This document is an excerpt from the EUR-Lex website
Document 62001CC0101
Opinion of Mr Advocate General Tizzano delivered on 19 September 2002. # Criminal proceedings against Bodil Lindqvist. # Reference for a preliminary ruling: Göta hovrätt - Sweden. # Directive 95/46/EC - Scope - Publication of personal data on the internet - Place of publication - Definition of transfer of personal data to third countries - Freedom of expression - Compatibility with Directive 95/46 of greater protection for personal data under the national legislation of a Member State. # Case C-101/01.
Conclusiones del Abogado General Tizzano presentadas el 19 de septiembre de 2002.
Procedimento penal entablado contra Bodil Lindqvist.
Petición de decisión prejudicial: Göta hovrätt - Suecia.
Directiva 95/46/CE - Ámbito de aplicación - Publicación de datos personales en Internet - Lugar de la publicación - Concepto de transferencia de datos personales a países terceros - Libertad de expresión - Compatibilidad con la Directiva 95/46 de una protección más rigurosa de los datos personales por parte de la normativa de un Estado miembro.
Asunto C-101/01.
Conclusiones del Abogado General Tizzano presentadas el 19 de septiembre de 2002.
Procedimento penal entablado contra Bodil Lindqvist.
Petición de decisión prejudicial: Göta hovrätt - Suecia.
Directiva 95/46/CE - Ámbito de aplicación - Publicación de datos personales en Internet - Lugar de la publicación - Concepto de transferencia de datos personales a países terceros - Libertad de expresión - Compatibilidad con la Directiva 95/46 de una protección más rigurosa de los datos personales por parte de la normativa de un Estado miembro.
Asunto C-101/01.
Recopilación de Jurisprudencia 2003 I-12971
ECLI identifier: ECLI:EU:C:2002:513
Conclusiones del Abogado General Tizzano presentadas el 19 de septiembre de 2002. - Procedimento penal entablado contra Bodil Lindqvist. - Petición de decisión prejudicial: Göta hovrätt - Suecia. - Directiva 95/46/CE - Ámbito de aplicación - Publicación de datos personales en Internet - Lugar de la publicación - Concepto de transferencia de datos personales a países terceros - Libertad de expresión - Compatibilidad con la Directiva 95/46 de una protección más rigurosa de los datos personales por parte de la normativa de un Estado miembro. - Asunto C-101/01.
Recopilación de Jurisprudencia 2003 página 00000
1. Mediante resolución de 23 de febrero de 2001, el Göta Hovrätt (Suecia) sometió al Tribunal de Justicia siete cuestiones prejudiciales relativas a la interpretación de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en lo sucesivo, «Directiva 95/46» o simplemente, «Directiva»). Estas cuestiones se refieren, en particular, al ámbito de aplicación de la Directiva, a la transferencia de datos de carácter personal hacia países terceros, a la compatibilidad de la Directiva con los principios generales en materia de libertad de expresión y a la posibilidad de establecer en el plano nacional un régimen más restrictivo que el comunitario.
Marco jurídico
Convenio Europeo para la protección de los Derechos Humanos y de las Libertades Fundamentales
2. Con el fin de reconstruir el marco jurídico pertinente en el presente caso, procede recordar los artículos 8 y 10 del Convenio Europeo para la protección de los Derechos Humanos y de las Libertades Fundamentales.
3. El primero, en particular, dispone:
«1. Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia.
2. No podrá haber injerencia de la autoridad pública en el ejercicio de este derecho sino en tanto en cuanto esta injerencia esté prevista por la Ley y constituya una medida que, en una sociedad democrática, sea necesaria para la seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención de infracciones penales, la protección de la salud o de la moral, o la protección de los derechos y libertades de los demás.»
4. El segundo, por su parte, dispone:
«1. Toda persona tiene derecho a la libertad de expresión. Este derecho comprende la libertad de opinión y la libertad de recibir o de comunicar informaciones o ideas sin que pueda haber injerencia de autoridades públicas y sin consideración de fronteras. El presente artículo no impide que los Estados sometan las empresas de radiodifusión, de cinematografía o de televisión a un régimen de autorización previa.
