This document is an excerpt from the EUR-Lex website
Document 62021CJ0180
Judgment of the Court (Fifth Chamber) of 8 December 2022.#VS v Inspektor v Inspektorata kam Visshia sadeben savet.#Request for a preliminary ruling from the Administrativen sad - Blagoevgrad.#Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Regulation (EU) 2016/679 – Articles 2, 4 and 6 – Applicability of Regulation 2016/679 – Concept of ‘legitimate interest’ – Concept of ‘task carried out in the public interest or in the exercise of official authority’ – Directive (EU) 2016/680 – Articles 1, 3, 4, 6 and 9 – Lawfulness of the processing of personal data collected in the course of a criminal investigation – Subsequent processing of data relating to a presumed victim of a criminal offence for the purpose of making a formal accusation in respect of him or her – Concept of purpose ‘other than that for which the personal data are collected’ – Data used by the public prosecutor’s office of a Member State for the purposes of its defence in an action for damages against the State.#Case C-180/21.
Sentencia del Tribunal de Justicia (Sala Quinta) de 8 de diciembre de 2022.
VS contra Inspektor v Inspektorata kam Visshia sadeben savet.
Petición de decisión prejudicial planteada por el Administrativen sad - Blagoevgrad.
Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículos 2, 4 y 6 — Aplicabilidad del Reglamento 2016/679 — Concepto de “interés legítimo” — Concepto de “misión realizada en interés público o en el ejercicio de poderes públicos” — Directiva (UE) 2016/680 — Artículos 1, 3, 4, 6 y 9 — Licitud del tratamiento de datos personales recogidos en el marco de una investigación penal — Tratamiento ulterior de los datos relativos a la supuesta víctima de una infracción penal a los efectos de formular acusación contra ella — Concepto de “fines […] distintos de aquel para el que se recojan” los datos personales — Datos utilizados por la Fiscalía de un Estado miembro en el ejercicio de su defensa en el marco de una acción de responsabilidad del Estado.
Asunto C-180/21.
Sentencia del Tribunal de Justicia (Sala Quinta) de 8 de diciembre de 2022.
VS contra Inspektor v Inspektorata kam Visshia sadeben savet.
Petición de decisión prejudicial planteada por el Administrativen sad - Blagoevgrad.
Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículos 2, 4 y 6 — Aplicabilidad del Reglamento 2016/679 — Concepto de “interés legítimo” — Concepto de “misión realizada en interés público o en el ejercicio de poderes públicos” — Directiva (UE) 2016/680 — Artículos 1, 3, 4, 6 y 9 — Licitud del tratamiento de datos personales recogidos en el marco de una investigación penal — Tratamiento ulterior de los datos relativos a la supuesta víctima de una infracción penal a los efectos de formular acusación contra ella — Concepto de “fines […] distintos de aquel para el que se recojan” los datos personales — Datos utilizados por la Fiscalía de un Estado miembro en el ejercicio de su defensa en el marco de una acción de responsabilidad del Estado.
Asunto C-180/21.
Court reports – general
ECLI identifier: ECLI:EU:C:2022:967
SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Quinta)
de 8 de diciembre de 2022 ( *1 )
«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículos 2, 4 y 6 — Aplicabilidad del Reglamento 2016/679 — Concepto de “interés legítimo” — Concepto de “misión realizada en interés público o en el ejercicio de poderes públicos” — Directiva (UE) 2016/680 — Artículos 1, 3, 4, 6 y 9 — Licitud del tratamiento de datos personales recogidos en el marco de una investigación penal — Tratamiento ulterior de los datos relativos a la supuesta víctima de una infracción penal a los efectos de formular acusación contra ella — Concepto de “fines […] distintos de aquel para el que se recojan” los datos personales — Datos utilizados por la Fiscalía de un Estado miembro en el ejercicio de su defensa en el marco de una acción de responsabilidad del Estado»
En el asunto C‑180/21,
que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Administrativen sad — Blagoevgrad (Tribunal de lo Contencioso‑Administrativo de Blagoevgrad, Bulgaria), mediante resolución de 19 de marzo de 2021, recibida en el Tribunal de Justicia el 23 de marzo de 2021, en el procedimiento entre
VS
e
Inspektor v Inspektorata kam Visshia sadeben savet,
con intervención de:
Teritorialno otdelenie — Petrich kam Rayonna prokuratura — Blagoevgrad,
EL TRIBUNAL DE JUSTICIA (Sala Quinta),
integrado por el Sr. E. Regan, Presidente de Sala, y los Sres. D. Gratsias (Ponente), M. Ilešič, I. Jarukaitis y Z. Csehi, Jueces;
Abogado General: Sr. M. Campos Sánchez‑Bordona;
Secretario: Sr. A. Calot Escobar;
habiendo considerado los escritos obrantes en autos;
consideradas las observaciones presentadas:
– |
en nombre de VS, por la Sra. V. Harizanova; |
– |
en nombre del Inspektor v Inspektorata kam Visshia sadeben savet, por la Sra. S. Mulyachka; |
– |
en nombre del Gobierno búlgaro, por las Sras. M. Georgieva y T. Mitova, en calidad de agentes; |
– |
en nombre del Gobierno checo, por los Sres. O. Serdula, M. Smolek y J. Vláčil, en calidad de agentes; |
– |
en nombre del Gobierno neerlandés, por la Sra. M. K. Bulterman y el Sr. J. M. Hoogveld, en calidad de agentes; |
– |
en nombre de la Comisión Europea por los Sres. H. Kranenborg e I. Zaloguin, en calidad de agentes; |
oídas las conclusiones del Abogado General, presentadas en audiencia pública el 19 de mayo de 2022;
dicta la siguiente
Sentencia
1 |
La petición de decisión prejudicial tiene por objeto la interpretación del artículo 1, apartado 1, de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO 2016, L 119, p. 89), así como del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; en lo sucesivo «RGPD»), en particular de su artículo 6, apartado 1. |
2 |
Esta petición se ha presentado en el contexto de un litigio entre VS y el Inspektor v Inspektorata kam Visshia sadeben savet (Inspector de la Autoridad de Control del Consejo Superior del Poder Judicial, Bulgaria; en lo sucesivo, «IVSS») en relación con la legalidad del tratamiento de datos personales que atañen a VS efectuado por la Fiscalía de Distrito de Petrich (Bulgaria). |
Marco jurídico
Derecho de la Unión
RGPD
3 |
Los considerandos 19, 45 y 47 del RGPD señalan:
[…]
[…]
|
4 |
El artículo 2 del RGPD, titulado «Ámbito de aplicación material», establece en sus apartados 1 y 2: «1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. 2. El presente Reglamento no se aplica al tratamiento de datos personales:
[…]
|
5 |
El artículo 4 del RGPD, titulado «Definiciones», dispone: «A efectos del presente Reglamento se entenderá por:
[…]
[…]». |
6 |
El artículo 5 del RGPD, titulado «Principios relativos al tratamiento», dispone en su apartado 1: «Los datos personales serán: […]
[…]». |
7 |
A tenor del artículo 6 del RGPD, titulado «Licitud del tratamiento»: «1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: […]
[…]
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones. […] 3. La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por:
La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. […]» |
8 |
El artículo 21 del RGPD, titulado «Derecho de oposición», establece en su apartado 1: «El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) o f) […]. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.» |
9 |
El artículo 23 del RGPD, titulado «Limitaciones», establece en su apartado 1 que el Derecho de la Unión o de los Estados miembros que se aplique al responsable o al encargado del tratamiento puede limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en los artículos 12 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar, entre otros, determinados objetivos importantes de interés público general de la Unión o de un Estado miembro. |
