Petición de decisión prejudicial planteada por la Cour d’appel de Bruxelles (Bélgica) el 10 de diciembre de 2025 – État belge / Autorité de protection des données

(Asunto C-804/25, Autorité de protection des données)

(C/2026/2199)

Lengua de procedimiento: francés

Órgano jurisdiccional remitente

Cour d’appel de Bruxelles

Partes en el procedimiento principal

Recurrente: État belge

Recurrida: Autorité de protection des données

Otras partes en el procedimiento: JC, Accidental Americans Association of Belgium (AAAB)

Cuestiones prejudiciales

A la luz del artículo 96 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD) (1),¿es compatible con el Derecho de la Unión aplicable antes del 24 de mayo de 2016, y más concretamente, con el artículo 6, apartado 1, letras b), c) y e), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (2), en relación, en su caso, con los artículos 7, 8 y 52 de la Carta de los Derechos Fundamentales, un acuerdo internacional celebrado por un Estado miembro antes de dicha fecha que implique la transferencia de datos personales a un tercer país, en la medida en que tal acuerdo establece, con fines fiscales y para garantizar el cumplimiento de las disposiciones tributarias internacionales y la aplicación de las obligaciones derivadas de la Ley FATCA estadounidense, que tiene por objeto luchar contra la evasión fiscal de los ciudadanos estadounidenses, la transferencia automática a esos terceros países, con observancia de las normas de confidencialidad, de datos relativos a las cuentas financieras de todos los ciudadanos de dicho Estado —consistentes, en la práctica, en particular, en el nombre, el domicilio, el número de identificación fiscal (NIF) atribuido al titular de la cuenta por su Estado de residencia, la fecha de nacimiento, el número de cuenta, el saldo o el valor de la cuenta al final del año civil considerado o de cualquier otro período de referencia adecuado, así como en determinados datos en el caso de una cuenta de valores, una cuenta de depósito u otro tipo de cuenta—, sin que se determine previamente qué cuentas suponen un riesgo de evasión fiscal ni se limite el plazo de conservación de los datos previsto en el citado acuerdo y habida cuenta de que el límite de 50 000 dólares estadounidense previsto en el anexo I depende de la buena voluntad de las entidades financieras?

2)	¿Puede justificarse tal acuerdo sobre la base del artículo 26, apartado 1, letra d), de la Directiva 95/46/CE si el Estado tercero de que se trate no garantiza una reciprocidad efectiva?

¿Debe interpretarse el artículo 26, apartado 2, de la Directiva 95/46/CE, en relación con los artículos 7, 8 y 52 de la Carta de los Derechos Fundamentales, en el sentido de que las garantías suficientes a que se refiere dicha disposición:

—	se refieren, en particular, a la mención del plazo de conservación de los datos, en el sentido del artículo 6, apartado 1, letra e), de la Directiva y a los derechos de información contemplados en sus artículos 10 y 11?

—	incluyen la definición del alcance de la limitación del derecho a la intimidad y del derecho a la protección de los datos personales?

—	en caso de un acuerdo que prevea la transferencia de datos personales, deben incluirse explícitamente en dicho acuerdo?

En caso de respuesta afirmativa a la totalidad o a parte de la tercera cuestión, ¿es compatible, a la luz del artículo 96 del RGPD, con el Derecho de la Unión aplicable antes del 24 de mayo de 2016, y más concretamente, con el artículo 26, apartado 2, de la Directiva 95/46/CE, en relación, en su caso, con los artículos 7, 8 y 52 de la Carta de los Derechos Fundamentales, un acuerdo internacional celebrado por un Estado miembro antes de dicha fecha que implique la transferencia de datos personales a un tercer país, si no establece expresamente las garantías suficientes previstas en la citada disposición?

En caso de respuesta afirmativa a las cuestiones primera y/o, segunda y/o cuarta, ¿deben respetar las transferencias de datos personales realizadas con arreglo a dicho acuerdo internacional a partir del 24 de mayo de 2018 las disposiciones del RGPD —y, en particular, sus artículos 5, apartado 2, 12, 14, 24 y 35— en lo que atañe a las cuestiones que no están específicamente incluidas o excluidas por dicho acuerdo?

6)	¿Incumbe al responsable del tratamiento la carga de la prueba de los requisitos establecidos en el artículo 96 del RGPD?

¿Debe interpretarse el artículo 96 del RGPD, considerado aisladamente o en relación con el artículo 4, apartado 3, del Tratado de la Unión Europea, el artículo 351 del Tratado de Funcionamiento de la Unión Europea y los artículos 7, 8 y 52 de la Carta de los Derechos Fundamentales, en el sentido de que los Estados miembros están obligados a hacer todo lo posible por modificar, sustituir o revocar los tratados internacionales de los que son parte que no respeten las disposiciones del citado Reglamento?