2. El ejercicio de estas libertades, que entrañan deberes y responsabilidades, podrá ser sometido a ciertas formalidades, condiciones, restricciones o sanciones, previstas por la ley, que constituyan medidas necesarias, en una sociedad democrática, para la seguridad nacional, la integridad territorial o la seguridad pública, la defensa del orden y la prevención del delito, la protección de la salud o de la moral, la protección de la reputación o de los derechos ajenos, para impedir la divulgación de informaciones confidenciales o para garantizar la autoridad y la imparcialidad del poder judicial.»
La Directiva 95/46
5. En el ámbito comunitario, debe señalarse la Directiva 95/46, adoptada sobre la base del artículo 100 A del Tratado CE (actualmente artículo 95 CE) con el fin de promover la libre circulación de los datos personales mediante la armonización de las disposiciones legislativas, reglamentarias y administrativas de los Estados miembros relativas a la protección de las personas físicas en lo que respecta al tratamiento de estos datos.
6. En el origen de la Directiva está la idea de «que las diferencias entre los niveles de protección de los derechos y libertades de las personas y, en particular, de la intimidad, garantizados en los Estados miembros por lo que respecta al tratamiento de datos personales, pueden impedir la transmisión de dichos datos del territorio de un Estado miembro al de otro; que, por lo tanto, estas diferencias pueden constituir un obstáculo para el ejercicio de una serie de actividades económicas a escala comunitaria, falsear la competencia e impedir que las administraciones cumplan los cometidos que les incumben en virtud del Derecho comunitario» (séptimo considerando). En consecuencia, el legislador comunitario estimó «que, para eliminar los obstáculos a la circulación de datos personales, el nivel de protección de los derechos y libertades de las personas, por lo que se refiere al tratamiento de dichos datos, [debía] ser equivalente en todos los Estados miembros». Para lograrlo era necesaria, en su opinión, una medida de armonización a escala comunitaria, ya que el objetivo de la libre circulación de los datos personales, «esencial para el mercado interior, no [podía] lograrse mediante la mera actuación de los Estados miembros, teniendo en cuenta, en particular, las grandes diferencias existentes [...] entre las legislaciones nacionales aplicables en la materia y la necesidad de coordinar las legislaciones de los Estados miembros para que el flujo transfronterizo de datos personales sea regulado de forma coherente y de conformidad con el objetivo del mercado interior definido en el artículo 7 A del Tratado» (octavo considerando). En cambio, tras la adopción de una medida de armonización, «a causa de la protección equivalente que resulta de la aproximación de las legislaciones nacionales, los Estados miembros ya no [podrían] obstaculizar la libre circulación entre ellos de datos personales por motivos de protección de los derechos y libertades de las personas físicas, y, en particular, del derecho a la intimidad» (noveno considerando).
7. En estas circunstancias, el legislador comunitario estimó que al establecer un nivel de protección «equivalente en todos los Estados miembros» no se podía prescindir de la exigencia de proteger «los derechos fundamentales de las personas» (tercer considerando). Así, entendió, en particular, «que las legislaciones nacionales relativas al tratamiento de datos personales tienen por objeto garantizar el respeto de los derechos y libertades fundamentales, particularmente del derecho al respeto de la vida privada reconocido en el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, así como en los principios generales del Derecho comunitario». De conformidad con lo anterior, entendió que «la aproximación de dichas legislaciones no [debía] conducir a una disminución de la protección que [garantizaban] sino que, por el contrario, [debía] tener por objeto asegurar un alto nivel de protección dentro de la Comunidad» (décimo considerando).
8. A la luz de estas premisas y motivos debe interpretarse, en consecuencia, el artículo 1 de la Directiva, que define de este modo su objeto:
«1. Los Estados miembros garantizarán, con arreglo a las disposiciones de la presente Directiva, la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales.
2. Los Estados miembros no podrán restringir ni prohibir la libre circulación de datos personales entre los Estados miembros por motivos relacionados con la protección garantizada en virtud del apartado 1.»
9. En cuanto a las principales definiciones del artículo 2 de la Directiva, procede recordar, a estos efectos, que:
a) por «datos personales» se entenderá «toda información sobre una persona física identificada o identificable (el "interesado"); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social»;
b) por «tratamiento de datos personales» se entenderá «cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción»;
c) por «fichero de datos personales» se entenderá «todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica»;
d) por «responsable del tratamiento» se entenderá «la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales».
