de ello. Si el RGPD se ocupa del «tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas sobre la base del artículo 6, apartado 1» del citado Reglamento, ( 27 ) en un momento en que las infracciones y condenas penales están reguladas casi exclusivamente por el Derecho nacional, y no por el de la Unión, salvo que el artículo 10 del RGPD se considerara inválido, dicho Reglamento no puede tener la función accesoria que le corresponde a la Carta. |
54. |
Lo mismo sucede con la existencia del artículo 87 del RGPD, que permite a los Estados miembros determinar adicionalmente las condiciones específicas para el tratamiento de un número nacional de identificación. ( 28 ) |
55. |
Asimismo, se ha de tener en cuenta el considerando 16 del RGPD, que, dentro de la parte no prescriptiva, pero sí instructiva, de dicho Reglamento, se hace eco del artículo 2. Aquí, la seguridad nacional se menciona como ejemplo de área excluida del ámbito de aplicación del Derecho de la Unión. Y lo mismo sucede con la declaración, igualmente no vinculante, relativa al artículo 16 TFUE, ( 29 ) donde se afirma que, «siempre que las normas sobre protección de datos de carácter personal que hayan de adoptarse con arreglo al artículo 16 [TFUE] puedan tener una repercusión directa en la seguridad nacional, habrán de tenerse debidamente en cuenta las características específicas de la cuestión», y se recuerda que, «en particular, la Directiva 95/46 […] contiene excepciones específicas a este respecto». ( 30 ) |
56. |
Esta atención expresa a la seguridad nacional es una clara señal de lo que tenían en mente tanto los autores del Tratado FUE (artículo 16 TFUE) como el legislador de la Unión (artículo 2, apartado 2, del RGPD) al redactar los respectivos pasajes. |
57. |
En otro punto, el legislador de la Unión ha concretado, también en el ámbito de la protección de datos, que la seguridad nacional en este contexto debe entenderse como «seguridad del Estado». ( 31 ) |
58. |
A este respecto, el artículo 2, apartado 2, letra a), del RGPD debe entenderse en el contexto del artículo 4 TUE, apartado 2, que establece que la Unión respetará las funciones esenciales del Estado ( 32 ) y, en este sentido, especifica, a modo de ejemplo, que «la seguridad nacional seguirá siendo responsabilidad exclusiva de cada Estado miembro». El artículo 2, apartado 2, letra a), del RGPD no hace sino reiterar esta exigencia constitucional de lo que debe garantizarse para que un Estado funcione. ( 33 ) |
59. |
Sobre la base del análisis precedente, no tengo ningún motivo para entender que el artículo 2, apartado 2, letra a), del RGPD introduzca un criterio que obligue a superar un elevado umbral para que sea de aplicación el RGPD, ni que esta fuera la intención del legislador de la Unión. |
60. |
Por último, una mirada rápida a las otras tres excepciones al ámbito de aplicación material del RGPD que contienen las letras b) a d) del artículo 2, apartado 2, confirma este análisis. Por lo tanto, el RGPD no se aplica al tratamiento de datos personales por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de la política exterior y de seguridad común de la Unión, ( 34 ) al efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas ( 35 ) ni al de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención. ( 36 ) |
61. |
La exclusión de la política exterior y de seguridad común, que aún es esencialmente intergubernamental, es perfectamente comprensible. ( 37 ) Las actividades exclusivamente personales y domésticas de las personas físicas, en cualquier caso, están excluidas por principio del ámbito de aplicación del Derecho de la Unión, pues no se someten ni al Derecho primario ni al Derecho derivado de la Unión. Y lo mismo sucede, en principio, con la prevención, investigación, detección o enjuiciamiento de infracciones penales o con la ejecución de sanciones penales. No obstante, el motivo de esta última excepción es que la Unión ha adoptado una Directiva específica, ( 38 ) casualmente en la misma fecha en que se adoptó el RGPD. Asimismo, del artículo 23, apartado 1, letra d), del RGPD se desprende que el tratamiento de datos personales efectuado por personas físicas con estos mismos fines sí está comprendido en el ámbito de aplicación del RGPD. ( 39 ) |
62. |
En consecuencia, si han de tener alguna trascendencia normativa, las dos últimas excepciones no pueden considerarse excluidas del ámbito de aplicación del Derecho de la Unión en el sentido del artículo 2, apartado 2, letra a), del RGPD. |
63. |
Por último, procede señalar que no hay ningún indicio de que el Tribunal de Justicia, por principio, hubiera de aplicar un criterio estricto respecto al ámbito de aplicación del RGPD o de la Directiva 95/46 en virtud del artículo 2 de aquel o del artículo 3 de esta, respectivamente. ( 40 ) Por el contrario, el Tribunal de Justicia tiende a recalcar que «la aplicabilidad de la Directiva 95/46 no puede depender de la cuestión de si las situaciones concretas de que se trata en los asuntos principales tienen un vínculo suficiente con el ejercicio de las libertades fundamentales garantizadas por el Tratado». ( 41 ) |
64. |
Para concluir esta parte preliminar del análisis, de la correcta interpretación del artículo 2, apartado 2, letra a), del RGPD resulta que este Reglamento se aplica al tratamiento de datos personales en o por un Estado miembro, a no ser que se efectúe en un ámbito en que la Unión Europea no tenga competencias. |
65. |
Por consiguiente, el RGPD es aplicable al presente asunto y debe ser tenido en cuenta por el órgano jurisdiccional remitente al examinar la validez del Derecho nacional. |
B. Sobre el artículo 86 del RGPD
66. |
En aras de la compleción, quisiera referirme brevemente al artículo 86 del RGPD en el presente asunto. |
67. |
Con arreglo a dicho artículo, los datos personales de documentos oficiales en posesión de alguna autoridad pública, un organismo público o una entidad privada para la realización de una misión en interés público podrán ser comunicados por dicha autoridad, organismo o entidad de conformidad con el Derecho de la Unión o de los Estados miembros que se les aplique a fin de conciliar el acceso del público a documentos oficiales con el derecho a la protección de los datos personales en virtud del RGPD. |
68. |
Lo único que hace esta disposición es reconocer la importancia del acceso del público a los documentos oficiales. Además, como acertadamente ha señalado la Comisión, en ella no se proporciona ninguna otra orientación acerca de la forma en que el acceso del público debe conciliarse con las normas de protección de datos. ( 42 ) Se trata de una disposición de carácter esencialmente declarativo, más propia de un considerando que de una norma jurídica prescriptiva. ( 43 ) En consecuencia, me inclino por afirmar que la «norma narrativa» del artículo 86 del RGPD carece de relevancia para el siguiente análisis. |
C. Primera cuestión: los puntos impuestos por infracciones de tráfico a la luz del artículo 10 del RGPD
69. |
Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente trata de aclarar si el artículo 10 del RGPD debe ser interpretado en el sentido de que comprende las situaciones de tratamiento de información relativas a los puntos impuestos a los conductores por infracciones de tráfico con arreglo a la legislación nacional. |
70. |