Directiva 2016/680
10 |
Los considerandos 8 a 12, 27 y 29 de la Directiva 2016/680 tienen la siguiente redacción:
[…]
[…]
|
11 |
El artículo 1 de esta Directiva, titulado «Objeto y objetivos», dispone en su apartado 1: «La presente Directiva establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales por parte de las autoridades competentes, con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública.» |
12 |
Las definiciones de los términos «datos personales» y «tratamiento», que figuran, respectivamente, en los puntos 1 y 2 del artículo 3 de dicha Directiva, titulado «Definiciones», reproducen las enunciadas en los puntos 1 y 2 del artículo 4 del RGPD. |
13 |
A tenor del artículo 3, puntos 7, letra a), y 8, de la Directiva 2016/680: «A efectos de la presente Directiva se entenderá por: […] 7) “autoridad competente”:
[…] 8) “responsable del tratamiento” o “responsable”: la autoridad competente que sola o conjuntamente con otras determine los fines y medios del tratamiento de datos personales; en caso de que los fines y medios del tratamiento estén determinados por el Derecho de la Unión o del Estado miembro, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho de la Unión o del Estado miembro». |
14 |
El artículo 4 de la Directiva 2016/680, titulado «Principios relativos al tratamiento de datos personales», establece en su apartado 1: «Los Estados miembros dispondrán que los datos personales sean: […]
[…]». |
15 |
El artículo 4, apartado 2, de la Directiva 2016/680 dispone: «Se permitirá el tratamiento de los datos personales, por el mismo responsable o por otro, para fines establecidos en el artículo 1, apartado 1, distintos de aquel para el que se recojan en la medida en que:
|
16 |
A tenor del artículo 6 de la Directiva 2016/680, titulado «Distinción entre diferentes categorías de interesados»: «Los Estados miembros dispondrán que el responsable del tratamiento, cuando corresponda y en la medida de lo posible, establezca una distinción clara entre los datos personales de las distintas categorías de interesados, tales como:
[…]». |
17 |
El artículo 9 de la Directiva 2016/680, titulado «Condiciones de tratamiento específicas», dispone en sus apartados 1 y 2: «1. Los datos personales recogidos por las autoridades competentes para los fines establecidos en el artículo 1, apartado 1, no serán tratados para otros fines distintos de los establecidos en el artículo 1, apartado 1, salvo que dicho tratamiento esté autorizado por el Derecho de la Unión o del Estado miembro. Cuando los datos personales sean tratados para otros fines, se aplicará el [RGPD] a menos que el tratamiento se efectúe como parte de una actividad que quede fuera del ámbito de aplicación del Derecho de la Unión. 2. Cuando el Derecho del Estado miembro encomiende a las autoridades competentes el desempeño de funciones que no coincidan con los fines establecidos en el artículo 1, apartado 1, se aplicará el [RGPD] al tratamiento con dichos fines […], salvo que el tratamiento se lleve a cabo en una actividad que quede fuera del ámbito de aplicación del Derecho de la Unión.» |
Derecho búlgaro
Constitución de la República de Bulgaria
18 |
El artículo 127 de la Constitución de la República de Bulgaria dispone: «La Fiscalía velará por el cumplimiento de las leyes del siguiente modo: 1. dirige la investigación y controla la legalidad de su desarrollo; 2. puede llevar a cabo una investigación; 3. imputa la responsabilidad de las infracciones a las personas que las hayan cometido y ejerce la acción penal ante los tribunales en caso de delitos públicos; […]». |
ZZLD
19 |
Con arreglo a su artículo 1, la Zakon za zashtita na lichnite danni (Ley de Protección de Datos Personales) (DV n.o 1, de 4 de enero de 2002; en lo sucesivo, «ZZLD») tiene por objeto garantizar la protección de las personas físicas en lo que respecta al tratamiento de datos personales regulado por el RGPD y en lo que respecta al tratamiento de estos datos efectuado por las autoridades competentes con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad y el orden públicos y la prevención de tales amenazas. |
20 |
De conformidad con el artículo 17, apartado 1, de la ZZLD, la IVSS garantiza el control y el respeto del RGPD, de la ZZLD y de los actos en materia de protección de datos personales en lo que respecta al tratamiento de tales datos por parte, en particular, de la Fiscalía y de las autoridades de investigación en el ejercicio de sus funciones judiciales con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales. El artículo 38b de la ZZLD otorga al interesado, en caso de que se vulneren sus derechos, en particular por estas autoridades, el derecho a recurrir ante la IVSS. |
21 |
Los artículos 42, apartados 2 y 3, 45, apartado 2, y 47 de la ZZLD aplican respectivamente lo dispuesto en los artículos 9, apartados 1 y 2, 4, apartado 2, y 6 de la Directiva 2016/680. |
Código de Enjuiciamiento Criminal
22 |
El artículo 191 del Nakazatelno‑protsesualen kodeks (Código de Enjuiciamiento Criminal) (DV n.o 86, de 28 de octubre de 2005), en su versión aplicable al litigio principal, dispone: «El procedimiento de instrucción se tramitará en asuntos relacionados con la acción penal.» |
23 |
El artículo 192 del Código de Enjuiciamiento Criminal, en su versión aplicable al litigio principal, establece: «El procedimiento de instrucción incluirá una investigación y actos del fiscal una vez concluida la investigación.» |
Código de Enjuiciamiento Civil
24 |
Los artículos 8 y 9 del Grazhdanski protsesualen kodeks (Código de Enjuiciamiento Civil) (DV n.o 59, de 20 de julio de 2007), en su versión aplicable al litigio principal, aplican, respectivamente, los principios de contradicción y de igualdad de armas. |
25 |
El artículo 154 del Código de Enjuiciamiento Civil, en su versión aplicable al litigio principal, titulado «Carga de la prueba», establece en su apartado 1: «Cada una de las partes estará obligada a acreditar los hechos en los que base sus pretensiones u objeciones.» |
Zakon za otgovornostta na darzhavata i obshtinite za vredi
26 |
El artículo 2b de la Zakon za otgovornostta na darzhavata i obshtinite za vredi (Ley sobre la Responsabilidad del Estado y de los Municipios por Daños y Perjuicios) (DV n.o 60, de 5 de agosto de 1988) dispone: «(1) El Estado responderá de los daños causados a los ciudadanos y a las personas jurídicas por la vulneración del derecho a que su causa sea examinada y juzgada en un plazo razonable con arreglo al artículo 6, apartado 1, del Convenio [Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, hecho en Roma el 4 de noviembre de 1950]. (2) Las acciones a que se refiere el apartado 1 se examinarán de conformidad con el Código de Enjuiciamiento Civil y el juez tomará en consideración la duración total y el objeto del procedimiento, su complejidad de hecho y de Derecho, el comportamiento de las partes y de sus representantes procesales o legales, el comportamiento de las demás partes en el procedimiento y de las autoridades competentes, así como otros hechos pertinentes para la correcta resolución del litigio. […]» |
Litigio principal y cuestiones prejudiciales
27 |
En 2013, la Fiscalía de Distrito de Petrich incoó el procedimiento de instrucción n.o 252/2013 contra un autor desconocido por la comisión de una infracción contemplada en el artículo 325, apartado 1, del Nakazatelen Kodeks (Código Penal), en relación con el artículo 20, apartado 2, de este, en el marco de un incidente acaecido en un bar. El demandante en el litigio principal, VS, intervino en dicho procedimiento en condición de víctima de la mencionada infracción. |
28 |
En 2016, a raíz de varias denuncias dirigidas contra VS en particular, la Fiscalía de Distrito de Petrich reunió varios expedientes que contenían información relativa a dicha persona, sin, no obstante, incoar un procedimiento de instrucción ante la falta de indicios de la comisión de una infracción. |
