Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 62020CC0175

Conclusiones del Abogado General Sr. M. Bobek, presentadas el 2 de septiembre de 2021.
SS SIA contra Valsts ieņēmumu dienests.
Petición de decisión prejudicial planteada por la Administratīvā apgabaltiesa.
Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 2 — Ámbito de aplicación — Artículo 4 — Concepto de “tratamiento” — Artículo 5 — Principios relativos al tratamiento — Limitación de la finalidad — Minimización de datos — Artículo 6 — Licitud del tratamiento — Tratamiento necesario para el cumplimiento de una misión realizada en interés público conferida al responsable del tratamiento — Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento — Artículo 23 — Limitaciones — Tratamiento de datos con fines fiscales — Solicitud de información relativa a anuncios de venta de vehículos publicados en Internet — Proporcionalidad.
Asunto C-175/20.

Court reports – general – 'Information on unpublished decisions' section ; Court reports – general

ECLI identifier: ECLI:EU:C:2021:690

 CONCLUSIONES DEL ABOGADO GENERAL

SR. MICHAL BOBEK

presentadas el 2 de septiembre de 2021 ( 1 )

Asunto C‑175/20

SIA «SS»

contra

Valsts ieņēmumu dienests (Administración tributaria del Estado)

[Petición de decisión prejudicial planteada por la Administratīvā apgabaltiesa (Tribunal Regional de lo Contencioso-Administrativo, Letonia)]

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos — Base jurídica del tratamiento — Obligación que el Derecho nacional impone a los proveedores de servicios de publicación de anuncios en Internet de facilitar, a petición de las autoridades tributarias, la información de que dispongan en relación con los sujetos pasivos que hayan utilizado dichos servicios — Solicitudes de información dirigidas por la Administración tributaria al proveedor de servicios — Alcance — Límites materiales y temporales derivados del RGPD»

I. Introducción

1.

El Reglamento (UE) 2016/679 (en lo sucesivo, «RGPD») ( 2 ) no es un texto legislativo con un radio de acción restringido. Tanto la amplia definición del ámbito de aplicación del RGPD, como el efectivo vaciamiento jurisdiccional de cualquier excepción a su aplicación ( 3 ) y su interpretación basada en definiciones, abstracta y, en consecuencia, poco precisa, ( 4 ) han contribuido a que el alcance de dicho Reglamento sea casi ilimitado. En efecto, bajo esta óptica, cuesta mucho imaginar hoy en día una situación en la que no se estén tratando datos personales en un lugar y un momento determinados.

2.

Ese enfoque interpretativo, basado en la elevación de la protección de datos de carácter personal a la categoría de (super)derecho fundamental de primer orden en virtud del artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea, conduce, no obstante, a distintos efectos centrípetos que la protección de datos personales ha empezado a producir en otros ámbitos jurídicos y litigios a ellos vinculados. De súbito son varios los asuntos que se han presentado como referidos a la protección de datos personales y las cuestiones en ellos suscitados ante el Tribunal de Justicia (aunque no solo ante dicho Tribunal) se han planteado como cuestiones de interpretación del RGPD. Sin embargo, algunas de las cuestiones concretas que se plantean en dichos litigios no son, en ocasiones, las que se supone que regula un texto legislativo como el RGPD, pese a su más que amplio ámbito de aplicación.

3.

En efecto, pocos habrían sospechado de antemano que llegaría a considerarse que el RGPD o el texto normativo que lo precedió, la Directiva 95/46/CE, ( 5 ) constituirían el marco regulador del acceso de unos contables en prácticas a sus pruebas de examen, unido en su caso al derecho de rectificación de dichos datos personales una vez efectuado el examen, ( 6 ) o que impedirían que la policía identificara a una persona involucrada en un accidente de tráfico, de modo que la parte perjudicada no pudiera demandar ante un tribunal civil la reparación de los daños ocasionados a su vehículo, ( 7 ) o que limitarían la comunicación de información relativa a impuestos anteriormente liquidados por una sociedad en quiebra al administrador concursal de dicha empresa con el fin de restablecer la igualdad entre los acreedores de Derecho privado y de Derecho público en el contexto de una acción de rescisión concursal, ( 8 ) por nombrar solo alguno de los ejemplos más interesantes.

4.

El asunto que nos ocupa es otro ejemplo de tales efectos centrípetos del RGPD. SIA «SS» es un proveedor de servicios de publicación de anuncios en Internet. En el desempeño de esta actividad mercantil, obtiene los datos personales de las personas que ponen anuncios publicitarios en su portal. La autoridad tributaria nacional competente ha instado a dicha empresa a remitirle una serie de datos relativos a anuncios de coches de ocasión publicados en ese portal con el fin de garantizar la correcta recaudación de los impuestos sobre la venta de vehículos de motor. Dicha autoridad tributaria ha indicado detalladamente el formato en que deseaba recibir los datos. También ha precisado que tales transferencias de datos se presumen permanentes y al parecer sin compensación económica.

5.

En este contexto, el órgano jurisdiccional remitente se pregunta sobre el alcance aceptable de tales solicitudes de transferencia de datos. Al igual que en asuntos anteriores, el RGPD parece ser aplicable en el presente asunto. Ciertamente habrá alguien en algún lugar que, después de efectuarse la transferencia de los datos, lleve a cabo su tratamiento. Los derechos de los interesados con ocasión de ese tratamiento deben ser protegidos, al igual que deben serlo los datos personales de que se trate. Sin embargo, esto no significa que el RGPD regule específicamente la relación entre el futuro responsable del tratamiento (una autoridad pública) y el responsable actual del tratamiento (una empresa privada). En efecto, el RGPD hace un seguimiento de los datos y los protege allá donde sean transferidos, regulando así las obligaciones que incumben a los sucesivos responsables del tratamiento en lo que respecta a esos datos y para con los interesados. Por el contrario, el RGPD no regula, salvo en algunas excepciones expresamente establecidas, los aspectos concretos de la relación mutua entre dos responsables sucesivos de esos datos. En particular, el RGPD no establece las modalidades exactas del contrato entre los responsables del tratamiento, ya sea de Derecho privado o de Derecho público, en virtud del cual estos pueden solicitarse y facilitarse datos mutuamente.

II. Marco jurídico

A.   Derecho de la Unión

6.

El considerando 31 del RGPD está redactado en los siguientes términos:

«Las autoridades públicas a las que se comunican datos personales en virtud de una obligación legal para el ejercicio de su misión oficial, como las autoridades fiscales y aduaneras, las unidades de investigación financiera, las autoridades administrativas independientes o los organismos de supervisión de los mercados financieros encargados de la reglamentación y supervisión de los mercados de valores, no deben considerarse destinatarios de datos si reciben datos personales que son necesarios para llevar a cabo una investigación concreta de interés general, de conformidad con el Derecho de la Unión o de los Estados miembros. Las solicitudes de comunicación de las autoridades públicas siempre deben presentarse por escrito, de forma motivada y con carácter ocasional, y no deben referirse a la totalidad de un fichero ni dar lugar a la interconexión de varios ficheros. El tratamiento de datos personales por dichas autoridades públicas debe ser conforme con la normativa en materia de protección de datos que sea de aplicación en función de la finalidad del tratamiento.»

7.

El considerando 45 del RGPD tiene el siguiente tenor:

«Cuando se realice en cumplimiento de una obligación legal aplicable al responsable del tratamiento, o si es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, el tratamiento debe tener una base en el Derecho de la Unión o de los Estados miembros. El presente Reglamento no requiere que cada tratamiento individual se rija por una norma específica. Una norma puede ser suficiente como base para varias operaciones de tratamiento de datos basadas en una obligación legal aplicable al responsable del tratamiento, o si el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos. La finalidad del tratamiento también debe determinase en virtud del Derecho de la Unión o de los Estados miembros. Además, dicha norma podría especificar las condiciones generales del presente Reglamento por las que se rige la licitud del tratamiento de datos personales, establecer especificaciones para la determinación del responsable del tratamiento, el tipo de datos personales objeto de tratamiento, los interesados afectados, las entidades a las que se pueden comunicar los datos personales, las limitaciones de la finalidad, el plazo de conservación de los datos y otras medidas para garantizar un tratamiento lícito y leal. Debe determinarse también en virtud del Derecho de la Unión o de los Estados miembros si el responsable del tratamiento que realiza una misión en interés público o en el ejercicio de poderes públicos debe ser una autoridad pública u otra persona física o jurídica de Derecho público, o, cuando se haga en interés público, incluidos fines sanitarios como la salud pública, la protección social y la gestión de los servicios de sanidad, de Derecho privado, como una asociación profesional.»

8.

El artículo 2 del RGPD precisa el ámbito de aplicación material del RGPD:

«1.   El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

2.   El presente Reglamento no se aplica al tratamiento de datos personales:

a)

en el marco de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;

[…]

d)

por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.

[…]».

9.

El artículo 4 contiene definiciones a efectos del RGPD:

«1)   “datos personales”: toda información sobre una persona física identificada o identificable (“el interesado”); […]

2)   “tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

[…]

7)   “responsable del tratamiento” o “responsable”: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;

8)   “encargado del tratamiento” o “encargado”: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;

9)   “destinatario”: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento;

[…]».

10.

El artículo 5 del RGPD establece los principios relativos al tratamiento de datos personales:

«1.   Los datos personales serán:

a)

tratados de manera lícita, leal y transparente en relación con el interesado (“licitud, lealtad y transparencia”);

b)

recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales (“limitación de la finalidad”);

c)

adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (“minimización de datos”);

d)

exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan (“exactitud”);

e)

mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado (“limitación del plazo de conservación”);

f)

tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (“integridad y confidencialidad”).

2.   El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva”).»

11.

