1.

Un taxista detuvo su vehículo al borde de la calzada en Riga. En el momento en que un trolebús perteneciente a Rīgas satiksme (en lo sucesivo, «recurrida») circulaba junto al taxi, un pasajero que se encontraba en el interior de dicho taxi abrió la puerta de manera repentina. Tuvo lugar una colisión que ocasionó un daño en el trolebús. Rīgas satiksme solicitó a la policía (en lo sucesivo, «recurrente») que le comunicara la identidad del pasajero, ya que quería demandarle ante los tribunales civiles por el daño causado en el trolebús. La policía sólo comunicó a Rīgas satiksme el nombre del pasajero, y se negó a facilitarle su número de identificación y su domicilio.

2.

Teniendo en cuenta este contexto fáctico, el órgano jurisdiccional remitente pregunta si el artículo 7, letra f), de la Directiva 95/46/CE (en lo sucesivo, «Directiva») ( 2 ) impone la obligación de revelar todos los datos personales necesarios para incoar un proceso civil contra la persona supuestamente responsable de una infracción administrativa. Asimismo, desea saber si la respuesta a esta pregunta sería diferente en caso de que dicha persona fuera un menor.

3.

El artículo 7 establece que «toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de sus comunicaciones.»

4.

Con arreglo al artículo 8:

5.

El artículo 16 TFUE, apartado 1, dispone que «toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan».

6.

El artículo 2 establece una serie de definiciones a efectos de la Directiva.

[…]

[…]»

7.

El artículo 5, que figura en el capítulo II, titulado «Condiciones generales para la licitud del tratamiento de datos personales», establece que «los Estados miembros precisarán, dentro de los límites de las disposiciones del presente capítulo, las condiciones en que son lícitos los tratamientos de datos personales».

8.

El artículo 6, apartado 1, tiene el siguiente tenor: «Los Estados miembros dispondrán que los datos personales sean:

[…]

[…]»

9.

El artículo 7 prevé que: «Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si:

10.

El artículo 8 prohíbe, por principio, el tratamiento de categorías especiales de datos, tales como datos personales que revelen el origen racial o étnico, las opiniones políticas o las convicciones religiosas o filosóficas. No obstante, establece una serie de excepciones.

11.

En particular, la prohibición no se aplicará, de conformidad con el artículo 8, apartado 2, letra e), cuando «el tratamiento […] sea necesario para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial.»

12.

El artículo 8, apartado 5, tiene el siguiente tenor:

«[…] Los Estados miembros podrán establecer que el tratamiento de datos relativos a sanciones administrativas o procesos civiles se realicen asimismo bajo el control de los poderes públicos.»

13.

Con arreglo al artículo 8, apartado 7, «los Estados miembros determinarán las condiciones en las que un número nacional de identificación o cualquier otro medio de identificación de carácter general podrá ser objeto de tratamiento».

14.

De conformidad con el artículo 14: «Los Estados miembros reconocerán al interesado el derecho a:

[…]»

15.

La Directiva fue derogada por el Reglamento (UE) n.o 2016/679, ( 3 ) que entró en vigor el 24 de mayo de 2016, aunque será aplicable únicamente a partir del 25 de mayo de 2018.

16.

El artículo 7 de la Fizisko personu datu aizsardzības likums (Ley de protección de datos de carácter personal) tiene una redacción similar a la del artículo 7 de la Directiva. Éste prevé que el tratamiento de datos de carácter personal únicamente estará autorizado, salvo disposición en sentido contrario en la propia Ley, si concurre al menos uno de los requisitos siguientes:

17.

En diciembre de 2012 tuvo lugar en Riga un accidente de tráfico. Un taxista había detenido su vehículo al borde de la calzada. En el momento en que un trolebús de Rīgas satiksme circulaba junto al taxi, un pasajero del taxi abrió la puerta, y ésta rozó y dañó la carrocería del trolebús. El accidente dio lugar a que se incoara un procedimiento administrativo y se levantó un atestado el que se declaró la comisión de una infracción administrativa.

18.

En un principio, al considerar que el mencionado accidente se debía achacar al taxista, Rīgas satiksme reclamó una indemnización a la compañía con la que el propietario del taxi había suscrito un seguro de responsabilidad civil. No obstante, dicha aseguradora comunicó a Rīgas satiksme que no abonaría indemnización alguna, puesto que el accidente había sucedido por culpa del pasajero y no del conductor del taxi, y que Rīgas satiksme podía ejercitar su pretensión contra dicho pasajero por la vía civil.

19.