10. El artículo 3 define el ámbito de aplicación de la Directiva al precisar, en su apartado 1, que sus disposiciones «se aplicarán al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero». No obstante, conforme al apartado 2, queda excluido del ámbito de aplicación de la Directiva el tratamiento de datos personales:
- «efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de los títulos V y VI del Tratado de la Unión Europea y, en cualquier caso, [el] tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal»;
- o bien «efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas».
11. A los efectos del presente caso, procede recordar además algunas disposiciones del capítulo II de la Directiva («Condiciones generales para la licitud del tratamiento de datos personales»; artículos 5 a 21), comenzando por el artículo 7, relativo a los casos en los que «el tratamiento de datos personales [...] pueda efectuarse». A este respecto, hay que señalar que, junto a otros supuestos que no resultan pertinentes en el presente caso, en la letra a) se establece, en particular, que este tratamiento podrá efectuarse cuando «el interesado [haya] dado su consentimiento de forma inequívoca».
12. En el artículo 8, por su parte, se establece un régimen especial para algunas categorías de datos delicados. En concreto, el apartado 1 establece que, en principio, los «Estados miembros prohibirán el tratamiento de datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, así como el tratamiento de los datos relativos a la salud o a la sexualidad». Junto a otras excepciones que aquí no resultan pertinentes, el apartado 2 precisa que esta disposición no se aplicará cuando «el interesado haya dado su consentimiento explícito a dicho tratamiento, salvo en los casos en los que la legislación del Estado miembro disponga que la prohibición establecida en el apartado 1 no pueda levantarse con el consentimiento del interesado».
13. Para conciliar las exigencias de protección en lo que respecta al tratamiento de datos personales con el principio de libertad de expresión, el artículo 9 establece que «en lo referente al tratamiento de datos personales con fines exclusivamente periodísticos o de expresión artística o literaria, los Estados miembros establecerán, respecto de las disposiciones del presente capítulo, del capítulo IV y del capítulo VI, exenciones y excepciones sólo en la medida en que resulten necesarias para conciliar el derecho a la intimidad con las normas que rigen la libertad de expresión».
14. Siempre en relación con las «condiciones generales para la licitud del tratamiento de datos personales», en el presente caso conviene, además, recordar que, conforme al artículo 18, y salvo excepciones, los responsables del tratamiento de datos personales deberán notificar previamente su existencia a la autoridad de control que debe crearse al efecto en los Estados miembros.
15. Por último, procede recordar el artículo 25 de la Directiva, según el cual «la transferencia a un país tercero de datos personales que sean objeto de tratamiento o destinados a ser objeto de tratamiento con posterioridad a su transferencia, únicamente [podrá] efectuarse cuando [...] el país tercero de que se trate garantice un nivel de protección adecuado» (apartado 1). El carácter adecuado del nivel de protección «se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos; en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, así como las normas profesionales y las medidas de seguridad en vigor en dichos países» (apartado 2).
La normativa sueca
16. Suecia ha adaptado su Derecho interno a la Directiva 95/46 mediante la Personuppgiftslag (Ley de datos personales). En el presente caso, hay que subrayar, en particular, que, conforme al artículo 49, apartado 1, letras b) a d), de esta Ley, en Suecia se castiga como delito la falta de comunicación de un tratamiento automatizado de datos personales a la autoridad de control competente (la Datainspektion), el tratamiento de datos delicados, entre ellos los relativos a la salud, y la transferencia no autorizada hacia terceros países de datos personales que están siendo tratados. Debe señalarse asimismo que de los trabajos preparatorios de la Personuppgiftslag resulta que esta Ley no está destinada a tener un ámbito de aplicación distinto al de la Directiva.
Hechos y procedimiento
17. En otoño de 1998, la señora Bodil Lindqvist, aparte de su trabajo habitual, colaboraba desinteresadamente como catequista con la parroquia de Alseda en Suecia. En el marco de esta actividad, con el fin de facilitar a la parroquia la obtención de las informaciones necesarias, había elaborado una página web en Internet en la que recogía algunos datos sobre ella misma, su marido y dieciséis compañeros de trabajo de la parroquia, identificados, en algunos casos, sólo con el nombre de pila y en otros, con el nombre completo. Más específicamente, en la página web se describían, en tono ligeramente humorístico, las viviendas de los compañeros de trabajo, así como sus aficiones; en algunos casos se indicaba además la situación familiar y figuraban los números de teléfono y otras informaciones personales. Entre las diversas informaciones divulgadas figuraba, a los efectos que aquí interesan, la circunstancia de que una compañera de trabajo se encontraba en situación de baja laboral de carácter parcial a causa de una lesión en un pie. A la página web se podía acceder también a través de la página en Internet de la Iglesia sueca, en la cual, a petición de la señora Lindqvist, se había incluido un enlace específico.
