—

en nombre de Rīgas pašvaldības SIA «Rīgas satiksme», por el Sr. L. Bemhens, en calidad de agente;

—

en nombre del Gobierno letón, por el Sr. I. Kalniņš y la Sra. A. Bogdanova, en calidad de agentes;

—

en nombre del Gobierno checo, por los Sres. J. Vláčil y M. Smolek, en calidad de agentes;

—

en nombre del Gobierno español, por la Sra. M.J. García-Valdecasas Dorrego, en calidad de agente;

—

en nombre del Gobierno austriaco, por el Sr. G. Eberhard, en calidad de agente;

—

en nombre del Gobierno portugués, por los Sres. L. Inez Fernandes y M. Figueiredo y por la Sra. C. Vieira Guerra, en calidad de agentes;

—

en nombre de la Comisión Europea, por los Sres. D. Nardi y H. Kranenborg y por la Sra. I. Rubene, en calidad de agentes;

1

La petición de decisión prejudicial versa sobre la interpretación del artículo 7, letra f), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31).

2

Esta petición se presentó en el contexto de un litigio seguido entre Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvalde (Policía de Seguridad de la Región de Riga, perteneciente a la Policía Nacional, Letonia) (en lo sucesivo, «Policía Nacional») y Rīgas pašvaldības SIA «Rīgas satiksme» (Empresa municipal de Riga SIA Rīgas satiksme) (en lo sucesivo, «Rīgas satiksme»), que gestiona los trolebuses municipales de Riga, en relación con la solicitud de comunicación de los datos identificativos del causante de un accidente.

3

El artículo 1 de la Directiva 95/46 lleva por título «Objeto de la Directiva» y establece lo siguiente:

«1.   Los Estados miembros garantizarán, con arreglo a las disposiciones de la presente Directiva, la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales.

2.   Los Estados miembros no podrán restringir ni prohibir la libre circulación de datos personales entre los Estados miembros por motivos relacionados con la protección garantizada en virtud del apartado 1.»

4

El artículo 2 de la Directiva dispone lo siguiente:

«A efectos de la presente Directiva, se entenderá por:

[…]

[…]»

5

El artículo 5 de la Directiva 95/46 dispone lo siguiente:

«Los Estados miembros precisarán, dentro de los límites de las disposiciones del presente capítulo, las condiciones en que son lícitos los tratamientos de datos personales.»

6

El artículo 7 de la Directiva 95/46 está incluido en el capítulo II, sección II, de la misma, lleva el título de «Principios relativos a la legitimación del tratamiento de datos» y establece lo siguiente:

«Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si:

7

El artículo 8, apartado 2, letra e), de la Directiva 95/46 establece que la prohibición del tratamiento de determinados tipos de datos personales, como por ejemplo los que revelen el origen racial o las convicciones políticas, no se aplicará cuando el tratamiento se refiera a datos que el interesado haya hecho manifiestamente públicos o sea necesario para el reconocimiento, el ejercicio o la defensa de un derecho en un procedimiento judicial.

8

El artículo 6 de la Fizisko personu datu aizsardzības likums (Ley de Protección de Datos de Carácter Personal), de 23 de marzo de 2000 (Latvijas Vēstnesis, 2000, n.o 123/124), dispone lo siguiente:

«Toda persona física tiene derecho a la protección de los datos de carácter personal que le conciernan.»

9

El artículo 7 de la misma Ley, cuyo objeto es la transposición del artículo 7 de la Directiva 95/46, establece que el tratamiento de datos de carácter personal únicamente estará autorizado, salvo disposición en sentido contrario en la propia Ley, si concurre al menos uno de los requisitos siguientes:

10

El artículo 12 de la misma Ley establece que los datos de carácter personal que conciernan a infracciones penales, condenas penales o sanciones administrativas, resoluciones judiciales o autos de un asunto judicial podrán ser tratados únicamente por las personas y en los casos previstos legalmente.

11

Con arreglo al artículo 261 del Latvijas Administratīvo pārkāpumu kodekss (Código letón de Infracciones Administrativas), en los procedimientos administrativos sancionadores la condición de víctima podrá ser reconocida por el organismo o funcionario competente para instruir el procedimiento. Dicha disposición prevé cuáles son los derechos de las víctimas, incluido el derecho a consultar el expediente y a ejercitar sus derechos en el procedimiento al objeto de lograr una indemnización.