A tenor de dicha disposición, el tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas sobre la base del artículo 6, apartado 1, del RGPD ( 44 ) únicamente podrá llevarse a cabo bajo la supervisión de las autoridades públicas. ( 45 ) Solo podrá llevarse un registro completo de condenas penales bajo el control de las autoridades públicas. |
71. |
Habida cuenta de que la CSDD parece ser una autoridad oficial, en el sentido de «pública», cabe preguntarse por la pertinencia de la primera cuestión prejudicial y si esta es hipotética en el sentido de la jurisprudencia del Tribunal de Justicia sobre la admisibilidad. No obstante, dichas dudas se disipan al recordar que el presente asunto atañe tanto a la comunicación de los puntos (por la CSDD) como a la reutilización de estos datos por otros organismos. En la medida en que la primera cuestión se refiere a estos últimos, a mi parecer, es admisible. |
1. Datos personales
72. |
El artículo 4, apartado 1, del RGPD establece que por «datos personales» se ha de entender toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, unos datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. |
73. |
No hay motivo para dudar de que la información relativa a los puntos impuestos a los conductores por infracciones de tráfico constituye datos personales a efectos del artículo 4, apartado 1, del RGPD. |
2. […] relativos a condenas e infracciones penales o medidas de seguridad conexas
74. |
Por lo que respecta a las «infracciones» mencionadas en el artículo 10 del RGPD, cabe señalar que no está totalmente claro en todas las versiones lingüísticas si esta disposición se refiere solamente a infracciones penales o si también comprende las infracciones administrativas. La interpretación más natural e intuitiva de la versión inglesa es que el término «criminal» se ha colocado, por así decir, antes del paréntesis y se refiere tanto a «convictions» (condenas) como a «offences» (infracciones). A este respecto, algunas de las versiones lingüísticas ( 46 ) no dejan lugar a la duda: las «infracciones», a efectos del artículo 10 del RGPD, deben interpretarse como «penales». Otras versiones ( 47 ) son ambiguas y dejan lugar a más de una interpretación. La versión letona («saistītiem drošības pasākumiem»), que es con la que presumiblemente esté más familiarizado el órgano jurisdiccional remitente, también es ambigua. No solo no especifica si las «infracciones»(«pārkāpumi») han de ser de carácter penal, sino que tampoco aclara si deben serlo las «condenas»(«sodāmība»). ( 48 ) |
75. |
Aunque las diferentes versiones lingüísticas puedan parecer abigarradas, en este punto es posible extraer algunas conclusiones. |
76. |
Todas las lenguas oficiales de la Unión Europea constituyen las lenguas auténticas de los actos en las que estos están redactados, de modo que, por principio, debe reconocerse el mismo valor a todas las versiones lingüísticas de un acto de la Unión. ( 49 ) Por tanto, la interpretación de una disposición de Derecho de la Unión supone una comparación de las diversas versiones lingüísticas. ( 50 ) Además, las distintas versiones lingüísticas de una norma de la Unión Europea deben ser objeto de interpretación uniforme. ( 51 ) |
77. |
En estas circunstancias, ha de considerarse correcto el significado de las versiones lingüísticas más «precisas», en particular, porque este significado más preciso también es una de las posibles interpretaciones de las versiones menos precisas, en las que cabe afirmar que una de las posibilidades es interpretar «infracciones» únicamente como las de naturaleza penal. En consecuencia, partiendo de una lectura comparativa de las distintas versiones lingüísticas del artículo 10 del RGPD, cabe concluir ya, con carácter provisional, que el término «penales» se refiere tanto a «condenas» como a «infracciones». ( 52 ) |
78. |
Además, esta interpretación que propongo del artículo 10 del RGPD mantiene la distinción que hacía su precursor, el artículo 8, apartado 5, de la Directiva 95/46. Con arreglo a esa disposición precedente, el control de la autoridad pública era necesario para el tratamiento de datos relativos a condenas penales e infracciones, ( 53 ) mientras que para las sanciones administrativas existía la posibilidad de supeditar el tratamiento de los datos al control de los poderes públicos. ( 54 ) Si, a efectos del artículo 8, apartado 5, de la Directiva 95/46, el concepto de «infracciones» hubiera debido entenderse en el sentido de que comprendía las «infracciones administrativas», la segunda parte de esa disposición habría sido redundante. |
79. |
Esta conclusión aún no aclara lo que se ha de entender por «infracciones penales». |
80. |
La primera duda es si esta expresión constituye un concepto autónomo del Derecho de la Unión o si se deja su interpretación a los Estados miembros. |
81. |
Según reiterada jurisprudencia del Tribunal de Justicia, se desprende de las exigencias tanto de la aplicación uniforme del Derecho de la Unión como del principio de igualdad que el tenor de una disposición del Derecho de la Unión que no contenga una remisión expresa al Derecho de los Estados miembros para determinar su sentido y su alcance normalmente debe ser objeto en toda la Unión de una interpretación autónoma y uniforme. ( 55 ) Esta interpretación debe tomar en consideración la redacción, los objetivos y el contexto de la disposición de que se trate, así como el conjunto de las disposiciones del Derecho de la Unión. La génesis de una disposición del Derecho de la Unión también puede ofrecer elementos pertinentes para su interpretación. ( 56 ) |
82. |
En este caso, es evidente que, en principio, la legislación penal y las normas de procedimiento penal son competencia de los Estados miembros. ( 57 ) Por lo tanto, los Estados miembros estarán en disposición de determinar lo que constituye una infracción. ( 58 ) |
83. |
No obstante, una vez que el legislador de la Unión ha elegido la forma jurídica del reglamento, en lugar de la directiva, entiendo que la norma habría de ser la interpretación uniforme de los términos de dicho reglamento en toda la Unión Europea, a fin de garantizar su aplicación general y su aplicabilidad directa en todos los Estados miembros, de conformidad con el artículo 288 TFUE, párrafo segundo. |
84. |
De forma similar, hay motivos para creer que el legislador de la Unión no quiso dejar a la legislación nacional la interpretación del término «infracciones». En efecto, el considerando 13 de la Directiva 2016/680 ( 59 ) declara que una infracción penal en el sentido de lo dispuesto en dicha Directiva debe ser un concepto autónomo del Derecho de la Unión, tal y como lo interpreta el Tribunal de Justicia de la Unión Europea. Desde una concepción a maiore ad minus, quisiera señalar que esto mismo es válido también para el RGPD, que, como acabo de exponer, al ser un reglamento, constituye un acto jurídico que automáticamente posee un grado mayor de integración y centralización. |
85. |
Más difícil de despejar es la segunda duda, que consiste en aclarar si los datos personales de los que aquí se trata se refieren a condenas e infracciones penales o medidas de seguridad conexas en el sentido del artículo 10 del RGPD. |
86. |
El Tribunal de Justicia ha tenido anteriormente ocasión de pronunciarse sobre el concepto de «infracción penal» en el contexto del principio non bis in idem ( 60 )con arreglo al artículo 50 de la Carta. ( 61 ) |
87. |