Rīgas satiksme se dirigió a la Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvaldes Satiksmes administratīvo pārkāpumu izskatīšanas birojs (Oficina responsable de las infracciones administrativas de tráfico de la Policía de Seguridad de la Región de Riga; en lo sucesivo, «policía»). Solicitó que se le facilitara información sobre la persona que hubiera sido sancionada en vía administrativa por el accidente. Más concretamente, solicitó que se le indicaran el nombre y apellido, número de documento de identidad y domicilio del pasajero, así como que se le remitieran copias de los documentos de los que se desprendieran las explicaciones dadas por el conductor del taxi y el pasajero sobre las circunstancias del accidente. Rīgas satiksme comunicó a la policía que la información solicitada se utilizaría exclusivamente para la interposición de un recurso en vía civil contra dicha persona.

20.

La policía accedió sólo en parte a la solicitud de Rīgas satiksme: facilitó únicamente el nombre y apellido del pasajero del taxi y se negó a facilitar el número de documento de identidad y el domicilio de dicha persona. Tampoco se le enviaron a Rīgas satiksme las explicaciones dadas por las personas implicadas en el accidente.

21.

En su resolución, la policía declaró que los documentos obrantes en procedimientos administrativos sancionadores sólo los pueden recibir las partes de dichos procedimiento, y Rīgas satiksme no lo es. Además, por lo que se refiere al número de documento de identidad y al domicilio, afirmó que la Datu valsts inspekcija (Agencia letona de Protección de Datos) prohíbe proporcionar esta información cuando se trata de particulares.

22.

Con arreglo al artículo 261 del Latvijas Administratīvo pārkāpumu kodekss (Código letón de Infracciones Administrativas), en los procedimientos administrativos sancionadores la condición de víctima es reconocida a petición expresa del interesado. Rīgas satiksme no ejercitó el derecho a solicitar para sí la condición de víctima en el citado procedimiento.

23.

Rīgas satiksme impugnó en vía contencioso‑administrativa la resolución de la Policía en la medida en que se negaba a revelar el número de documento de identidad y el domicilio del pasajero.

24.

Mediante sentencia de 16 de mayo de 2014, la Administrativa rajona tiesa (Tribunal de lo Contencioso‑Administrativo de primera instancia) estimó el recurso interpuesto por Rīgas satiksme, ordenando a la policía que facilitara la información indicada en la solicitud, en particular, el número de documento de identidad y el domicilio del pasajero del taxi.

25.

La policía recurrió dicha sentencia ante la Augstākā tiesa (Tribunal Supremo, Letonia), el órgano jurisdiccional remitente en el presente asunto. El órgano jurisdiccional remitente solicitó en primer lugar un dictamen a la Agencia letona de Protección de Datos. Ésta indicó que, en este caso específico, la información no podía facilitarse sobre la base del artículo 7, apartado 6, de la Ley de protección de datos de carácter personal, puesto que el Código de Infracciones Administrativas establece quiénes son las personas físicas o jurídicas a las que la policía puede entregar información relativa a un asunto. De este modo, la comunicación de datos de carácter personal procedentes del procedimiento administrativo sancionador sólo puede realizarse de conformidad con los puntos 3 y 5 de dicho artículo. Además, el artículo 7 de dicha Ley no obliga al responsable del tratamiento de datos (en este caso, a la Policía) a tratarlos, sino que simplemente se lo permite.

26.

La Agencia letona de Protección de Datos indicó además que Rīgas satiksme contaba con vías alternativas para recabar la información: presentar una petición razonada al Iedzīvotāju reģistrs (Registro Civil) o bien, al amparo de los artículos 98, 99 y 100 de la Civilprocesa likums (Ley de Enjuiciamiento Civil), dirigirse a los tribunales para que se le exhiban pruebas, a fin de que, a continuación, el tribunal correspondiente ordene a la policía que revele los datos personales que Rīgas satiksme necesitara para poder incoar un procedimiento civil contra la persona de que se trate.

27.

El órgano jurisdiccional remitente alberga dudas sobre las vías alternativas para obtener datos personales mencionadas por la Agencia letona de Protección de Datos. Si se formula una solicitud al Registro Civil en la que únicamente se indique el nombre del pasajero del taxi, puede suceder que varias personas compartan el mismo nombre. Entonces, la persona de que se trate sólo podrá ser identificada mediante datos adicionales, como los que se solicitan en el presente asunto (el número de documento de identidad y el domicilio). Además, la Agencia letona de Protección de Datos citó las disposiciones de la Ley de Enjuiciamiento Civil relativas a la exhibición de pruebas. Con arreglo al artículo 128 de la Ley de Enjuiciamiento Civil, al presentar una demanda deberán indicarse el nombre, apellido y número de documento de identidad (si se conoce) del demandado, así como su domicilio legal y la dirección adicional indicada en su empadronamiento, o, a falta de los anteriores, su domicilio a efecto de notificaciones. Por consiguiente, el demandante debería conocer al menos el lugar de residencia del demandado.

28.

Así, según el órgano jurisdiccional remitente, las demás vías para obtener los datos personales necesarios resultan confusas o ineficaces. En consecuencia, para que pueda proteger sus intereses legítimos, es probable que Rīgas satiksme necesite recibir de la policía los datos de carácter personal solicitados.

29.