Con arreglo al artículo 6 de dicho Reglamento:

«1.   El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

[…]

c)

el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

[…]

e)

el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

[…]

2.   Los Estados miembros podrán mantener o introducir disposiciones más específicas a fin de adaptar la aplicación de las normas del presente Reglamento con respecto al tratamiento en cumplimiento del apartado 1, letras c) y e), fijando de manera más precisa requisitos específicos de tratamiento y otras medidas que garanticen un tratamiento lícito y equitativo, con inclusión de otras situaciones específicas de tratamiento a tenor del capítulo IX.

3.   La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por:

a)

el Derecho de la Unión, o

b)

el Derecho de los Estados miembros que se aplique al responsable del tratamiento.

La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Dicha base jurídica podrá contener disposiciones específicas para adaptar la aplicación de normas del presente Reglamento, entre otras: las condiciones generales que rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados afectados; las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación; la limitación de la finalidad; los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones específicas de tratamiento a tenor del capítulo IX. El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido.»

12.

El capítulo III, que lleva por epígrafe «Derechos del interesado», establece, en los artículos 12 a 22, los derechos y las correspondientes obligaciones de los responsables del tratamiento. El artículo 23 del RGPD cierra este capítulo, su título es «Limitaciones» y dispone lo siguiente:

«1.   El Derecho de la Unión o de los Estados miembros que se aplique al responsable o el encargado del tratamiento podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en los artículos 12 a 22 y el artículo 34, así como en el artículo 5 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 12 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:

[…]

e)

otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un interés económico o financiero importante de la Unión o de un Estado miembro, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social;

[…]

2.   En particular, cualquier medida legislativa indicada en el apartado 1 contendrá como mínimo, en su caso, disposiciones específicas relativas a:

a)

la finalidad del tratamiento o de las categorías de tratamiento;

b)

las categorías de datos personales de que se trate;

c)

el alcance de las limitaciones establecidas;

d)

las garantías para evitar accesos o transferencias ilícitos o abusivos;

e)

la determinación del responsable o de categorías de responsables;

f)

los plazos de conservación y las garantías aplicables, habida cuenta de la naturaleza, alcance y objetivos del tratamiento o las categorías de tratamiento;

g)

los riesgos para los derechos y libertades de los interesados, y

h)

el derecho de los interesados a ser informados sobre la limitación, salvo si puede ser perjudicial a los fines de esta.»

B.   Derecho letón

13.

En virtud del artículo 15, apartado 6, de la Likums «Par nodokļiem un nodevām» (Ley de Impuestos y Tributos), en su versión vigente en el momento de producirse los hechos del presente asunto, los proveedores de servicios de publicación de anuncios en Internet están obligados a facilitar, a petición de la Administración tributaria del Estado, la información de que dispongan en relación con los sujetos pasivos que hayan publicado anuncios utilizando dichos servicios y sobre los anuncios publicados por ellos.

III. Hechos, procedimiento nacional y cuestiones prejudiciales

14.

El 28 de agosto de 2018, el director de la Nodokļu kontroles pārvalde (Oficina de inspección tributaria) del Valsts ieņēmumu dienests (Administración tributaria de Letonia; en lo sucesivo, «demandada») remitió a SIA «SS» (en lo sucesivo, «demandante») una solicitud de información al amparo del artículo 15, apartado 6, de la Ley de Impuestos y Tributos.

15.

En dicha solicitud, la demandada instaba a la demandante a renovar el acceso de la propia demandada a la información sobre los números de teléfono de los anunciantes y los números de bastidor de los vehículos que figuraban en los anuncios publicados en el portal www.ss.com gestionado por la demandante. La demandada también instaba a la demandante a proporcionar, a más tardar el 3 de septiembre de 2018, información sobre los anuncios publicados en la sección «Turismos» del referido portal durante el período comprendido entre el 14 de julio y el 31 de agosto de 2018. Se le pedía que transmitiese la información electrónicamente en un formato en el que fuera posible filtrar y seleccionar los datos. Se le pedía igualmente que el archivo incluyera la siguiente información: enlace al anuncio, texto del anuncio, marca del vehículo, modelo, número de bastidor, precio, números de teléfono del vendedor.

16.

En caso de que no fuera posible renovar el acceso, se le solicitaba que informara de los motivos e igualmente se le pedía que aportara la mencionada información en relación con los anuncios publicados en el mes anterior, a más tardar, el tercer día de cada mes.

17.

La demandante presentó una reclamación administrativa ante el director general en funciones de la demandada impugnando la solicitud de información. Según la demandante, el alcance de la solicitud de información, que se refiere a datos personales en el sentido del artículo 4, punto 1, del RGPD, no está justificado por la ley. En la solicitud no se especifica ni un grupo de interesados concreto, ni el propósito o el alcance del tratamiento previsto, ni tampoco el tiempo que durará la obligación de facilitar la información. Como tal, la demandada, en su condición de responsable del tratamiento, no actuó de conformidad con el principio de proporcionalidad ni con el principio de minimización del tratamiento de datos personales establecidos en el RGPD, que está obligada a observar.

18.

Mediante decisión de 30 de octubre de 2018 (en lo sucesivo, «decisión impugnada») la demandada desestimó la reclamación y confirmó la solicitud de información.

19.

En los motivos de la decisión la demandada afirma, en esencia, que, al realizar el tratamiento de los datos antes mencionados, la Administración tributaria ejerce las funciones y facultades que le confiere la ley. La Administración tributaria es responsable de la recaudación y el control de los impuestos, tributos y otras exacciones. Está obligada legalmente a supervisar las actividades económicas y financieras de las personas físicas y jurídicas con el fin de garantizar que dichos pagos se abonen a las arcas del Estado y al presupuesto de la Unión. Para desempeñar estas funciones, la ley confiere a la demandada la facultad de recabar los documentos y la información necesarios para llevar a cabo la contabilización y el registro de los hechos imponibles o para proceder al control de los impuestos y tributos. En particular, con arreglo al artículo 15, apartado 6, de la Ley de Impuestos y Tributos los proveedores de servicios de publicación de anuncios en Internet están obligados a facilitar a la Administración tributaria, a petición de esta, la información de que dispongan en relación con los sujetos pasivos que hayan publicado anuncios utilizando dichos servicios y en relación con los propios anuncios. La información confidencial en poder de la demandada está protegida por la ley, en particular, mediante la prohibición de divulgarla impuesta a los empleados de la Administración tributaria. De ello se deduce que la solicitud de información es conforme a Derecho.

20.

La demandante interpuso recurso de anulación contra la decisión impugnada ante la Administratīvā rajona tiesa (Tribunal de Primera Instancia de lo Contencioso-Administrativo, Letonia), alegando que la motivación de la decisión no indicaba la finalidad concreta del tratamiento de datos ni los criterios con arreglo a los cuales debía seleccionarse la información solicitada en relación con un grupo específico de personas identificables.

21.

Mediante sentencia de 21 de mayo de 2019, la Administratīvā rajona tiesa (Tribunal de Primera Instancia de lo Contencioso-Administrativo) desestimó dicho recurso. En esencia, se adhirió a la argumentación de la demandada de que no puede imponerse restricción alguna a la cantidad de información a la que puede acceder la Administración tributaria en relación con cualquier persona, a menos que se considere que la información en cuestión no es conforme a los objetivos de la Administración tributaria. Según dicha sentencia, la información solicitada era necesaria para identificar actividades económicas no declaradas. Las disposiciones del RGPD se aplican únicamente a la demandante en su condición de prestadora de servicios, pero no a la Administración tributaria.

22.

La demandante interpuso recurso de apelación contra dicha sentencia ante la Administratīvā apgabaltiesa (Tribunal Regional de lo Contencioso-Administrativo, Letonia). Según la demandante, el RGPD es aplicable al caso que nos ocupa. En lo que respecta a los datos personales recabados mediante la solicitud de información, la demandada también debe ser considerada responsable del tratamiento en el sentido de dicho Reglamento y, por lo tanto, debe cumplir los requisitos en él establecidos. Sin embargo, con la emisión de la solicitud de información, la demandada ha vulnerado el principio de proporcionalidad, dado que exige que, cada mes, se le proporcione una cantidad considerable de datos relativos a un número no delimitado de anuncios, sin indicar contribuyentes concretos contra los que se haya iniciado una inspección fiscal. La demandante afirma que en la solicitud de información no se indica cuánto tiempo durará la obligación que se le impone de facilitar a la demandada la información mencionada en dicha solicitud. Así pues, considera que la demandada ha vulnerado los principios del tratamiento de datos personales enunciados en el artículo 5 del RGPD (licitud, lealtad y transparencia). Aduce que, ni en la solicitud de información ni en la motivación de la decisión impugnada se especifican el marco concreto (finalidad) en el que se inscribe el tratamiento de la información previsto por la demandada, ni el volumen de información necesario (minimización de datos). A su parecer, en la solicitud de información, la autoridad administrativa debe incluir criterios claramente definidos con arreglo a los cuales se ha de seleccionar la información requerida por dicha autoridad en relación con un grupo determinado de personas identificables.

23.

Según el órgano jurisdiccional remitente, no es posible concluir de manera inequívoca que tal solicitud de información pueda considerarse «debidamente motivada» y «ocasional» y que no se refiera a toda la información incluida en la rúbrica «Turismos», ya que la Administración tributaria desea, en esencia, llevar a cabo un control continuo y exhaustivo. El órgano jurisdiccional remitente alberga dudas acerca de si puede considerarse que el tratamiento de datos personales previsto por la demandada es conforme con la normativa en materia de protección de datos que sea de aplicación en función de la finalidad del tratamiento, en el sentido del considerando 31 del RGPD. Por consiguiente, es preciso determinar los criterios con arreglo a los cuales debe apreciarse si la solicitud de información formulada por la demandada respeta los derechos y libertades fundamentales y si la solicitud de información en cuestión puede considerarse necesaria y proporcionada en una sociedad democrática, para salvaguardar objetivos importantes de interés público de la Unión y de Letonia en los ámbitos fiscal y presupuestario.