A este respecto, el Tribunal de Justicia recurre a la jurisprudencia del Tribunal Europeo de Derechos Humanos, ( 62 ) según la cual hay tres criterios relevantes para definir el concepto de «procedimiento penal»: la calificación jurídica de la infracción en Derecho interno, la propia naturaleza de la infracción y la naturaleza y gravedad de la sanción que puede imponerse al interesado. ( 63 ) |
88. |
A mi parecer, unos puntos impuestos por infracciones de tráfico como los que establece la legislación nacional controvertida no son calificables de infracción penal conforme a esta jurisprudencia. En particular, no constituyen una sanción especialmente severa. ( 64 ) |
89. |
Por último, quisiera recalcar que, a tenor de este análisis, no es necesario examinar la delimitación entre el artículo 10 del RGPD y las disposiciones de la Directiva 2016/680, pues esta Directiva no es aplicable al presente asunto. |
3. Respuesta que se propone
90. |
En consecuencia, propongo responder a la primera cuestión prejudicial que el artículo 10 del RGPD debe interpretarse en el sentido de que no comprende las situaciones de tratamiento de la información relativa a los puntos impuestos a los conductores por infracciones de tráfico con arreglo al artículo 141, apartado 2, de la Ley de tráfico. |
D. Segunda cuestión prejudicial: comunicación de los puntos
91. |
Mediante su segunda cuestión, el órgano jurisdiccional remitente desea aclarar, en esencia, si las disposiciones del RGPD se oponen a que un Estado miembro trate y comunique información relativa a los puntos impuestos a los conductores por infracciones de tráfico. |
92. |
Aunque el órgano jurisdiccional remitente, a modo de ejemplo, menciona el principio de integridad y confidencialidad que contiene el artículo 5, apartado 1, letra f), del RGPD, ( 65 ) la cuestión se formula en términos amplios, ya que se refiere a las disposiciones del Reglamento en su conjunto. ( 66 ) En consecuencia, el siguiente análisis se extenderá a disposiciones del RGPD distintas de la mencionada por el órgano jurisdiccional remitente en su cuestión prejudicial. |
93. |
Todo tratamiento de datos personales debe, por una parte, ser conforme con los principios relativos a la calidad de los datos enunciados en el artículo 5 del RGPD y, por otra, con alguno de los principios relativos a la legitimidad del tratamiento de datos enumerados en el artículo 6 de dicho Reglamento. ( 67 ) Del tenor de ambas disposiciones podemos deducir que los primeros son de carácter acumulativo ( 68 ) y, los segundos, de carácter alternativo. ( 69 ) |
94. |
La segunda cuestión prejudicial versa sobre los principios de calidad de los datos. Aparentemente, el órgano jurisdiccional remitente da por hecho (con acierto) que la CSDD lleva a cabo un tratamiento de datos y no cuestiona el registro de los puntos en cuanto tal, sino la comunicación de tales puntos a quien lo solicite. |
95. |
Es innegable que la CSDD es un «responsable del tratamiento» en el sentido del artículo 4, punto 7, del RGPD, que trata datos personales a efectos del artículo 4, punto 2, de dicho Reglamento al anotar los puntos en el registro nacional de vehículos. |
96. |
Baste señalar que el Tribunal de Justicia, respecto a un «registro de sociedades» disponible públicamente, ha considerado que, al transcribir y conservar información en el registro y al comunicarla, en su caso, a terceros previa petición, la autoridad encargada de este lleva a cabo un «tratamiento de datos personales» del que es «responsable», en el sentido de las definiciones proporcionadas en la Directiva 95/46, ( 70 ) que son precursoras de las definiciones establecidas en el artículo 4, puntos 2 y 7, del RGPD. ( 71 ) |
1. Sobre el artículo 5, apartado 1, letra f), del RGPD: integridad y confidencialidad
97. |
Esto suscita la cuestión de si se han respetado los principios de integridad y confidencialidad establecidos en el artículo 5, apartado 1, letra f), del RGPD, disposición a la que se refiere el propio órgano jurisdiccional remitente en su cuestión prejudicial. |
98. |
Con arreglo al artículo 5, apartado 1, letra f), del RGPD, los datos personales deben ser tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidentales, mediante la aplicación de medidas técnicas u organizativas adecuadas. |
99. |
Tal como resulta claramente de su propio tenor, esta disposición atañe a la seguridad y a las medidas técnicas y organizativas aplicadas en relación con el tratamiento de datos personales. ( 72 ) Aquí se trata de requisitos formales generales referidos a la seguridad de los datos. ( 73 ) |
100. |
Sin embargo, el órgano jurisdiccional remitente solicita una orientación más fundamental, que se refiere a la posibilidad legal de tal tratamiento. Dicho de otra manera y en términos más figurativos, pretende aclarar si es lícito el tratamiento de datos personales, mientras que el artículo 5, apartado 1, letra f), del RGPD trata de cómo efectuar tal tratamiento. En consecuencia, el artículo 5, apartado 1, letra f), del RGPD no es pertinente en el caso que nos ocupa. |
2. Sobre el artículo 5, apartado 1, letra a), del RGPD: licitud, lealtad y transparencia
101. |
Con arreglo al artículo 5, apartado 1, letra a), del RGPD, los datos personales han de ser tratados de manera lícita, leal y transparente en relación con el interesado. |
102. |
Es preciso señalar que el término «licitud» aparece tanto en el artículo 5, apartado 1, letra a), como en el artículo 6 del RGPD. Tendría poco sentido desde el punto de vista de la técnica legislativa trasladar las detalladas condiciones del artículo 6 del RGPD al artículo 5, si este artículo 5 hubiese de contener también los requisitos del artículo 6 del RGPD. |
103. |
Antes bien, la licitud a efectos del artículo 5, apartado 1, letra a), del RGPD debe entenderse a la luz del considerando 40 del citado Reglamento, ( 74 ) que requiere que el tratamiento se base en el consentimiento o bien en otra base jurídica establecida conforme a Derecho. ( 75 ) |
104. |
Siendo este el caso (existe una base jurídica conforme al Derecho nacional), no veo motivos para dudar de la licitud del tratamiento en el presente asunto. ( 76 ) |
105. |
Por lo tanto, estoy de acuerdo con las alegaciones del Gobierno austriaco ( 77 ) en el sentido de que este principio no es pertinente en relación con los hechos del presente asunto. |
3. Sobre el artículo 5, apartado 1, letra b), del RGPD: limitación de la finalidad
106. |
El artículo 5, apartado 1, letra b), del RGPD establece el principio de «limitación de la finalidad», al declarar que los datos personales deben ser recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines. ( 78 ) |
107. |
El órgano jurisdiccional remitente explica que la disposición controvertida, el artículo 141, apartado 2, de la Ley de tráfico, persigue el objetivo de proteger la seguridad vial al señalar a los conductores que incumplen las normas. De este modo, la comunicación de los puntos se muestra como un fin determinado, explícito y legítimo. Además, el tratamiento de datos personales no parece ser incompatible con este fin. |
4. Sobre el artículo 5, apartado 1, letra c), del RGPD: minimización de datos
108. |
De conformidad con el artículo 5, apartado 1, letra c), del RGPD, el principio de minimización de datos exige que los datos personales sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. En consecuencia, el considerando 39 del RGPD declara que los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. |