18. La señora Lindqvist no había informado a sus compañeros de trabajo de la existencia de la página web ni, por tanto, tampoco les había solicitado el consentimiento para proceder al tratamiento de sus datos. La Datainspektion no había sido informada tampoco de la creación de la página web ni se le había notificado tratamiento alguno de datos de carácter personal. La página web tuvo, no obstante, una vida breve, ya que la señora Lindqvist la suprimió inmediatamente en cuanto supo que algunos de sus compañeros de trabajo no apreciaban su iniciativa.
19. Como consecuencia de la creación de la página web, y pese a su inmediata supresión, se inició en Suecia un procedimiento penal contra la señora Lindqvist conforme al artículo 49, apartado 1, letras b) a d), de la Personuppgiftslag. En el marco de este procedimiento se le imputaba, en concreto, haber tratado datos personales, estando el tratamiento automatizado, sin haberlo notificado previamente por escrito a la Datainspektion; haber tratado datos delicados, como los relativos a la lesión de la compañera de trabajo y a la consiguiente baja laboral de carácter parcial, y haber transferido sin autorización hacia países terceros datos personales que estaban siendo tratados.
20. La señora Lindqvist confirmó la veracidad de los hechos invocados por el Ministerio Fiscal, pero negó que tuvieran relevancia penal. No obstante, sus alegaciones fueron desestimadas por el órgano jurisdiccional que conocía del asunto, que la condenó al pago de una multa en una sentencia que fue posteriormente recurrida por la señora Lindqvist ante el Hovrätt.
21. Dado que durante el proceso se cuestionó la compatibilidad de la normativa sueca con las disposiciones de la Directiva y se plantearon delicadas cuestiones relativas a la interpretación de estas disposiciones, el Hovrätt suspendió el procedimiento con el fin de someter al Tribunal de Justicia las siguientes cuestiones prejudiciales:
«1) ¿Constituye una conducta comprendida en el ámbito de aplicación de la Directiva [95/46] la designación de una persona -con su nombre o con su nombre y número de teléfono- en una página web de Internet? ¿Constituye un "tratamiento total o parcialmente automatizado de datos personales" el hecho de que en una página web de Internet realizada personalmente se relacione a una serie de personas junto con datos y afirmaciones relativas a su situación laboral y a sus aficiones?
2) En caso de respuesta negativa a la cuestión anterior, ¿constituye un "tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero", contemplado en el artículo 3, apartado 1, de la Directiva, la conducta consistente en publicar en un sitio Internet diversas páginas web referidas específicamente a una quincena de personas, con enlaces entre dichas páginas que hacen posible la búsqueda por nombre de pila?
En caso de respuesta afirmativa a alguna de estas cuestiones, el hovrätt formula además las siguientes cuestiones:
3) ¿Debe considerarse excluida del ámbito de aplicación de la Directiva [95/46] por estar comprendida en alguna de las excepciones enumeradas en el artículo 3, apartado 2, la conducta consistente en divulgar datos de esta naturaleza acerca de los compañeros de trabajo en una página web privada, siendo los datos accesibles a todos aquellos que conozcan la dirección de dicha página?
4) ¿Constituye un dato relativo a la salud que, con arreglo al artículo 8, apartado 1, no puede ser objeto de tratamiento la divulgación en una página web de la circunstancia de que un compañero de trabajo, designado por su nombre, se ha lesionado el pie y está en situación de baja parcial?
5) Según la Directiva [95/46], la transferencia de datos personales a países terceros está prohibida en determinados casos. ¿Constituye una transferencia a países terceros en el sentido contemplado en la Directiva [95/46] el hecho de que una persona divulgue datos personales en una página web que está almacenada en un servidor en Suecia, de modo que los datos personales resultan accesibles a nacionales de países terceros? ¿Sigue siendo idéntica la respuesta si, por lo que se sabe, ningún nacional de un país tercero ha accedido efectivamente a dichos datos o si el servidor en cuestión se encuentra físicamente situado en un país tercero?