El órgano jurisdiccional remitente manifiesta asimismo sus dudas acerca de la interpretación del concepto «necesario» que figura en el artículo 7, letra f) y considera que tal interpretación es decisiva para la resolución del presente litigio.

30.

Por consiguiente, el Augstākās tiesas Administratīvo lietu departments (Sala de lo Contencioso‑Administrativo del Tribunal Supremo, Letonia) decidió suspender el procedimiento y plantear al Tribunal de Justicia la siguiente cuestión prejudicial:

«¿La frase “es necesario para la satisfacción del interés legítimo perseguido por […] el tercero o terceros a los que se comuniquen los datos”, recogida en el artículo 7, letra f), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse en el sentido de que la Policía Nacional deba revelar a Rīgas satiksme los datos de carácter personal solicitados por ésta que son necesarios para interponer un recurso en vía civil? ¿Incide en la respuesta que deba darse a esa cuestión el hecho de que, tal como indican los documentos obrantes en autos, el pasajero del taxi cuyos datos intenta obtener Rīgas satiksme fuera menor de edad en el momento del accidente?»

31.

Han presentado observaciones escritas Rīgas satiksme, la Comisión y los Gobiernos checo, español, letón, austriaco y portugués. La Comisión y el Gobierno letón expusieron sus alegaciones en la vista celebrada el 24 de noviembre de 2016.

32.

El órgano jurisdiccional remitente pregunta en esencia si, con arreglo a la Directiva, existe una obligación por parte del responsable del tratamiento de datos de revelar aquellos datos que permitan la identificación de una persona supuestamente responsable de una infracción administrativa, de forma que Rīgas satiksme pueda incoar un procedimiento civil.

33.

Mi respuesta concisa a esta cuestión específica planteada por el órgano jurisdiccional remitente es «no». La Directiva propiamente dicha no prevé tal obligación. Se limita a establecer una facultad (en el sentido de permiso o autorización) para hacerlo, siempre que concurran una serie de elementos. La facultad de llevar a cabo una actividad determinada con arreglo a la Ley constituye una categoría diferenciada de la obligación de llevar a cabo dicha actividad.

34.

Sin embargo, en el presente asunto, la cuestión no termina ahí. Al menos en parte, es decir, en relación con la información que se ha aportado efectivamente, se solicita al Tribunal de Justicia que determine los requisitos de aplicación del artículo 7, letra f), de la Directiva, así como la naturaleza y alcance de los datos personales que un solicitante de datos puede obtener en virtud de dicha disposición.

35.

En consecuencia, las presentes conclusiones están estructuradas del siguiente modo: en primer lugar, explicaré por qué, desde mi punto de vista, la Directiva no impone a la entidad que dispone de la información una obligación de divulgación (sección A); en segundo lugar, a fin de proporcionar al órgano jurisdiccional remitente una respuesta completa y útil en el presente asunto, propondré requisitos de aplicación del artículo 7, letra f), de la Directiva, y el alcance de los datos personales que podrán ser revelados en caso de que concurran dichos requisitos (sección B).

36.

El órgano jurisdiccional remitente pregunta si, en virtud del artículo 7, letra f), de la Directiva, deben revelarse datos personales a los efectos de incoar un procedimiento civil. En otras palabras, el órgano jurisdiccional remitente desea saber si la Directiva propiamente dicha impone una obligación de revelar tales datos personales.

37.

Desde mi punto de vista, no es posible deducir de la Directiva propiamente dicha una obligación de esa índole. Esto se desprende de manera inequívoca del texto, de la sistemática y del propio objetivo de la Directiva.

38.

Comenzando con la sistemática y lógica de la Directiva, la norma por defecto que subyace a dicha Directiva es que, en general, los datos personales no deben ser objeto de tratamiento alguno, de forma que se garantice un alto nivel de protección del derecho a la intimidad. ( 4 ) Por naturaleza, el tratamiento de datos personales se limitará en principio a supuestos excepcionales.

39.

El artículo 7 se ubica dentro de esta sistemática. Dicho artículo establece una serie de excepciones a la norma por defecto, por las que el tratamiento será legítimo con arreglo a una serie de requisitos estrictamente articulados. Así pues, las categorías que figuran en el artículo 7 constituyen excepciones a la norma general.

40.

En este contexto, el texto del artículo 7 confirma claramente que las categorías enumeradas deben ser consideradas una simple facultad o posibilidad de tratar los datos personales, en contraposición a una obligación, en caso de que la situación de hecho se inscriba dentro de alguna de las excepciones legales. Con arreglo a dicha disposición, «los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si […]». ( 5 ) Esta redacción, que se emplea también en las demás versiones lingüísticas, ( 6 ) muestra claramente que las excepciones previstas en el artículo 7 son, en efecto, excepciones, y no pueden ser interpretadas como una obligación de tratar los datos personales.

41.