29 |
En 2018, en el procedimiento de instrucción n.o 252/2013, el fiscal imputó a todas las personas que habían participado en el incidente objeto de dicho procedimiento, incluido VS. |
30 |
En el marco de un procedimiento civil, VS ejercitó ante el Okrazhen sad Blagoevgrad (Tribunal Provincial de Blagoevgrad, Bulgaria) una acción contra la Fiscalía de la República de Bulgaria por la que solicitaba la reparación del perjuicio que supuestamente le había ocasionado la duración excesiva del procedimiento de instrucción n.o 252/2013. En la vista de 15 de octubre de 2018, un fiscal de la Fiscalía de Distrito de Petrich, representante del Ministerio Fiscal, solicitó a los efectos de la defensa de dicha Fiscalía que los expedientes incoados por esta en 2016, mencionados en el apartado 28 de la presente sentencia, se aportaran en el marco de dicha acción. De la resolución de remisión se desprende que ese fiscal pretendía demostrar que los problemas de salud alegados por el demandante en el litigio principal no eran imputables al mencionado procedimiento de instrucción, como este afirmaba, sino que habían sido ocasionados por los controles efectuados por la Policía y por la Fiscalía de Distrito de Petrich en el contexto de dichos expedientes. En esa misma vista, el Okrazhen sad Blagoevgrad (Tribunal Provincial de Blagoevgrad) ordenó a la citada Fiscalía de Distrito que aportara copias certificadas conformes de los documentos contenidos en los expedientes en cuestión, a lo que dio cumplimiento el fiscal de dicha Fiscalía. |
31 |
El 12 de marzo de 2020, VS interpuso un recurso ante la IVSS alegando que la Fiscalía de Distrito de Petrich había infringido las disposiciones relativas a la protección de datos personales. Por un lado, en su primer motivo, sostenía que dicha Fiscalía había utilizado ilícitamente datos personales que le atañían, que habían sido recogidos cuando se le consideraba víctima de una infracción, para enjuiciarlo en el mismo procedimiento y por los mismos hechos. Por otro lado, mediante su segundo motivo, VS invocaba la ilegalidad del tratamiento de los datos personales recogidos en los expedientes mencionados en el apartado 28 de la presente sentencia efectuado por esa misma Fiscalía en el marco de la acción de responsabilidad que él había ejercitado contra la Fiscalía de la República de Bulgaria. La IVSS desestimó dicho recurso mediante resolución de 22 de junio de 2020. |
32 |
El 31 de julio de 2020, VS interpuso ante el órgano jurisdiccional remitente un recurso contra la citada resolución, alegando, por un lado, que el tratamiento de los datos personales que le atañen en el marco del procedimiento de instrucción n.o 252/2013 es contrario, en particular, a los principios de la Directiva 2016/680 y, por otro lado, que el tratamiento de los datos recogidos en los expedientes mencionados en el apartado 28 anterior, tras haberse negado la Fiscalía a incoar un procedimiento de instrucción, vulnera los principios del RGPD. |
33 |
Al considerar, a la luz de la jurisprudencia del Tribunal de Justicia, que el litigio principal tiene por objeto el tratamiento de datos personales en el desempeño de actividades comprendidas en el ámbito de aplicación del RGPD y de la Directiva 2016/680, el órgano jurisdiccional remitente se pregunta sobre los límites que ha fijado el Derecho de la Unión en lo que respecta al tratamiento ulterior de datos personales que el responsable del tratamiento recogió inicialmente con el fin de investigar y detectar una infracción penal. |
34 |
El órgano jurisdiccional remitente se pregunta, en particular, por un lado, si, en el supuesto de que la Fiscalía de la República de Bulgaria, en su condición de «autoridad competente» en el sentido del artículo 3, punto 7, letra a), de la Directiva 2016/680 y en su condición de «responsable del tratamiento» en el sentido del artículo 3, punto 8, de dicha Directiva, hubiera recogido, con fines de investigación y detección de una infracción penal, datos personales relativos a una persona que tenía la condición de víctima de dicha infracción en el momento de esa recogida, el tratamiento ulterior de esos datos por la misma autoridad con el fin de investigar a esa misma persona responde a un fin comprendido en el ámbito de aplicación de dicha Directiva, pero distinto de aquel para el que se recogieron los datos en cuestión, en el sentido de su artículo 4, apartado 2. |
35 |
Por otro lado, el órgano jurisdiccional remitente observa que la referencia, en el marco de la acción de responsabilidad ejercitada por VS, a la información relativa a esa persona contenida en los expedientes incoados por la Fiscalía de Distrito de Petrich en 2016 persigue un fin distinto de aquel para el que se recogió esa información y señala que, en el marco de dicha acción, la Fiscalía, en su condición de parte demandada, no actúa con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales. No obstante, el órgano jurisdiccional remitente se pregunta si el mero hecho de indicar al tribunal civil competente que los mencionados expedientes atañen a VS y de transmitirle la totalidad o parte de esa información constituye un «tratamiento» de «datos personales», en el sentido del artículo 4, puntos 1 y 2, del RGPD, comprendido en su ámbito de aplicación de conformidad con su artículo 2, apartado 1. |
36 |
Además, el órgano jurisdiccional remitente considera, en esencia, que el litigio principal plantea la cuestión de la conciliación entre la protección de los datos personales y los derechos de una parte en un procedimiento judicial cuando esos datos han sido recogidos por esa parte como responsable del tratamiento, en el sentido del artículo 3, punto 8, de la Directiva 2016/680, en particular a la luz del artículo 6, apartado 1, párrafo primero, letra f), del RGPD, relativo a la necesidad del tratamiento para la satisfacción de intereses legítimos perseguidos por ese responsable. |
37 |
Así pues, el órgano jurisdiccional remitente considera que los demás motivos por los que un tratamiento de datos personales comprendido en el ámbito de aplicación del RGPD se considera lícito, enunciados en el artículo 6, apartado 1, párrafo primero, de dicho Reglamento, no son pertinentes en el marco del litigio principal. En particular, el órgano jurisdiccional remitente considera que la presentación por parte de la Fiscalía, en el ejercicio de su defensa en el marco de un procedimiento civil, ante el órgano jurisdiccional competente de información relativa a los expedientes penales que esta ha incoado no es necesaria para el cumplimiento de una misión realizada en interés público ni está relacionada con el ejercicio de poderes públicos, en el sentido del artículo 6, apartado 1, párrafo primero, letra e), de dicho Reglamento. |
38 |
En estas circunstancias, el Administrativen sad — Blagoevgrad (Tribunal de lo Contencioso‑Administrativo de Blagoevgrad, Bulgaria) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:
|
Sobre las cuestiones prejudiciales
Primera cuestión prejudicial
39 |
Con carácter preliminar, conviene señalar que, aun cuando, desde un punto de vista formal, el órgano jurisdiccional remitente ha limitado su primera cuestión prejudicial a la interpretación del artículo 1, apartado 1, de la Directiva 2016/680, tal circunstancia no obsta para que el Tribunal de Justicia le proporcione todos los elementos de interpretación que puedan serle útiles para enjuiciar el litigio principal, extrayendo del conjunto de datos aportados por dicho órgano jurisdiccional, y especialmente de la motivación de la resolución de remisión, los elementos del Derecho de la Unión que requieren interpretación, teniendo en cuenta el objeto del litigio principal (véase, en este sentido, la sentencia de 22 de abril de 2021, Profi Credit Slovakia, C‑485/19, EU:C:2021:313, apartado 50 y jurisprudencia citada). |