109. |
Al igual que los demás principios consagrados en el artículo 5, apartado 1, del RGPD, entiendo este principio como expresión del principio de proporcionalidad, ( 79 ) por lo que estimo adecuado examinar ahora si la legislación nacional controvertida es proporcionada en relación con el objetivo perseguido. |
110. |
Según reiterada jurisprudencia, el principio de proporcionalidad, que forma parte de los principios generales del Derecho de la Unión, exige que los medios empleados por un acto de la Unión sean aptos para alcanzar el objetivo que este persigue y no vayan más allá de lo que es necesario para alcanzarlo. ( 80 ) |
111. |
En efecto, el artículo 141, apartado 2, de la Ley de tráfico debe ser apto y necesario para alcanzar el fin que proclama, es decir, mejorar la seguridad vial. |
a) Aptitud
112. |
El supuesto primer objetivo de la legislación nacional de que se trata es identificar a los conductores que incumplan de forma sistemática las normas de circulación. Es evidente que la identificación de los infractores de estas normas no depende en absoluto del carácter público (en el sentido de disponible de forma general) de los puntos impuestos al autor de una infracción. Es responsabilidad exclusiva de la autoridad pública identificar adecuadamente a dichos infractores y mantener registros de los puntos impuestos, de modo que se produzcan las adecuadas consecuencias jurídicas y puedan aplicarse las sanciones correspondientes. |
113. |
El segundo objetivo, invocado por la Saeima, de la disposición de Derecho nacional que autoriza la divulgación de los datos personales de que se trata es el de influir en el comportamiento de los usuarios de las carreteras para disuadir a los potenciales infractores de cometer nuevas faltas. A este respecto, hay que admitir que ofrecer a cualquier persona la posibilidad de conocer quién incumple las normas de tráfico puede llegar a tener cierto efecto disuasorio: muchos conductores no desearían que tal información sobre ellos mismos fuera revelada al público general, para no ser etiquetados como transgresores. |
114. |
Esta finalidad está claramente expresada en el artículo 431 de la Ley de tráfico como el objetivo perseguido por la introducción del sistema de puntos. Resulta obvio que el mero hecho de hacer públicos los puntos puede constituir, en cierta medida, un elemento disuasorio añadido. Por lo tanto, en principio, la disposición controvertida podría ser coherente con el interés general perseguido, que es el de promover la seguridad vial y prevenir accidentes de tráfico. |
115. |
Dicho esto, si los datos personales de que se trata se ponen solo a disposición de quien los solicite y si el solicitante facilita el número nacional de identificación de la persona objeto de la consulta, se plantea la cuestión de la dificultad que entraña conseguir este número. En efecto, cuanto más difícil sea obtener tales datos, menos disuasorio será el régimen de divulgación, pues la propia accesibilidad pública dependerá de circunstancias que son difícilmente previsibles. |
116. |
Por este motivo, albergo serias dudas acerca de la aptitud de la legislación nacional controvertida. |
117. |
Corresponde al órgano jurisdiccional remitente decidir, atendiendo a todas las circunstancias del caso, si el artículo 141, apartado 2, de la Ley de tráfico es realmente una disposición apta para alcanzar el objetivo legítimo de mejorar la seguridad vial. |
b) Necesidad
118. |
Respecto a la cuestión de la necesidad, es decir, el requisito de que la medida no vaya más allá de lo necesario para alcanzar el objetivo perseguido, la situación se presenta más clara. |
119. |
De nuevo, incumbe al órgano jurisdiccional remitente decidir, atendiendo a todas las circunstancias del caso, si la disposición controvertida es realmente necesaria. Sin embargo, partiendo de la información disponible, no veo la manera en que dicha disposición pueda considerarse necesaria desde algún punto de vista. |
120. |
Aunque sin duda es importante el objetivo de promover la seguridad vial, se ha de llegar a un justo equilibrio entre los distintos intereses en juego y, en consecuencia, corresponde al legislador nacional decidir si la divulgación de los datos personales de que se trata va más allá de lo necesario para alcanzar los objetivos legítimos perseguidos, habida cuenta, en particular, de la violación de derechos fundamentales que tal divulgación implica. |
121. |
La resolución de remisión no explica si la Saeima, antes de adoptar la disposición controvertida, consideró otros medios para alcanzar el objetivo de promover la seguridad vial que fuesen menos restrictivos del derecho de las personas a la protección de datos. Además, el legislador ha de poder demostrar que las excepciones y limitaciones a la protección de datos se atienen estrictamente a los límites impuestos. Antes de publicar unos datos (o antes de adoptar una normativa que exija su publicación), debe llevarse a cabo una minuciosa evaluación del impacto que tendrá en la protección de datos, incluida una evaluación de las posibilidades de reutilización y las potenciales repercusiones de esta. |
122. |
La existencia y exactitud de esta información es necesaria para poder determinar si los objetivos de promover la seguridad vial y reducir los accidentes de tráfico se pueden alcanzar con medios menos lesivos para los derechos de los interesados, evitando así o, al menos, mitigando la quiebra en la protección que confiere el artículo 8 de la Carta. |
123. |
La intromisión en la vida privada que genera la publicación de datos sobre infracciones y sanciones impuestas es, de por sí, especialmente grave, pues revela al público general información sobre las infracciones cometidas por una persona. Además, no se puede descartar que el tratamiento de datos inherente a su publicación pueda llevar a la estigmatización del infractor y a otras consecuencias negativas. Por lo tanto, tales «listas negras» deben ser objeto de una estricta regulación. |
124. |
Por último, tal como señala la Agencia Estatal de Protección de Datos, el carácter preventivo de la disposición impugnada y las estadísticas que apuntan a una tendencia favorable (reducción del número de accidentes de tráfico) no demuestran que tal reducción se deba a la introducción del sistema de puntos en sí o al hecho de que los puntos registrados sean accesibles al público. |
5. Respuesta que se propone
125. |
En consecuencia, mi propuesta al Tribunal de Justicia en cuanto a la respuesta a la segunda cuestión prejudicial es que el artículo 5, apartado 1, letra c), del RGPD se opone a una disposición nacional como el artículo 141, apartado 2, de la Ley de tráfico, que permite el tratamiento y comunicación de la información relativa a los puntos impuestos a los conductores por infracciones de tráfico. |
E. Tercera cuestión: reutilización de los datos personales
1. Sobre la Directiva 2003/98
126. |
Tal como dispone el artículo 1, apartado 1, de la Directiva 2003/98, esta establece un conjunto mínimo de normas que regulen la reutilización y los instrumentos prácticos que faciliten la reutilización de los documentos existentes conservados por organismos del sector público de los Estados miembros. |
127. |
A los presentes efectos, podemos presumir que, en Letonia, los puntos se registran en documentos conservados por la CSDD, como organismo del sector público en el sentido de dicha disposición. |