6) ¿Puede considerarse en un caso como el presente que las disposiciones de la Directiva [95/46] implican una restricción contraria al principio general de libertad de expresión, o a otras libertades y derechos vigentes en la Unión Europea y que tienen su equivalente, entre otros, en el artículo 10 del Convenio Europeo para la protección de los Derechos Humanos y de las Libertades Fundamentales?
Finalmente el hovrätt formula la siguiente cuestión:
7) ¿Puede un Estado miembro, en una situación como la expuesta en las anteriores cuestiones, otorgar una protección más amplia a los datos personales o extender el ámbito de aplicación de la Directiva [95/46], aunque no se dé ninguna de las circunstancias enunciadas en el artículo 13?»
22. En el procedimiento posterior seguido ante el Tribunal de Justicia, además de la señora Lindqvist y el Reino de Suecia, presentaron observaciones el Reino de los Países Bajos, el Reino Unido y la Comisión.
Análisis jurídico
Consideraciones preliminares
23. Como se ha visto, el órgano jurisdiccional remitente somete al Tribunal de Justicia numerosas cuestiones, relativas al ámbito de aplicación de la Directiva, a la interpretación de los artículos 8 y 25, a la validez de sus disposiciones en relación con los principios generales del Derecho comunitario y a la posibilidad de los Estados miembros de establecer un nivel de protección más elevado que el garantizado por la Directiva.
24. Más concretamente, en relación con el ámbito de aplicación de la Directiva, el órgano jurisdiccional no parece tener dudas sobre el hecho de que en el presente caso se está ante un «tratamiento de datos personales», ni, por lo demás, las partes que intervienen en el procedimiento han planteado ninguna duda al respecto. De hecho, es evidente que:
- por una parte, las informaciones relativas a los compañeros de trabajo de la señora Lindqvist (nombre, apellidos, número de teléfono, actividad laboral, aficiones, etc.) constituyen «datos personales», comprendiendo esta categoría «toda información sobre una persona física identificada o identificable» [artículo 2, letra a)];
- por otra parte, el hecho de divulgar esta información en una página web de este tipo da lugar a un «tratamiento» de los datos personales, dado que también a este respecto la Directiva da una definición particularmente amplia, que comprende «cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción» [artículo 2, letra b)].
25. No obstante, no todo «tratamiento de datos personales» está comprendido en el ámbito de aplicación de la Directiva. En efecto, el artículo 3, apartado 1, establece que las disposiciones de la Directiva se aplicarán sólo al tratamiento «total o parcialmente automatizado» de datos personales, así como al tratamiento «no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero». En términos más generales, y conforme al apartado 2 del mismo artículo, las disposiciones de la Directiva no se aplicarán al tratamiento de datos personales «efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario» (primer guión), ni al «efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas» (segundo guión).
26. Con respecto a los límites impuestos por estas disposiciones al ámbito de aplicación de la Directiva, el órgano jurisdiccional remitente, con las tres primeras cuestiones, desea, por tanto, saber:
i) si la inclusión de la información en cuestión en la página web constituye un tratamiento «total o parcialmente automatizado» de datos personales (primera cuestión) o bien un tratamiento «no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero» (segunda cuestión);
ii) si un tratamiento de datos personales de las características del que se examina queda excluido en todo caso del ámbito de aplicación de la Directiva en tanto que efectuado «en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario» o bien porque ha sido efectuado «por una persona física en el ejercicio de actividades exclusivamente personales o domésticas» (tercera cuestión).
27. A pesar de que el órgano jurisdiccional remitente sigue un orden distinto, los problemas suscitados por la tercera cuestión deben resolverse, en mi opinión, de manera preliminar. En efecto, dado el carácter más general del artículo 3, apartado 2, me parece evidente que tanto el tratamiento total o parcialmente automatizado de datos personales como el tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero escapan al ámbito de aplicación de la Directiva si se efectúan en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario o por una persona física en el ejercicio de actividades exclusivamente personales o domésticas. En estas circunstancias, una respuesta afirmativa a la tercera cuestión haría superfluo el examen de las dos primeras. Por tanto, comenzaré por el examen de la tercera cuestión.
Sobre la tercera cuestión
Argumentos de las partes
28. Sobre esta cuestión han presentado observaciones todas las partes que intervienen en el procedimiento salvo el Reino Unido, que se limitó a examinar las cuestiones quinta y sexta.
