1.

Un principio básico del Reglamento (UE) 2016/679, ( 2 ) que constituye la normativa general en materia de protección de datos personales, y de la Directiva (UE) 2016/680 ( 3 ) (lex specialis sobre la misma materia en los procedimientos penales) es el de limitar la recogida de esos datos y su tratamiento a los fines específicos previstos por la ley.

2.

En este asunto, el Tribunal de Justicia ha de responder a las dudas de un tribunal búlgaro sobre la interpretación del RGPD y de la Directiva 2016/680, para dilucidar si hay un tratamiento ilícito de los datos personales en poder de la Fiscalía de un Estado miembro cuando:

3.

A tenor del artículo 2 («Ámbito de aplicación material»):

«1.   El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

2.   El presente Reglamento no se aplica al tratamiento de datos personales:

[…]

[…]».

4.

El artículo 4 («Definiciones») establece:

«A efectos del presente Reglamento se entenderá por:

[…]

[…]

[…]».

5.

El artículo 5 («Principios relativos al tratamiento») dispone:

«1.   Los datos personales serán:

[…]».

6.

El artículo 6 («Licitud del tratamiento») reza:

«1.   El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

[…]

[…]

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

[…]

3.   La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por:

La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Dicha base jurídica podrá contener disposiciones específicas para adaptar la aplicación de normas del presente Reglamento […]. El derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido.

4.   Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:

7.

Con arreglo al artículo 1 («Objeto y objetivos»):

«1.   La presente Directiva establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales por parte de las autoridades competentes, con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública.

2.   De conformidad con la presente Directiva, los Estados miembros deberán:

[…]».

8.

El artículo 2 («Ámbito de aplicación») recoge:

«1.   La presente Directiva se aplica al tratamiento de datos personales por parte de las autoridades competentes a los fines establecidos en el artículo 1, apartado 1.

[…]

3.   La presente Directiva no se aplica al tratamiento de datos personales:

[…]».

9.

El artículo 3, apartados 1, 2 y 8, hace suyas las definiciones de los apartados 1, 2 y 7 del artículo 4 del RGPD.

10.

El artículo 4 («Principios relativos al tratamiento de datos personales») prescribe:

«[…]

2.   Se permitirá el tratamiento de los datos personales, por el mismo responsable o por otro, para fines establecidos en el artículo 1, apartado 1, distintos de aquel para el que se recojan en la medida en que:

[…]».

11.

El artículo 6 («Distinción entre diferentes categorías de interesados») preceptúa:

«Los Estados miembros dispondrán que el responsable del tratamiento, cuando corresponda y en la medida de lo posible, establezca una distinción clara entre los datos personales de las distintas categorías de interesados, tales como:

12.

El artículo 8 («Licitud del tratamiento») dice:

«1.   Los Estados miembros dispondrán que el tratamiento solo sea lícito en la medida en que sea necesario para la ejecución de una tarea realizada por una autoridad competente, para los fines establecidos en el artículo 1, apartado 1, y esté basado en el derecho de la Unión o del Estado miembro.

2.   El derecho del Estado miembro que regule el tratamiento dentro del ámbito de aplicación de la presente Directiva, deberá indicar al menos los objetivos del tratamiento, los datos personales que vayan a ser objeto del mismo y las finalidades del tratamiento».

13.

Según el artículo 9 («Condiciones de tratamiento específicas»):

«1.   Los datos personales recogidos por las autoridades competentes para los fines establecidos en el artículo 1, apartado 1, no serán tratados para otros fines distintos de los establecidos en el artículo 1, apartado 1, salvo que dicho tratamiento esté autorizado por el derecho de la Unión o del Estado miembro. Cuando los datos personales sean tratados para otros fines, se aplicará el [RGPD] a menos que el tratamiento se efectúe como parte de una actividad que quede fuera del ámbito de aplicación del derecho de la Unión.