La circunstancia de que, como mínimo, algunas de las excepciones previstas en el artículo 7 tengan efecto directo ( 7 ) no altera la conclusión previa. No generan, por sí mismas, un derecho a recabar información en favor de quienes la soliciten, ni tampoco una obligación consiguiente de revelar dicha información para aquellos que están en posesión de la misma. En lugar de ello, el artículo 7 establece normas generales al objeto de que el encargado del tratamiento de los datos determine cuándo, si, cómo y en qué medida puede tratar los datos personales adquiridos.

42.

Por último, la finalidad global de la Directiva es establecer barreras o límites comunes en la Unión Europea al tratamiento de datos personales. Las razones y motivos específicos e individuales para el tratamiento se encontrarán generalmente en el Derecho nacional, así como en otros instrumentos jurídicos de la Unión. En otras palabras, la Directiva establece límites al tratamiento de datos, pero no induce a ello.

43.

En consecuencia, el texto, la sistemática, la lógica y el objetivo de la Directiva son bastante claros en su conjunto al indicar que el artículo 7, letra f), de la Directiva no puede entenderse en el sentido de que establece, por sí mismo, una obligación de revelar datos personales.

44.

En un sentido más amplio y con carácter subsidiario, puede añadirse también que una estructura similar no es en absoluto infrecuente en otros ámbitos del Derecho de la Unión en los que los instrumentos de Derecho derivado mencionan directa o indirectamente datos personales.

45.

Por ejemplo, la Directiva 2002/58/CE sobre la intimidad y las comunicaciones electrónicas, ( 8 ) que complementa la Directiva 95/46 en relación con el sector de las comunicaciones electrónicas, tampoco establece una obligación de divulgación. En la sentencia Promusicae, el Tribunal de Justicia aclaró que dicha Directiva no excluye la posibilidad de que los Estados miembros impongan una obligación de divulgar datos personales en un procedimiento civil, ni tampoco les obliga a ello. ( 9 ) En consecuencia, corresponde a los Estados miembros decidir; no se trata de una consecuencia necesaria del Derecho de la Unión.

46.

Del mismo modo, el Tribunal de Justicia ha declarado que otras directivas, ( 10 ) que mencionan datos personales pero que tienen como objetivo principal garantizar la protección efectiva de la propiedad intelectual en la sociedad de la información, ( 11 ) tampoco obligaban a los Estados miembros a imponer la obligación de divulgar datos personales con objeto de garantizar la protección efectiva de los derechos de autor en el marco de un procedimiento civil. ( 12 )

47.

Como ha indicado el órgano jurisdiccional remitente, la recurrida recibió efectivamente algunos datos personales: el nombre y el apellido de la persona en cuestión. El resto de su petición le fue denegada. Presumiblemente, esto se efectuó sobre la base del Derecho nacional.

48.

En consecuencia, y en relación con los datos personales efectivamente divulgados, resulta pertinente la cuestión de si dicha divulgación es compatible o no con el artículo 7 de la Directiva.

49.

Sin embargo, es preciso hacer hincapié en que la sección siguiente de las presentes conclusiones se refiere a la facultad de divulgar datos personales en una situación de hecho como la controvertida en el presente asunto, a condición de que el Derecho nacional establezca la base jurídica para dicha divulgación. En otras palabras, ¿qué límites establece el Derecho de la Unión para la divulgación de datos personales en tal situación? Si el Derecho nacional prevé la divulgación de datos personales en una situación análoga, ¿tal divulgación sería compatible con el artículo 7, letra f), de la Directiva?

50.

En mi opinión, en una situación como la controvertida en el litigio principal, es plenamente compatible con el artículo 7, letra f), revelar datos personales con un alcance y en un grado que permita a la parte perjudicada incoar un procedimiento civil.

51.

Por consiguiente, en la presente sección examinaré, en primer lugar, la base jurídica apropiada para el tratamiento de datos personales en el marco de la Directiva en una situación de hecho análoga; en segundo lugar, propondré requisitos de aplicación del artículo 7, letra f), de la Directiva y, en tercer lugar, analizaré el presente asunto a la luz de tales requisitos.

52.

Una cuestión preliminar, que se ha examinado tanto en las observaciones escritas como orales, es qué letra del artículo 7 de la Directiva debe aplicarse en una situación de hecho como la controvertida en el litigio principal.

53.

La mayoría de las partes principales y de las partes coadyuvantes invocaron la letra f) del artículo 7, al igual que el órgano jurisdiccional remitente. No obstante, el Gobierno austriaco afirmó en sus observaciones escritas que el artículo 7, letra f), de la Directiva no es la base jurídica apropiada, ni siquiera a los efectos de la incoación de un procedimiento civil. Esto se debe a que supuestamente establece una motivación excesivamente abstracta e imprecisa para el tratamiento de datos. En consecuencia, no puede justificar tal injerencia en el derecho a la protección de los datos.

54.