40 |
De ello se deduce que, mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente desea saber, en esencia, si el artículo 1, apartado 1, de la Directiva 2016/680, en relación con los artículos 4, apartado 2, y 6 de esta, debe interpretarse en el sentido de que un tratamiento de datos personales responde a un fin distinto de aquel para el que se recogieron esos datos, cuando la recogida de tales datos se realizó para detectar e investigar una infracción penal y, en el momento de esta recogida, el interesado tenía la condición de víctima, si dicho tratamiento se ha efectuado con el fin de enjuiciar a esa persona al término de la investigación penal de que se trate y si, en tal caso, dicho tratamiento está autorizado. |
41 |
Según reiterada jurisprudencia, para interpretar una disposición del Derecho de la Unión deben tomarse en consideración no solamente su redacción, sino también su contexto y los objetivos que persigue la normativa de la que forma parte. La génesis de una disposición del Derecho de la Unión también puede ofrecer elementos pertinentes para su interpretación (véase, en este sentido, la sentencia de 1 de octubre de 2019, Planet49, C‑673/17, EU:C:2019:801, apartado 48 y jurisprudencia citada). |
42 |
En primer lugar, procede señalar, antes de nada, que el tenor del artículo 1, apartado 1, de la Directiva 2016/680, relativo a su objeto, distingue expresamente diferentes categorías de actividades a las que puede responder un tratamiento de datos personales comprendido en el ámbito de aplicación de esta Directiva. A este respecto, de las diferentes versiones lingüísticas de dicha disposición, en particular de las versiones búlgara, española, alemana, griega, inglesa e italiana, resulta que los diferentes fines contemplados en el citado artículo 1, apartado 1, corresponden respectivamente a la «prevención», «investigación», «detección» o «enjuiciamiento» de infracciones penales, a la «ejecución de sanciones penales», y a la «protección» y «prevención» frente a las «amenazas contra la seguridad pública». |
43 |
A continuación, el tenor del artículo 4, apartado 2, de esta Directiva, que permite el tratamiento de datos personales «para fines establecidos en [su] artículo 1, apartado 1, distintos de aquel para el que se recojan», siempre que se cumplan los requisitos establecidos en dicha disposición, confirma expresamente que los términos enumerados en el citado artículo 1, apartado 1, a saber, la «prevención», la «detección», la «investigación», el «enjuiciamiento», la «ejecución de sanciones penales» y la «protección» y la «prevención frente a las amenazas para la seguridad pública», se refieren a una pluralidad de fines distintos del tratamiento de datos personales comprendido en el ámbito de aplicación de la misma Directiva. |
44 |
Así pues, de los propios términos del artículo 1, apartado 1, de la Directiva 2016/680, en relación con su artículo 4, apartado 2, se deduce que, cuando se hayan recogido datos personales con fines de «detección» y de «investigación» de una «infracción penal» y se hayan tratado posteriormente para su «enjuiciamiento», dicha recogida y dicho tratamiento de datos responden a fines diferentes. |
45 |
Por último, procede observar que, a tenor del artículo 6 de la misma Directiva, los Estados miembros tienen la obligación de disponer que el responsable del tratamiento, cuando corresponda y en la medida de lo posible, establezca una distinción clara entre los datos personales de distintas categorías de interesados, como, en particular, las mencionadas en las letras a), b) y c), de este artículo, esto es, respectivamente, las personas respecto de las cuales existan motivos fundados para presumir que han cometido o van a cometer una infracción penal, las personas condenadas por una infracción penal y las víctimas de una infracción penal o personas respecto de las cuales determinados hechos den lugar a pensar que puedan ser víctimas de una infracción penal. |
46 |
Por consiguiente, debe considerarse que una persona cuyos datos personales son objeto de tratamiento para enjuiciarla penalmente pertenece a la categoría de personas respecto de las cuales existen motivos fundados para presumir que han cometido una infracción penal, en el sentido de la letra a) del artículo 6 de la Directiva 2016/680. De ello se deduce que si, como en el supuesto que contempla la primera cuestión prejudicial, inicialmente esa persona fue considerada víctima de una infracción penal, en el sentido de la letra c) del artículo 6 de esa Directiva, dicho tratamiento evidencia un cambio de categoría de esa persona, lo que al responsable del tratamiento le corresponde tener en cuenta en virtud de la exigencia de establecer una distinción clara entre los datos de las diferentes categorías de personas a la que se refiere este artículo. |
47 |
Dicho esto, es preciso señalar que ni el artículo 1, apartado 1, ni el artículo 4, apartado 2, de la Directiva 2016/680 se refieren al artículo 6 de esta ni a su contenido para determinar el fin de un tratamiento de datos personales comprendido en el ámbito de aplicación de dicha Directiva. |
48 |
Por lo demás, como ha señalado el Abogado General, en esencia, en el punto 62 de sus conclusiones, la expresión «cuando corresponda y en la medida de lo posible», utilizada en el artículo 6 de la Directiva 2016/680, indica claramente que no siempre es posible establecer una distinción clara entre tales datos, en particular cuando, como sucede en el presente asunto, estos se recogen con un fin de «investigación» o de «detección» de una infracción penal, puesto que una misma persona puede estar comprendida en varias de las categorías de interesados contempladas en el artículo 6 de esta Directiva y la determinación de las categorías afectadas puede evolucionar en el curso de la instrucción, a medida que progresivamente se vayan dilucidando los hechos en cuestión. |
49 |
De ello debe deducirse que dicho artículo 6 establece una obligación distinta de la establecida en el citado artículo 4, apartado 2, y que, como señaló el Abogado General en los puntos 61 a 64 de sus conclusiones, tal obligación no es pertinente para determinar si un tratamiento de datos personales responde a un fin distinto de aquel para el que estos fueron recogidos, en el sentido de esta última disposición. |
50 |
En segundo lugar, por lo que respecta al contexto de la normativa controvertida, procede señalar que el artículo 4, apartado 1, letras b) y c), de la Directiva 2016/680 dispone, por un lado, que los datos personales deben ser recogidos con fines determinados, explícitos y legítimos y no ser tratados de forma incompatible con esos fines y, por otro lado, que dichos datos deben ser adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados. Estos dos requisitos se enuncian, en esencia, en los mismos términos en el artículo 5, apartado 1, letras b) y c), del RGPD, que especifica que corresponden, respectivamente, a los principios de limitación de la finalidad y de minimización de datos. |
51 |
Dicho esto, procede observar, a la luz del considerando 29 de esta Directiva, que su artículo 4, apartado 2, autoriza un tratamiento ulterior de datos personales con un fin distinto de aquel para el que se recogen, siempre que tal fin figure entre los establecidos en el artículo 1, apartado 1, de la misma Directiva y que dicho tratamiento cumpla los dos requisitos previstos en este artículo 4, apartado 2, letras a) y b): por un lado, el responsable del tratamiento debe estar autorizado a tratar dichos datos personales para tal fin de conformidad con el Derecho de la Unión o del Estado miembro y, por otro lado, el tratamiento debe ser necesario y proporcionado para ese otro fin. |