24.

Según el órgano jurisdiccional remitente, la solicitud de información controvertida no hace referencia a ninguna «investigación concreta» llevada a cabo por la demandada en el sentido de las disposiciones del RGPD. En la mencionada solicitud no se pide información sobre personas concretas, sino sobre todos aquellos interesados que hayan publicado anuncios en la sección «Turismos» del portal. Además, la Administración tributaria solicita que dicha información se facilite a más tardar el tercer día de cada mes (es decir, que la demandante debe facilitar a la demandada toda la información relativa a los anuncios publicados el mes anterior). Habida cuenta de lo anterior, el órgano jurisdiccional remitente alberga dudas acerca de si puede considerarse que esta manera de actuar de una administración nacional es conforme con los requisitos establecidos en el RGPD.

25.

En este contexto fáctico y jurídico, la Administratīvā apgabaltiesa (Tribunal Regional de lo Contencioso-Administrativo) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1)

¿Deben interpretarse los requisitos establecidos en el [RGPD] en el sentido de que una solicitud de información emitida por la Administración tributaria, como la controvertida en el presente asunto, mediante la que se solicita que se aporte información que contiene una cantidad considerable de datos personales, debe cumplir los requisitos establecidos en el [RGPD] (en particular, en su artículo 5, apartado 1)?

2)

¿Deben interpretarse los requisitos establecidos en el [RGPD] en el sentido de que la Administración tributaria [letona] puede apartarse de lo dispuesto en el artículo 5, apartado 1, de dicho Reglamento, aun cuando la normativa vigente en la República de Letonia no confiere tal facultad a la referida Administración?

3)

¿Puede considerarse, al interpretar los requisitos establecidos en el [RGPD], que existe un objetivo legítimo que justifique la obligación, impuesta mediante una solicitud de información como la controvertida en el presente asunto, de facilitar todos los datos solicitados en una cantidad y un período de tiempo no delimitados, sin que se establezca una fecha de expiración para la ejecución de dicha solicitud de información?

4)

¿Puede considerarse, al interpretar los requisitos establecidos en el [RGPD], que existe un objetivo legítimo que justifique la obligación, impuesta mediante una solicitud de información como la controvertida en el presente asunto, de facilitar todos los datos solicitados, aun cuando en la solicitud de información no se indique (o se indique de manera incompleta) la finalidad de la comunicación de la información?

5)

¿Puede considerarse, al interpretar los requisitos establecidos en el [RGPD], que existe un objetivo legítimo que justifique la obligación, impuesta mediante una solicitud de información como la controvertida en el presente asunto, de facilitar todos los datos solicitados, aun cuando en la práctica ello se refiera absolutamente a todos los interesados que hayan publicado anuncios en la sección “Turismos” de un portal?

6)

¿Qué criterios deben aplicarse para verificar si la Administración tributaria, actuando como responsable del tratamiento, garantiza debidamente que el tratamiento de datos (incluida, asimismo, la obtención de la información) es conforme a los requisitos establecidos en el [RGPD]?

7)

¿Qué criterios deben aplicarse para verificar si una solicitud de información como la controvertida en el presente asunto está debidamente motivada y tiene carácter ocasional?

8)

¿Qué criterios deben aplicarse para verificar si el tratamiento de datos personales se lleva a cabo en la medida necesaria y de manera compatible con los requisitos establecidos en el [RGPD]?

9)

¿Qué criterios deben aplicarse para verificar si la Administración tributaria, actuando como responsable del tratamiento, garantiza la conformidad del tratamiento de datos con los requisitos establecidos en el artículo 5, apartado 1, del [RGPD] (responsabilidad proactiva)?»

26.

Han presentado observaciones escritas los Gobiernos belga, griego, español y letón y la Comisión Europea. La demandante, los Gobiernos belga, español y letón y la Comisión respondieron a las preguntas escritas formuladas por el Tribunal de Justicia, con arreglo al artículo 61, apartado 1, del Reglamento de Procedimiento del Tribunal de Justicia.

IV. Análisis

27.

Las presentes conclusiones se estructuran de la siguiente manera. Comenzaré examinando si el RGPD es aplicable a una solicitud remitida por una autoridad pública al responsable del tratamiento de una serie de datos personales. A la vista de las cuestiones prejudiciales planteadas por el tribunal remitente, es necesario, para empezar, aclarar dos puntos: quién es quién exactamente en el procedimiento principal y qué normas específicas establece el RGPD en tales casos (A). A continuación, me centraré en el marco jurídico (un tanto básico) que se deriva del RGPD en relación con las solicitudes de transferencia de datos que las autoridades públicas dirigen a las empresas privadas (B). Por último, concluiré con varias observaciones sobre la que es en realidad, al menos en mi opinión, la cuestión peliaguda que se suscita en el presente asunto, aunque no haya sido planteada expresamente por el órgano jurisdiccional remitente (C).

A.   Aplicabilidad del RGPD

28.

El órgano jurisdiccional remitente plantea nueve cuestiones prejudiciales, cada una de ellas referida, de un modo u otro, a la conformidad a Derecho de una o varias solicitudes específicas de transferencia de determinados datos personales formuladas por una autoridad tributaria a una o varias empresas privadas a efectos de la recaudación de impuestos y de la detección de fraude fiscal. Los datos personales a que se refiere el presente asunto los obtuvo la empresa privada de los interesados en el desempeño de su actividad empresarial habitual.

29.

No obstante, de las nueve cuestiones prejudiciales planteadas no resulta de manera evidente qué obligaciones incumben a cada cual y sobre la base de qué disposición del RGPD. Esta ambigüedad es indicativa, como mínimo en dos aspectos, de la gran incertidumbre existente en cuanto a la contextualización del presente asunto.

30.

En primer lugar, ¿quién es quién en el presente asunto dentro de las categorías establecidas por el RGPD? El caso que nos ocupa se refiere a la transferencia por parte de la empresa privada a la autoridad pública de determinados datos procedentes de un conjunto de datos más amplio recabados y tratados por la empresa privada. Esta es la operación específica de tratamiento en el sentido del artículo 4, punto 2, del RGPD que constituye el fundamento de las cuestiones prejudiciales planteadas al Tribunal de Justicia.

31.

Sin embargo, también resulta que el órgano jurisdiccional remitente considera que, en lo que respecta a dicha transferencia de datos, la responsable es ya la Administración tributaria (la demandada). ( 9 ) Esta premisa, que subyace al conjunto de la resolución de remisión, se articula expresamente en las cuestiones prejudiciales 6 y 9. Ello exige una aclaración previa: ¿quién debe cumplir exactamente el RGPD en el presente asunto? ¿Quién es el responsable de ese tratamiento específico? (2).

32.

En segundo lugar, debido a esa incertidumbre se suscita otra cuestión importante: ¿cuáles son las disposiciones específicas del RGPD que se aplican a solicitudes de transferencias de datos, y cuál de ellas se refiere, en particular, al tipo y a la cantidad de datos que una autoridad pública puede solicitar a una empresa privada? Es bastante revelador que tres de las cuestiones prejudiciales planteadas por el órgano jurisdiccional remitente mencionen únicamente el artículo 5, apartado 1, del RGPD, precepto este que es una disposición transversal que enuncia los principios relativos al tratamiento de datos personales por cualquier responsable del tratamiento. En cambio, las demás cuestiones prejudiciales se refieren simplemente a los «requisitos establecidos en el RGPD», sin precisar qué disposiciones específicas contienen, en principio, esos requisitos.

33.

Por lo tanto, se impone otra aclaración previa a la luz de la/s disposición/es aplicable/s del RGPD, en particular en lo que atañe a la relación entre la empresa demandante y la Administración tributaria demandada. ¿Cómo regula el RGPD específicamente tales solicitudes de transferencia de datos y los derechos y obligaciones recíprocos entre una empresa privada y una autoridad pública? (3).

34.

Dicho esto, antes de abordar estas dos cuestiones, recordaré las razones por las que, en mi opinión, la apreciación de la aplicación y el cumplimiento del RGPD no puede hacerse de forma abstracta, interpretando definiciones que no se refieren a una operación específica de tratamiento que debería tomarse como punto de partida. Una vez que esto se ha explicado y solo entonces es posible analizar correctamente los agentes y sus respectivas obligaciones (1).

1. Definiciones abstractas y el omnímodo RGPD

35.

En el presente asunto, todas las partes interesadas, incluido el Gobierno letón, coinciden en que, si el punto de partida del análisis se basa en las definiciones legislativas de los conceptos de «datos personales» y «tratamiento» establecidas en el artículo 4 del RGPD, entonces, este instrumento es ciertamente aplicable en el procedimiento principal.

36.

En primer lugar, los datos a los que se refiere la solicitud de información son datos personales a efectos del artículo 4, punto 1, del RGPD. La información solicitada, como el número de teléfono de los interesados o el número de bastidor del coche, constituye «información sobre una persona [física] identificada o identificable». En efecto, esta información permite identificar a los vendedores de vehículos y, por consiguiente, a los contribuyentes potenciales.

37.

En segundo lugar, según reiterada jurisprudencia, la entrega de datos ( 10 ) o la comunicación de datos personales por transmisión, como la conservación o cualquier otra forma de habilitación de acceso a los datos, constituyen un tratamiento. ( 11 ) Al fin y al cabo, el concepto de «comunicación por transmisión» figura en la lista descriptiva de las operaciones de tratamiento con arreglo al artículo 4, punto 2, del RGPD.

38.

En tercer lugar, es evidente que ese tratamiento de datos personales se realiza por procedimientos automatizados en el sentido del artículo 2, apartado 1, del RGPD.

39.