En sus observaciones escritas, la Comisión prestó particular atención al artículo 7, letra f). No obstante, en sus observaciones orales apuntó también que el tratamiento de datos como el controvertido en el litigio principal puede entrar asimismo en el ámbito de aplicación del artículo 7, letras c) y e), de la Directiva.

55.

El artículo 7 de la Directiva establece diferentes bases jurídicas para el tratamiento lícito de datos distinguiendo entre seis supuestos diferentes. A fin de que dichos datos puedan ser tratados, deben estar comprendidos en al menos una de las categorías que figuran en el artículo 7. Sin embargo, es evidente que el ámbito de aplicación y la justificación de estas disposiciones es diferente.

56.

En términos generales, el artículo 7 contiene tres categorías de excepciones, respecto de las que se prevé la licitud del tratamiento de los datos personales: en primer lugar, cuando el interesado ha dado su consentimiento [artículo 7, letra a)]; en segundo lugar, cuando el interés legítimo del responsable del tratamiento de datos o de un tercero se presume hasta cierto punto [artículo 7, letras b) a e)] y, en tercer lugar, cuando, además de establecerse la competencia entre intereses legítimos, deben prevalecer los intereses o derechos y libertades de los interesados [artículo 7, letra f)].

57.

De este modo, el ámbito de aplicación del artículo 7, letra f), es, en efecto, más amplio que el del artículo 7, letras c) o e). El primero no está sujeto a circunstancias de hecho o jurídicas específicas, pero está formulado en términos excesivamente generales. Sin embargo, su aplicación es más estricta, puesto que está supeditada a la existencia real de intereses legítimos del responsable de tratamiento de datos o de un tercero que prevalezcan sobre los del interesado, lo que no se requiere en los artículos 7, letras c) o e).

58.

No obstante, dejando de lado los debates académicos, vale la pena resaltar dos puntos. En primer lugar, las excepciones previstas en el artículo 7 no son mutuamente excluyentes. Por tanto, es posible aplicar dos de ellas, o potencialmente las tres, a un conjunto de hechos. ( 13 ) En segundo lugar, si bien en un texto algo distinto, es probable que las diferencias de aplicación práctica sean mínimas, siempre y cuando exista un interés legítimo claramente definido y creíble.

59.

Teniendo esto presente, pero remitiendo al buen criterio del órgano jurisdiccional nacional —que tiene pleno conocimiento de los hechos del asunto y del Derecho nacional tal como se exponen en su cuestión prejudicial, e invoca el artículo 7, letra f), de la Directiva como la excepción aplicable— considero que el Tribunal de Justicia debe proceder sobre esta base.

60.

El artículo 7, letra f), contiene dos requisitos acumulativos, que deben reunirse para que el tratamiento de datos personales sea lícito: en primer lugar, el tratamiento de datos personales debe ser necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos. En segundo lugar, tal interés debe prevalecer sobre los derechos y libertades fundamentales del interesado. ( 14 )

61.

El segundo requisito pretende establecer un equilibrio entre los intereses en juego. El primero puede dividirse de hecho en dos subrequisitos por razones didácticas: el interés legítimo propiamente dicho, por un lado, y el carácter necesario del tratamiento, es decir, una suerte de proporcionalidad, por otro.

62.

En consecuencia, deben reunirse tres elementos a los efectos del artículo 7, letra f): a) la existencia de un interés legítimo que justifique el tratamiento; b) la prevalencia de dicho interés sobre los derechos e intereses del interesado (ponderación de intereses), y c) la necesidad del tratamiento de datos para la realización del interés legítimo.

63.

En primer lugar, el tratamiento previsto en el artículo 7, letra f), de la Directiva está supeditado a la existencia de un interés legítimo del responsable del tratamiento de los datos o por un tercero.

64.

La Directiva no define qué ha de entenderse por interés legítimo. ( 15 ) En consecuencia, corresponde al responsable o al encargado del tratamiento de los datos, bajo la supervisión de los tribunales nacionales, determinar si existe una finalidad legítima que pueda justificar una injerencia en la vida privada.

65.

El Tribunal de Justicia ya ha declarado que la transparencia ( 16 ) o la protección de los bienes, la salud y la vida familiar ( 17 ) son intereses legítimos. El concepto de interés legítimo es lo suficientemente elástico para dar cabida a otros tipos de consideraciones. No me cabe duda de que el interés de un tercero en obtener los datos personales de un particular que ha causado un daño en un bien de su propiedad a fin de entablar una acción contra dicha persona por daños y perjuicios puede considerarse interés legítimo.

66.

El segundo requisito se refiere a la ponderación de dos intereses opuestos, concretamente los intereses y derechos del interesado ( 18 ) y el interés del responsable del tratamiento de datos o de un tercero. Este requisito de equilibrio se desprende claramente tanto del artículo 7, letra f), como de la génesis de la Directiva. En cuanto atañe al texto de este último, el artículo 7, letra f), exige que el interés legítimo del propio interesado se pondere con el interés legítimo del responsable del tratamiento de los datos o de un tercero. La génesis de la Directiva confirma que el equilibrio de intereses ya se previó, de formas ligeramente diferentes, en la propuesta inicial de la Comisión, ( 19 ) así como en su propuesta modificada tras la primera lectura del Parlamento Europeo. ( 20 )

67.