2.   Cuando el derecho del Estado miembro encomiende a las autoridades competentes el desempeño de funciones que no coincidan con los fines establecidos en el artículo 1, apartado 1, se aplicará el [RGPD] al tratamiento con dichos fines, incluidos fines de archivo en interés público, de investigación científica e histórica o estadísticos, salvo que el tratamiento se lleve a cabo en una actividad que quede fuera del ámbito de aplicación del derecho de la Unión.

[…]».

14.

El artículo 127 establece la competencia exclusiva de la Fiscalía para la dirección de la instrucción penal, la imputación de responsabilidades penales y el ejercicio de la acción penal ante los tribunales en caso de delitos públicos.

15.

El artículo 1 dispone:

«(1)   La presente ley rige las relaciones públicas relativas a la protección de los derechos de las personas físicas en lo que respecta al tratamiento de sus datos personales en la medida en que no están reguladas por el [RGPD].

(2)   La presente ley establece igualmente las reglas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos de carácter personal por las autoridades competentes a los fines de prevención y detección de infracciones penales, de investigaciones y de persecuciones en la materia o de ejecución de sanciones penales, incluida la protección contra las amenazas a la seguridad y el orden públicos y la prevención de tales amenazas.

[…]».

16.

El artículo 17 establece:

«(1)   La Inspección del Consejo Superior del Poder Judicial asegura el control y el respeto del [RGPD], de la presente ley y de los actos en materia de protección de los datos de carácter personal en lo que respecta al tratamiento de los datos de carácter personal por:

1. la jurisdicción en el ejercicio de sus funciones de autoridad del poder judicial, y

2. la Fiscalía y las autoridades de investigación en el ejercicio de sus funciones de autoridades judiciales a los fines de la prevención, la detección, la instrucción o la persecución de infracciones penales o de la ejecución de sanciones penales.

[…]».

17.

El artículo 42 proclama:

«(1)   Las reglas del presente capítulo se aplican en caso de tratamiento de datos de carácter personal por las autoridades competentes a los fines de la prevención y la detección de infracciones penales, de investigaciones y de persecuciones en la materia o de ejecución de sanciones penales, incluida la protección contra las amenazas a la seguridad y el orden públicos y la prevención de tales amenazas.

(2)   Los datos de carácter personal recogidos a los fines establecidos en el apartado 1 no serán tratados para otros fines, salvo si disponen otra cosa el derecho de la Unión o la legislación de la República de Bulgaria.

(3)   Cuando las autoridades competentes en virtud del apartado 1 traten los datos de carácter personal para fines distintos de los contemplados en el apartado 1 así como en los casos previstos en apartado 2, se aplicarán el [RGPD] y las disposiciones pertinentes de la presente ley que introducen medidas de aplicación del mismo.

(4)   Se entiende por “autoridad competente” en el sentido del apartado 1, toda autoridad pública competente para la prevención y la detección de infracciones penales, las investigaciones y las persecuciones en la materia o la ejecución de sanciones penales, incluida la protección contra las amenazas a la seguridad y el orden públicos y la prevención de tales amenazas.

(5)   Salvo disposición legislativa en contrario, un responsable del tratamiento, en el sentido de presente capítulo, de datos de carácter personal a los fines establecidos en el apartado 1 es una autoridad competente en el sentido del apartado 4 o la entidad administrativa de la que forma parte esta autoridad que, sola o conjuntamente con otras autoridades, determina las finalidades y los medios del tratamiento de datos de carácter personal».

18.

El artículo 45 prescribe:

«[…]

(2)   El tratamiento de datos de carácter personal efectuado por el responsable del tratamiento que los ha recogido inicialmente o por otro responsable del tratamiento para alguno de los fines contemplados en el artículo 42, apartado 1, distinto de aquel para el que se recogieron los datos de carácter personal, se autorizará a condición de que:

1. el responsable del tratamiento esté facultado para tratar datos de carácter personal a dicho fin, de conformidad con el derecho de la Unión o de la legislación de la República de Bulgaria, y

2. el tratamiento sea necesario y proporcionado para alcanzar ese otro fin, de conformidad con el derecho de la Unión o de la legislación de la República de Bulgaria.

[…]».

19.

El artículo 47 reproduce el artículo 6 de la Directiva 2016/680.