29. La señora Lindqvist considera que sólo el tratamiento de datos efectuado en el marco de actividades económicas queda comprendido en el ámbito de aplicación de la Directiva, la cual no comprende, por tanto, un tratamiento (como el que se examina) efectuado sin ninguna remuneración y al margen de cualquier actividad de carácter económico. En caso contrario, según la señora Lindqvist, se plantearía un problema de validez de la Directiva, en la medida en que el artículo 95 CE (sobre la base del cual fue adoptada la Directiva) no permite regular a escala comunitaria actividades que no tienen ninguna relación con el objetivo de realización del mercado interior. Regular estas actividades con una directiva de armonización adoptada sobre la base del citado artículo implicaría ciertamente una violación del principio enunciado en el artículo 5 CE, según el cual la «Comunidad actuará dentro de los límites de las competencias que le atribuye el presente Tratado y de los objetivos que éste le asigna».
30. Aunque con algunas dudas, también el Gobierno sueco parece entender que la divulgación de datos personales en una página web creada por una persona física en el ejercicio de su propia libertad de expresión y sin ningún vínculo con actividad profesional o comercial alguna no está comprendida en el ámbito de aplicación del Derecho comunitario. En cambio, con respecto al alcance del segundo guión del artículo 3, apartado 2, el Gobierno sueco entiende que la difusión de datos personales mediante Internet no puede calificarse de «actividad exclusivamente personal o doméstica», en la medida en que implica la transmisión de estos datos a un número indeterminado de personas.
31. El Gobierno neerlandés, por su parte, no considera que el tratamiento que se examina escape del ámbito de aplicación de la Directiva como consecuencia de los límites impuestos por las dos disposiciones del artículo 3, apartado 2. En concreto, excluye también que la actividad en cuestión sea puramente personal o doméstica, en cuanto implica la difusión de datos personales a un número de personas indeterminable e ilimitado.
32. Por último, según la Comisión, el ámbito de aplicación de la Directiva debe interpretarse de manera extensiva, de modo que quede comprendido un tratamiento de las características del que se examina. Con respecto al primer guión del artículo 3, apartado 2, la Comisión subraya, en particular, que el Derecho comunitario no se limita a regular actividades de carácter económico y observa, por otra parte, que el artículo 6 UE impone el respeto de los derechos humanos en tanto que principios generales del ordenamiento jurídico comunitario. Subraya además que, conforme a su exposición de motivos, la Directiva aspira asimismo a contribuir al progreso social y al bienestar de los individuos, sin que pueda excluirse que pretenda regular la libre circulación de los datos personales también como ejercicio de una actividad social realizada en el marco de la integración y del funcionamiento del mercado interior. Además, según la Comisión, la actividad de que se trata está comprendida en el ámbito de aplicación del Derecho comunitario porque, conforme al artículo 49 CE, la señora Lindqvist es «destinataria de servicios» relacionados con el uso de Internet (en particular, de servicios de telecomunicaciones). La Comisión señala, por último, que en el caso de autos no se está en presencia de «actividades exclusivamente personales o domésticas»: en primer lugar, porque una página web es accesible a cualquier persona que utilice un buscador y no sólo a quien ya conoce su dirección; en segundo lugar, porque estas actividades son, por definición, sólo aquellas relativas a la vida privada de quien trata los datos.
Apreciación
33. Como se ha subrayado ya en diversas ocasiones, debe examinarse aquí si un tratamiento de datos personales de las características del que nos ocupa queda fuera del ámbito de aplicación de la Directiva conforme al artículo 3, apartado 2, en tanto que efectuado «en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario» o bien porque ha sido efectuado «por una persona física en el ejercicio de actividades exclusivamente personales o domésticas».
34. Comenzando por el segundo aspecto, comparto la opinión de la Comisión y de los Gobiernos de Suecia y de los Países Bajos, según la cual un tratamiento como el que se examina no puede considerarse efectuado en el ejercicio de «actividades exclusivamente personales o domésticas». En efecto, entiendo que esta categoría comprende únicamente actividades como «la correspondencia y la llevanza de un repertorio de direcciones» (mencionadas a título de ejemplo en el duodécimo considerando), es decir, actividades claramente privadas y reservadas, destinadas a quedar confinadas en la esfera personal o doméstica de los interesados. No creo, por tanto, que pueda considerarse como tal una actividad que presenta una marcada connotación social, como la actividad de catequesis desarrollada por la señora Lindqvist en el seno de la comunidad parroquial. Y mucho más si se considera que el tratamiento efectuado por la señora Lindqvist trasciende su esfera personal o doméstica, y supone, además, la divulgación de datos personales en una página web accesible a cualquiera, desde cualquier parte del mundo, gracias también a un enlace específico incluido en una página conocida por el público (y, por tanto, fácil de encontrar con un buscador) como es la de la Iglesia sueca.