El Tribunal de Justicia ha declarado que la aplicación del artículo 7, letra f), precisa de una ponderación de los derechos e intereses en liza de que se trate. Debe tenerse en cuenta la importancia de los derechos del interesado, que resulta de los artículos 7 y 8 de la Carta. ( 21 ) Tal ponderación deberá llevarse a cabo en función de cada caso. ( 22 )

68.

La ponderación es fundamental para la correcta aplicación del artículo 7, letra f). Esta operación hace que el artículo 7, letra f), sea distinto al resto de disposiciones del artículo 7. Siempre se encuentra condicionada por las circunstancias de cada caso concreto; por estas razones, el Tribunal de Justicia ha subrayado que los Estados miembros no pueden establecer con carácter definitivo el resultado de la ponderación de los derechos e intereses en conflicto respecto de determinadas categorías de datos personales sin permitir un resultado diferente en atención a las circunstancias particulares de cada caso concreto. ( 23 )

69.

Con el fin de efectuar tal ponderación de forma provechosa, ha de prestarse especial atención, en particular, al carácter y sensibilidad de los datos solicitados, su grado de publicidad ( 24 ) y la gravedad de la infracción cometida. Uno de los elementos potenciales que hay que sopesar en la ponderación, que es relevante en el presente asunto, es la edad del interesado.

70.

En lo que respecta a la necesidad o, en cierta manera, proporcionalidad básica, el Tribunal de Justicia ha declarado que, en general, las excepciones a la protección de los datos de carácter personal y las limitaciones de dicha protección deben establecerse sin sobrepasar los límites de lo estrictamente necesario. ( 25 ) En consecuencia, la naturaleza y la cantidad de los datos que pueden ser procesados no deben ir más allá de lo necesario para la satisfacción del interés legítimo en cuestión.

71.

El examen de la proporcionalidad consiste en una apreciación de la relación entre los objetivos y los medios elegidos. Los medios elegidos no pueden ir más allá de lo necesario; no obstante, esta lógica también funciona en sentido contrario, ya que los medios deben poder lograr el objetivo declarado.

72.

En términos prácticos, el responsable del tratamiento de datos, al efectuar la apreciación de la necesidad, tiene dos opciones. O bien se abstiene de divulgar cualquier información, o bien, si decide tratar dicha información, deberá facilitar toda la información necesaria para la satisfacción de los intereses legítimos en cuestión. ( 26 )

73.

En primer lugar, el artículo 6, apartado 1, letra c), y el considerando 28 de la Directiva requieren que los datos personales sean adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y asimismo para los que se traten posteriormente. ( 27 ) En consecuencia, de estas disposiciones se desprende que los datos comunicados deberán ser también adecuados y pertinentes para la realización de los intereses legítimos.

74.

En segundo lugar, el sentido común exige que se adopte un enfoque razonable respecto de los datos que deberían ser tratados de manera efectiva. En efecto, los solicitantes de datos deberían obtener información útil y pertinente, que sea necesaria y suficiente para que puedan satisfacer sus intereses legítimos sin tener que dirigirse posteriormente a otra entidad que pueda poseer asimismo tal información.

75.

En lenguaje metafórico, la aplicación del criterio de necesidad no puede convertir la realización de un interés legítimo en una búsqueda del tesoro kafkiana que se parezca enormemente a un episodio de Fort Boyard, en el que los participantes son enviados de una habitación a otra a fin de recabar pistas parciales que les permitan saber finalmente dónde deberían ir.

76.

Por último, es preciso recalcar que el alcance específico de los datos que deben ser revelados es una cuestión de Derecho nacional. Ciertamente, el Derecho nacional podría limitarse a establecer también una divulgación parcial, lo que resultaría insuficiente en sí misma. En efecto, esto es posible. El hecho de que la legislación nacional tenga, aparentemente, poco sentido práctico, no la convierte en automáticamente incompatible con el Derecho de la Unión, siempre que dicha legislación permanezca en el espacio regulador de los Estados miembros. Lo que aquí se sugiere es que el artículo 7, letra f), de la Directiva no se opone a la divulgación plena de toda la información necesaria que se precisa para perseguir de forma efectiva un objetivo legítimo propio, siempre que concurran el resto de requisitos.

77.

Una vez definido el marco general del análisis, pasaré a examinar el presente asunto, con la salvedad de que, naturalmente, corresponde en última instancia al órgano jurisdiccional nacional, habida cuenta del conocimiento pormenorizado que posee tanto de los hechos del mismo como del Derecho nacional, tomar una decisión al respecto.

78.