20.

El artículo 49 enuncia:

«El tratamiento de datos de carácter personal es lícito cuando resulte necesario para el ejercicio de sus facultades por parte de una autoridad competente a los fines contemplados en el artículo 42, apartado 1, y esté previsto por el derecho de la Unión o por una ley que defina los fines del tratamiento y las categorías de datos de carácter personal objeto del tratamiento».

21.

Bajo la dirección de la Rayonna prokuratura — Petrich (Fiscalía de distrito de Petrich, Bulgaria) se instruyeron unas diligencias (n.o 252/2013 de la policía de Petrich) ( 6 ) para depurar unos hechos constitutivos de un delito ( 7 ) que tuvieron lugar el 18 de abril de 2013.

22.

Durante esas diligencias se recogieron, inicialmente, datos personales de VS en su condición de víctima.

23.

Por resoluciones de la Fiscalía de 4 y 5 de abril de 2018, se acusó a cuatro personas (entre ellas, VS) de aquellos hechos.

24.

El 10 de noviembre de 2020, el Rayonen sad Petrich (Tribunal de distrito de Petrich, Bulgaria) acordó el sobreseimiento de la causa penal, por prescripción.

25.

En 2016 y 2017, a consecuencia de denuncias dirigidas contra VS, la Fiscalía del distrito de Petrich incoó varias diligencias ( 8 ) que, ante la ausencia de indicios delictivos, no dieron lugar a la instrucción de ningún procedimiento penal.

26.

En 2018, VS presentó una demanda civil ( 9 ) contra la Fiscalía de la República de Bulgaria ante el Okrazhen sad — Blagoevgrad (Tribunal provincial de Blagoevgrad, Bulgaria), interesando la reparación del perjuicio causado por la duración excesiva del procedimiento penal n.o 252/2013.

27.

Para defenderse frente a esa demanda civil, la Fiscalía solicitó al juez la incorporación de los expedientes n.o 517/2016 y n.o 1872/2016, de la propia Fiscalía de distrito de Petrich.

28.

Por auto de 15 de octubre de 2018, el Okrazhen sad — Blagoevgrad (Tribunal provincial de Blagoevgrad) ordenó a la Fiscalía de distrito de Petrich que aportara las copias de los documentos contenidos en los expedientes n.o 517/2016 y n.o 1872/2016.

29.

El 12 de marzo de 2020, VS denunció ante la Inspektorata kam Visshia sadeben savet (Autoridad de control del Consejo Superior del Poder Judicial; en lo sucesivo, «IVSS») lo que consideraba un doble tratamiento ilícito de sus datos personales por parte de la Fiscalía, que habría utilizado indebidamente:

30.

El 22 de junio de 2020, la IVSS desestimó la doble pretensión de VS.

31.

VS impugnó esa resolución de la IVSS ante el Administrativen sad Blagoevgrad (Tribunal de lo contencioso administrativo de Blagoevgrad, Bulgaria), que eleva al Tribunal de Justicia estas preguntas prejudiciales:

32.

La petición de decisión prejudicial se registró en el Tribunal de Justicia el 23 de marzo de 2021.

33.

Han comparecido y presentado observaciones escritas VS, la IVSS, los Gobiernos búlgaro, checo y neerlandés, además de la Comisión Europea.

34.

El Tribunal de Justicia no ha considerado imprescindible la celebración de vista pública, no solicitada por ninguna de las partes.

35.

El RGPD y la Directiva 2016/680 integran un sistema coherente en el que:

36.

La protección que dispensa el régimen constituido por ambas disposiciones se fundamenta en los principios de licitud, lealtad, transparencia y, en lo que aquí interesa, en el principio de estricta limitación de la recogida de los datos y de su tratamiento a los fines previstos en la ley. ( 10 )

37.

En concreto, el artículo 5, apartado 1, letra b), del RGPD prescribe que los datos serán «recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines». ( 11 ) En esos términos se expresa también, en cuanto lex specialis, el artículo 4, apartado 1, letra b), de la Directiva 2016/680.

38.