12

En diciembre de 2012 tuvo lugar en Riga un accidente de tráfico. Un taxista había detenido su vehículo al borde de la calzada. En el momento en que un trolebús de Rīgas satiksme circulaba junto al taxi, el pasajero que ocupaba el asiento trasero del taxi abrió la puerta, y ésta rozó y dañó la carrocería del trolebús. Se incoó un procedimiento administrativo sancionador y se levantó el atestado correspondiente.

13

En un principio, al considerar que el mencionado accidente se debía atribuir al taxista, Rīgas satiksme reclamó una indemnización a la compañía en la que estaba asegurada la responsabilidad civil del propietario o usuario legítimo del taxi. No obstante, dicha aseguradora le comunicó que no abonaría indemnización alguna, puesto que el accidente había sucedido por culpa del pasajero y no del conductor del taxi, precisando que Rīgas satiksme podía ejercitar su pretensión contra dicho pasajero por la vía civil.

14

Rīgas satiksme se dirigió a la Policía Nacional, solicitando que se le comunicaran los datos de la persona que hubiera sido sancionada en vía administrativa por el accidente, se le remitiera copia de los documentos de los que se desprendieran las explicaciones dadas por el conductor del taxi y el pasajero sobre las circunstancias del accidente y se le comunicaran el nombre, apellido, número de identificación y domicilio del pasajero del taxi. Rīgas satiksme precisó a la Policía Nacional que la información solicitada se utilizaría únicamente para la interposición del recurso en vía civil.

15

La Policía Nacional accedió sólo en parte a la solicitud de Rīgas satiksme, ya que comunicó el nombre y apellido del pasajero del taxi pero se negó a facilitar el número de identificación y el domicilio de dicha persona. Tampoco se le remitieron a Rīgas satiksme las explicaciones facilitadas por las personas implicadas en el accidente.

16

La resolución de la Policía Nacional se basaba en que los documentos obrantes en procedimientos administrativos sancionadores sólo los pueden recibir las partes de dichos procedimientos (Rīgas satiksme no lo es). De conformidad con el Código letón de Infracciones Administrativas, en los procedimientos administrativos sancionadores la condición de víctima es reconocida, a petición expresa del interesado, por el organismo o funcionario competente para instruir el procedimiento. En el procedimiento de que se trata, Rīgas satiksme no ejercitó el derecho a solicitar para sí dicha condición.

17

Rīgas satiksme impugnó ante la Administratīvā rajona tiesa (Tribunal Contencioso-Administrativo de Primera Instancia, Letonia) la resolución de la Policía Nacional en la medida en que se negaba a revelar el número de identificación y el domicilio del pasajero implicado en el accidente. Mediante sentencia de 16 de mayo de 2014, dicho órgano jurisdiccional estimó el recurso de Rīgas satiksme y ordenó a la Policía Nacional que comunicara la información relativa al número de identificación y el lugar de residencia del pasajero.

18

La Policía Nacional recurrió en casación ante el tribunal remitente, el cual solicitó un dictamen a la Datu valsts inspekcija (Agencia de Protección de Datos, Letonia). Esta indicó en su respuesta de 13 de octubre de 2015 que en el litigio principal la comunicación de los datos personales no podía ampararse en el artículo 7, punto 6, de la Ley de Protección de Datos de Carácter Personal, habida cuenta de que el Código letón de Infracciones Administrativas enumera a las personas a las que la Policía Nacional puede comunicar información procedente de un asunto. Así pues, según la Agencia de Protección de Datos, la comunicación de datos personales procedentes de un procedimiento administrativo sancionador sólo puede realizarse de conformidad con los puntos 3 y 5 de dicho artículo en los supuestos previstos por esa Ley. Además, a juicio de dicha Agencia, el artículo 7 de la citada Ley no obliga al responsable del tratamiento (en este supuesto, a la Policía Nacional) a tratar los datos, sino que simplemente se lo permite.

19

La Agencia de Protección de Datos indicaba además que Rīgas satiksme contaba con dos vías para recabar la información: dirigirse al Registro Civil mediante una petición razonada, o bien, al amparo de los artículos 98 a 100 de la Ley letona de Enjuiciamiento Civil, presentar una demanda ante un tribunal, con la pretensión de obtener elementos de prueba, por la que se solicitara que se instara a la Policía Nacional a facilitar los datos personales que Rīgas satiksme necesitara para poder ejercitar acciones contra la persona correspondiente.