52 |
En particular, los datos personales recogidos con fines de «prevención», de «detección» o de «investigación» de infracciones penales pueden ser tratados ulteriormente, en su caso, por autoridades competentes diferentes, con un fin de «enjuiciamiento» o de «ejecución de sanciones penales», cuando se haya identificado una infracción penal y esta requiera, en consecuencia, una acción represiva. |
53 |
No obstante, en el marco de la recogida de datos personales con fines de «detección» y de «investigación» de infracciones penales, las autoridades competentes deben recabar todos los datos que puedan ser relevantes para la determinación de los hechos constitutivos de la infracción penal de que se trate en una fase en la que estos hechos aún no han sido probados. En cambio, en el contexto del tratamiento de datos personales con un fin de «enjuiciamiento», estos datos tienen por objeto acreditar el carácter suficientemente concluyente de los hechos imputados a las personas encausadas y la exactitud de la calificación penal de tales hechos, al objeto de permitir al órgano jurisdiccional competente dictar sentencia. |
54 |
Por consiguiente, por un lado, los datos personales necesarios para los fines de «detección» y de «investigación» de una infracción penal no lo son por sistema para un fin de «enjuiciamiento». Por otro lado, las consecuencias del tratamiento de datos personales para los interesados pueden ser sustancialmente diferentes en lo que respecta, en particular, al grado de injerencia en su derecho a la protección de esos datos y a los efectos de dicho tratamiento en su situación jurídica en el marco del proceso penal de que se trate. |
55 |
Además, procede señalar que el ámbito de aplicación del citado artículo 4, apartado 2, no se limita a los tratamientos de datos personales efectuados en relación con la misma infracción penal que justificó la recogida de esos mismos datos. En efecto, como expone el considerando 27 de la Directiva 2016/680, esta tiene en cuenta la necesidad de que las autoridades competentes en materia de lucha contra las infracciones penales traten datos personales con un fin distinto del que condujo a la recogida de dichos datos, en particular con el objetivo de adquirir un mejor conocimiento de las actividades delictivas y de establecer vínculos entre las distintas infracciones penales detectadas. |
56 |
De lo anterior se desprende que, para cumplir los requisitos establecidos en el artículo 4, apartado 2, letras a) y b), de la Directiva 2016/680, la apreciación del respeto de estos requisitos a la hora del tratamiento de datos personales, por el mismo responsable del tratamiento o por otro, para uno de los fines establecidos en el artículo 1, apartado 1, distinto de aquel para el que esos datos se recogieron, debe realizarse considerando específico y distinto cada uno de los fines contemplados en dicho artículo 1, apartado 1. |
57 |
En tercer lugar, por lo que respecta a los objetivos de la normativa controvertida, procede señalar que, como se desprende de los considerandos 10 y 11 de la Directiva 2016/680, el legislador de la Unión ha querido adoptar normas que tengan en cuenta la naturaleza específica del ámbito regulado por dicha Directiva. |
58 |
A este respecto, el considerando 12 establece que las actividades realizadas por la Policía u otras fuerzas y cuerpos de seguridad se centran principalmente en la prevención, investigación, detección o enjuiciamiento de infracciones penales, incluidas las actuaciones policiales en las que no hay constancia de si un incidente es o no constitutivo de infracción penal. |
59 |
De ello se desprende que la intención del legislador de la Unión ha sido adoptar normas que se correspondan con las especificidades que caracterizan a las actividades llevadas a cabo por las autoridades competentes en el ámbito regulado por dicha Directiva, al tiempo que tiene en cuenta que estas constituyen actividades distintas que persiguen fines que les son propios. |
60 |
Esta interpretación, a la luz del contexto de la disposición controvertida y de los objetivos perseguidos por la normativa de la que forma parte, se ve corroborada por su génesis, en particular por la exposición de motivos del Consejo en relación con la Posición (UE) n.o 5/2016 del Consejo en primera lectura con vistas a la adopción de una Directiva del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO 2016, C 158, p. 46). En efecto, en esta exposición de motivos, el Consejo justifica la introducción de la mencionada disposición en la Directiva 2016/680 señalando que «permite, por ejemplo, que un fiscal trate para el enjuiciamiento de un delito los mismos datos personales que ya han sido tratados por la policía para la detección de un delito, habida cuenta de que, en este caso, ambos fines están cubiertos por el artículo 1, apartado 1[, de esta Directiva]». |
61 |
Corresponde, por tanto, al órgano jurisdiccional remitente determinar, al objeto de resolver el litigio principal, si el tratamiento de los datos personales relativos a VS realizado por la Fiscalía de Distrito de Petrich para enjuiciar a dicha persona podía autorizarse a la luz de los requisitos del artículo 4, apartado 2, de la Directiva 2016/680, comprobando si, por un lado, el Derecho penal búlgaro permitía a dicha autoridad proceder a ese tratamiento y si, por otro lado, este era necesario y proporcionado para el fin al que obedecía. |
62 |
A este respecto, procede señalar que, para apreciar el carácter necesario y proporcionado de tal tratamiento, el órgano jurisdiccional remitente podrá, en su caso, tener en cuenta el hecho de que la autoridad encargada de esas diligencias debe poder basarse en los datos recogidos durante dicha investigación como pruebas de los hechos constitutivos de la infracción, en particular en los relativos a las personas implicadas en esta, siempre que tales datos sean necesarios para identificarlas y para determinar su implicación. |
63 |
Habida cuenta de todo lo anterior, procede responder a la primera cuestión prejudicial que el artículo 1, apartado 1, de la Directiva 2016/680, en relación con los artículos 4, apartado 2, y 6 de esta, debe interpretarse en el sentido de que un tratamiento de datos personales responde a un fin distinto de aquel para el que se recogieron esos datos, cuando la recogida de tales datos se realizó para detectar e investigar una infracción penal, si dicho tratamiento se ha efectuado con el fin de enjuiciar a una persona al término de la investigación penal de que se trate, con independencia de que, en el momento de esta recogida, esa persona tuviese la condición de víctima, y si dicho tratamiento está autorizado en virtud del artículo 4, apartado 2, de esta Directiva, siempre que el referido tratamiento cumpla los requisitos previstos en dicha disposición. |
Segunda cuestión prejudicial
64 |
Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, por un lado, si los artículos 3, punto 8, y 9, apartados 1 y 2, de la Directiva 2016/680 y el artículo 2, apartados 1 y 2, del RGPD deben interpretarse en el sentido de que dicho Reglamento es aplicable a los tratamientos de datos personales realizados por la Fiscalía de un Estado miembro en el ejercicio de su derecho de defensa en el marco de una acción de responsabilidad del Estado, en el supuesto de que esta informe al órgano jurisdiccional competente de la existencia de expedientes que atañen a una persona física que es parte en esa acción, incoados para los fines establecidos en el artículo 1, apartado 1, de esta Directiva, y de que trasmita dichos expedientes a ese órgano jurisdiccional, y, por otro lado, si, en caso afirmativo, el artículo 6, apartado 1, párrafo primero, letra f), del mencionado Reglamento debe interpretarse en el sentido de que tal tratamiento de datos personales puede considerarse lícito para la satisfacción de los intereses legítimos perseguidos por el responsable del tratamiento, en el sentido de esta disposición. |