¿Puede un Estado miembro que, en 2025, no haya hecho todo lo posible por modificar, sustituir o revocar un tratado internacional del que es parte que no respeta las disposiciones del RGPD, invocar el artículo 96 de dicho Reglamento para justificar un comportamiento incompatible con el mismo Reglamento?

En caso de respuesta negativa a las cuestiones primera, segunda o cuarta:

a.	¿está obligado el juez nacional a excluir de oficio tal acuerdo?

b.	¿está obligado el juez nacional a comprobar la conformidad de tal acuerdo con el RGPD?

En caso de respuesta negativa a las cuestiones prejudiciales primera, segunda o cuarta y de respuesta afirmativa a la letra b) de la octava cuestión, ¿es compatible con el RGPD, y más concretamente, con su artículo 5, apartado 1, letras b) y c), en relación, en su caso, con los artículos 7, 8 y 52 de la Carta de los Derechos Fundamentales, un acuerdo internacional como el descrito en la primera cuestión?

10)

¿Constituye la Decisión de Ejecución (UE) 2023/1795 de la Comisión, de 10 de julio de 2023, relativa a la adecuación del nivel de protección de los datos personales en el Marco de Privacidad de Datos UE-EE. UU (3).con arreglo al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo una decisión de adecuación, en el sentido del artículo 45, apartado 3, del RGPD, en lo que atañe a las transferencias de datos objeto del litigio realizadas con fines fiscales?

11)

En caso de respuesta negativa a las cuestiones prejudiciales primera, segunda o cuarta, y de respuesta afirmativa a la letra b) de la octava cuestión, ¿debe interpretarse el artículo 46 del RGPD en el sentido de que:

—

las garantías adecuadas que menciona se refieren a todas o alguna de las siguientes garantías: 1) las definiciones de los conceptos elementales, incluidos, en particular, los siguientes: «datos personales», «tratamiento de datos personales», «responsable del tratamiento», «encargado del tratamiento», «destinatario» y «datos sensibles»; 2) los principios básicos en materia de protección de datos, incluidos, en particular, los principios de «limitación de la finalidad», de «exactitud y minimización» (o proporcionalidad) y de limitación del plazo de conservación de los datos; 3) los derechos de los interesados, en particular, los derechos a la información, de acceso, de rectificación, de supresión, a la limitación o de oposición, y el derecho a no ser objeto de una decisión individual automatizada en el sentido del artículo 22 del RGPD, así como las modalidades de ejercicio de estos derechos; 4) la limitación de la transferencia ulterior y del intercambio de datos; 5) las vías de recurso efectivas; 6) los mecanismos de control, y 7) el principio de responsabilidad?

—	estas garantías deben recogerse expresamente en el instrumento jurídicamente vinculante a que se refiere el artículo 46, apartado 2, letra a), del RGPD?

—	cuando existe un tratado que regula las transferencias de datos personales a terceros países, constituye tal instrumento jurídico vinculante únicamente dicho tratado o puede también comprender el instrumento nacional de transposición de este?

12)

En caso de respuesta negativa a las cuestiones primera, segunda o cuarta, y de respuesta afirmativa a la letra b) de la octava cuestión:

¿debe interpretarse el artículo 49, apartado 1, letra d), del RGPD en el sentido de que permite o prohíbe un acuerdo internacional que implique la transferencia de datos personales a un tercer país, que prevea, con fines fiscales, la transferencia automática, a ese tercer país, de datos financieros de todos los nacionales de dicho Estado (enumerados en la primera cuestión)?

b.	¿constituye el grado de reciprocidad de los intercambios de datos un criterio pertinente para determinar la respuesta a esta cuestión?

13)

En caso de respuesta negativa a las cuestiones primera, segunda o cuarta, y de respuesta afirmativa a la letra b) de la octava cuestión:

a.	¿es posible que la «información» que es objeto de la exención prevista en el artículo 14, apartado 5, letra a), del RGPD haya sido proporcionada por los responsables del tratamiento que recogieron los datos directamente del interesado?

b.	en tal caso, ¿quién debe probar que la información ha sido comunicada, habida cuenta, en particular, del artículo 5, apartados 1, letra a), y 2 del RGPD?

(1) DO 2016, L 119, p. 1.

(2) DO 1995, L 281, p. 31.

(3) DO 2023, L 231, p. 118.