20

El tribunal remitente alberga dudas acerca de la eficacia de las vías para obtener datos de carácter personal a que se refirió la Agencia de Protección de Datos. Precisa al respecto, por una parte, que, en caso de dirigirse al Registro Civil mencionando sólo el nombre y el apellido del pasajero del taxi, puesto que es posible que se llamen así varias personas, aquel sólo podría individualizarse mediante el número de identificación. Por otra parte, considera que, teniendo en cuenta las disposiciones nacionales en materia de aportación de pruebas, para presentar una demanda en vía civil el demandante debería conocer al menos el lugar de residencia del demandado.

21

A ese respecto, el tribunal remitente estima que existen dudas sobre la interpretación del concepto de «necesidad» recogido en el artículo 7, letra f), de la Directiva 95/46.

22

En estas circunstancias, el Augstākās tiesas Administratīvo lietu departaments (Sala de lo Contencioso-Administrativo del Tribunal Supremo, Letonia) decidió suspender el procedimiento y plantear al Tribunal de Justicia las cuestiones prejudiciales siguientes:

23

Mediante sus cuestiones prejudiciales, que es oportuno abordar conjuntamente, el tribunal remitente pregunta si el artículo 7, letra f), de la Directiva 95/46 debe interpretarse en el sentido de que obliga a comunicar datos personales a un tercero para que éste pueda interponer una demanda indemnizatoria en vía civil por los daños que haya causado el interesado en la protección de dichos datos y si la circunstancia de que dicho interesado sea menor de edad puede tener incidencia en la interpretación de la citada disposición.

24

Es pacífico en el asunto principal que el número de identificación y el domicilio del pasajero del taxi cuya comunicación solicita Rīgas satiksme son datos que conciernen a una persona física identificada o identificable y, por ello, «datos personales» a efectos del artículo 2, letra a), de la Directiva 95/46. También es pacífico que la Policía Nacional, que es a quien se dirigió la solicitud, es responsable del tratamiento de dichos datos y, concretamente, de su comunicación, en su caso, a efectos de la letra d) del mismo artículo de la Directiva.

25

De conformidad con el artículo 5 de la Directiva 95/46, corresponderá a los Estados miembros precisar, dentro de los límites de las disposiciones de la propia Directiva, las condiciones en que son lícitos los tratamientos de datos personales. El artículo 7 de dicha Directiva, que recoge los principios relativos a la legitimación de tal tratamiento, dispone al respecto que «los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si» concurre uno de los supuestos enumerados con carácter exhaustivo por dicha disposición. En virtud de la letra f) de ese mismo artículo, el tratamiento podrá efectuarse cuando sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezcan el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al artículo 1, apartado 1, de la propia Directiva.

26

Así pues, de la sistemática de la Directiva 95/46 y del tenor de su artículo 7 se desprende que la letra f) de este mismo artículo no establece, en sí, la obligación de que se efectúe el tratamiento de datos (por ejemplo, la comunicación a un tercero de datos necesarios para la satisfacción de un interés legítimo perseguido por éste), sino que confiere la facultad de llevar a cabo ese tratamiento. Tal como destacó el Abogado General en los puntos 43 a 46 de sus conclusiones, esa misma interpretación puede también deducirse de otros instrumentos del Derecho de la Unión que tienen relación con los datos personales (véase, en ese sentido, por lo que se refiere al tratamiento de datos personales en el sector de las comunicaciones electrónicas, la sentencia de 29 de enero de 2008, Promusicae, C‑275/06, EU:C:2008:54, apartados 54 y 55).

27

No obstante, es preciso advertir que el artículo 7, letra f), de la Directiva 95/46 no se opondría a dicha comunicación en el supuesto de que se efectuara al amparo del Derecho nacional y cumpliendo los requisitos fijados en esa misma disposición.

28

A tal respecto, el artículo 7, letra f), de la Directiva 95/46 fija tres requisitos acumulativos para que el tratamiento de datos personales resulte lícito: primero, que el responsable del tratamiento o el tercero o terceros a quienes se comuniquen los datos persigan un interés legítimo; segundo, que el tratamiento sea necesario para la satisfacción de ese interés legítimo y, tercero, que no prevalezcan los derechos y libertades fundamentales del interesado en la protección de los datos.