Sobre la admisibilidad
65 |
En sus observaciones escritas, la IVSS cuestiona la admisibilidad de la segunda cuestión prejudicial alegando que el órgano jurisdiccional remitente la ha planteado en el contexto del examen de un motivo invocado por VS que fue declarado inadmisible por la resolución objeto del recurso en el litigio principal, debido a la expiración del plazo legal para invocarlo. |
66 |
Según jurisprudencia reiterada del Tribunal de Justicia, las cuestiones sobre la interpretación del Derecho de la Unión planteadas por el juez nacional en el marco fáctico y normativo definido bajo su responsabilidad, y cuya exactitud no corresponde verificar al Tribunal de Justicia, disfrutan de una presunción de pertinencia. El Tribunal de Justicia solo puede abstenerse de pronunciarse sobre una cuestión prejudicial planteada por un órgano jurisdiccional nacional cuando resulte evidente que la interpretación del Derecho de la Unión solicitada no guarda relación alguna ni con la realidad ni con el objeto del litigio principal, cuando el problema sea de naturaleza hipotética o cuando el Tribunal de Justicia no disponga de los elementos de hecho y de Derecho necesarios para dar una respuesta útil a las cuestiones que se le hayan planteado (véase, en este sentido, la sentencia de 27 de septiembre de 2017, Puškár, C‑73/16, EU:C:2017:725, apartado 50 y jurisprudencia citada). |
67 |
En el caso de autos, procede señalar, como ha observado el Abogado General en los puntos 76 y 77 de sus conclusiones, que la cuestión de la admisibilidad de los motivos invocados por VS en el marco de su recurso ante la IVSS es competencia exclusiva del órgano jurisdiccional remitente. Pues bien, en la resolución de remisión, dicho órgano jurisdiccional manifestó que entendía que la segunda cuestión prejudicial era pertinente a pesar de que la IVSS había declarado inadmisible el motivo al que se ha hecho referencia en el apartado 65 de la presente sentencia. En cualquier caso, no corresponde al Tribunal de Justicia volver a examinar esta apreciación. |
68 |
De ello se deduce que procede declarar admisible la segunda cuestión prejudicial. |
Sobre el fondo
– Aplicación del RGPD al tratamiento de datos personales efectuado por la Fiscalía de un Estado miembro en el ejercicio de su derecho de defensa en el marco de una acción de responsabilidad del Estado
69 |
En primer lugar, es preciso determinar si la utilización por la Fiscalía de un Estado miembro, en el ejercicio de su derecho de defensa en el marco de un procedimiento civil, de información relativa a una persona física que ha recogido y tratado para los fines contemplados en el artículo 1, apartado 1, de la Directiva 2016/680 constituye un «tratamiento» de «datos personales», en el sentido del artículo 4, puntos 1 y 2, del RGPD. |
70 |
Antes de nada, procede recordar que constituye un «dato personal», en el sentido del artículo 4, punto 1, del RGPD, «toda información sobre una persona física identificada o identificable», entendiéndose que, según la jurisprudencia, esta definición es aplicable cuando, debido a su contenido, finalidad y efectos, la información de que se trate esté relacionada con una persona determinada (véase, en este sentido, la sentencia de 20 de diciembre de 2017, Nowak, C‑434/16, EU:C:2017:994, apartado 35). Por otro lado, a tenor del artículo 4, punto 2, del RGPD, el concepto de «tratamiento» se define como «cualquier operación o conjunto de operaciones, realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no», como, en particular, la «consulta», la «utilización», la «comunicación por transmisión», la «difusión» o «cualquier otra forma de habilitación de acceso». Estas definiciones evidencian el objetivo del legislador de la Unión de atribuir a estos dos conceptos un significado amplio [véanse, en este sentido, las sentencias de 20 de diciembre de 2017, Nowak, C‑434/16, EU:C:2017:994, apartado 34, y de 24 de febrero de 2022, Valsts ieņēmumu dienests (Tratamiento de datos personales con fines fiscales), C‑175/20, EU:C:2022:124, apartado 35]. |
71 |
A este respecto, por un lado, el hecho de que la parte demandada en un procedimiento civil informe al órgano jurisdiccional competente, incluso de manera sucinta, en sus escritos o en la vista, de la incoación de expedientes relativos a la persona física que inició dicho procedimiento, en particular con fines de «detección» o de «investigación» de una infracción penal, implica que esa parte demandada ha «consultado», «utilizado» y «transmitido» o «comunicado»«datos personales», en el sentido del artículo 4, puntos 1 y 2, del RGPD. Así pues, tanto por su contenido como por su finalidad y por su efecto, dicha información está vinculada a una persona determinada, identificable tanto por la parte que los ha divulgado como por el órgano jurisdiccional al que se han transmitido. |
72 |
Además, el hecho de que esa misma parte demandada aporte, a instancia del órgano jurisdiccional competente, los expedientes relativos a los procedimientos que atañen a dicha persona física implica, cuando menos, «la utilización» y la «comunicación por transmisión» de «datos personales», en el sentido del artículo 4, puntos 1 y 2, del RGPD. |
73 |
En segundo lugar, procede recordar que el artículo 2, apartado 1, del RGPD define, de manera amplia, el ámbito de aplicación material de este Reglamento [sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartado 61], que incluye todo «tratamiento total o parcialmente automatizado de datos personales, así como [el] tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero». El corolario de esta definición amplia es que las excepciones a la aplicación del RGPD, enumeradas en el apartado 2 de su artículo 2, deben interpretarse en sentido estricto. Tal es el caso, en particular, de la excepción prevista en el apartado 2, letra d), de dicho artículo, que se refiere al tratamiento de datos personales efectuado por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales [véase, en este sentido, la sentencia de 24 de febrero de 2022, Valsts ieņēmumu dienests (Tratamiento de datos personales con fines fiscales), C‑175/20, EU:C:2022:124, apartados 40 y 41 y jurisprudencia citada]. |
74 |
A este respecto, el Tribunal de Justicia ha declarado que, según resulta del considerando 19 de dicho Reglamento, esta excepción está motivada por el hecho de que los tratamientos de datos personales por parte de las autoridades competentes para los fines establecidos en el artículo 2, apartado 2, letra d), del RGPD se rigen por un acto específico de la Unión, a saber, la Directiva 2016/680, que fue adoptada el mismo día que el RGPD [véase, en este sentido, la sentencia de 24 de febrero de 2022, Valsts ieņēmumu dienests (Tratamiento de datos personales con fines fiscales), C‑175/20, EU:C:2022:124, apartado 42 y jurisprudencia citada]. |
75 |
Como se deduce del considerando 12 de la Directiva 2016/680, el legislador de la Unión estableció, en el artículo 9 de dicha Directiva, normas relativas al tratamiento de datos personales con fines distintos de los establecidos en el artículo 1, apartado 1, de esa misma Directiva, para los que se recogieron esos datos. |
76 |