Así pues, los datos de carácter personal no pueden recogerse ni tratarse con carácter general, sino solo en función de unos fines determinados ( 12 ) y con sujeción a las condiciones de licitud establecidas por el legislador de la Unión.

39.

El principio de estricta vinculación entre la recogida y el tratamiento de datos, por un lado, y los fines a los que ambas operaciones deben servir, por otro lado, no tiene un carácter absoluto, pues tanto el RGPD como la Directiva 2016/680 consienten cierta flexibilidad, como después expondré.

40.

En el litigio a quo, la jurisdicción contencioso administrativa ha de resolver si la autoridad de control (el IVSS) ( 13 ) actuó conforme a derecho al desestimar la denuncia en la que VS acusaba a la Fiscalía búlgara del tratamiento ilícito de sus datos personales.

41.

Esos datos se habían recabado, según ya he expuesto, en dos contextos diferentes:

42.

Las preguntas del tribunal de reenvío se extienden, correlativamente, a:

43.

Coincido con el tribunal de reenvío, y con todas las partes que han intervenido en este incidente prejudicial, en que el tratamiento de los datos personales objeto de la primera pregunta prejudicial se rige por la Directiva 2016/680.

44.

Con arreglo al artículo 1, apartado 1, y el artículo 2, apartado 1, de la Directiva 2016/680, esta se aplica al tratamiento de datos personales por parte de las autoridades competentes a los fines de la prevención, la investigación, la detección o el enjuiciamiento de infracciones penales. En este asunto, los datos de VS se recogieron y se trataron, precisamente, en el ámbito de una investigación penal.

45.

Sin embargo, en lo que atañe a la transmisión de datos personales para el procedimiento civil dirigido contra la Fiscalía (segunda pregunta prejudicial), regirá el RGPD si esa transmisión constituye un tratamiento de datos para fines ajenos a los del artículo 1, apartado 1, de la Directiva 2016/680, pero comprendidos en una actividad incluida en el ámbito del derecho de la Unión.

46.

Con arreglo al artículo 4, apartado 2, de la Directiva 2016/680, se permitirá el tratamiento de los datos personales, por el mismo responsable o por otro, para fines establecidos en el artículo 1, apartado 1, ( 15 ) distintos de aquel para el que se recojan en la medida en que

47.

La Directiva 2016/680 autoriza, pues, una readscripción ad intra de los datos personales recogidos a su amparo. Los que hayan sido recabados para uno de los fines enumerados en su artículo 1, apartado 1, pueden utilizarse también, bajo ciertas condiciones, al servicio de otro u otros fines incluidos en esa enumeración.

48.

El problema que suscita la primera pregunta prejudicial es si, obtenidos los datos personales de VS cuando aparecía como presunta víctima del delito investigado, pueden tratarse después en su contra como sujeto investigado, o acusado, en el curso del mismo procedimiento penal.

49.

En otras palabras, se ha de dilucidar si los datos personales de VS fueron tratados para el mismo fin que justificó su recogida inicial o, más bien, para dos fines diferentes, pero comprendidos en el ámbito de aplicación de la Directiva 2016/680. De darse esta segunda circunstancia, el tratamiento debiera estar sujeto a las condiciones específicas del artículo 4, apartado 2, de esa Directiva.

50.

El tribunal de reenvío ha formulado su primera pregunta de una manera algo ambigua en relación con el objeto del litigio. Desea saber, literalmente, si el artículo 1, apartado 1, de la Directiva 2016/680 debe interpretarse «en el sentido de que, en la enunciación de los objetivos, los términos “prevención, investigación, detección o enjuiciamiento de infracciones penales” se enumeran como aspectos de un objetivo general».

51.

A la vista de la exposición del tribunal de reenvío, quizás sería oportuno reformular su primer interrogante, como han propuesto las partes y los intervinientes en este incidente prejudicial. Más que detenerse en la relación abstracta fin general/fin particular, lo que realmente importa (y sobre lo que versaba, en realidad, la denuncia de VS) es si, en el marco de un procedimiento penal regido por la Directiva 2016/680, el fin que condujo a recabar los datos de una persona en su condición de presunta víctima de un delito persiste cuando esos datos conducen a su ulterior inculpación en el mismo procedimiento.