Rīgas Satiksme solicitó a la policía que le comunicara el domicilio y el número de documento de identidad del pasajero del taxi con miras a incoar un procedimiento civil que le permitiera obtener una reparación por el perjuicio sufrido.

79.

En primer lugar, como han afirmado correctamente los Gobiernos checo, español y portugués, la interposición de una demanda, como sucede en el presente procedimiento, es un interés legítimo, como se establece en el artículo 7, letra f).

80.

Esto se ve asimismo confirmado por el artículo 8, apartado 2, letra e), de la Directiva, que prevé el posible tratamiento de ciertos datos sensibles, «cuando el tratamiento se refiera a datos que [sean necesarios] para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial». Si la interposición de una demanda justifica el tratamiento de datos sensibles con arreglo al artículo 8, no alcanzo a ver por qué esto no puede considerarse a fortiori como un interés legítimo que justifique el tratamiento de datos no sensibles con arreglo al artículo 7, letra f). Esta interpretación se desprende asimismo de una visión pragmática de la Directiva a la luz de los demás instrumentos jurídicos de Derecho derivado (antes citados) que tratan de salvaguardar un equilibrio entre la intimidad y la tutela judicial efectiva. ( 28 )

81.

En segundo lugar, en lo tocante a la ponderación de intereses, en general no veo ninguna razón por la que los derechos fundamentales del interesado deban prevalecer sobre el objetivo legítimo concreto de la parte perjudicada de incoar un procedimiento civil. En estas circunstancias es posible que también valga la pena añadir que lo único que la recurrida pretende es, en efecto, poder interponer una demanda ante un tribunal civil. Por tanto, la simple comunicación de los datos ni siquiera daría lugar a la modificación inmediata de la situación jurídica del interesado.

82.

Sin embargo, como ha observado acertadamente el Gobierno portugués, la edad del interesado ha de tomarse en consideración precisamente en esta fase de ponderación.

83.

En efecto, el órgano jurisdiccional remitente pregunta hasta qué punto es relevante la circunstancia de que el pasajero del taxi fuera menor en el momento del accidente. En mi opinión, y dadas las circunstancias específicas del presente asunto, es irrelevante.

84.

En general, la circunstancia de que el interesado sea menor es un elemento que, en efecto, debe tomarse en consideración al efectuar la ponderación de intereses. No obstante, las consideraciones específicas y la mejora de la protección que merecen los menores deben guardar una relación visible con el tipo de tratamiento de datos en cuestión. A menos que se establezca específicamente la forma en que, en este caso particular, la divulgación de datos podría poner en peligro, por ejemplo, el desarrollo físico o psíquico de un menor, no consigo ver por qué la circunstancia de que haya sido un menor quien haya causado el daño puede dar lugar efectivamente a la exención de la responsabilidad civil.

85.

Por último, en el supuesto de que la ponderación de intereses dé como resultado que el interés de la persona interesada no prevalezca sobre el interés del solicitante de los datos personales, surgiría una última cuestión, relativa a la necesidad y al alcance de la información que debe divulgarse.

86.

Una vez más, corresponde al órgano jurisdiccional remitente identificar la base jurídica en el Derecho nacional que garantiza tal divulgación. Una vez identificada dicha base, el criterio relativo a la «necesidad» que figura en el artículo 7, letra f), de la Directiva no se opone en principio, desde mi punto de vista, a la divulgación completa de toda la información necesaria para incoar un procedimiento civil con arreglo al Derecho letón.

87.

El Gobierno letón afirmó que, según jurisprudencia reiterada, la protección del derecho fundamental a la intimidad exige que las excepciones a la protección de los datos de carácter personal y las limitaciones de dicha protección se limiten a lo estrictamente necesario. Si bien reconoció que estaban previstas vías alternativas para recabar datos adicionales, admitió que el nombre y el apellido eran probablemente insuficientes para ejercitar una acción legal y, en consecuencia, remitió la apreciación al órgano jurisdiccional nacional.

88.

Es preciso observar que el artículo 8, apartado 7, de la Directiva concede a los Estados miembros un margen de maniobra para decidir si desean revelar los números de identificación. En consecuencia, los Estados miembros no estarán obligados a tratar los números de identificación, a no ser que sea absolutamente necesario para incoar el procedimiento civil.

89.

Independientemente de su carácter específico, lo que importa es contar con todos los datos que sean indispensables para entablar una acción legal. Por tanto, si, con arreglo al Derecho nacional, es suficiente con el domicilio, no deberá revelarse ninguna información adicional.

90.

Corresponde al órgano jurisdiccional nacional determinar la cantidad de datos personales que es necesaria para que Rīgas satiksme pueda ejercitar de manera efectiva una acción legal ( 29 ) con arreglo al Derecho letón. Me gustaría simplemente subrayar que, como ya se ha expuesto en los puntos 74 y 75 de las presentes conclusiones, la existencia de vías alternativas para recabar datos necesarios es irrelevante para la aplicación del artículo 7, letra f). Rīgas satiksme debería poder conseguir toda la información necesaria del responsable del tratamiento de los datos al que se la solicite.