128. |
Sin embargo, no nos encontramos dentro del ámbito de aplicación de la Directiva 2003/98, pues su artículo 1, apartado 2, letra c quater), declara que esta no se aplicará a los documentos a los que no pueda accederse o cuyo acceso esté limitado en virtud de regímenes de acceso por motivos de protección de los datos personales. ( 81 ) Asimismo, en virtud de su artículo 1, apartado 4, la Directiva 2003/98 no menoscaba ni afecta en modo alguno el nivel de protección de las personas físicas en lo que respecta al tratamiento de datos personales con arreglo a las disposiciones del Derecho de la Unión y nacional, y, en particular, no altera las obligaciones ni los derechos establecidos en el RGPD. ( 82 ) |
129. |
De estas disposiciones se deduce que el tratamiento de los datos personales de que se trata debe valorarse con arreglo a la legislación europea sobre tratamiento de datos, concretamente el RGPD, y no con arreglo a la Directiva 2003/98. ( 83 ) |
2. Sobre la reutilización
130. |
Tal como señala el órgano jurisdiccional remitente, si la información relativa a los puntos impuestos por infracciones de tráfico a los conductores puede comunicarse a cualquier persona, incluidos los operadores dedicados a la reutilización, no será posible identificar los fines del tratamiento ulterior de los datos ni evaluar si el tratamiento de datos personales se realiza de manera incompatible con dichos fines. |
131. |
En estas circunstancias, mi análisis respecto de la segunda cuestión prejudicial es totalmente válido, no solo mutatis mutandis, sino a fortiori: las empresas privadas se pueden ver tentadas a explotar datos personales con fines comerciales, es decir, para fines incompatibles con el objeto del tratamiento, que es mejorar la seguridad vial. |
132. |
Además, la posibilidad de que terceros efectúen un tratamiento ulterior de los datos personales claramente va más allá de la limitación de la finalidad establecida por el artículo 5, apartado 1, letra b), del RGPD. |
3. Respuesta que se propone
133. |
En consecuencia, propongo responder a la tercera cuestión prejudicial que una disposición nacional como el artículo 141, apartado 2, de la Ley de tráfico, que permite el tratamiento y la comunicación, incluso con fines de reutilización, de la información relativa a los puntos impuestos a los conductores por infracciones de tráfico, no se rige por las disposiciones de la Directiva 2003/98. Además, está prohibida por el artículo 5, apartado 1, letra c), del RGPD. |
F. Cuarta cuestión
134. |
Mediante su cuarta cuestión prejudicial, el órgano jurisdiccional remitente desea aclarar si, en caso de que se determine que la legislación nacional controvertida es contraria al Derecho de la Unión, sería posible aplicar la disposición controvertida y mantener sus efectos hasta que adquiera firmeza la resolución que finalmente adopte la Satversmes tiesa (Tribunal Constitucional). |
135. |
Así pues, el órgano jurisdiccional remitente solicita que se mantengan los efectos de la disposición controvertida hasta que él mismo dicte una resolución firme. |
136. |
Según jurisprudencia reiterada, la interpretación que el Tribunal de Justicia, en el ejercicio de la competencia que le confiere el artículo 267 TFUE, hace de una norma de Derecho de la Unión aclara y precisa el significado y el alcance de dicha norma, tal como debe o habría debido ser entendida y aplicada desde el momento de su entrada en vigor. ( 84 ) De ello resulta que la norma así interpretada puede y debe ser aplicada por el juez a relaciones jurídicas nacidas y constituidas antes de la sentencia que resuelva sobre la petición de interpretación, si además se reúnen los requisitos que permiten someter a los órganos jurisdiccionales competentes un litigio relativo a la aplicación de dicha norma. ( 85 ) Solo con carácter excepcional puede el propio Tribunal de Justicia, aplicando el principio general de seguridad jurídica inherente al ordenamiento jurídico de la Unión, limitar la posibilidad de que los interesados invoquen una disposición por él interpretada con el fin de cuestionar relaciones jurídicas establecidas de buena fe. ( 86 ) |
137. |
En cualquier caso, solamente el Tribunal de Justicia puede determinar las condiciones de una posible suspensión, ( 87 ) y hay una buena razón para ello: de lo contrario, el órgano jurisdiccional podría diferir los efectos de la resolución, menoscabando su carácter erga omnes, cuyo objetivo primordial es garantizar la aplicación uniforme del Derecho de la Unión y la seguridad jurídica en todos los Estados miembros, así como proporcionar igualdad de condiciones a los Estados miembros, los ciudadanos y los operadores económicos. A este respecto, no puede admitirse que normas de Derecho nacional, aunque sean de rango constitucional, menoscaben la unidad y la eficacia del Derecho de la Unión. ( 88 ) |
138. |
Para poder decidir dicha limitación, es necesario que concurran dos criterios esenciales, a saber, la buena fe de los círculos interesados y el riesgo de trastornos graves. ( 89 ) |
139. |
Es preciso añadir que solo excepcionalmente ( 90 ) el Tribunal de Justicia ha optado por esta solución, y exclusivamente en circunstancias muy concretas: cuando existía un riesgo de repercusiones económicas graves debidas, en particular, al elevado número de relaciones jurídicas constituidas de buena fe sobre la base de la normativa que se consideraba válidamente en vigor y era patente que los particulares y las autoridades nacionales habían sido incitados a observar una conducta contraria a la normativa de la Unión en razón de una incertidumbre objetiva e importante en cuanto al alcance de las disposiciones del Derecho de la Unión, incertidumbre a la que habían contribuido eventualmente los mismos comportamientos observados por otros Estados miembros o por la Unión. ( 91 ) |
140. |
En el presente asunto, la información a la que se refiere la resolución de remisión no permite concluir que se vaya a ver afectado un elevado número de relaciones jurídicas constituidas de buena fe sobre la base de la disposición controvertida y que, en consecuencia, hubiera de resultar especialmente difícil garantizar la observancia ex tunc de la decisión prejudicial del Tribunal de Justicia que declarase dicha disposición incompatible con el Derecho de la Unión. |
141. |
En consecuencia, no hay en el presente asunto necesidad de limitar en el tiempo los efectos temporales de la sentencia del Tribunal de Justicia. |
142. |
Por lo tanto, propongo responder a la cuarta cuestión prejudicial que no es posible aplicar la disposición controvertida y mantener sus efectos hasta que adquiera firmeza la resolución que finalmente adopte la Satversmes tiesa (Tribunal Constitucional). |
V. Conclusión
143. |
En virtud de las anteriores consideraciones, propongo al Tribunal de Justicia que responda a las cuestiones prejudiciales planteadas por la Satversmes tiesa (Tribunal Constitucional, Letonia) del modo siguiente:
|
( 1 ) Lengua original: inglés.
( 2 ) Véase Tribune de 8 de noviembre de 1946.
( 3 ) Reglamento del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1).
( 4 ) Véase la sentencia de 12 de noviembre de 1969 (29/69, EU:C:1969:57), apartado 7.
( 5 ) Y, sin duda, el primer asunto relativo a los derechos fundamentales en el ordenamiento jurídico de la Unión.