52.

La interpretación textual del artículo 1, apartado 1, de la Directiva 2016/680 apunta a que, en su seno, son distinguibles tres tipos de fines, que corresponden a momentos y a actividades diferentes:

53.

Desde el punto de vista sistemático o contextual, el artículo 4, apartado 2, de la Directiva 2016/680 aboga por considerar separables cada uno de esos fines. De no ser así, como ha hecho notar el Gobierno de los Países Bajos, ese precepto quedaría vacío de contenido, pues, justamente, contempla «fines establecidos por el artículo 1, apartado 1, distintos de aquel para el que se recojan […]».

54.

A partir de esta premisa, trataré de explicar por qué, en este asunto, los datos controvertidos se obtuvieron y se trataron para uno de los fines (el de «investigación») que menciona el artículo 1, apartado 1, de la Directiva 2016/680, lo que determina la aplicación de esta y la correlativa licitud del tratamiento.

55.

Subsidiariamente, si la obtención y el tratamiento hubieran perseguido dos fines, de los enumerados en el artículo 4, apartado 2, de la Directiva 2016/680, su licitud tampoco sería discutible.

56.

En unas diligencias penales no siempre se puede determinar desde el principio el status procesal de las personas implicadas. Con esas diligencias se intenta, en muchos casos, identificar y, por tanto, «categorizar» a los sujetos que aparecen prima facie como autores, víctimas o testigos de los hechos.

57.

Durante esa fase preparatoria es lógico que exista una cierta fluidez en la categorización. La investigación habrá de conducir, al hilo de los resultados que vaya deparando, a la identificación exacta del título con el que aquellas personas intervendrán cuando se enjuicien los hechos.

58.

Así sucede, especialmente, en supuestos como el de autos. Según el tribunal de reenvío, hubo agresiones cruzadas entre una pluralidad de personas. Una de ellas, que aparecía inicialmente como víctima, terminaría por ser acusada en cuanto autora de aquellas agresiones.

59.

En esta tesitura, el conjunto de la actividad desarrollada se ajusta al concepto de «investigación» del artículo 1, apartado 1, de la Directiva 2016/680. El propósito de esa actividad era, pues, único, y se corresponde con uno de los «fines» a los que puede servir el tratamiento de los datos personales.

60.

El tribunal de reenvío duda, sin embargo, de que esa interpretación del artículo 1, apartado 1, de la Directiva 2016/680 se avenga con el considerando trigésimo primero de esta. ( 16 )

61.

Coincido con el parecer de la mayoría de las partes en que ese considerando, al igual que el artículo 6 de la Directiva 2016/680, que lo asume, no son relevantes para determinar si se ha producido el cambio de fines al que se refiere el artículo 4, apartado 2, de esa Directiva.

62.

Con arreglo al artículo 6 de la Directiva 2016/680, la distinción clara entre los datos personales de las distintas categorías de interesados solo procede «cuando corresponda y en la medida de lo posible». Por las razones antes expuestas, no es fácil que en unas diligencias iniciales por hechos como los que aquí tuvieron lugar se identifiquen con claridad y desde un principio las «distintas categorías de los interesados». Además, un mismo participante en aquellos hechos puede reunir el carácter de víctima y de autor de las agresiones.

63.

Aun si el responsable del tratamiento de los datos obtenidos en las diligencias penales llegara a distinguir claramente, al inicio y a lo largo de la instrucción, entre víctimas, sospechosos y testigos, no cambiaría la finalidad (la investigación) subyacente en la recogida y el tratamiento de esos datos.

64.

En otras palabras, atribuir de modo sucesivo una u otra condición (víctima, testigo, implicado) a las personas que aparecen en una investigación penal no supone necesariamente un cambio de los fines, a los efectos del artículo 4, apartado 2, de la Directiva 2016/680.

65.