A este respecto, el artículo 9, apartado 1, de la Directiva 2016/680 establece, por un lado, que tal tratamiento de datos personales no puede efectuarse, en principio, salvo que esté autorizado por el Derecho de la Unión o del Estado miembro, y, por otro lado, que el RGPD se aplica a dicho tratamiento, a menos que se efectúe como parte de una actividad que queda fuera del ámbito de aplicación del Derecho de la Unión. Asimismo, en virtud del artículo 9, apartado 2, de esta Directiva, a menos que el tratamiento se efectúe como parte de una actividad de tal naturaleza, el RGPD es aplicable al tratamiento efectuado por las autoridades competentes en el desempeño de funciones que no coincidan con los fines establecidos en el artículo 1, apartado 1, de dicha Directiva. |
77 |
Pues bien, en los supuestos mencionados en los apartados 71 y 72 de la presente sentencia, la recogida y el tratamiento de datos personales por la Fiscalía de un Estado miembro con fines de «prevención», «investigación», «detección» o «enjuiciamiento» de infracciones penales ciertamente constituyen tratamientos de datos personales para los fines establecidos en el artículo 1, apartado 1, de la Directiva 2016/680, en el sentido del artículo 9, apartados 1 y 2, de dicha Directiva. |
78 |
No obstante, aun cuando el ejercicio de una acción de responsabilidad del Estado tenga su origen en irregularidades presuntamente cometidas por la Fiscalía en el marco de un procedimiento penal, como sucede en el presente asunto con las vulneraciones del derecho a ser juzgado en un plazo razonable alegadas, la defensa del Estado en el marco de tal acción no tiene como objetivo garantizar las funciones como tales que incumben a esa Fiscalía para los fines establecidos en el artículo 1, apartado 1, de la Directiva 2016/680. |
79 |
Además, habida cuenta del principio de interpretación estricta de las excepciones a la aplicación del RGPD, los mencionados tratamientos de datos personales no pueden considerarse realizados «en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión», en el sentido del artículo 2, apartado 2, letra a), del RGPD y del artículo 9, apartados 1 y 2, de la Directiva 2016/680. A este respecto, de la jurisprudencia resulta que esta expresión tiene como único objeto excluir del ámbito de aplicación del RGPD los tratamientos de datos personales efectuados por las autoridades estatales en el marco de una actividad dirigida a preservar la seguridad nacional o de una actividad que pueda incluirse en la misma categoría. Pues bien, la participación de una autoridad pública en un procedimiento civil como parte demandada en el marco de una acción de responsabilidad del Estado no tiene por objeto preservar la seguridad nacional ni puede incluirse en la misma categoría de actividad [véase, en este sentido, la sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartados 66 a 68 y jurisprudencia citada]. |
80 |
En tercer lugar, procede señalar que, a efectos de la aplicación del RGPD a los tratamientos de datos mencionados en los apartados 71 y 72 de la presente sentencia, la Fiscalía debe ser considerada «responsable del tratamiento» en el sentido no solo del artículo 4, punto 7, del RGPD, sino también del artículo 3, punto 8, de la Directiva 2016/680, en la medida en que «sola o conjuntamente con otras»«[determina] los fines y medios» de estos tratamientos, en el sentido de esta última disposición. En efecto, esta autoridad, como parte en el procedimiento, es quien informa al órgano jurisdiccional competente de la existencia de expedientes incoados en materia penal que atañen a la otra parte y quien le transmite dichos expedientes. Su condición de «responsable del tratamiento», habida cuenta de la definición amplia de este concepto, que pretende garantizar una protección eficaz y completa de los interesados, es independiente de su grado de implicación y de su nivel de responsabilidad, que pueden ser diferentes de los del órgano jurisdiccional competente, a quien corresponde autorizar o incluso ordenar tales tratamientos (véase, por analogía, la sentencia de 29 de julio de 2019, Fashion ID, C‑40/17, EU:C:2019:629, apartados 66 a 70). |
81 |
Pues bien, con independencia de si los tratamientos de datos a que se hace referencia en el apartado 80 de la presente sentencia están comprendidos en el ámbito de aplicación del apartado 1 o del apartado 2 del artículo 9 de la Directiva 2016/680, del tenor de esos apartados y de su articulación se desprende que el RGPD se aplica a todo tratamiento de datos personales recogidos para los fines establecidos en el artículo 1, apartado 1, de dicha Directiva con fines distintos de estos, salvo si el tratamiento en cuestión no está comprendido en el ámbito de aplicación del Derecho de la Unión, incluso cuando el «responsable del tratamiento», en el sentido del artículo 3, punto 8, de dicha Directiva, sea una «autoridad competente», en el sentido del artículo 3, punto 7, letra a), de esta Directiva, y efectúe el tratamiento de datos personales en el desempeño de funciones que no coincidan con los fines establecidos en el artículo 1, apartado 1, de la misma Directiva. |
82 |
Habida cuenta de todo lo anterior, procede considerar que el RGPD es aplicable a los tratamientos de datos personales realizados por la Fiscalía de un Estado miembro en el ejercicio de su derecho de defensa en el marco de una acción de responsabilidad del Estado cuando, por un lado, informa al órgano jurisdiccional competente de la existencia de expedientes que atañen a una persona física que es parte en esa acción, incoados para los fines establecidos en el artículo 1, apartado 1, de la Directiva 2016/680, y, por otro lado, transmite dichos expedientes a ese órgano jurisdiccional. |
– Licitud del tratamiento de datos personales efectuado por la Fiscalía de un Estado miembro en el ejercicio de su derecho de defensa en el marco de una acción de responsabilidad del Estado
83 |
Procede recordar que el artículo 6 del RGPD enumera, de manera exhaustiva, los casos en los que un tratamiento de datos personales puede considerarse lícito [véase, en este sentido, la sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartado 99]. |
84 |
Entre estos supuestos, el artículo 6, apartado 1, párrafo primero, letra e), del RGPD contempla el tratamiento necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento y el artículo 6, apartado 1, párrafo primero, letra f), de dicho Reglamento se refiere al tratamiento necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales. Según el artículo 6, apartado 1, párrafo segundo, de dicho Reglamento, el artículo 6, apartado 1, párrafo primero, letra f), de este mismo Reglamento no es de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones. |
85 |
Procede señalar que, como ha observado acertadamente la Comisión en sus observaciones escritas, del tenor del artículo 6, apartado 1, párrafo segundo, del RGPD se desprende claramente que el tratamiento de datos personales realizado por una autoridad pública en el ejercicio de sus funciones no puede estar comprendido en el ámbito de aplicación del artículo 6, apartado 1, párrafo primero, letra f), del RGPD, relativo a los tratamientos de datos personales necesarios para la satisfacción de los intereses legítimos perseguidos por el responsable del tratamiento. Como se desprende del considerando 47 del RGPD y como ha alegado la Comisión, esta última disposición no puede aplicarse a tales tratamientos de datos, dado que su base jurídica debe establecerla el legislador. De ello resulta que, cuando el tratamiento realizado por una autoridad pública es necesario para el cumplimiento de una misión realizada en interés público y, por lo tanto, forma parte de las funciones mencionadas en el artículo 6, apartado 1, párrafo segundo, de dicho Reglamento, la aplicación del artículo 6, apartado 1, párrafo primero, letra e), del RGPD y del artículo 6, apartado 1, párrafo primero, letra f), de este se excluyen mutuamente. |
86 |