( 6 ) Directiva del Parlamento Europeo y del Consejo, de 17 de noviembre de 2003, relativa a la reutilización de la información del sector público (DO 2003, L 345, p. 90), en su versión modificada por la Directiva 2013/37/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013 (DO 2013, L 175, p. 1).
( 7 ) Directiva del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31).
( 8 ) Convenio de Berna para la Protección de las Obras Literarias y Artísticas (Acta de París de 24 de julio de 1971), en su versión modificada el 28 de septiembre de 1979.
( 9 ) El Acuerdo ADPIC (Acuerdo sobre los aspectos de los derechos de propiedad intelectual relacionados con el comercio) constituye el anexo 1C del Acuerdo por el que se establece la Organización Mundial del Comercio (Acuerdo OMC), aprobado en nombre de la Comunidad, por lo que respecta a los temas de su competencia, mediante la Decisión 94/800/CE del Consejo, de 22 de diciembre de 1994 (DO 1994, L 336, p. 1).
( 10 ) En la versión modificada que entró en vigor el 10 de mayo de 2018.
( 11 ) Ministru kabineta 2004. gada 21. jūnija noteikumi Nr.551 «Pārkāpumu uzskaites punktu sistēmas piemērošanas noteikumi» (Decreto n.o 551 del Consejo de Ministros, de 21 de junio de 2004, [sobre] «Normas para la aplicación del sistema de puntos por infracciones»).
( 12 ) Por extraño que pueda parecer, la expresión «ámbito de aplicación del Derecho de la Unión» que contiene el artículo 2, apartado 2, letra a), del RGPD resulta totalmente confusa en el contexto de dicho Reglamento: véase Wolff, H. A., en M. Pechstein, C. Nowak, U. Häde (eds.), Frankfurter Kommentar zu EUV, GRC und AEUV, vol. II, Mohr Siebeck, Tubingia, 2017, Art. 16 AEUV, punto 19.
( 13 ) A saber: el tratamiento total o parcialmente automatizado de datos personales y el tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
( 14 ) Con respecto al artículo 3, apartado 2, de la Directiva 95/46, el Tribunal de Justicia se ha pronunciado siempre en el mismo sentido: véase la sentencia de 10 de julio de 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551), apartado 37 y jurisprudencia citada. Véase también Sobotta, Chr., en E. Grabitz, M. Hilf y M. Nettesheim, Das Recht der Europäischen Union, 71. EL., actualizado en agosto de 2020, C. H. Beck, Múnich, Art. 16 AEUV, punto 22, quien hace referencia al amplio ámbito de aplicación ratione materiae del régimen de protección de datos de la Unión.
( 15 ) Véanse también, en este sentido, Hatje, A., en J. Schwarze, U. Becker, A. Hatje, J. Schoo (eds.), EU-Kommentar, 4.a ed., Nomos, Baden-Baden, 2019, Art. 16, punto 10, y Brühann, U., en H. von der Groeben, H., J. Schwarze, A. Hatje (eds.), Europäisches Unionsrecht (Kommentar), vol. 1, 7.a ed., Nomos, Baden-Baden, 2015, Art. 16 AEUV, punto 130.
( 16 ) Sobre las «disposiciones de aplicación general».
( 17 ) Véanse, con respecto a la Directiva 95/46, las sentencias de 13 de mayo de 2014, Google Spain y Google (C‑131/12, EU:C:2014:317), apartado 66, y de 10 de julio de 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551), apartado 35.
( 18 ) La lógica del mercado interior en que se sustentaba originariamente la regulación del régimen de protección de datos por parte de la Unión persiste aún, como tal, junto con la protección de datos. Según refleja el propio título del Reglamento y se define en su artículo 1, el objeto del RGPD es doble: establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y establecer las normas relativas a la libre circulación de tales datos. Asimismo, el considerando 13 del RGPD especifica que este pretende evitar divergencias que dificulten la libre circulación de datos personales dentro del mercado interior y que el buen funcionamiento del mercado interior exige que la libre circulación de los datos personales en la Unión no sea restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.
( 19 ) El subrayado es mío.
( 20 ) Esta disposición delimita el ámbito de aplicación de la Carta.
( 21 ) El subrayado es mío.
( 22 ) Véase, por ejemplo, Zerdick, Th., en E. Ehmann, M. Selmayr (eds), Datenschutz-Grundverordnung, Kommentar, C. H. Beck, Múnich, 2.a ed., 2018, Art. 2, punto 5.
( 23 ) Esto constituye una jurisprudencia constante desde la sentencia de 26 de febrero de 2013, Åkerberg Fransson (C‑617/10, EU:C:2013:105), apartado 21. Véanse también las sentencias de 21 de diciembre de 2016, AGET Iraklis (C‑201/15, EU:C:2016:972), apartado 62; de 21 de mayo de 2019, Comisión/Hungría (Usufructo sobre terrenos agrícolas) (C‑235/17, EU:C:2019:432), apartado 63, y de 24 de septiembre de 2020, NK (Pensiones de empleo del personal directivo) (C‑223/19, EU:C:2020:753), apartado 78.
( 24 ) A mi parecer, el tenor del artículo 2, apartado 2, letra a), del RGPD no es concluyente. De conformidad con reiterada jurisprudencia del Tribunal de Justicia, para la interpretación de una disposición del Derecho de la Unión, hay que tener en cuenta no solo el tenor de esta, sino también su contexto y los objetivos perseguidos por la normativa de la que forma parte y, en especial, la génesis de esa normativa (véase, en ese sentido, la sentencia de 17 de abril de 2018, Egenberger, C‑414/16, EU:C:2018:257, apartado 44 y jurisprudencia citada).
( 25 ) Véase también, en este sentido, Lubasz, D., en D. Lubasz (ed.), Ochrona danych osobowych, Wolters Kluwer, Varsovia 2020, punto 92.
( 26 ) Y lo mismo sucedía anteriormente con el artículo 114 TFUE.
( 27 ) Véase el artículo 10 del RGPD.
( 28 ) Especialmente, si se considera que tal número nacional de identificación se asigna normalmente en el momento del registro oficial de un nacimiento, algo que no suele asociarse a ninguna competencia de la Unión.
( 29 ) Véase la Declaración n.o 20 aneja al Acta Final de la Conferencia intergubernamental que ha adoptado el Tratado de Lisboa, firmado el 13 de diciembre de 2007.
( 30 ) A tenor del artículo 94, apartado 2, del RGPD, toda referencia a la Directiva 95/46 se entenderá hecha al RGPD.
( 31 ) Véase el artículo 15, apartado 1, de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO 2002, L 201, p. 37). Véase, sobre esta disposición, la sentencia de 29 de enero de 2008, Promusicae (C‑275/06, EU:C:2008:54), apartado 49.
( 32 ) Especialmente las que tienen por objeto garantizar su integridad territorial, mantener el orden público y salvaguardar la seguridad nacional.
( 33 ) Véase, sobre este concepto, Franzius, C., en M. Pechstein, C. Nowak, U. Häde (eds.), Frankfurter Kommentar zu EUV, GRC und AEUV, vol. I, Mohr Siebeck, Tubingia, 2017, Art. 4 EUV, punto 50: «Staatsfunktionengarantie».