Además, ninguna de las excepciones —que, en cualquier caso, deben interpretarse restrictivamente— ( 12 ) es aplicable en el presente asunto. A la luz de la sentencia dictada en el asunto Österreischischer Rundfunk y otros ( 13 ) y siguiendo la reciente sentencia recaída en el asunto B (Sanciones por puntos), ( 14 ) no cabe sostener que el tratamiento de datos personales a que se refiere el litigio principal tuviera lugar «en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión», en el sentido del artículo 2, apartado 2, letra a), del RGPD.

40.

Del mismo modo, tampoco se activa la excepción establecida en el artículo 2, apartado 2, letra d), del RGPD. Las «autoridades competentes» en virtud de dicho precepto son organismos tales como la policía o los órganos del Ministerio Fiscal del Estado. ( 15 ) No incluyen a las autoridades tributarias que actúan con fines recaudatorios ni, menos aún, a los proveedores de servicios de publicación de anuncios en Internet. Además, aunque un tratamiento de datos por parte de las autoridades tributarias competentes podría dar lugar, en determinados casos, a la detección de un fraude fiscal tipificado como delito penal, en esta fase no es sino una posibilidad hipotética. ( 16 )

41.

Así pues, si se examina de este modo, se ha de concluir que, efectivamente, el RGPD se aplica en el presente asunto: existen datos personales que son objeto de un tratamiento automatizado. No obstante, como ya se ha apuntado en la introducción de las presentes conclusiones, según este enfoque, basado en los conceptos pertinentes a que se refiere el artículo 4 del RGPD, tales como «tratamiento», ( 17 )«datos personales» ( 18 ) o «responsable del tratamiento», ( 19 ) interpretados de manera extensiva y al margen de cualquier operación específica de tratamiento, toda comunicación de cualquier información estaría regulada por el RGPD.

42.

Al objeto de interpretar correctamente las obligaciones de todos los agentes implicados, el punto de partida de un análisis en el marco del RGPD debe ser la identificación clara de una operación específica de tratamiento. Solo en un segundo momento puede realizarse válidamente la evaluación de las obligaciones que se derivan del RGPD en relación con esa operación específica para los auténticos agentes implicados en el tratamiento en cuestión. ( 20 ) Lo que es objeto de regulación es la operación específica de tratamiento, el trabajo relativo a los datos y con esos datos. La lógica y la finalidad reguladoras del RGPD se basan en los resultados y están orientadas al tratamiento de datos y, por tanto, son necesariamente dinámicas.

2. ¿Quién es quién en el presente asunto?

43.

¿Cuál es la operación específica de tratamiento en el presente asunto? El cumplimiento de solicitudes de información como las que se plantean en el procedimiento principal requiere evidentemente un tratamiento de datos personales al que, en principio, será aplicable el RGPD. En el caso que nos ocupa, existen dos entidades distintas que realizan un tratamiento de datos en un momento dado. En sus cuestiones prejudiciales, el órgano jurisdiccional remitente se centra en el tratamiento realizado por la demandada, a saber, la Administración tributaria nacional. Ahora bien, según se desprende de los hechos del caso que nos ocupa, la demandante, a saber, la empresa privada, realizó en primer lugar ese tratamiento de datos.

44.

En la sentencia dictada en el asunto Fashion ID, ( 21 ) el Tribunal de Justicia examinó las operaciones específicas en cuestión en el marco del tratamiento de datos con el fin de identificar al responsable o los responsables del tratamiento pertinentes. El Tribunal de Justicia declaró que el concepto de «responsable» no se refiere necesariamente a un único organismo y puede aludir a varios agentes que participen en ese tratamiento, cada uno de los cuales está sujeto a las disposiciones aplicables en materia de protección de datos. ( 22 ) Sin embargo, una persona física o jurídica no puede ser considerada responsable de las operaciones anteriores o posteriores de la cadena de tratamiento respecto de las que no determine los fines ni los medios. ( 23 )

45.

En el presente asunto, es probable que la demandada sea la responsable del tratamiento una vez que haya recibido de la demandante los datos solicitados e inicie su tratamiento en el sentido del artículo 4, punto 2, del RGPD. ( 24 ) En esa fase, la demandada no solo dará comienzo al tratamiento de los datos, sino que probablemente también determinará los fines y medios de su propio tratamiento a efectos del artículo 4, punto 7, del RGPD. Cuando la propia demandada inicie cualesquiera operaciones ulteriores de tratamiento de datos será el momento en que deberá cumplir —siempre que el Estado miembro no haya establecido limitaciones a este respecto en virtud del artículo 23 del RGPD— los principios relativos a la calidad de los datos enunciados en el artículo 5 del RGPD, y motivar su operación u operaciones de tratamiento sobre la base de alguno de los supuestos contemplados en el artículo 6, apartado 1, del RGPD. ( 25 )

46.

No obstante, de la resolución de remisión se desprende que el presente procedimiento aún no ha llegado a esa fase. La Administración tributaria no dispone de los datos solicitados. Por consiguiente, no pudo iniciar ninguna operación de tratamiento de aquellos. Por otro lado, el Tribunal de Justicia no ha recibido información alguna sobre lo que la demandante pretende hacer con los datos o el tipo de tratamiento que llevaría a cabo.

47.

Todo lo que ha sucedido hasta ahora es que la Administración tributaria ha solicitado a una empresa privada que le proporcione una serie de datos determinada. Ello, en sí mismo, no implica el tratamiento de ningún dato personal, menos aún de los datos que todavía deben obtenerse. En tal supuesto fáctico, la demandante, esto es, la empresa privada, sigue siendo la responsable de los datos en la medida en que los obtuvo en primer lugar en el ejercicio de su propia actividad, es decir, con los fines y medios por ella misma determinados. Al tratar los datos que obran en su poder con vistas a comunicarlos a la demandada con arreglo a las condiciones que se le impusieron, la demandante sigue siendo responsable también de dicho tratamiento. Es la demandante quien realiza ese tratamiento ulterior. ( 26 )

48.

En ese contexto, y de conformidad con el artículo 6, apartado 1, letra c), del RGPD, la demandante garantiza el cumplimiento de una obligación legal que le es aplicable como responsable del tratamiento, en concreto, la obligación establecida en el artículo 15, apartado 6, de la Ley de Impuestos y Tributos. En su condición de responsable del tratamiento, la demandante también debe respetar el RGPD al llevar a cabo el tratamiento de datos personales y la comunicación de esos datos a la demandada. No obstante, el órgano jurisdiccional remitente no interroga al Tribunal de Justicia sobre el alcance del tratamiento de datos exigido a la demandante para dar respuesta a la solicitud de que se trata. De hecho, no ha formulado cuestión prejudicial alguna referente a las posibles obligaciones aplicables a la demandante sobre la base del RGPD durante dicho tratamiento.

49.

Al señalar a la demandada como supuestamente titular de las obligaciones derivadas del RGPD, el órgano jurisdiccional remitente alberga dudas en cuanto a la base (jurídica) del tratamiento en el sentido del artículo 6, apartado 3, del RGPD, esto es, en cuanto al artículo 15, apartado 6, de la Ley de Impuestos y Tributos, ulteriormente aplicado por mor de las solicitudes de información formuladas por la demandada.

50.

En resumen, el problema clave que subyace a las nueve cuestiones prejudiciales planteadas por el órgano jurisdiccional remitente es el del alcance y las condiciones de las transferencias de datos personales entre dos responsables sucesivos. ( 27 ) ¿Cuáles son, en su caso, las disposiciones del RGPD que regulan las relaciones entre responsables sucesivos? ¿Establece el RGPD límites (materiales o temporales) al alcance y al tipo de transferencias de datos personales entre dos responsables del tratamiento, en el presente asunto una empresa privada y una autoridad pública? Todas estas cuestiones se refieren realmente a la base jurídica para la obtención de datos personales y no tanto a la operación de tratamiento.

3. Obligaciones específicas derivadas del RGPD

51.

El RGPD se refiere principalmente a la protección de los datos personales de los interesados y a la relación entre estas personas y cualquier entidad que trate sus datos. A tal efecto, el RGPD establece los derechos de los interesados y las obligaciones de los responsables correspondientes en el contexto del tratamiento de datos personales.

52.

Esta lógica reguladora se centra en los datos y en las entidades que acceden a ellos y trabajan con ellos. En el RGPD existen muy pocas disposiciones que regulen directa y expresamente la relación entre las entidades que realizan los tratamientos de datos. ( 28 ) Ciertamente, el RGPD se ocupa de esas relaciones de forma indirecta. Obliga a toda entidad que obtenga posteriormente los datos a proteger esos datos y los derechos de los interesados. De este modo, el RGPD establece efectivamente determinados requisitos para la comunicación y las transferencias de datos. Sin embargo, esto no significa en absoluto que el RGPD regule directamente las relaciones entre las referidas entidades.

53.

En cierto modo, si los datos se consideran bienes, la lógica reguladora del RGPD es análoga a un régimen de Derecho público específico para determinados tipos de bienes (preciosos, artísticos, históricos). Ese régimen impone ciertas limitaciones respecto a dichos bienes: su modo de producción, su modo de uso, y las condiciones en que puede llevarse a cabo su modificación, almacenamiento, reventa o destrucción. Un régimen específico de este tipo protege los bienes y, con ello, genera indirectamente obligaciones vinculantes para todo propietario o poseedor sucesivo de los bienes. Sin embargo, ese régimen específico, como tal, sigue estando asociado a los bienes. No regula los acuerdos privados que podrían servir de marco para la venta de tales bienes entre dos particulares ni las condiciones en las que podría o debería hacerse la transmisión de esos mismos bienes de una entidad privada a una pública. No es lo mismo regular los bienes que regular la titularidad jurídica subyacente de esos bienes y su comercialización.

54.