29

Por lo que se refiere, en primer lugar, al requisito de que se esté persiguiendo un interés legítimo, y tal como señaló el Abogado General en los puntos 65, 79 y 80 de sus conclusiones, no cabe duda de que el interés de un tercero en obtener información personal de quien haya causado un daño en un bien de su propiedad a fin de demandarlo por daños y perjuicios constituye un interés legítimo (véase, en ese sentido, la sentencia de 29 de enero de 2008, Promusicae, C‑275/06, EU:C:2008:54, apartado 53). En apoyo de esta interpretación se puede alegar el artículo 8, apartado 2, letra e), de la Directiva 95/46, que establece que la prohibición del tratamiento de determinados tipos de datos personales, como los que revelen el origen racial o las convicciones políticas, no se aplicará cuando el tratamiento sea necesario para el reconocimiento, el ejercicio o la defensa de un derecho en un procedimiento judicial.

30

Por lo que atañe al requisito de que el tratamiento de datos sea necesario, procede recordar que las excepciones y restricciones al principio de protección de los datos de carácter personal deben establecerse sin sobrepasar los límites de lo estrictamente necesario (sentencias de 9 de noviembre de 2010, Volker und Markus Schecke y Eifert, C‑92/09 y C‑93/09, EU:C:2010:662, apartado 86; de 7 de noviembre de 2013, IPI, C‑473/12, EU:C:2013:715, apartado 39, y de 11 de diciembre de 2014, Ryneš, C‑212/13, EU:C:2014:2428, apartado 28). Procede observar a ese respecto que, según lo indicado por el tribunal remitente, la comunicación exclusiva del nombre y el apellido del causante del daño no permite identificarlo con precisión suficiente como para poder demandarlo. Así pues, a tal efecto resulta necesario obtener asimismo su domicilio y número de identificación o al menos uno de esos dos datos.

31

Por último, en cuanto al requisito de la ponderación de los derechos e intereses en conflicto, ésta dependerá, en principio, de las circunstancias concretas del caso particular de que se trate (véanse, en ese sentido, las sentencias de 24 de noviembre de 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 y C‑469/10, EU:C:2011:777, apartado 40, y de 19 de octubre de 2016, Breyer, C‑582/14, EU:C:2016:779, apartado 62).

32

El Tribunal de Justicia ha declarado a tal respecto que cabe tomar en consideración el hecho de que la gravedad de la lesión de los derechos fundamentales de la persona afectada por el tratamiento en cuestión puede variar en función de si es posible acceder a los datos de que se trate a través de fuentes ya disponibles para el público (véase, en ese sentido, la sentencia de 24 de noviembre de 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 y C‑469/10, EU:C:2011:777, apartado 44).

33

Por lo que atañe a la segunda parte de la cuestión prejudicial, en la formulación que se le ha dado en el apartado 23 de la presente sentencia, es oportuno señalar que la edad del interesado puede ser uno de los datos a tener en cuenta en la ponderación mencionada. No obstante, ha de observarse que, tal como señaló el Abogado General en los puntos 82 a 84 de sus conclusiones, y sin perjuicio de las comprobaciones que deba realizar al respecto el juez nacional, en condiciones como las del asunto principal no parece justificado que, por ser el causante del daño menor de edad, se deniegue a la víctima la comunicación de los datos personales que sea necesaria para interponer una demanda indemnizatoria contra dicho causante o, en su caso, contra quien ejerza la patria potestad.

34

De los razonamientos anteriores se sigue que el artículo 7, letra f), de la Directiva 95/46 debe interpretarse en el sentido de que no obliga a comunicar datos personales a un tercero para que éste pueda interponer una demanda indemnizatoria en vía civil por los daños que haya causado el interesado en la protección de dichos datos. Sin embargo, el artículo 7, letra f), de esta Directiva no obsta a que, al amparo del Derecho nacional, se produzca tal comunicación.

35

Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de incidente promovido ante el órgano jurisdiccional nacional, corresponde a éste resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Segunda) declara:

El artículo 7, letra f), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse en el sentido de que no obliga a comunicar datos personales a un tercero para que éste pueda interponer una demanda indemnizatoria en vía civil por los daños que haya causado el interesado en la protección de dichos datos. Sin embargo, el artículo 7, letra f), de esta Directiva no obsta a que, al amparo del Derecho nacional, se produzca tal comunicación.