De manera subsidiaria, en la hipótesis de que se diera la circunstancia prevista en el artículo 4, apartado 2, de la Directiva 2016/680, el tratamiento de los datos personales controvertidos se habría acomodado a las condiciones de licitud establecidas por esa Directiva. Así lo han hecho notar los Gobiernos búlgaro y checo, con los que estoy de acuerdo.

66.

Aunque corresponde al órgano de reenvío verificarlo, no parece haber dudas de que la Fiscalía búlgara sería, de conformidad con el derecho nacional, la autoridad responsable del tratamiento de los datos personales de VS «para fines establecidos en el artículo 1, apartado 1, distintos de aquel para el que se recojan». Se cumple, pues, el primer requisito del artículo 4, apartado 2, letra a), de la Directiva 2016/680.

67.

En cuanto al segundo requisito impuesto por la letra b) del mismo artículo 4, apartado 2, (que «el tratamiento sea necesario y proporcionado para ese otro fin»), entiendo que:

68.

Aplicados a este asunto, los requisitos del artículo 4, apartado 2, de la Directiva 2016/680 son escasamente significativos y se confirma la unicidad del fin inherente a la recogida de los datos personales controvertidos: hay una lógica continuidad entre su tratamiento inicial y el que posteriormente dio lugar a la inculpación del implicado.

69.

No sería necesario, pues, confirmar la competencia de un nuevo responsable del tratamiento de datos (que sería siempre el mismo), ni habría dificultad en acreditar la necesidad del segundo tratamiento (realizado en el marco de un mismo procedimiento), cuando el criterio de la proporcionalidad es común a todo tratamiento, según se desprende de los principios relacionados en el artículo 4, apartado 1, de la Directiva 2016/680.

70.

El artículo 9, apartado 1, de la Directiva 2016/680 contempla la posibilidad de una readscripción ad extra de los datos personales recogidos a su amparo.

71.

Partiendo, como regla, de que dichos datos «no serán tratados para otros fines distintos de los establecidos en [su] artículo 1, apartado 1», el artículo 9, apartado 1, de la Directiva 2016/680 establece la salvedad de que el derecho de la Unión o del Estado miembro autorice su tratamiento al servicio de fines ajenos a los del artículo 1, apartado 1. En tal supuesto, se aplicará el RGPD (siempre que la actividad esté comprendida en el ámbito del derecho de la Unión).

72.

Con su segunda pregunta prejudicial, el tribunal de reenvío quiere saber:

73.

La IVSS sostiene que, como la denuncia de VS fue rechazada en su momento por extemporánea, la segunda pregunta prejudicial sería inadmisible.

74.

No comparto esta objeción.

75.

La negativa del Tribunal de Justicia a pronunciarse sobre una cuestión planteada por un órgano jurisdiccional nacional solo es posible cuando resulta patente que la interpretación solicitada del derecho de la Unión no tiene relación alguna con la realidad o con el objeto del litigio principal, cuando el problema es de naturaleza hipotética o cuando el Tribunal de Justicia no dispone de los elementos de hecho o de derecho necesarios para responder eficazmente a las cuestiones planteadas. ( 17 )

76.

La objeción de IVSS versa sobre un extremo que recae en el ámbito de la competencia exclusiva del tribunal de reenvío. Solo a él le corresponde definir, bajo su responsabilidad, el marco fáctico y normativo en el que se enmarca la pregunta planteada al Tribunal de Justicia. ( 18 )

77.

Tanto la decisión sobre la extemporaneidad advertida por la IVSS como la apreciación de su relevancia a los efectos del litigio son elementos de juicio cuya valoración atañe únicamente al tribunal de remisión. En este asunto, ese tribunal ha insistido en que la pregunta es pertinente para la resolución del asunto principal, a pesar de la extemporaneidad invocada por la IVSS. ( 19 )

78.

Esa apreciación no puede ser revisada por el Tribunal de Justicia, que ha de atenerse, en principio, a la interpretación y a la aplicación del derecho nacional, procesal y sustantivo, asumida por los tribunales cuando definen el marco en el que se desenvuelve el reenvío prejudicial.

79.