Solo aclarando esa lógica normativa del RGPD y poniendo el foco en la operación específica de tratamiento como punto de partida de las eventuales obligaciones derivadas de ese instrumento puede interpretarse el RGPD de forma razonable. De lo contrario, el RGPD siempre será aplicable, mientras que, sin importar cuán creativa sea su interpretación, no existirá disposición alguna que regule la cuestión específica planteada. De ello deriva como consecuencia insoslayable que el RGPD no se opone a determinadas normativas o prácticas nacionales. Sin embargo, esa «falta de oposición» no resulta necesariamente de la legalidad generalizada de los regímenes nacionales, sino que se debe simplemente a que tal cuestión no está regulada por el RGPD, aunque se refiera, de un modo u otro, a los datos personales.

55.

La jurisprudencia del Tribunal de Justicia está familiarizada con esos «falsos positivos» en lo que respecta a las diversas obligaciones de comunicar datos establecidas por las normativas nacionales por distintos motivos. Una vez más, la mayor parte de estos asuntos no se refieren a una operación de tratamiento en curso como tal, sino a la cuestión previa de la base jurídica de tal operación venidera. Abarcan desde la incoación de procedimientos civiles para velar por la observancia de los derechos de autor, ( 29 ) pasando por la gestión adecuada de fondos públicos, ( 30 ) hasta la salvaguarda de la seguridad nacional. ( 31 ) En esta misma línea, cabe asimismo mencionar los asuntos Rigas satiksme, ( 32 ) Promusicae, ( 33 ) Bonnier, ( 34 ) o J & S Service. ( 35 )

56.

Ciertamente, en todas estas situaciones, el RGPD era aplicable por lo que respecta a los derechos de los interesados frente al responsable o los responsables del tratamiento en el marco de operaciones específicas de tratamiento que acababan de realizarse o estaban a punto de hacerlo. Sin embargo, y una vez más, la lógica reguladora y el ámbito concreto de aplicación del RGPD deben seguir el flujo de datos personales y garantizar la protección de estos datos en el marco de las operaciones de tratamiento. El Reglamento no está destinado a regular todas y cada una de las relaciones anteriores entre distintas entidades que puedan estar en posesión de los datos, incluidas las causas que pueden llevarlas a estar en posesión de esos datos y el modo en que podrían hacerlo. En otras palabras, el RGPD no garantiza ningún «derecho» de un responsable de tratamiento frente a otro.

57.

Esto no quiere decir que estas cuestiones no estén reguladas por la ley. Lo están, pero mediante otros instrumentos que se ocupan principalmente de velar por la aplicación de la ley. En estos instrumentos en los que se halla la base jurídica del tratamiento exigida por el artículo 6, apartado 3, del RGPD como condición inicial. Por lo que respecta a las transferencias obligatorias de datos personales, estas suelen estar en efecto previstas, como es lógico, en los «instrumentos destinados a garantizar la aplicación de la ley», ya sea en virtud del Derecho de la Unión ( 36 ) o del Derecho nacional. En lo que atañe a las transferencias voluntarias de datos personales, en la medida en que sea posible y lo permita el régimen de Derecho público que es el RGPD, encuentran su fundamento en el Derecho mercantil o el Derecho contractual nacional, según el tipo de entendimiento existente entre los sucesivos responsables.

58.

Teniendo en cuenta estas aclaraciones, considero que el presente asunto no versa (aún) sobre ninguna operación de tratamiento. Versa sobre la base jurídica de ese tratamiento, cuestión esta a la que el RGPD solo alude pero que no regula directamente. No obstante, dicho esto, y en el intento de brindar la máxima asistencia al órgano jurisdiccional remitente, en la sección siguiente de las presentes conclusiones se esboza el esquema básico resultante del RGPD y que será aplicable a la operación de tratamiento una vez realizada por el responsable del tratamiento, la empresa privada (B). El RGPD tiene por objeto proteger al interesado, no a una empresa privada contra una injerencia pública en su libertad de empresa o en su derecho de propiedad en forma de explotación de datos. Con esto no trato de insinuar que tal cuestión no pueda suscitar una preocupación perfectamente lícita, sino que difícilmente puede regularla el RGPD (C).

B.   (Base jurídica de las) transferencias de datos personales a autoridades públicas

59.

A continuación, se expone un análisis general sobre las disposiciones que sirven de base jurídica del tratamiento de datos que debe efectuar la demandante al ejecutar la solicitud de información formulada por la demandada. A este respecto, es probable que la disposición pertinente sea el artículo 6 del RGPD y, en particular, sus apartados 1 y 3, interpretados a la luz del considerando 45 de este mismo Reglamento.

60.

Con carácter preliminar, procede señalar que no se ha facilitado al Tribunal de Justicia precisión alguna sobre eventuales normas nacionales adicionales aplicables en materia de protección de datos en circunstancias como las del litigio principal. Por otro lado, el Tribunal de Justicia tampoco ha recibido información sobre la cuestión de si, más allá del artículo 15, apartado 6, de la Ley de Impuestos y Tributos, existen otros actos nacionales de alcance general (por ejemplo, un decreto o unas directrices de aplicación) que regulen con mayor detalle la obligación en cuestión que incumbe a los proveedores de servicios (de publicación de anuncios en Internet) de comunicar determinados datos a las autoridades tributarias. También existe muy poca información disponible sobre el marco legislativo nacional de aplicación del RGPD en general.

61.

Además, no se ha dejado claro si el artículo 23, apartado 1, letra e), del RGPD ha sido incorporado de algún modo al Derecho nacional. La cuestión de si esta disposición del Derecho de la Unión ha sido o no transpuesta no determina la conformidad a Derecho de la solicitud de comunicación de información. Sin embargo, se trata de una cuestión pertinente para determinar, por un lado, el alcance y la naturaleza de las obligaciones que un responsable ulterior del tratamiento (una autoridad pública) puede tener frente a los interesados y, por otro, las obligaciones del responsable inicial del tratamiento y la información que este debe proporcionar a los interesados.

62.

En consecuencia, el análisis que sigue no puede ser sino de carácter general. Abordaré los principios que se derivan del artículo 6 del RGPD en lo que respecta al futuro tratamiento que debe realizar una empresa privada para dar respuesta a una solicitud de datos formulada por una autoridad pública, en primer lugar en lo que respecta a la finalidad de dichas transferencias de datos (1) y a su alcance y duración. (2) A continuación, me centraré en la base jurídica de tales transferencias, puesto que los requisitos relativos a esa base jurídica quedan más claros una vez que se han abordado las subcuestiones anteriores (3).

1. Finalidad

63.

Con carácter general, la finalidad general para la que la Administración tributaria solicita la comunicación de los datos personales en el asunto principal es, sin duda, legítima. Ciertamente, garantizar la correcta recaudación de impuestos y detectar posibles infracciones de la obligación de pagarlos puede estar comprendido entre los objetivos y finalidades legítimos del tratamiento de datos en virtud del artículo 6, apartados 1 y 3, del RGPD. ( 37 )

64.

La clave de las cuestiones planteadas en el presente asunto es el nivel de abstracción con el que debe determinarse dicha finalidad. A este respecto, existe cierta confusión entre dos tipos de finalidades específicas: (i) la búsqueda de determinados tipos de información (con el fin de detectar infracciones de la ley), frente a (ii) la comprobación de que se han producido ciertas infracciones (y la petición de comunicación de datos precisos para confirmar esa suposición).

65.

La naturaleza (y, en consecuencia, el alcance) de los dos tipos de transferencias de datos es necesariamente diferente. La lógica de la búsqueda y detección es ex ante, generalizada y en gran medida indeterminada en lo que respecta a los interesados específicos. Si el objetivo es detectar posibles infracciones, la red que ha de desplegarse, metafóricamente hablando, debe ser bastante amplia. En cambio, la lógica de la comprobación de posibles infracciones a través de la comunicación de los datos pertinentes puede ser más precisa y focalizada. En este último escenario, la lógica es mucho más ex post, centrada en la comprobación de determinadas sospechas que habitualmente se refieren a un interesado al que ya es posible identificar.

66.

En mi opinión, el artículo 6 del RGPD acepta ambos escenarios. Dicho esto, el artículo 6, apartado 3, del RGPD exige una base jurídica clara para la realización de cualquiera de estas transferencias.

67.

No obstante, comprendo las dudas del órgano jurisdiccional remitente en el contexto del presente asunto, teniendo en cuenta el tenor del artículo 15, apartado 6, de la Ley de Impuestos y Tributos. En la formulación que, según consta, estaba vigente en la fecha en que el órgano jurisdiccional remitente presentó su petición de decisión prejudicial, dicho precepto establecía que los proveedores de servicios de publicación de anuncios en Internet podrían estar obligados, a petición de la Administración tributaria nacional, a proporcionar información sobre los sujetos pasivos (correspondientes).

68.

Por consiguiente, resulta que, en el presente asunto, la finalidad de la comunicación, indicada en la base jurídica pertinente, se circunscribe al segundo de los escenarios antes mencionados: comprobar determinada información relativa a determinados sujetos pasivos. Sin embargo, la Administración tributaria nacional parece haber utilizado esa base jurídica para lo que parece ser una solicitud de transferencias (ilimitadas) de datos, incluso una auténtica recolección de datos, con el fin de llevar a cabo un ejercicio de búsqueda y detección general, comprendido en el primero de los referidos escenarios. Aquí es donde se halla la discordancia lógica que parece existir en el núcleo del presente asunto a nivel nacional, la cual conduce a una confusión tanto sobre la proporcionalidad de tal medida (2) como sobre su base jurídica adecuada (3).

2. Alcance y duración

69.

La proporcionalidad, así como la «minimización» a este respecto, es el examen de la relación entre los fines (declarados) y los medios (escogidos). El problema en el presente asunto es que es probable que la apreciación de la proporcionalidad difiera en función de la finalidad que se escoja de entre ambos escenarios (ideales) ( 38 ) que acaban de esbozarse.

70.