91.

El presente asunto es bastante peculiar. El órgano jurisdiccional remitente pregunta, en esencia, si una excepción que autoriza el tratamiento de datos personales puede interpretarse como una obligación que incumbe al responsable del tratamiento de datos de revelar la identidad de una persona que ha provocado un accidente automovilístico. Parece que el verdadero motivo para plantear dicha cuestión es que, a nivel nacional, se han dificultado, si no bloqueado completamente, las vías para recabar dicha información en nombre de la protección de datos.

92.

A la vista del conjunto de acontecimientos en cuestión, un observador desinformado puede plantear una cuestión inocente: ¿debería ser una petición formulada por un particular para obtener la identidad de una persona que ha causado un daño en un bien de su propiedad y al que desea reclamar la indemnización de daños y perjuicios realmente un asunto en el que los funcionarios policiales estén obligados a llevar a cabo varios niveles de ponderación de intereses y proporcionalidad, seguidos de un litigio prolongado y un dictamen de la agencia nacional de protección de datos?

93.

El presente asunto es un ejemplo más ( 30 ) en el que la legislación en materia de protección de datos se introduce y emplea en circunstancias más bien sorprendentes. Esto genera, no sólo para el observador desinformado, una cierta preocupación intelectual en relación con el uso razonable y la función de la legislación en materia de protección de datos. Aprovecharé esta oportunidad para efectuar varias observaciones finales a este respecto.

94.

Es evidente que la protección de datos personales tiene una importancia fundamental en la era digital. El Tribunal de Justicia ha liderado acertadamente el desarrollo de la jurisprudencia en este ámbito. ( 31 )

95.

No obstante, los asuntos mencionados reflejan fielmente la preocupación principal de la protección de datos, para la que se introdujo inicialmente y debe ser protegida enérgicamente: el tratamiento de datos personales a gran escala con medios mecánicos y digitales en todas sus variedades, tales como, en particular, la recogida, administración y uso de grandes conjuntos de datos, cesión de conjuntos de datos para fines distintos de los legítimos, la organización y recogida de metadatos, etcétera.

96.

Como sucede en el resto de ámbitos del Derecho, las normas que regulan determinadas actividades deben ser lo suficientemente flexibles como para englobar todas las potenciales eventualidades que puedan surgir. Sin embargo, esto puede crear el riesgo de que tales normas puedan interpretarse y aplicarse de manera demasiado laxa. Dichas normas pueden acabar aplicándose también a una situación en la que el vínculo con la finalidad inicial sea en cierto modo difuso y cuestionable. Con el tiempo, dicha aplicación demasiado laxa y un determinado nivel de «absolutismo en la aplicación» podrían acabar por desacreditar también la idea original, la cual era en sí misma muy importante y legítima.

97.

Hablando en términos generales, en la sentencia Promusicae, el Tribunal de Justicia hizo hincapié en la necesidad de interpretar las directivas que mencionan datos personales con miras a permitir un justo equilibrio entre los distintos derechos fundamentales protegidos por el ordenamiento jurídico de la Unión. ( 32 )

98.

Para ello, es posible que pueda añadirse asimismo un cierto criterio de razonabilidad al que se deba recurrir en la fase de la ponderación. Esto significaría seguir teniendo presente la finalidad original y principal (en efecto, en modo alguno única, sino simplemente principal) de la normativa: regular operaciones a escala superior efectuadas con medios mecánicos y digitales, y el uso y transferencia de información obtenida de dichas operaciones. En cambio, las situaciones en las que una persona solicita un dato específico relativo a una persona concreta en una relación concreta, en las que existe una finalidad precisa y plenamente legítima derivada del funcionamiento normal de la ley, merecen, en mi humilde opinión, una mención mucho más tenue.

99.

En resumen, el sentido común no es una fuente del Derecho, pero, desde luego, debe servir de orientación para su interpretación. Sería de lo más lamentable que la protección de los datos personales se degradara en la obstrucción de datos personales.

100.

A la vista de las consideraciones precedentes, propongo al Tribunal de Justicia que responda a la cuestión planteada por el Augstākā tiesa Administratīvo lietu departments (Sala de lo Contencioso‑Administrativo del Tribunal Supremo, Letonia) del siguiente modo:

«El artículo 7, letra f), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, no puede interpretarse en el sentido de que obliga al responsable del tratamiento de los datos a revelar los datos personales solicitados por un tercero para la interposición de un recurso en vía civil.

No obstante, el artículo 7, letra f), de la Directiva no se opone a tal revelación, siempre que el Derecho nacional prevea la divulgación de datos personales en situaciones como la controvertida en el litigio principal. La circunstancia de que el interesado fuese menor en el momento del accidente carece de relevancia a este respecto.»