( 34 ) Véase el artículo 2, apartado 2, letra b), del RGPD.
( 35 ) Véase el artículo 2, apartado 2, letra c), del RGPD.
( 36 ) Véase el artículo 2, apartado 2, letra d), del RGPD.
( 37 ) Además, el artículo 39 TUE contiene una base jurídica específica para el tratamiento de datos personales por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de la política exterior y de seguridad común. Así pues, a este respecto, se ha mantenido la distinción en «pilares» con el Tratado de Lisboa. Véase Lynskey, O., The Foundations of EU Data Protection Law, OUP, Oxford, 2015, p. 18.
( 38 ) Véase la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO 2016, L 119, p. 89).
( 39 ) Véase también la sentencia de 6 de octubre de 2020, La Quadrature du Net y otros (C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791), apartado 102.
( 40 ) Por poner solo un ejemplo, el Tribunal de Justicia no analizó en profundidad si las actividades voluntarias y religiosas están comprendidas en el ámbito de aplicación del Derecho de la Unión (véase la sentencia de 6 de noviembre de 2003, Lindqvist, C‑101/01, EU:C:2003:596, apartado 48).
( 41 ) Véase la sentencia de 20 de mayo de 2003, Österreichischer Rundfunk y otros (C‑465/00, C‑138/01 y C‑139/01, EU:C:2003:294), apartado 42.
( 42 ) En la doctrina jurídica, véase también Kranenborg, H., en Chr. Kuner, L. A. Bygrave, Chr. Docksey (eds.), The EU General Data Protection Regulation (GDPR), OUP, Oxford, 2020, Art. 86, A., p. 1214. Véase, asimismo, Pauly, D. A., en B. P. Paal, D. A. Pauly, Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, C. H. Beck, Múnich 2018, Art. 86 DS-GVO, punto 9.
( 43 ) Véase también, en este sentido, Kranenborg, H., op. cit., Art. 86, C.1., p. 1217, incluida la nota 14. El mismo autor señala muy acertadamente que, en la propuesta inicial de la Comisión, a este respecto solo se incluía un considerando, pero no disposición alguna.
( 44 ) Con arreglo a esta disposición, si el interesado ha dado su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos, el tratamiento será lícito en la medida del consentimiento prestado.
( 45 ) O cuando autorice el tratamiento el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas del respeto de los derechos y libertades del interesado.
( 46 ) Por ejemplo, las versiones española («condenas e infracciones penales»), alemana («strafrechtliche Verurteilungen und Straftaten»), italiana («condanne penali e […] reati»), lituana («apkaltinamuosius nuosprendžius ir nusikalstamas veikas»), maltesa («kundanni kriminali u reati») y neerlandesa («strafrechtelijke veroordelingen en strafbare feiten»).
( 47 ) Como la francesa («condamnations pénales et […] infractions»), la polaca («wyroków skazujących oraz naruszeń prawa»), la portuguesa («condenações penais e infrações») y la rumana («condamnări penale și infracțiuni»).
( 48 ) En realidad, desde el punto de vista literal, incluso las «condenas» podrían, en teoría, ser de carácter administrativo.
( 49 ) Véase, por ejemplo, la sentencia de 25 de junio de 2020, A y otros (Aerogeneradores en Aalter y Nevele) (C‑24/19, EU:C:2020:503), apartado 39 y jurisprudencia citada.
( 50 ) Véase la sentencia de 6 de octubre de 1982, Cilfit y otros (283/81, EU:C:1982:335), apartado 18.
( 51 ) Véanse, por ejemplo, las sentencias de 30 de mayo de 2013, Genil 48 y Comercial Hostelera de Grandes Vinos (C‑604/11, EU:C:2013:344), apartado 38 y jurisprudencia citada, y de 6 de septiembre de 2012, Parlamento/Consejo (C‑490/10, EU:C:2012:525), apartado 68.
( 52 ) Véase también, en este sentido, Kawecki, M., Barta, P, en P. Litwiński (ed.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C. H. Beck, Varsovia 2018, Art. 10, punto 3.
( 53 ) «El tratamiento de datos relativos a infracciones, condenas penales o medidas de seguridad solo podrá efectuarse bajo el control de la autoridad pública.» El subrayado es mío.
( 54 ) «Los Estados miembros podrán establecer que el tratamiento de datos relativos a sanciones administrativas o procesos civiles se realicen asimismo bajo el control de los poderes públicos.» El subrayado es mío.
( 55 ) Véase, por ejemplo, la sentencia de 1 de octubre de 2019, Planet49 (C‑673/17, EU:C:2019:801), apartado 47 y jurisprudencia citada.
( 56 ) Ibid.
( 57 ) Véase la sentencia de 17 de septiembre de 2020, JZ (Pena de prisión en caso de prohibición de entrada) (C‑806/18, EU:C:2020:724), apartado 26 y jurisprudencia citada.
( 58 ) Véase también, en este sentido, Georgieva, L., The EU General Data Protection Regulation (GDPR), op. cit., Art. 10, C.1., p. 388, y Schiff, A., Datenschutz-Grundverordnung, Kommentar, op. cit., Art. 10, punto 4.
( 59 ) Que, casualmente, fue adoptado el mismo día que el RGPD.
( 60 ) Esto es, el derecho a no ser juzgado o condenado penalmente dos veces por la misma infracción.
( 61 ) Véanse, asimismo, las instructivas conclusiones de la Abogada General Kokott en el asunto Bonda (C‑489/10, EU:C:2011:845), puntos 32 y siguientes.
( 62 ) Véanse las sentencias del Tribunal Europeo de Derechos Humanos de 8 de junio de 1976, Engel y otros c. Países Bajos (CE:ECHR:1976:0608JUD000510071), § 80 a 82, y de 10 de febrero de 2009, Zolotukhin c. Rusia (CE:ECHR:2009:0210JUD001493903), §§ 52 y 53.
( 63 ) Véase la sentencia de 5 de junio de 2012, Bonda (C‑489/10, EU:C:2012:319), apartado 37.
( 64 ) Dado que aquí se trata de unos puntos que, como hemos visto, no son especialmente severos, esta conclusión no puede quedar en entredicho por la sentencia del Tribunal de Justicia de 14 de noviembre de 2013, Baláž (C‑60/12, EU:C:2013:733), que versaba sobre el concepto, más general, de «competencia, en particular, en asuntos penales» en relación con las infracciones de tráfico en general, y no solo con los puntos, en el contexto de la Decisión Marco 2005/214/JAI del Consejo, de 24 de febrero de 2005, relativa a la aplicación del principio de reconocimiento mutuo de sanciones pecuniarias (DO 2005, L 76, p. 16).
( 65 ) Que, como veremos más adelante, no es aplicable en cualquier caso.
( 66 ) En tal situación, es lícito preguntarse si se cumplen los requisitos del artículo 94, letra c), del Reglamento de Procedimiento del Tribunal de Justicia, en defecto de lo cual la cuestión sería inadmisible.