En el contexto de un objetivo de «búsqueda y detección», las autoridades públicas desplegarán una red tan amplia como sea posible como para permitirles asegurarse de dar con la información pertinente. Ello puede implicar el tratamiento de una cantidad de datos considerable. En efecto, la necesidad de obtener y tratar conjuntos de datos más amplios es inherente a este tipo de búsqueda de información general e indeterminada. En ese escenario, la proporcionalidad y la minimización del tratamiento de datos solo pueden referirse realmente al tipo de datos solicitados cuando sea posible hallar la información necesaria. ( 39 )

71.

En el contexto del objetivo de «comprobación», cuando las autoridades públicas necesitan obtener pruebas relativas al contenido de una operación determinada o a un conjunto de operaciones, la apreciación de la proporcionalidad puede ser, como es natural, más exigente. En tal caso la Administración tributaria solo podrá solicitar que se le comuniquen operaciones específicas, realizadas dentro de un período determinado, para efectuar comprobaciones ex post, generalmente respecto a uno o varios sujetos pasivos determinados. Por consiguiente, es probable que las solicitudes de información se adapten a los datos específicos que contiene ese tipo de información.

72.

La lógica del considerando 31 del RGPD, en la medida en que alcanzo a captarla, parece referirse únicamente a este último escenario. La segunda frase del citado considerando, invocada y ampliamente debatida por las partes interesadas, en particular la Comisión, expone que las solicitudes de comunicación de las autoridades públicas siempre deben presentarse por escrito, de forma motivada y con carácter ocasional, y no deben referirse a la totalidad de un fichero ni dar lugar a la interconexión de varios ficheros.

73.

Sin embargo, en mi opinión, no es posible extraer (parte de) un considerando de un Reglamento de su contexto, tratarlo como una disposición autónoma y vinculante, sin que siquiera se aluda a él en otra parte del texto jurídicamente vinculante de dicho instrumento, ( 40 ) y sobre esa base afirmar que las transferencias de datos personales a autoridades públicas solo pueden tener lugar en esas circunstancias. Sencillamente, no puedo compartir la sugerencia de que una parte del considerando 31, considerada aisladamente, prohíbe todas las transferencias de datos a gran escala a las autoridades públicas, incluso las que disponen de una base jurídica adecuada (en Derecho nacional o en el Derecho de la Unión) y son conformes con todas las disposiciones vinculantes del RGPD.

74.

En el contexto del presente asunto, el Gobierno letón ha sostenido que la cantidad de información solicitada puede considerarse razonable en la medida en que la solicitud de comunicación solo incluye anuncios publicados en la sección «Turismos», que es una de las 112 secciones del portal en cuestión gestionado por la demandante. Los Gobiernos belga y español han añadido que, en su opinión, el problema no es la cantidad de datos, sino el tipo de datos solicitados.

75.

Comparto estas observaciones.

76.

La proporcionalidad de la búsqueda y la detección ex ante implica un «control de calidad» en lo que respecta al tipo de datos solicitados. El «control cuantitativo» solo puede aplicarse plenamente a la comprobación ex post de determinados hechos. De lo contrario, en la práctica, la mayoría de los procedimientos de control o de vigilancia de los datos quedarían excluidos.

77.

Siempre que exista una base jurídica adecuada en el Derecho de la Unión o en el Derecho nacional, una autoridad tributaria nacional puede, en principio, solicitar todos los datos necesarios para el tipo de examen que deba llevar a cabo, sin ninguna limitación temporal. El único límite derivado del RGPD es la proporcionalidad por lo que respecta al tipo de datos solicitados. Como señala acertadamente el Gobierno griego, las solicitudes de información deben limitarse al tipo de datos relativos a la actividad económica de los contribuyentes, no a su vida privada.

78.

Por poner un ejemplo, si la finalidad que se ha indicado es detectar ingresos no declarados de la venta de coches de ocasión, la Administración tributaria no tiene derecho a solicitar también información sobre si el vendedor del vehículo es o no pelirrojo, si sigue un régimen alimenticio particular o si es propietario de una piscina. Por consiguiente, el tipo de información solicitada debe referirse claramente a la búsqueda y la investigación notificadas.

79.

Fuera de este supuesto, corresponde al órgano jurisdiccional nacional, a la luz de las circunstancias fácticas y jurídicas de cada asunto concreto, apreciar la proporcionalidad en cualquiera de los dos escenarios antes indicados. ( 41 ) En pocas palabras, en el presente asunto, la cuestión que ha de dilucidarse es si el tipo de datos solicitados es adecuado para permitir a la parte demandada obtener la información necesaria para la consecución del objetivo que ha declarado.

3. Base jurídica (para el tratamiento futuro)

80.

Por último, solo ahora puede apreciarse de manera útil la cuestión clave de la base jurídica a la luz de las precisiones que acaban de hacerse. Naturalmente, los dos escenarios expuestos en las subsecciones anteriores de las presentes conclusiones («búsqueda y detección» y «comprobación») exigen, en virtud del artículo 6, apartado 3, del RGPD, la existencia de una base jurídica para que pueda tener lugar el tratamiento por parte de la demandante. Dicha disposición permite expresamente adaptar específicamente la aplicación de las normas generales del RGPD, ya sea mediante el Derecho de la Unión o el Derecho de los Estados miembros.

81.

No obstante, en cualquier caso, la base jurídica establecida debe abarcar lógicamente la finalidad específica y el tipo de tratamiento llevado a cabo con esa finalidad. El modo concreto de hacerlo consistirá en que los Estados miembros o la Unión adopten disposiciones específicas en virtud del artículo 6, apartado 3, del RGPD. En general, cuanto más generalizadas, amplias y permanentes sean las transferencias de datos, más rigurosa, exhaustiva y expresa debe ser la base legislativa, por cuanto tales transferencias constituyen una mayor injerencia en la protección de datos. En cambio, cuanto más concisas y limitadas sean las solicitudes de comunicación —generalmente solo respecto a uno o varios interesados, o incluso respecto a una cantidad limitada de datos—, más probable es que esas solicitudes puedan ejecutarse como solicitudes administrativas individuales, ya que la cláusula legislativa de habilitación sigue siendo bastante amplia y genérica.

82.

Dicho de otro modo, los dos estratos normativos, a saber, el legislativo y el administrativo, que constituyen la base jurídica en última instancia del tratamiento de datos, operan conjuntamente. Al menos uno de ellos debe ser suficientemente específico y adaptado a determinado tipo o a determinada cantidad de datos personales solicitados. Cuantos más aspectos se contemplen en el estrato legislativo y estructural, menor precisión requerirá la solicitud administrativa individual. El estrato legislativo podría incluso ser tan detallado y exhaustivo como para ser completamente autónomo y de ejecución inmediata. En cambio, cuanto más genérica y vaga sea la regulación en el ámbito legislativo, más exhaustiva deberá ser la solicitud en el ámbito administrativo individual, que deberá incluir una declaración precisa de la finalidad que, por ende, delimitará su alcance.

83.

Este punto permite responder indirectamente a la problemática planteada por el órgano jurisdiccional remitente bajo el epígrafe de la proporcionalidad, que, de hecho, sería mejor abordar en esta sección para determinar si las autoridades tributarias pueden formular solicitudes de datos sin limitación temporal. En mi opinión, en virtud del RGPD, pueden hacerlo. Sin embargo, más pertinente sería la cuestión de si disponen de una base jurídica adecuada en Derecho nacional para lo que es, en esencia, una transferencia de datos continua y permanente. Siempre que el Derecho nacional prevea una base jurídica, así como una duración, para tales transferencias, el artículo 6, apartado 3, del RGPD no se opone a ellas. De nuevo, poco influye el considerando 31 del RGPD a este respecto. ( 42 ) En mi opinión, tiene poco sentido práctico interpretar este considerando en el sentido de que obliga efectivamente a las autoridades administrativas a formular solicitudes individuales idénticas (ya sea con carácter diario, mensual o anual) con el fin de obtener lo que ya habrían podido obtener con arreglo a la legislación nacional.

84.

En el caso que nos ocupa, resulta que la base jurídica del tratamiento está constituida tanto por el artículo 15, apartado 6, de la Ley de Impuestos y Tributos como por las solicitudes específicas de comunicación de datos formuladas por la Administración tributaria. Así pues, resulta que existe una doble base jurídica con una cláusula general de habilitación legislativa y la correspondiente aplicación administrativa específica y concreta de dicha disposición.

85.

En conjunto, esa doble base jurídica se revela suficiente para justificar el tratamiento de datos personales por la demandante con el fin de transferirlos a una autoridad pública en virtud del artículo 6, apartados 1, letra c), y 3, del RGPD. Si bien la legislación nacional que faculta a las autoridades tributarias a solicitar información sigue siendo bastante general, resulta que las solicitudes de datos específicas se refieren en su mayoría a un determinado tipo de datos pese a su posible carácter profuso.

86.

No obstante, corresponde en última instancia al órgano jurisdiccional remitente comprobar, con pleno conocimiento del Derecho nacional, incluida cualquier otra norma nacional de aplicación no mencionada en el presente procedimiento, si el tratamiento solicitado a la demandante en el litigio principal cumple o no los requisitos establecidos en esta sección de las presentes conclusiones.

87.

La cuestión fundamental de esta apreciación, que requiere especial atención, es si el artículo 15, apartado 6, de la Ley de Impuestos y Tributos, junto con las solicitudes de información específicas, cumplen la exigencia de previsibilidad ( 43 ) al examinar la base jurídica. La legislación que permite las transferencias de datos debe establecer normas claras y precisas que regulen el ámbito y aplicación de la medida de que se trate e imponer unas exigencias mínimas, de modo que las personas cuyos datos personales se vean afectados dispongan de garantías suficientes que permitan proteger de manera eficaz sus datos contra los riesgos de abuso. ( 44 )

88.