35. En cambio, estoy de acuerdo con la señora Lindqvist en que el tratamiento de que se trata se efectuó «en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario».
36. A este respecto, estimo que, en efecto, la señora Lindqvist creó la página web sin ninguna intención de explotarla económicamente, exclusivamente como complemento a la actividad de catequesis desarrollada, desinteresadamente y al margen de cualquier relación laboral, en el seno de la comunidad parroquial. El tratamiento de datos personales sobre el que se discute se efectuó, por tanto, para una actividad de carácter no económico, que no presenta ningún vínculo (o, cuando menos, ningún vínculo directo) con el ejercicio de las libertades fundamentales garantizadas por el Tratado y no constituye el objeto de ninguna disciplina específica en el ámbito comunitario. Por tanto, se deduce de ello, en mi opinión, que este tratamiento se efectúa en el ejercicio de una actividad que no está comprendida en el ámbito de aplicación del Derecho comunitario, conforme al artículo 3, apartado 2, de la Directiva.
37. Por lo demás, me parece forzada la tesis de la Comisión según la cual la actividad en cuestión estaría comprendida en el ámbito de aplicación del Derecho comunitario porque en su ejercicio la señora Lindqvist sería destinataria de numerosos servicios relacionados con el uso de Internet (en particular, de servicios de telecomunicaciones) y ejercitaría, por tanto, los derechos conferidos por el artículo 49 CE. Aparte de que de la resolución de remisión y de los documentos obrantes en autos no se desprende ningún elemento transfronterizo que permita justificar la aplicación del artículo 49 al presente caso, me parece incluso demasiado evidente que el artículo 3, apartado 2, de la Directiva quedaría totalmente vacío de contenido si el ámbito de aplicación del Derecho comunitario comprendiera todas las actividades, también las no económicas, para cuyo ejercicio se utilizaran servicios de telecomunicaciones o servicios de cualquier otro tipo. De seguirse esta lógica, deberían someterse también a la Directiva, cada vez que para su ejercicio se recurra a los citados servicios, las actividades «previstas en las disposiciones de los títulos V y VI del Tratado de la Unión Europea», que en cambio se mencionan expresamente en el artículo 3, apartado 2, como ejemplos de «actividades no comprendidas en el ámbito de aplicación del Derecho comunitario».
38. Me parece también forzado el intento de la Comisión de considerar comprendida la actividad de la señora Lindqvist en el ámbito de aplicación de la Directiva por el hecho de que ésta no se limita a perseguir fines económicos, sino que se impone también objetivos relacionados con exigencias de carácter social y con la protección de los derechos fundamentales.
39. A este respecto, conviene recordar que la Directiva se adoptó sobre la base del artículo 100 A del Tratado con el fin de promover la libre circulación de los datos personales mediante la armonización de las disposiciones legislativas, reglamentarias y administrativas de los Estados miembros relativas a la protección de las personas físicas en lo que respecta al tratamiento de estos datos. El legislador comunitario quiso establecer, en particular, un nivel de protección «equivalente en todos los Estados miembros», con el fin de eliminar los obstáculos a la circulación de datos personales que se derivan de «las diferencias entre los niveles de protección de los derechos y libertades de las personas y, en particular, de la intimidad, garantizados en los Estados miembros» (considerandos séptimo y octavo). Ello en la medida en que, una vez adoptada la Directiva de armonización, «a causa de la protección equivalente que resulta de la aproximación de las legislaciones nacionales, los Estados miembros ya no [podrían] obstaculizar la libre circulación entre ellos de datos personales por motivos de protección de los derechos y libertades de las personas físicas, y, en particular, del derecho a la intimidad» (noveno considerando).