Por lo tanto, antes de abordar la cuestión de la aplicación del artículo 6, apartado 1, párrafo primero, letra f), del RGPD, es preciso determinar si el tratamiento, por parte de la Fiscalía de un Estado miembro, de datos personales inicialmente recogidos para uno o varios de los fines establecidos en el artículo 1, apartado 1, de la Directiva 2016/680, en el ejercicio de la defensa del Estado o de un organismo público en el marco de una acción de responsabilidad que tiene por objeto la indemnización de los daños causados por irregularidades del Estado o de un organismo público en el ejercicio de sus funciones, es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio del poder público conferido al Estado o al organismo público, en el sentido del artículo 6, apartado 1, párrafo primero, letra e), de dicho Reglamento. |
87 |
Pues bien, como ha señalado el Abogado General, en esencia, en los puntos 94 y 100 de sus conclusiones, cuando incumbe a la Fiscalía defender los intereses jurídicos y patrimoniales del Estado en el marco de una acción de responsabilidad que cuestiona las actuaciones o el comportamiento de esa autoridad pública en el desempeño de las funciones de interés público que se le encomiendan en materia penal, la defensa de esos intereses puede constituir, en virtud del Derecho nacional, una misión realizada en interés público en el sentido del artículo 6, apartado 1, párrafo primero, letra e), de dicho Reglamento. |
88 |
En efecto, por un lado, mediante el ejercicio de los derechos procesales que se le conceden como parte demandada, la citada autoridad pública preserva la seguridad jurídica de los actos realizados y de las decisiones adoptadas en aras del interés público cuestionados por la parte demandante. La postura de dicha autoridad pública respecto de los motivos y alegaciones de la parte demandante puede evitar, en su caso, el riesgo de que estos pongan en peligro la aplicación efectiva de las normas que le incumbe en el desempeño de las funciones cuyo ejercicio irregular se le imputa. |
89 |
Por otro lado, mediante los motivos y alegaciones en su defensa, esa misma autoridad pública puede poner de relieve, en su caso, el carácter eventualmente infundado o excesivo de las pretensiones indemnizatorias de la parte demandante, con el fin, en particular, de evitar que el cumplimiento de las funciones de interés público que se cuestiona en el marco de la acción de responsabilidad se vea obstaculizado por la perspectiva de acciones de indemnización de daños y perjuicios, cuando esas funciones puedan menoscabar los intereses de los particulares. |
90 |
A este respecto, carece de relevancia el hecho de que, en el marco de una acción de responsabilidad del Estado, la Fiscalía actúe, como parte demandada, en pie de igualdad con las demás partes y no ejerza prerrogativas de poder público, como sí sucede en el marco del ejercicio de sus funciones en materia penal. |
91 |
En el presente asunto, de la resolución de remisión y de las aclaraciones aportadas por el Gobierno búlgaro en respuesta a las preguntas formuladas por el Tribunal de Justicia se desprende que la acción de responsabilidad que, en parte, está en el origen del litigio principal se basa en la Ley sobre la Responsabilidad del Estado y de los Municipios por Daños y Perjuicios, mencionada en el apartado 26 de la presente sentencia, que establece un régimen de responsabilidad del Estado por los daños causados por una vulneración del derecho a que el asunto sea examinado y juzgado en un plazo razonable, y que, de conformidad con el artículo 7 de dicha Ley, es la autoridad cuyas acciones, hechos u omisiones ilícitos hayan ocasionado el daño la que es parte en el litigio y la que, como tal, sustituye al Estado en el plano procesal. |
92 |
Así, el papel de la autoridad causante del supuesto daño en el marco de dicha acción de responsabilidad es diferente al de la parte demandada en el marco de una acción de repetición del Estado contra el funcionario público cuya responsabilidad personal se origina como consecuencia de las irregularidades cometidas en el ejercicio de sus funciones, ya que, en este último caso, dicho papel tiene por objeto la defensa de intereses privados (véase, en este sentido, la sentencia de 18 de mayo de 2021, Asociaţia Forumul Judecătorilor din România y otros, C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 y C‑397/19, EU:C:2021:393, apartado 225). |
93 |
Por consiguiente, habida cuenta de las consideraciones anteriores, procede considerar que el tratamiento, por parte de la Fiscalía de un Estado miembro, de datos personales inicialmente recogidos y tratados para uno o varios de los fines establecidos en el artículo 1, apartado 1, de la Directiva 2016/680, en el ejercicio de la defensa del Estado en el marco de una acción de responsabilidad que tiene por objeto la indemnización de los daños causados por irregularidades de esa Fiscalía en el cumplimiento de sus funciones, puede estar comprendido, en principio, no en el ámbito de aplicación del artículo 6, párrafo primero, letra f), del RGPD, sino más bien en el del artículo 6, apartado 1, párrafo primero, letra e), del RGPD. |
94 |
Por otro lado, no puede excluirse que, cuando, en el ejercicio de la defensa del Estado en el marco de una acción de responsabilidad, la Fiscalía de un Estado miembro transmita datos personales al órgano jurisdiccional competente, a instancia de este, esa transmisión también pueda estar comprendida en el ámbito de aplicación del artículo 6, apartado 1, párrafo primero, letra c), del RGPD, si, en virtud del Derecho nacional aplicable, dicha Fiscalía esté obligada a dar curso a tal solicitud. |
95 |
En estas circunstancias, al objeto de determinar si tratamientos de datos personales como los controvertidos en el litigio principal están comprendidos en el ámbito de aplicación de estas disposiciones del artículo 6, apartado 1, párrafo primero, del RGPD, corresponde al órgano jurisdiccional remitente comprobar que, de conformidad con el artículo 6, apartado 3, de dicho Reglamento, el Derecho nacional define, por un lado, la base de tales tratamientos y, por otro lado, la finalidad de estos o, por lo que respecta al artículo 6, apartado 1, párrafo primero, letra e), que dichos tratamientos son necesarios para el cumplimiento por la Fiscalía de su misión de interés público. |
96 |
Por otro lado, corresponde al órgano jurisdiccional remitente determinar si la divulgación, por parte de la Fiscalía, de información relativa a la persona que ha ejercitado la acción de responsabilidad contenida en expedientes incoados en asuntos distintos del que ha dado lugar a dicha acción responde a las demás exigencias previstas por el RGPD y, en particular, al principio de «minimización de datos» previsto en el artículo 5, apartado 1, letra c), del RGPD, según el cual los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados, reflejo del principio de proporcionalidad [véase, en este sentido, la sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartado 98]. Además, le corresponde comprobar que ese tratamiento de datos personales se ha realizado respetando las garantías adecuadas, en particular la posibilidad de formular observaciones efectivas sobre la información y las pruebas aportadas en ese contexto por la Fiscalía, así como, con arreglo al artículo 21, apartado 1, del RGPD, de oponerse a la comunicación de esa información y de estas pruebas al órgano jurisdiccional competente, sin perjuicio de las limitaciones a este derecho de oposición previstas por la legislación nacional, de conformidad con el artículo 23, apartado 1, del mencionado Reglamento. |
97 |
Habida cuenta de lo anteriormente expuesto, procede responder a la segunda cuestión prejudicial que:
|
Costas
98 |
Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso. |
En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Quinta) declara: |
|
|
|
Firmas |
( *1 ) Lengua de procedimiento: búlgaro.