Por consiguiente, la base jurídica considerada en su conjunto (los estratos legislativo y administrativo combinados) debe formularse con la suficiente precisión respecto a todos los interesados: las autoridades públicas en cuanto a lo que pueden pedir, las empresas en cuanto a lo que pueden proporcionar y, especialmente, los interesados, de manera que sepan quién puede tener acceso a sus datos y con qué fines. Cabe recordar que la información sobre el tratamiento de datos constituye en efecto un requisito esencial en virtud del RGPD. Los interesados deben tener conocimiento de la existencia de dicho tratamiento y esa información es una condición necesaria para el ejercicio de otros derechos de acceso, supresión o rectificación. ( 45 )

89.

A menos que el artículo 23 del RGPD haya sido transpuesto de algún modo en Derecho nacional con el fin de limitar los derechos de los interesados en virtud del capítulo III del RGPD, se desprende de los artículos 13 y 14 del RGPD que el responsable del tratamiento debe proporcionar información al interesado. En el contexto de transferencias de datos sucesivas, podría ser difícil determinar a quién incumbe el deber de información. ( 46 ) Además, en la práctica, a falta de limitaciones adoptadas en virtud del artículo 23, apartado 1, del RGPD, que, en Derecho interno, deben cumplir el requisito establecido en el apartado 2 de este mismo artículo, una autoridad pública que haya obtenido los datos podría estar obligada a facilitar la información pertinente en virtud del artículo 14 del RGPD a todos los interesados. Si no existe una base jurídica clara y previsible que finalmente permita la realización de tales transferencias de datos, difícilmente cabe esperar que el responsable del tratamiento que ha recabado los datos haya informado ya en consecuencia al interesado en virtud del artículo 13 del RGPD.

90.

Concluyo, por tanto, que, en mi opinión, el artículo 6, apartados 1, letra c), y 3, del RGPD no se oponen a que una normativa nacional establezca, sin limitación temporal, la obligación de los proveedores de servicios de publicación de anuncios en Internet de comunicar determinados datos personales a una administración tributaria, siempre que exista en Derecho nacional una base jurídica clara para este tipo de transferencias de datos y los datos solicitados sean adecuados y necesarios para el cumplimiento por la Administración tributaria de las misiones oficiales que tiene encomendadas.

C.   Coda: sobre la cuestión que no se ha planteado en el presente asunto

91.

No me corresponde especular sobre las verdaderas intenciones de las partes ante el órgano jurisdiccional nacional. Por consiguiente, permaneceré fiel a mi confianza en la existencia de los buenos samaritanos, que salen desinteresadamente en defensa de los demás. ¿Por qué no iba una empresa privada simplemente a defender los derechos de los interesados de quienes ha obtenido los datos personales?

92.

Aunque uno no puede sino alegrarse de que las empresas comerciales se comprometan con la causa de la protección de datos, supongo que algunas otras empresas pueden tener también otras razones por las que deseen oponerse a efectuar las transferencias ordenadas por los poderes públicos de los datos personales que han obtenido. Una de las razones podría estar relacionada con los costes de tal tarea. ¿Debe permitirse a las autoridades públicas que subcontraten efectivamente parte del ejercicio de la función pública, obligando a las empresas privadas a soportar los costes por desarrollar lo que constituye en esencia una misión de la Administración pública? Esta cuestión adquiere relevancia en los casos de transferencias de datos permanentes y a gran escala que supuestamente llevan a cabo empresas privadas por el bien común sin compensación alguna. ( 47 ) Otras razones podrían estar más relacionadas con el aspecto empresarial. Si suponemos por un instante, obviamente desde una perspectiva meramente hipotética, que la gente en general no disfruta pagando impuestos, quizá no sea descabellado suponer también que algunas de esas personas podrían escoger para la publicidad de sus coches de ocasión un medio distinto al de un portal de Internet que posteriormente comunica esa información a las autoridades tributarias.

93.

Hallar un equilibrio entre todos los intereses en juego en tal situación no es nada sencillo. Por una parte, la situación en la que el poder público solicita a empresas privadas unos datos que estas deben preparar y facilitar con arreglo a las exigencias específicas impuestas por aquel, podría acercarse peligrosamente a una subcontratación forzosa del ejercicio de la función pública. Tal podría ser el caso, en particular, de los datos que, por lo demás, son de libre acceso y habrían podido obtener las propias entidades públicas con un pequeño esfuerzo técnico. Por otra parte, como ha señalado pertinentemente el Gobierno belga al subrayar la amplia trascendencia de la situación del litigio principal, podría ser necesaria una respuesta algo más matizada en las situaciones de coexistencia de diversas formas de plataformas de economía compartida o en otros supuestos en los que las autoridades públicas soliciten el acceso a datos esenciales para la finalidad pública legítima declarada, pero que no son de libre acceso, de modo que las autoridades públicas no los pueden obtener por sí mismas. No obstante, incluso en tales circunstancias, queda por resolver la cuestión de una eventual compensación.

94.

Ciertamente, percibo esos problemas de trasfondo en el marco del litigio principal. Sin embargo, la consecución de un equilibrio razonable en tales casos debería tener lugar principalmente a nivel nacional o a nivel de la Unión con la adopción de la normativa pertinente que proporcione la base jurídica para este tipo de transferencias. No debería ser objeto de intervención jurisdiccional, menos aún en una situación en la que el órgano jurisdiccional remitente ni siquiera ha planteado ninguna de estas cuestiones de manera explícita. Por otra parte, existen al menos otras dos razones por las que el presente asunto no es el adecuado para entrar en este tipo de debates.

95.

En primer lugar, al igual que otras tantas cuestiones que giran de algún modo en torno al flujo de datos personales, pero que no están realmente relacionadas con la protección de los derechos de los interesados, se trata de cuestiones que simplemente no están específicamente reguladas por el RGPD. La cuestión de la protección jurídica de los responsables del tratamiento —la protección de las empresas privadas frente a la injerencia potencialmente ilícita o desproporcionada en su libertad de empresa, su eventual derecho de propiedad, ( 48 ) o incluso su eventual derecho a una compensación equitativa por los datos transferidos— no es una cuestión regulada por el RGPD.

96.

En segundo lugar, mientras la base jurídica de tal transferencia de datos no esté prevista por el Derecho de la Unión, ( 49 ) difícilmente puede estar comprendida en el ámbito de aplicación del Derecho de la Unión la cuestión de una eventual compensación por realizar esas transferencias de datos impuestas. Esto no quiere decir, una vez más, que no se puedan plantear estas cuestiones, incluso en materia de protección de los derechos fundamentales (de los responsables del tratamiento afectados). Sin embargo, en tal caso, los órganos jurisdiccionales del Estado miembro de que se trate tendrían que abordar adecuadamente estas cuestiones, para empezar imponiendo la realización de tales transferencias. Por consiguiente, cualquier situación de este tipo tendría que someterse a un órgano jurisdiccional (constitucional) nacional.

V. Conclusión

97.

Propongo al Tribunal de Justicia que responda del siguiente modo a las cuestiones prejudiciales planteadas por la Administratīvā apgabaltiesa (Tribunal Regional de lo Contencioso-Administrativo, Letonia):

«El artículo 6, apartados 1, letra c), y 3, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) no se opone a que una normativa nacional establezca, sin limitación temporal alguna, la obligación de los proveedores de servicios de publicación de anuncios en Internet de comunicar determinados datos personales a la Administración tributaria, siempre que exista en Derecho nacional una base jurídica clara para este tipo de transferencias de datos y los datos solicitados sean adecuados y necesarios para el cumplimiento por la Administración tributaria de las funciones oficiales que tiene encomendadas.»


( 1 ) Lengua original: inglés.

( 2 ) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1).

( 3 ) Para empezar, en lo que respecta a la interpretación de las excepciones de la Directiva 95/46, a través de las sentencias de 20 de mayo de 2003, Österreichischer Rundfunk y otros (C‑465/00, C‑138/01 y C‑139/01, EU:C:2003:294), apartado 41, y de 6 de noviembre de 2003, Lindqvist (C‑101/01, EU:C:2003:596), apartados 3748. Más recientemente, en relación con el RGPD, véase la sentencia de 22 de junio de 2021, B (Sanciones por puntos) (C‑439/19, EU:C:2021:504), apartados 61 a 72.

( 4 ) Véase, por ejemplo, la sentencia de 5 de junio de 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388), apartados 2939. Sin embargo, véase la sentencia de 29 de julio de 2019, Fashion ID (C‑40/17, EU:C:2019:629), apartado 74.

( 5 ) Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31).

( 6 ) Sentencia de 20 de diciembre de 2017, Nowak (C‑434/16, EU:C:2017:994), apartados 18 a 23.

( 7 ) Sentencia de 4 de mayo de 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336), apartados 12 a 17.

( 8 ) Sentencia de 10 de diciembre de 2020, J & S Service (C‑620/19, EU:C:2020:1011), apartados 15 a 29.

( 9 ) Contrariamente a la que parecía ser la posición del órgano jurisdiccional de primera instancia, la Administratīvā rajona tiesa (Tribunal de Primera Instancia de lo Contencioso-Administrativo), que consideró que, en esa fase del tratamiento de los datos, la responsable era la demandante (véase el punto 21 de las presentes conclusiones).

( 10 ) Véanse, por ejemplo, las sentencias de 29 de junio de 2010, Comisión/Bavarian Lager (C‑28/08 P, EU:C:2010:378), apartado 69, y de 19 de abril de 2012, Bonnier Audio y otros (C‑461/10, EU:C:2012:219), apartado 52.

( 11 ) Véanse, por ejemplo, las sentencias de 29 de enero de 2008, Promusicae (C‑275/06, EU:C:2008:54), apartado 45, y de 6 de octubre de 2020, Privacy International (C‑623/17, EU:C:2020:790), apartado 41, en el contexto de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO 2002, L 201, p. 37). Véase asimismo la sentencia de 6 de octubre de 2015, Schrems (C‑362/14, EU:C:2015:650), apartado 45, en el contexto de transferencias de datos a un país tercero.

( 12 ) Véase, por ejemplo, la sentencia de 9 de julio de 2020, Land Hessen (C‑272/19, EU:C:2020:535), apartado 68.