40. Es cierto que al establecer un nivel de protección «equivalente en todos los Estados miembros», el legislador tuvo en cuenta la exigencia de «promover el progreso económico y social» y (sobre todo) de proteger «los derechos fundamentales de las personas» (considerandos segundo y terceero), en su propósito de garantizar un alto nivel de protección en este ámbito (décimo considerando). Pero todo ello siempre en el marco y con el fin de alcanzar el objetivo principal de la Directiva, es decir, promover la libre circulación de los datos personales en la medida en que se considera «esencial para el mercado interior» (octavo considerando).
41. La promoción del progreso económico y social y la protección de los derechos fundamentales constituyen, por tanto, importantes valores y exigencias que el legislador comunitario tuvo en cuenta al definir el régimen armonizado necesario para el establecimiento y el funcionamiento del mercado interior, pero no constituyen objetivos autónomos de la Directiva. En caso contrario, debería entenderse que la Directiva persigue proteger a los individuos en lo que respecta al tratamiento de datos personales incluso prescindiendo del objetivo de promover la libre circulación de dichos datos, con la paradójica consecuencia de extender su ámbito de aplicación incluso al tratamiento de datos efectuado en el ejercicio de actividades con cierta relevancia social pero que no presentan ninguna relación con el establecimiento o el funcionamiento del mercado interior.
42. Por otra parte, como ha subrayado la señora Lindqvist, si se atribuyera a la Directiva, además del objetivo de promover la libre circulación de datos personales en el mercado interior, objetivos ulteriores y autónomos relacionados con exigencias de carácter social y con la protección de los derechos fundamentales (en particular, el derecho a la intimidad), se correría el riesgo de cuestionar la propia validez de la Directiva, dado que en ese caso su base jurídica resultaría claramente inadecuada. En efecto, el artículo 100 A no puede invocarse como fundamento de medidas que trascienden las finalidades específicas mencionadas en dicha disposición, es decir, de medidas que no encuentran su justificación en el objetivo de promover «el establecimiento y el funcionamiento del mercado interior».
43. A este respecto, recuerdo que recientemente, en la conocida sentencia que anuló la Directiva 98/43/CE por falta de base jurídica, el Tribunal de Justicia tuvo la oportunidad de aclarar precisamente que «las medidas contempladas en el artículo 100 A, apartado 1, del Tratado están destinadas a mejorar las condiciones de establecimiento y funcionamiento del mercado interior. Interpretar este artículo en el sentido de que atribuye al legislador comunitario una competencia general para regular el mercado interior sería no sólo contrario al propio tenor literal de las disposiciones antes citadas, sino también incompatible con el principio establecido en el artículo 3 B del Tratado CE (actualmente artículo 5 CE), según el cual las competencias de la Comunidad son competencias de atribución». Con específica referencia a la protección de los derechos fundamentales, recuerdo que en el conocido dictamen 2/94, posterior a la adopción de la Directiva, el Tribunal de Justicia afirmó explícitamente que «ninguna disposición del Tratado confiere a las instituciones comunitarias, con carácter general, la facultad de adoptar normas en materia de derechos humanos».
44. A la luz del conjunto de las consideraciones que anteceden, propongo que se responda a la presente cuestión que, conforme al artículo 3, apartado 2, primer guión, de la Directiva, no está comprendido en el ámbito de aplicación de la misma un tratamiento de datos personales consistente en la creación, sin ninguna intención de explotarla económicamente, de una página web de las características de la que se examina, destinada exclusivamente a complementar la actividad de catequesis desarrollada, desinteresadamente y al margen de cualquier relación laboral, en el seno de la comunidad parroquial.
Sobre las otras cuestiones
45. Habiendo llegado a la conclusión de que un tratamiento de datos personales de las características del que se examina no está comprendido en el ámbito de aplicación de la Directiva, no creo que deban examinarse las otras cuestiones planteadas por el órgano jurisdiccional remitente.
Conclusión
46. A la luz de las consideraciones que acaban de exponerse, propongo responder al Göta Hovrätt en los siguientes términos:
«Conforme al artículo 3, apartado 2, primer guión, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, no está comprendido en el ámbito de aplicación de la misma un tratamiento de datos personales consistente en la creación, sin ninguna intención de explotarla económicamente, de una página web de las características de la que se examina, destinada exclusivamente a complementar la actividad de catequesis desarrollada, desinteresadamente y al margen de cualquier relación laboral, en el seno de la comunidad parroquial.»