( 67 ) Véase la sentencia de 16 de enero de 2019, Deutsche Post (C‑496/17, EU:C:2019:26), apartado 57 y jurisprudencia citada.
( 68 ) El artículo 5 del RGPD está redactado de forma prescriptiva («serán»), y los distintos principios están separados por punto y coma, lo que implica «y», en lugar de «o».
( 69 ) El artículo 6 del RGPD hace referencia a «al menos una de las siguientes condiciones».
( 70 ) Véase la sentencia de 9 de marzo de 2017, Manni (C‑398/15, EU:C:2017:197), apartado 35.
( 71 ) Artículo 2, letras b) y d), de la Directiva 95/46.
( 72 ) Este principio se desarrolla más ampliamente en el capítulo IV, sección 2, del RGPD (artículos 32 a 34).
( 73 ) Véase también, en este sentido, Pötters, St., en P. Gola (ed.), Datenschutz-Grundverordnung VO (EU) 2016/679, Kommentar, C. H. Beck, Múnich, 2.a ed., 2018, Art. 5, punto 29.
( 74 ) Con arreglo a este considerando, para que el tratamiento sea lícito, los datos personales deben ser tratados con el consentimiento del interesado o sobre alguna otra base legítima establecida conforme a Derecho, ya sea en el RGPD o en virtud de otro Derecho de la Unión o de los Estados miembros a que se refiera dicho Reglamento, incluida la necesidad de cumplir la obligación legal aplicable al responsable del tratamiento o la necesidad de ejecutar un contrato en el que sea parte el interesado o con objeto de tomar medidas a instancia del interesado con anterioridad a la conclusión de un contrato.
( 75 ) Véase también, a este respecto, Herbst, T., en J. Buchner, B. Kühling (eds.), Datenschutz-Grundverordnung/BDSG, Kommentar, 2.a ed., C. H. Beck, Múnich, 2018, Art. 5 DS-GVO, punto 11, y Pötters, St., op. cit., Art. 5, punto 6. Sobre una concepción más amplia de la licitud en el sentido de conformidad con todas las disposiciones del Reglamento, véase Lubasz, D., en D. Lubasz (ed.), Ochrona danych osobowych, Wolters Kluwer, Varsovia 2020, punto 186.
( 76 ) Y, aunque se estimase necesario comprobar las condiciones del artículo 6 del RGPD en el contexto del artículo 5 de este Reglamento, a mi parecer, el tratamiento seguiría siendo lícito en el sentido del artículo 6, apartado 1, letra c), del RGPD, pues es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, ya que, al comunicar los puntos al público, la CSDD cumple con la obligación que le impone el Derecho nacional.
( 77 ) En cuanto a la referencia que a este respecto hace el Gobierno austriaco a la sentencia del Bundesverfassungsgericht (Tribunal Constitucional Federal, Alemania), de 27 de febrero de 2008 [1 BvR 370/07 y 1 BvR 595/07 (DE:BVerfG:2008:rs20080227.1bvr037007), BVerfGE 120, 274 y siguientes, p. 314, disponible en: http://www.bverfg.de/e/rs20080227_1bvr037007en.html], no estoy tan seguro de su relevancia, dado que dicha sentencia versa sobre un derecho fundamental material, mientras que el artículo 5, apartado 1, letra f), del RGPD, tal como he expuesto en los puntos precedentes de las presentes conclusiones, trata de requisitos formales.
( 78 ) La disposición continúa declarando que, de acuerdo con el artículo 89, apartado 1, del RGPD, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales.
( 79 ) Véase, en este sentido, Lubasz, D., en D. Lubasz (ed.), Ochrona danych osobowych, Wolters Kluwer, Varsovia 2020, punto 202.
( 80 ) Véase, por ejemplo, la sentencia de 9 de noviembre de 2010, Volker und Markus Schecke y Eifert (C‑92/09 y C‑93/09, EU:C:2010:662), apartado 74 y jurisprudencia citada.
( 81 ) Esta disposición se añadió a la Directiva 2003/98 en 2013: véase el artículo 1, apartado 1, letra a), inciso iii), de la Directiva 2013/37/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, por la que se modifica la Directiva 2003/98/CE relativa a la reutilización de la información del sector público (DO 2013, L 175, pp. 1 a 8).
( 82 ) El artículo 1, apartado 4, de la Directiva 2003/98 se refiere a este respecto a la Directiva 95/46.
( 83 ) Respecto a la Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativa a los datos abiertos y la reutilización de la información del sector público (DO 2019, L 172, p. 56), que, en virtud de su artículo 19, deroga la Directiva 2003/98 con efectos a partir del 17 de julio de 2021, véase el artículo 1, apartado 2, letra f), de la Directiva 2019/1024.
( 84 ) Esto es lo que comúnmente se llama efecto ex tunc de las decisiones prejudiciales con arreglo al artículo 267 TFUE.
( 85 ) Véanse, por ejemplo, las sentencias de 29 de septiembre de 2015, Gmina Wrocław (C‑276/14, EU:C:2015:635), apartado 44, y de 28 de octubre de 2020, Bundesrepublik Deutschland (Determinación de los importes de los peajes por la utilización de autopistas) (C‑321/19, EU:C:2020:866), apartado 54.
( 86 ) Véanse, por ejemplo, las sentencias de 29 de septiembre de 2015, Gmina Wrocław (C‑276/14, EU:C:2015:635), apartado 45, y de 28 de octubre de 2020, Bundesrepublik Deutschland (Determinación de los importes de los peajes por la utilización de autopistas) (C‑321/19, EU:C:2020:866), apartado 55.
( 87 ) Véanse las sentencias de 8 de septiembre de 2010, Winner Wetten (C‑409/06, EU:C:2010:503), apartado 67, y de 19 de noviembre de 2009, Filipiak (C‑314/08, EU:C:2009:719), apartado 84. Véase asimismo la sentencia de 6 de marzo de 2007, Meilicke y otros (C‑292/04, EU:C:2007:132), apartado 36 y jurisprudencia citada.
( 88 ) Véanse las sentencias de 17 de diciembre de 1970, Internationale Handelsgesellschaft (11/70, EU:C:1970:114), apartado 3, y de 8 de septiembre de 2010, Winner Wetten (C‑409/06, EU:C:2010:503), apartado 61.
( 89 ) Véanse, por ejemplo, las sentencias de 29 de septiembre de 2015, Gmina Wrocław (C‑276/14, EU:C:2015:635), apartado 45, y de 28 de octubre de 2020, Bundesrepublik Deutschland (Determinación de los importes de los peajes por la utilización de autopistas) (C‑321/19, EU:C:2020:866), apartado 55.
( 90 ) Véase asimismo Lenaerts, K., Maselis, I. y Gutman, K., EU Procedural Law, Oxford University Press, Oxford 2014, punto 6.34, p. 247.
( 91 ) Véase, por ejemplo, la sentencia de 16 de septiembre de 2020, Romenergo y Aris Capital (C‑339/19, EU:C:2020:709), apartado 49 y jurisprudencia citada.