Atendiendo a las razones ofrecidas por el tribunal a quo para justificar el planteamiento de la segunda pregunta prejudicial, lo que verdaderamente le interesa es que el Tribunal de Justicia determine si la transmisión de los datos controvertidos constituye un «tratamiento de datos» en el sentido de artículo 4, puntos 1 y 2, del RGPD ( 20 ) y si ese tratamiento era lícito con arreglo a su artículo 6.

80.

El artículo 4, puntos 1) y 2), del REGPD, así como el artículo 3, puntos 1 y 2), de la Directiva 2016/680, definen en los mismos términos los conceptos de «datos personales» y «tratamiento».

81.

Con arreglo a esas definiciones, deduzco que la Fiscalía pretendió utilizar en su defensa ante el juez civil «información sobre una persona física identificada», que comprendía «datos personales» de VS.

82.

En la transmisión de esos datos personales al procedimiento civil han concurrido varias de las «operaciones» constitutivas de un «tratamiento de datos» sin el consentimiento del interesado. Cuando menos, habrá sido necesario que la propia Fiscalía los consultara con el fin de valorar su posible utilidad para defender su posición en el procedimiento civil. Es de suponer, además, que, con ese mismo propósito, los datos han sido organizados, estructurados, adaptados o modificados, y, desde luego, comunicados y difundidos, por más que fuera mínimamente, cuando se interesó su incorporación al procedimiento civil. ( 21 )

83.

En definitiva, la Fiscalía, al registrarlos, incorporarlos a sus archivos, conservarlos, consultarlos y solicitar que el juez civil admitiera como prueba la información que obraba en las diligencias penales, llevó a cabo un tratamiento de los datos personales de VS.

84.

Alegan la IVSS y la Comisión que la Fiscalía solo puede ser «responsable del tratamiento» en tanto que autoridad competente para los fines, de naturaleza penal, comprendidos en el ámbito de aplicación de la Directiva 2016/680.

85.

Eso no implica, a mi entender, que la segunda pregunta prejudicial esté desprovista de objeto, como pretende la IVSS. Supone, más bien, que la licitud del tratamiento, por virtud del artículo 9, apartado 1, de la Directiva 2016/680, habrá de verificarse a la luz del RGPD.

86.

El juez competente para dirimir el litigio civil será responsable del tratamiento de los datos en ese procedimiento cuando se incorporen a él. Sus decisiones están excluidas del escrutinio de la autoridad de control, en virtud del artículo 55, apartado 3, del RGPD, en cuanto se adopten en ejercicio de funciones jurisdiccionales. ( 22 )

87.

Ahora bien, el tribunal de reenvío ciñe su pregunta a la aplicabilidad del RGPD en el momento en el que la Fiscalía trata de utilizar la información que ha recogido como «responsable del tratamiento», en el sentido de la Directiva 2016/680, para su defensa en el procedimiento civil.

88.

Por lo que acabo de exponer, creo que el RGPD resulta aplicable, pues entre los fines que menciona el artículo 1, apartado 1, de la Directiva 2016/680 no encaja la defensa de la Fiscalía en un procedimiento civil.

89.

Las condiciones de licitud de un tratamiento de datos personales las enumera el artículo 6, apartado 1, del RGPD: «el tratamiento sólo será lícito si se cumple al menos una de las siguientes condiciones», que describe a continuación. Su enumeración es exhaustiva. ( 23 )

90.

De esas condiciones no concurren, a mi entender, la basada en el consentimiento del interesado [letra a)], ni en la ejecución de un contrato [letra b)], ni en el cumplimiento de una obligación legal [letra c)], ( 24 ) ni en la protección de los intereses vitales del interesado o de un tercero [letra d)].

91.

Según el tribunal de reenvío, se cumpliría la condición enunciada en la letra f) del artículo 6, apartado 1, del RGPD. Sin embargo, como ha sostenido la Comisión, el párrafo final de ese apartado la descarta en ese asunto, pues aquella condición «no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones». ( 25 )

92.