( 13 ) Sentencia de 20 de mayo de 2003, Österreichischer Rundfunk y otros (C‑465/00, C‑138/01 y C‑139/01, EU:C:2003:294), apartados 39 a 47.

( 14 ) Sentencia de 22 de junio de 2021, B (Sanciones por puntos) (C‑439/19, EU:C:2021:504), apartados 61 a 72.

( 15 ) Véase, en este sentido, el artículo 3, punto 7, de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO 2016, L 119, p. 89).

( 16 ) Esta hipotética posibilidad futura no es en absoluto determinante para definir ex ante el alcance normativo de la aplicabilidad de un instrumento del Derecho de la Unión. Véanse asimismo mis conclusiones presentadas en los asuntos acumulados Ministerul Public — Parchetul de pe lângă Înalta Curte de Casaţie şi Justiţie — Direcţia Naţională Anticorupţie y otros (C‑357/19 y C‑547/19, EU:C:2021:170), puntos 109115, en relación con un argumento similar en lo que respecta al ámbito de aplicación del artículo 325 TFUE, apartado 1.

( 17 ) Véanse, por ejemplo, en este sentido, las sentencias de 11 de diciembre de 2014, Ryneš (C‑212/13, EU:C:2014:2428), apartado 30, y de 10 de julio de 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551), apartado 51. En este último asunto, el Tribunal de Justicia declaró que la recogida de datos personales por miembros de una comunidad religiosa en relación con una actividad de predicación puerta a puerta y el tratamiento posterior de esos datos pueden estar comprendidos en el ámbito de aplicación material del RGPD.

( 18 ) Véase, por ejemplo, la sentencia de 20 de diciembre de 2017, Nowak (C‑434/16, EU:C:2017:994), apartado 62, en la que el Tribunal de Justicia declaró que las respuestas por escrito dadas por un aspirante en un examen profesional y las eventuales anotaciones del examinador referentes a esas respuestas son datos personales.

( 19 ) Véanse, por ejemplo, las sentencias de 13 de mayo de 2014, Google Spain y Google (C‑131/12, EU:C:2014:317), apartado 34, y de 5 de junio de 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388), apartados 2844, en la que el Tribunal de Justicia declaró que el concepto de «responsable del tratamiento» abarca al administrador de una página de fans alojada en una red social.

( 20 ) Véase la sentencia de 29 de julio de 2019, Fashion ID (C‑40/17, EU:C:2019:629), apartados 72 y 74.

( 21 ) Sentencia de 29 de julio de 2019, Fashion ID (C‑40/17, EU:C:2019:629).

( 22 ) Ibíd., apartado 67.

( 23 ) Ibíd., apartado 74.

( 24 ) Para un ejemplo reciente del tratamiento de datos por parte de autoridades públicas, véase la sentencia de 9 de julio de 2020, Land Hessen (C‑272/19, EU:C:2020:535), apartados 64 y 65.

( 25 ) Véase, por ejemplo, la sentencia de 16 de enero de 2019, Deutsche Post (C‑496/17, EU:C:2019:26), apartado 57. Véanse asimismo, en este sentido, las sentencias de 1 de octubre de 2015, Bara y otros (C‑201/14, EU:C:2015:638), apartado 30, y de 27 de septiembre de 2017, Puškár (C‑73/16, EU:C:2017:725), apartado 104.

( 26 ) Como establece en particular el artículo 13, apartado 2, del RGPD, aunque en otro contexto, a saber, el de la información que debe proporcionarse.

( 27 ) En aras de la exhaustividad, cabe añadir que otros supuestos previstos en el RGPD, como la corresponsabilidad de la Administración tributaria y la empresa privada en esa fase concreta del tratamiento (artículo 26) o la relación que de algún modo pueda interpretarse existente de facto entre un responsable y un encargado del tratamiento (artículo 28) están excluidos según los hechos expuestos por el órgano jurisdiccional remitente.

( 28 ) Con las dos excepciones destacadas que figuran en los artículos 26 y 28 del RGPD mencionadas en la nota anterior o, por ejemplo, en el artículo 19 del RGPD. No obstante, también con respecto a estas disposiciones, la inclusión normativa de estas categorías podría seguir considerándose como relación propia de la protección de datos, al garantizar en esencia que el responsable del tratamiento no pueda renunciar a su obligación y eludir su responsabilidad, ya sea al compartir los datos o al subcontratar su tratamiento.

( 29 ) Véanse, por ejemplo, las sentencias de 24 de noviembre de 2011, Scarlet Extended (C‑70/10, EU:C:2011:771).

( 30 ) Sentencia de 20 de mayo de 2003, Österreichischer Rundfunk y otros (C‑465/00, C‑138/01 y C‑139/01, EU:C:2003:294).

( 31 ) Véanse, por ejemplo, las sentencias de 21 de diciembre de 2016, Tele2 Sverige y Watson y otros (C‑203/15 y C‑698/15, EU:C:2016:970), y de 6 de octubre de 2020, La Quadrature du Net y otros (C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791).

( 32 ) Sentencia de 4 de mayo de 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336).

( 33 ) Sentencia de 29 de enero de 2008, Promusicae (C‑275/06, EU:C:2008:54).

( 34 ) Sentencia de 19 de abril de 2012, Bonnier Audio y otros (C‑461/10, EU:C:2012:219).

( 35 ) Sentencia de 10 de diciembre de 2020, J & S Service (C‑620/19, EU:C:2020:1011).

( 36 ) Véanse, por ejemplo, en virtud del Derecho de la Unión, el artículo 4 de la antigua Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE (DO 2006, L 105, p. 54), o el artículo 8 de la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave (DO 2016, L 119, p. 132).

( 37 ) Véase, por ejemplo, en este sentido, la sentencia de 27 de septiembre de 2017, Puškár (C‑73/16, EU:C:2017:725), apartado 108, en relación con la elaboración de una lista por una autoridad pública a efectos de la recaudación fiscal y de la lucha contra el fraude.

( 38 ) Ideales en el sentido de que los dos escenarios esbozados representan dos extremos de una línea imaginaria, más que dos fenómenos independientes a efectos interpretativos.

( 39 ) Poniéndose una vez más de manifiesto la verdadera naturaleza del presente asunto, que se encuentra mucho más próximo a los asuntos en los cuales el Tribunal de Justicia conoció de diversos supuestos de retención de datos o de transferencia de datos a terceros países que a un asunto «realmente» comprendido en el ámbito de aplicación del RGPD (véanse los puntos 56 y 57 de las presentes conclusiones y la jurisprudencia citada en las notas 11, 31 y 44).

( 40 ) Véanse, por ejemplo, las sentencias de 12 de julio de 2005, Alliance for Natural Health y otros (C‑154/04 y C‑155/04, EU:C:2005:449), apartados 9192; de 21 de diciembre de 2011, Ziolkowski y Szeja (C‑424/10 y C‑425/10, EU:C:2011:866), apartados 4243, o de 25 de julio de 2018, Confédération paysanne y otros (C‑528/16, EU:C:2018:583), apartados 4446 y 51.

( 41 ) Véase asimismo, en este sentido, la sentencia de 27 de septiembre de 2017, Puškár (C‑73/16, EU:C:2017:725), apartado 113.

( 42 ) Véanse los puntos 72 y 73 de las presentes conclusiones.

( 43 ) Véase, por ejemplo, en este sentido, la sentencia de 20 de mayo de 2003, Österreichischer Rundfunk y otros (C‑465/00, C‑138/01 y C‑139/01, EU:C:2003:294), apartados 77 y 79.

( 44 ) Véase, por ejemplo, la sentencia más reciente de 6 de octubre de 2020, Privacy International (C‑623/17, EU:C:2020:790), apartado 68.

( 45 ) Véase, en este sentido, la sentencia de 1 de octubre de 2015, Bara y otros (C‑201/14, EU:C:2015:638), apartado 33.

( 46 ) Véanse, en este sentido, las sentencias de 1 de octubre de 2015, Bara y otros (C‑201/14, EU:C:2015:638), apartados 3438, y de 16 de enero de 2019, Deutsche Post (C‑496/17, EU:C:2019:26), apartado [59].

( 47 ) Véase, en relación con una problemática similar en el contexto de los costes de conservación de datos, el auto de 26 de noviembre de 2020, Colt Technology Services y otros (C‑318/20, no publicado, EU:C:2020:969).

( 48 ) En las economías modernas cada vez más dependientes de los datos, solo será cuestión de tiempo hasta que los datos sean reconocidos como un tipo de posesión, o incluso como un tipo de propiedad, del mismo modo que ha ocurrido con otros activos inmateriales con valor económico, incluyendo diversos tipos de propiedad intelectual. Véase, a este respecto, la posición ya abierta en relación con la inclusión de diferentes tipos de «posesiones» en el ámbito de aplicación del artículo 1 del Protocolo Adicional al Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales en la jurisprudencia del Tribunal Europeo de Derechos Humanos, como se desprende, por ejemplo, de la sentencia del TEDH de 11 de enero de 2007, Anheuser-Busch Inc c. Portugal (CE:ECHR:2007:0111JUD007304901), §§ 63 a 65.

( 49 ) A diferencia de la situación reinante cuando las transferencias, la conservación o el tratamiento de datos están regulados por un instrumento de la Unión, como sucede con los ejemplos antes expuestos en la nota 36. Por lo demás, la propuesta de Directiva del Parlamento Europeo y del Consejo sobre la conservación de datos tratados en relación con la prestación de servicios públicos de comunicación electrónica y por la que se modifica la Directiva 2002/58/CE [SEC(2005) 1131] COM/2005/0438 final — COD 2005/0182, presentada por la Comisión, parecía concordar con esta línea en el artículo 10 y en el considerando 13 inicialmente propuestos. Sin embargo, dichas disposiciones no se mantuvieron en la versión de la Directiva adoptada.

Top