En respuesta a una pregunta del Tribunal de Justicia, el Gobierno búlgaro, apoyado en este punto por los Gobiernos checo y neerlandés, ha insistido en la aplicabilidad de la condición prevista en la letra f) del artículo 6, apartado 1, del RGPD. Aduce la necesidad de atender a «la naturaleza de la actividad ejercida por la Fiscalía», que, aun siendo una entidad pública, puede participar en procesos civiles como «parte igual». ( 26 )

93.

Sin embargo, los «intereses legítimos» que la Fiscalía defendería, en cuanto poder público, en un proceso en el que se le demanda la responsabilidad por su actuación procesal están excluidos del supuesto previsto en la letra f) del artículo 6, apartado 1, del RGPD, por así disponerlo, explícitamente, el párrafo final de ese mismo apartado.

94.

Para las autoridades que actúan en el cumplimiento de las misiones que la ley les encomienda (en este caso, ejercer la acción penal y representar al Estado frente a peticiones de responsabilidad patrimonial), el interés relevante, a efectos del artículo 6, apartado 1, del RGPD, es el interés público al que sirven, según la letra e) de ese precepto.

95.

La condición prevista en la letra f) atiende a la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y las libertades fundamentales del interesado que requieran la protección de datos personales.

96.

Esa cláusula concierne, pues, no tanto a las posibilidades de defensa del poder público —que podrán articularse por la vía de la letra e)— cuanto a la eventual prevalencia de los intereses, derechos y libertades del interesado frente al responsable del tratamiento o frente a un tercero. Se aplica, más bien, a los conflictos entre partes (privadas) cuyos intereses no tienen naturaleza pública.

97.

Como la Fiscalía actúa, por definición, en su cualidad de institución estatal, procede analizar si el tratamiento controvertido encuentra cobijo en la letra e) del artículo 6, apartado 1, del RGPD.

98.

Así ocurriría si aquel tratamiento resultase «necesario […] para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos» al responsable.

99.

Me detendré en la primera de esas dos finalidades, sin necesidad de abordar la segunda, ( 27 ) para discernir si la intervención de la Fiscalía en el procedimiento civil en el que se le reclama una indemnización por su conducta responde al cumplimiento de una misión de interés público.

100.

De conformidad con el derecho nacional, ( 28 ) corresponde a la Fiscalía representar al Estado en los procesos de responsabilidad extracontractual por los perjuicios que haya provocado con su demora. En esa misma medida, la Fiscalía interviene en defensa de los intereses generales (financieros) del Estado y, por lo tanto, en ejercicio de una misión de interés público. ( 29 )

101.

El artículo 9, apartado 1, de la Directiva 2016/680 supedita la adscripción ad extra de los datos recogidos en los expedientes a que su tratamiento esté autorizado por el derecho de la Unión o del Estado miembro. En lo que aquí importa, corresponde al tribunal de reenvío verificar la existencia de dicha autorización, ante el cumplimiento de la misión de interés público atribuida a la Fiscalía para la defensa patrimonial del Estado.

102.

Según el artículo 6, apartado 3, del RGPD, la base jurídica del tratamiento indicado en el apartado 1, letra e), «podrá contener disposiciones específicas para adaptar la aplicación de las normas» del propio RGPD. ( 30 ) Si esa base jurídica la establece el derecho del Estado miembro que se aplique al responsable del tratamiento, compete al juez nacional hallarla. ( 31 )

103.

En fin, aun si el tribunal de reenvío no identificara la base jurídica pertinente, la compatibilidad del tratamiento controvertido con el fin para el que se recogieron los datos controvertidos deberá determinarse según el artículo 6, apartado 4, del RGPD. A tal objeto se han de tener en cuenta, inter alia, cualquier relación entre los fines originarios y el fin sobrevenido, el contexto en el que se recabaron los datos personales y la naturaleza de estos últimos, las posibles consecuencias del nuevo tratamiento para el interesado y la existencia de garantías adecuadas.

104.

A tenor de lo expuesto, sugiero al Tribunal de Justicia responder al Administrativen sad — Blagoevgrad (Tribunal de lo contencioso administrativo de Blagoevgrad, Bulgaria) en los siguientes términos: