SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Quinta)

de 24 de febrero de 2022 ( *1 )

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 2 — Ámbito de aplicación — Artículo 4 — Concepto de “tratamiento” — Artículo 5 — Principios relativos al tratamiento — Limitación de la finalidad — Minimización de datos — Artículo 6 — Licitud del tratamiento — Tratamiento necesario para el cumplimiento de una misión realizada en interés público conferida al responsable del tratamiento — Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento — Artículo 23 — Limitaciones — Tratamiento de datos con fines fiscales — Solicitud de información relativa a anuncios de venta de vehículos publicados en Internet — Proporcionalidad»

En el asunto C‑175/20,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por la Administratīvā apgabaltiesa (Tribunal Regional de lo Contencioso-Administrativo, Letonia), mediante resolución de 11 de marzo de 2020, recibida en el Tribunal de Justicia el 14 de abril de 2020, en el procedimiento entre

SS SIA

y

Valsts ieņēmumu dienests,

EL TRIBUNAL DE JUSTICIA (Sala Quinta),

integrado por el Sr. E. Regan, Presidente de Sala, el Sr. K. Lenaerts, Presidente del Tribunal de Justicia, en funciones de juez de la Sala Quinta, el Sr. C. Lycourgos, Presidente de la Sala Cuarta, y los Sres. I. Jarukaitis y M. Ilešič (Ponente), Jueces;

Abogado General: Sr. M. Bobek;

Secretario: Sr. A. Calot Escobar;

habiendo considerado los escritos obrantes en autos;

consideradas las observaciones presentadas:

en nombre de SS SIA, por el Sr. M. Ruķers;

en nombre del Gobierno letón, inicialmente por las Sras. K. Pommere, V. Soņeca y L. Juškeviča, y posteriormente por la Sra. Pommere, en calidad de agentes;

en nombre del Gobierno belga, por los Sres. J.‑C. Halleux y P. Cottin, en calidad de agentes, asistidos por el Sr. C. Molitor, avocat;

en nombre del Gobierno helénico, por las Sras. E.‑M. Mamouna y O. Patsopoulou, en calidad de agentes;

en nombre del Gobierno español, inicialmente por los Sres. J. Rodríguez de la Rúa Puig y S. Jiménez García, posteriormente por el Sr. Rodríguez de la Rúa Puig, en calidad de agentes;

en nombre de la Comisión Europea, inicialmente por los Sres. H. Kranenborg y D. Nardi y por la Sra. I. Rubene, posteriormente por el Sr. Kranenborg y la Sra. Rubene, en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 2 de septiembre de 2021;

dicta la siguiente

Sentencia

1

La petición de decisión prejudicial tiene por objeto la interpretación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1), en particular de su artículo 5, apartado 1.

2

Esta petición se ha presentado en el contexto de un litigio entre SS SIA y el Valsts ieņēmumu dienests (Administración tributaria del Estado, Letonia), en relación con una solicitud de información relativa a anuncios de venta de vehículos publicados en el sitio de Internet de SS.

Marco jurídico

Derecho de la Unión

Reglamento 2016/679

3

El Reglamento 2016/679, que se basa en el artículo 16 TFUE, es aplicable, en virtud de su artículo 99, apartado 2, desde el 25 de mayo de 2018.

4

Los considerandos 1, 4, 10, 19, 26, 31, 39, 41 y 50 de este Reglamento tienen la siguiente redacción:

«(1)

La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (“[…] Carta”) y el artículo 16 [TFUE], apartado 1, […] establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.

[…]

(4)

El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad. El presente Reglamento respeta todos los derechos fundamentales y observa las libertades y los principios reconocidos en la Carta conforme se consagran en los Tratados, en particular el respeto de la vida privada y familiar, del domicilio y de las comunicaciones, la protección de los datos de carácter personal, la libertad de pensamiento, de conciencia y de religión, la libertad de expresión y de información, la libertad de empresa, el derecho a la tutela judicial efectiva y a un juicio justo, y la diversidad cultural, religiosa y lingüística.

[…]

(10)

Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión, el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. […]

[…]

(19)

La protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal por parte de las autoridades competentes a efectos de la prevención, investigación, detección o enjuiciamiento de infracciones penales o de la ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad pública y la libre circulación de estos datos y su prevención, es objeto de un acto jurídico específico a nivel de la Unión. El presente Reglamento no debe, por lo tanto, aplicarse a las actividades de tratamiento destinadas a tales fines. No obstante, los datos personales tratados por las autoridades públicas en aplicación del presente Reglamento deben, si se destinan a tales fines, regirse por un acto jurídico de la Unión más específico, concretamente la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo[, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO 2016, L 119, p. 89)] […]

[…]

(26)

Los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable. […] Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. […]

[…]

(31)

Las autoridades públicas a las que se comunican datos personales en virtud de una obligación legal para el ejercicio de su misión oficial, como las autoridades fiscales y aduaneras, las unidades de investigación financiera, las autoridades administrativas independientes o los organismos de supervisión de los mercados financieros encargados de la reglamentación y supervisión de los mercados de valores, no deben considerarse destinatarios de datos si reciben datos personales que son necesarios para llevar a cabo una investigación concreta de interés general, de conformidad con el Derecho de la Unión o de los Estados miembros. Las solicitudes de comunicación de las autoridades públicas siempre deben presentarse por escrito, de forma motivada y con carácter ocasional, y no deben referirse a la totalidad de un fichero ni dar lugar a la interconexión de varios ficheros. El tratamiento de datos personales por dichas autoridades públicas debe ser conforme con la normativa en materia de protección de datos que sea de aplicación en función de la finalidad del tratamiento.

[…]

(39)

[…] El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales así como del modo de hacer valer sus derechos en relación con el tratamiento. En particular, los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida. Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación. Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. […]

[…]

(41)

Cuando el presente Reglamento hace referencia a una base jurídica o a una medida legislativa, esto no exige necesariamente un acto legislativo adoptado por un parlamento, sin perjuicio de los requisitos de conformidad del ordenamiento constitucional del Estado miembro de que se trate. Sin embargo, dicha base jurídica o medida legislativa debe ser clara y precisa y su aplicación previsible para sus destinatarios, de conformidad con la jurisprudencia del Tribunal de Justicia de la Unión Europea […] y del Tribunal Europeo de Derechos Humanos.

[…]

(50)

El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. En tal caso, no se requiere una base jurídica aparte, distinta de la que permitió la obtención de los datos personales. Si el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, los cometidos y los fines para los cuales se debe considerar compatible y lícito el tratamiento ulterior se pueden determinar y especificar de acuerdo con el Derecho de la Unión o de los Estados miembros. Las operaciones de tratamiento ulterior con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos deben considerarse operaciones de tratamiento lícitas compatibles. La base jurídica establecida en el Derecho de la Unión o de los Estados miembros para el tratamiento de datos personales también puede servir de base jurídica para el tratamiento ulterior. Con objeto de determinar si el fin del tratamiento ulterior es compatible con el fin de la recogida inicial de los datos personales, el responsable del tratamiento, tras haber cumplido todos los requisitos para la licitud del tratamiento original, debe tener en cuenta, entre otras cosas, cualquier relación entre estos fines y los fines del tratamiento ulterior previsto, el contexto en el que se recogieron los datos, en particular las expectativas razonables del interesado basadas en su relación con el responsable en cuanto a su uso posterior, la naturaleza de los datos personales, las consecuencias para los interesados del tratamiento ulterior previsto y la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento ulterior prevista. […]»

5

El artículo 2 del Reglamento 2016/679, titulado «Ámbito de aplicación material», dispone:

«1.   El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

2.   El presente Reglamento no se aplica al tratamiento de datos personales:

a)

en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;

b)

por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE;

c)

efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;

d)

por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.

[…]»

6

El artículo 4 de este Reglamento, titulado «Definiciones», tiene la siguiente redacción:

«A efectos del presente Reglamento se entenderá por:

1)

“datos personales”: toda información sobre una persona física identificada o identificable (“el interesado”); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

2)

“tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

[…]

6)

“fichero”: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;

7)

“responsable del tratamiento” o “responsable”: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; […]

[…]

9)

“destinatario”: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento;

[…]».

7

Con arreglo al artículo 5 de dicho Reglamento, titulado «Principios relativos al tratamiento»:

«1.   Los datos personales serán:

a)

tratados de manera lícita, leal y transparente en relación con el interesado (“licitud, lealtad y transparencia”);

b)

recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; […] (“limitación de la finalidad”);

c)

adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (“minimización de datos”);

d)

exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan (“exactitud”);

e)

mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; […] (“limitación del plazo de conservación”);

f)

tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (“integridad y confidencialidad”).

2.   El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva”).»

8

El artículo 6 del mismo Reglamento, titulado «Licitud del tratamiento», establece:

«1.   El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a)

el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b)

el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c)

el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d)

el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e)

el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f)

el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

2.   Los Estados miembros podrán mantener o introducir disposiciones más específicas a fin de adaptar la aplicación de las normas del presente Reglamento con respecto al tratamiento en cumplimiento del apartado 1, letras c) y e), fijando de manera más precisa requisitos específicos de tratamiento y otras medidas que garanticen un tratamiento lícito y equitativo, con inclusión de otras situaciones específicas de tratamiento a tenor del capítulo IX.

3.   La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por:

a)

el Derecho de la Unión, o

b)

el Derecho de los Estados miembros que se aplique al responsable del tratamiento.

La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. […] El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido.

4.   Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:

a)

cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;

b)

el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento;

c)

la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10;

d)

las posibles consecuencias para los interesados del tratamiento ulterior previsto;

e)

la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.»

9

A tenor del artículo 13, apartado 3, del Reglamento 2016/679:

«Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2.»

10

El artículo 14 de dicho Reglamento dispone:

«1.   Cuando los datos personales no se hayan [obtenido] del interesado, el responsable del tratamiento le facilitará la siguiente información:

[…]

c)

los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento;

[…]

5.   Las disposiciones de los apartados 1 a 4 no serán aplicables cuando y en la medida en que:

[…]

c)

la obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca medidas adecuadas para proteger los intereses legítimos del interesado, o

[…]».

11

A tenor del artículo 23, apartado 1, letra e) de dicho Reglamento:

«El Derecho de la Unión o de los Estados miembros que se aplique al responsable o el encargado del tratamiento podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en los artículos 12 a 22 y el artículo 34, así como en el artículo 5 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 12 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:

[…]

e)

otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un interés económico o financiero importante de la Unión o de un Estado miembro, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social;

[…]».

12

El artículo 25, apartado 2, del Reglamento 2016/679 dispone:

«El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.»

Directiva 2016/680

13

Los considerandos 10 y 11 de la Directiva 2016/680 exponen:

«(10)

En la Declaración n.o 21 relativa a la protección de datos de carácter personal en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial, aneja al acta final de la Conferencia Intergubernamental que adoptó el Tratado de Lisboa, la Conferencia reconoció que podrían requerirse normas específicas sobre protección de datos personales y libre circulación de los mismos en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial basada en el artículo 16 [TFUE], en razón de la naturaleza específica de dichos ámbitos.

(11)

Conviene por lo tanto que esos ámbitos estén regulados por una directiva que establezca las normas específicas relativas a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública. Entre dichas autoridades competentes no solo se deben incluir autoridades públicas tales como las autoridades judiciales, la policía u otras fuerzas y cuerpos de seguridad, sino también cualquier otro organismo o entidad en que el Derecho del Estado miembro haya confiado el ejercicio de la autoridad y las competencias públicas a los efectos de la presente Directiva. Cuando dicho organismo o entidad trate datos personales con fines distintos de los previstos en la presente Directiva, se aplica el Reglamento [2016/679]. Así pues, el Reglamento [2016/679] se aplica en los casos en los que un organismo o entidad recopile datos personales con otros fines y proceda a su tratamiento para el cumplimiento de una obligación jurídica a la que esté sujeto. […]»

14

El artículo 3 de esta Directiva dispone:

«A efectos de la presente Directiva se entenderá por:

[…]

7) “autoridad competente”:

a)

toda autoridad pública competente para la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluidas la protección y prevención frente a amenazas para la seguridad pública, o

b)

cualquier otro órgano o entidad a quien el Derecho del Estado miembro haya confiado el ejercicio de la autoridad pública y las competencias públicas a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales o ejecución de sanciones penales, incluidas la protección y prevención frente a amenazas para la seguridad pública;

[…]».

Derecho letón

15

En virtud del artículo 15, apartado 6, del likums «Par nodokļiem un nodevām» (Ley de impuestos y tributos, Latvijas Vēstnesis, 1995, n.o 26), en su versión aplicable al litigio principal (en lo sucesivo, «Ley de impuestos y tributos»), el proveedor de servicios de publicación de anuncios en Internet está obligado a facilitar, a petición de la Administración tributaria letona, la información de que disponga en relación con los sujetos pasivos que hayan publicado anuncios utilizando sus servicios.

Litigio principal y cuestiones prejudiciales

16

SS es un proveedor de servicios de publicación de anuncios en Internet con domicilio social en Letonia.

17

El 28 de agosto de 2018, la Administración tributaria letona remitió a SS una solicitud de información sobre la base del artículo 15, apartado 6, de la Ley de impuestos y tributos en la que instaba a la citada sociedad a renovar el acceso de que disponía dicha Administración tributaria a los números de bastidor de los vehículos anunciados en el portal de Internet de la sociedad mencionada y a los números de teléfono de los vendedores y a facilitarle, a más tardar el 3 de septiembre de 2018, información sobre los anuncios publicados en la sección «Turismos» del referido portal durante el período comprendido entre el 14 de julio y el 31 de agosto de 2018.

18

Esta solicitud precisaba que dicha información, incluidos el enlace al anuncio, el texto de este, la marca, el modelo, el número de bastidor y el precio del vehículo, así como el número de teléfono del vendedor, debía facilitarse por vía electrónica, en un formato que permitiera filtrar o seleccionar los datos.

19

Además, en el supuesto de que no fuera posible renovar el acceso a la información que figuraba en los anuncios publicados en el portal de Internet en cuestión, se instaba a SS a indicar el motivo y a facilitar, a más tardar el tercer día de cada mes, la información pertinente relativa a los anuncios publicados el mes anterior.

20

Al considerar que la solicitud de información de la Administración tributaria letona no era conforme con los principios de proporcionalidad y de minimización de datos personales, establecidos en el Reglamento 2016/679, SS presentó un recurso en vía administrativa contra dicha solicitud ante el director general en funciones de la Administración tributaria letona.

21

Mediante resolución de 30 de octubre de 2018, este desestimó el recurso manifestando, en particular, que, al realizar el tratamiento de datos personales controvertido en el litigio principal, la Administración tributaria letona ejercía las facultades que le confiere la ley.

22

SS interpuso un recurso de anulación contra dicha resolución ante la Administratīvā rajona tiesa (Tribunal de Primera Instancia de lo Contencioso-Administrativo, Letonia). Además de los argumentos que había presentado en su recurso en vía administrativa, alegó que dicha resolución no especificaba la finalidad concreta del tratamiento de los datos personales contemplado por la Administración tributaria letona ni la cantidad de datos necesaria a tal efecto, infringiendo el artículo 5, apartado 1, del Reglamento 2016/679.

23

Mediante sentencia de 21 de mayo de 2019, la Administratīvā rajona tiesa (Tribunal de Primera Instancia de lo Contencioso-Administrativo) desestimó dicho recurso señalando, en esencia, que la Administración tributaria letona estaba facultada para solicitar el acceso a información respecto de cualquier persona y en cantidad ilimitada, salvo que esa información fuese incompatible con la finalidad de recaudar impuestos. Por otra parte, el citado órgano jurisdiccional consideró que las disposiciones del Reglamento 2016/679 no eran aplicables a dicha Administración.

24

SS interpuso recurso de apelación contra esta sentencia ante el órgano jurisdiccional remitente, alegando, por una parte, que la Administración tributaria letona estaba sujeta a las disposiciones del Reglamento 2016/679 y, por otra, que, al exigir mensualmente y sin limitación temporal una cantidad considerable de datos personales en relación con un número ilimitado de anuncios, sin identificar a los obligados tributarios concretos frente a quienes se hubiese iniciado una inspección fiscal, dicha Administración vulneraba el principio de proporcionalidad.

25

El órgano jurisdiccional remitente señala que, en el marco del litigio principal, no se discute que la ejecución de la solicitud de información controvertida esté intrínsecamente vinculada a un tratamiento de datos personales, ni que la Administración tributaria letona tenga derecho a obtener información que esté a disposición de un proveedor de servicios de publicación de anuncios en Internet y que sea necesaria para la ejecución de medidas específicas en materia de recaudación de impuestos.

26

El litigio principal, afirma el órgano jurisdiccional remitente, versa sobre la cantidad y el tipo de información que puede solicitar la Administración tributaria letona, sobre su carácter limitado o ilimitado, y sobre la cuestión de si la obligación de información a la que está sujeta SS debe estar limitada en el tiempo.

27

En particular, el órgano jurisdiccional remitente entiende que le corresponde determinar si, en las circunstancias del litigio principal, el tratamiento de datos personales se efectúa de manera transparente en relación con los interesados, si la información especificada en la solicitud de comunicación se recaba con fines determinados, explícitos y legítimos y si el tratamiento de datos personales solo se efectúa en la medida en que es realmente necesario para el ejercicio de las funciones de la Administración tributaria letona, en el sentido del artículo 5, apartado 1, del Reglamento 2016/679.

28

Para ello, entiende que es preciso definir los criterios que permitan apreciar si una solicitud de información remitida por la Administración tributaria letona respeta la esencia de las libertades y de los derechos fundamentales y si la solicitud de información controvertida en el litigio principal puede considerarse necesaria y proporcionada en una sociedad democrática para garantizar objetivos importantes de la Unión y los intereses públicos letones en materia presupuestaria y fiscal.

29

En estas circunstancias, la Administratīvā apgabaltiesa (Tribunal Regional de lo Contencioso-Administrativo, Letonia) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1)

¿Deben interpretarse los requisitos establecidos en el Reglamento [2016/679] en el sentido de que una solicitud de información emitida por la Administración tributaria, como la controvertida en el presente asunto, mediante la que se solicita que se aporte información que contiene una cantidad considerable de datos personales, debe cumplir los requisitos establecidos en el Reglamento [2016/679] (en particular, en su artículo 5, apartado 1)?

2)

¿Deben interpretarse los requisitos establecidos en el Reglamento [2016/679] en el sentido de que la Administración tributaria puede apartarse de lo dispuesto en el artículo 5, apartado 1, de dicho Reglamento, aun cuando la normativa vigente en Letonia no confiere tal facultad a la referida Administración?

3)

¿Puede considerarse, al interpretar los requisitos establecidos en el Reglamento [2016/679], que existe un objetivo legítimo que justifique la obligación, impuesta mediante una solicitud de información como la controvertida en el presente asunto, de facilitar todos los datos solicitados en una cantidad y un período de tiempo no delimitados, sin que se establezca una fecha de expiración para la ejecución de dicha solicitud de información?

4)

¿Puede considerarse, al interpretar los requisitos establecidos en el Reglamento [2016/679], que existe un objetivo legítimo que justifique la obligación, impuesta mediante una solicitud de información como la controvertida en el presente asunto, de facilitar todos los datos solicitados, aun cuando en la solicitud de información no se indique (o se indique de manera incompleta) la finalidad de la comunicación de la información?

5)

¿Puede considerarse, al interpretar los requisitos establecidos en el Reglamento [2016/679], que existe un objetivo legítimo que justifique la obligación, impuesta mediante una solicitud de información como la controvertida en el presente asunto, de facilitar todos los datos solicitados, aun cuando en la práctica ello se refiera absolutamente a todos los interesados que hayan publicado anuncios en la sección “Turismos” de un portal?

6)

¿Qué criterios deben aplicarse para verificar si la Administración tributaria, actuando como responsable del tratamiento, garantiza debidamente que el tratamiento de datos (incluida, asimismo, la obtención de la información) es conforme a los requisitos establecidos en el Reglamento [2016/679]?

7)

¿Qué criterios deben aplicarse para verificar si una solicitud de información como la controvertida en el presente asunto está debidamente motivada y tiene carácter ocasional?

8)

¿Qué criterios deben aplicarse para verificar si el tratamiento de datos personales se lleva a cabo en la medida necesaria y de manera compatible con los requisitos establecidos en el Reglamento [2016/679]?

9)

¿Qué criterios deben aplicarse para verificar si la Administración tributaria, actuando como responsable del tratamiento, garantiza la conformidad del tratamiento de datos con los requisitos establecidos en el artículo 5, apartado 1, del Reglamento [2016/679] (responsabilidad proactiva)?»

Sobre las cuestiones prejudiciales

Primera cuestión prejudicial

30

Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si las disposiciones del Reglamento 2016/679 deben interpretarse en el sentido de que la recogida, por parte de la Administración tributaria de un Estado miembro, de información que implique una cantidad considerable de datos personales de manos de un operador económico está sujeta a los requisitos de dicho Reglamento, en particular a los enunciados en su artículo 5, apartado 1.

31

Para responder a esta cuestión, es preciso comprobar, en primer lugar, si dicha solicitud está comprendida en el ámbito de aplicación material del Reglamento 2016/679, tal como se define en su artículo 2, apartado 1, y, en segundo lugar, si no figura entre los tratamientos de datos personales que el artículo 2, apartado 2, de dicho Reglamento excluye de su ámbito de aplicación.

32

En primer lugar, a tenor de su artículo 2, apartado 1, el Reglamento 2016/679 se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

33

El artículo 4, punto 1, del Reglamento 2016/679 precisa que debe entenderse por «datos personales» toda información sobre una persona física identificada o identificable, es decir, sobre toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. El considerando 26 del citado Reglamento precisa, a este respecto, que, para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física.

34

En relación con el litigio principal, es notorio que la información que solicita la Administración tributaria letona son datos personales, en el sentido del artículo 4, punto 1, del Reglamento 2016/679.

35

En virtud del artículo 4, punto 2, de ese mismo Reglamento, la recogida, la consulta, la comunicación por transmisión y cualquier forma de habilitación de acceso a datos personales constituye un «tratamiento» en el sentido de dicho Reglamento. De la redacción de esta disposición, en particular de la expresión «cualquier operación», se desprende que el legislador de la Unión quiso dar un alcance amplio al concepto de «tratamiento». Esta interpretación se ve corroborada por el carácter no exhaustivo, expresado por el vocablo «como», de las operaciones mencionadas en dicha disposición.

36

En el caso de autos, la Administración tributaria letona exige al operador económico de que se trata que renueve el acceso de los servicios de dicha Administración a los números de bastidor de los vehículos anunciados en su portal de Internet y que le suministre información sobre los anuncios publicados en ese portal.

37

Una solicitud en este sentido, por la que la Administración tributaria de un Estado miembro solicita a un operador económico que le comunique y ponga a su disposición datos personales, a lo cual este está obligado en virtud de la normativa nacional de dicho Estado miembro, implica un proceso de «recogida» de tales datos, en el sentido del artículo 4, punto 2, del Reglamento 2016/679.

38

Además, la comunicación de dichos datos y la habilitación del acceso a tales datos a la citada Administración por parte del operador económico de que se trata implica un «tratamiento», en el sentido del citado artículo 4, punto 2.

39

En segundo lugar, procede examinar si la operación por la que la Administración tributaria de un Estado miembro pretende recabar de un operador económico datos personales relativos a determinados contribuyentes puede considerarse excluida del ámbito de aplicación del Reglamento 2016/679 en virtud de su artículo 2, apartado 2.

40

A este respecto, para empezar, debe recordarse que dicha disposición establece excepciones al ámbito de aplicación del citado Reglamento, tal como se define en su artículo 2, apartado 1, y que esas excepciones deben interpretarse en sentido estricto (sentencia de 16 de julio de 2020, Facebook Ireland y Schrems, C‑311/18, EU:C:2020:559, apartado 84).

41

En particular, el artículo 2, apartado 2, letra d), del Reglamento 2016/679 dispone que este no se aplica al tratamiento de datos personales efectuado por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales.

42

Según resulta del considerando 19 de dicho Reglamento, esta excepción está motivada por el hecho de que los tratamientos, efectuados a tales efectos y por las autoridades competentes, de datos personales se rigen por un acto específico de la Unión, a saber, la Directiva 2016/680, que fue adoptada el mismo día que el Reglamento 2016/679 y que define, en su artículo 3, punto 7, lo que debe entenderse por «autoridad competente», definición que debe aplicarse, por analogía, al artículo 2, apartado 2, letra d), del Reglamento 2016/679 [véase, en este sentido, la sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartado 69].

43

Del considerando 10 de la Directiva 2016/680 se desprende que el concepto de «autoridad competente» debe entenderse en relación con la protección de datos personales en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial, habida cuenta de las adaptaciones que podrían requerirse, a este respecto, en razón de la naturaleza específica de dichos ámbitos. Además, el considerando 11 de la Directiva 2016/680 precisa que el Reglamento 2016/679 se aplica al tratamiento de datos personales efectuado por una «autoridad competente», en el sentido del artículo 3, apartado 7, de dicha Directiva, pero con fines distintos de los previstos en esta [sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartado 70].

44

Así pues, cuando esta solicita a un operador económico que le comunique datos personales relativos a determinados contribuyentes a efectos de la recaudación de impuestos y de la lucha contra el fraude fiscal, no parece que la Administración tributaria de un Estado miembro pueda ser considerada «autoridad competente» en el sentido del artículo 3, punto 7, de la Directiva 2016/680, ni, por tanto, que tales solicitudes de información puedan estar comprendidas en la excepción contemplada en el artículo 2, apartado 2, letra d), del Reglamento 2016/679.

45

Por otra parte, aun cuando no pueda descartarse que, en el supuesto de producirse infracciones tributarias, en el contexto de procedimientos penales esos datos personales controvertidos en el litigio principal llegaran a utilizarse contra algunas de las personas afectadas, no resulta que dichos datos se recogieran con el objetivo específico de iniciar dichos procedimientos penales o en el contexto de actividades realizadas por el Estado en materia penal (véase, en este sentido, sentencia de 27 de septiembre de 2017, Puškár, C‑73/16, EU:C:2017:725, apartado 40).

46

Por lo tanto, la recogida, por parte de la Administración tributaria de un Estado miembro, de datos personales relativos a los anuncios de venta de vehículos publicados en el sitio de Internet de un operador económico está comprendida en el ámbito de aplicación material del Reglamento 2016/679 y, por consiguiente, debe respetar, en particular, los principios relativos al tratamiento de datos personales enunciados en el artículo 5 de dicho Reglamento.

47

Habida cuenta de todas las consideraciones anteriores, procede responder a la primera cuestión prejudicial que las disposiciones del Reglamento 2016/679 deben interpretarse en el sentido de que la recogida, por parte de la Administración tributaria de un Estado miembro, de información que implique una cantidad considerable de datos personales de manos de un operador económico está sujeta a los requisitos de dicho Reglamento, en particular a los enunciados en su artículo 5, apartado 1.

Segunda cuestión prejudicial

48

Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si las disposiciones del Reglamento 2016/679 deben interpretarse en el sentido de que la Administración tributaria de un Estado miembro puede establecer excepciones a lo dispuesto en el artículo 5, apartado 1, de dicho Reglamento aun cuando tal facultad no le haya sido concedida por el Derecho nacional de ese Estado miembro.

49

Con carácter preliminar, procede recordar que, como se desprende de su considerando 10, el Reglamento 2016/679 tiene por objeto, en particular, garantizar un nivel elevado de protección de las personas físicas dentro de la Unión.

50

A tal fin, los capítulos II y III del Reglamento 2016/679 enuncian, respectivamente, los principios que regulan el tratamiento de los datos personales, así como los derechos de la persona afectada que todo tratamiento de tales datos debe respetar. En particular, todo tratamiento de datos personales debe ser conforme con los principios establecidos en el artículo 5 de dicho Reglamento (véase, en este sentido, la sentencia de 6 de octubre de 2020, La Quadrature du Net y otros, C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791, apartado 208).

51

No obstante, el artículo 23 del Reglamento 2016/679 autoriza a la Unión y a los Estados miembros a adoptar «medidas legislativas» que limiten el alcance de las obligaciones y de los derechos establecidos, en particular, en el artículo 5 de dicho Reglamento en la medida en que se correspondan con los derechos y obligaciones contemplados en los artículos 12 a 22 de ese mismo Reglamento, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar objetivos importantes de interés público general de la Unión o del Estado miembro de que se trate, como, en particular, un interés económico o financiero importante, inclusive en los ámbitos presupuestario y fiscal.

52

A este respecto, del considerando 41 del Reglamento 2016/679 se desprende que la referencia, en dicho Reglamento, a una «medida legislativa» no exige necesariamente un acto legislativo adoptado por un parlamento.

53

Dicho esto, procede recordar que, como enuncia su considerando 4, el Reglamento 2016/679 respeta todos los derechos fundamentales y observa las libertades y los principios reconocidos en la Carta conforme se consagran en los Tratados, entre los que figura, en particular, la protección de los datos de carácter personal.

54

Pues bien, con arreglo al artículo 52, apartado 1, primera frase, de la Carta, cualquier limitación del ejercicio de los derechos y libertades reconocidos por esta, entre los que figuran, en particular, el derecho al respeto de la vida privada, garantizado por el artículo 7 de la Carta, y el derecho a la protección de datos de carácter personal, consagrado en el artículo 8 de esta, debe ser establecida por la ley, lo que implica, en particular, que la base legal que permita la injerencia en dichos derechos debe definir ella misma el alcance de la limitación del ejercicio del derecho de que se trate (véase, en este sentido, la sentencia de 6 de octubre de 2020, Privacy International, C‑623/17, EU:C:2020:790, apartado 65 y jurisprudencia citada).

55

A este respecto el Tribunal de Justicia ha declarado, además, que toda normativa que implique una medida que permita tal injerencia debe establecer reglas claras y precisas que regulen el alcance y la aplicación de la medida en cuestión e impongan unas exigencias mínimas, de modo que las personas cuyos datos personales resulten afectados dispongan de garantías suficientes que permitan proteger de manera eficaz esos datos contra los riesgos de abuso [véase, en este sentido, la sentencia de 2 de marzo de 2021, Prokuratuur (Condiciones de acceso a los datos relativos a las comunicaciones electrónicas), C‑746/18, EU:C:2021:152, apartado 48 y jurisprudencia citada].

56

Por consiguiente, toda medida adoptada en virtud del artículo 23 del Reglamento 2016/679, como ha señalado, por lo demás, el legislador de la Unión en el considerando 41 de dicho Reglamento, debe ser clara y precisa y su aplicación previsible para los justiciables. En particular, estos deben poder identificar las circunstancias y las condiciones en las que el alcance de los derechos que les confiere dicho Reglamento puede limitarse.

57

De las consideraciones anteriores se desprende que la Administración tributaria de un Estado miembro no puede establecer excepciones a lo dispuesto en el artículo 5 del Reglamento 2016/679 si no existe una base jurídica clara y precisa de Derecho de la Unión o de Derecho nacional, cuya aplicación sea previsible por los justiciables, que establezca las circunstancias y las condiciones en las que puede limitarse el alcance de las obligaciones y de los derechos previstos en dicho artículo 5.

58

Por consiguiente, procede responder a la segunda cuestión prejudicial que las disposiciones del Reglamento 2016/679 deben interpretarse en el sentido de que la Administración tributaria de un Estado miembro no puede establecer excepciones a lo dispuesto en el artículo 5, apartado 1, de dicho Reglamento si tal facultad no le ha sido concedida mediante una medida legislativa, en el sentido del artículo 23, apartado 1, de este.

Cuestiones prejudiciales tercera a novena

59

Mediante sus cuestiones prejudiciales tercera a novena, que procede examinar conjuntamente, el órgano jurisdiccional remitente pregunta, en esencia, si las disposiciones del Reglamento 2016/679 deben interpretarse en el sentido de que se oponen a que la Administración tributaria de un Estado miembro exija a un proveedor de servicios de publicación de anuncios en Internet que le facilite, durante un período no delimitado y sin precisar la finalidad de esta solicitud, información relativa al conjunto de los contribuyentes que hayan publicado anuncios en alguna de las secciones de su portal de Internet.

60

Con carácter preliminar, procede señalar que, en una situación como la controvertida en el litigio principal, pueden tener lugar dos tratamientos distintos de datos personales. Como se desprende de los apartados 37 y 38 de la presente sentencia, se trata de la recogida de datos personales por parte de la Administración tributaria de manos del proveedor de servicios de que se trata y, en este contexto, de la comunicación de esos datos por dicho proveedor a la mencionada Administración.

61

Como se desprende de la jurisprudencia citada en el apartado 50 de la presente sentencia, cada una de estas operaciones de tratamiento debe, sin perjuicio de las excepciones admitidas al amparo del artículo 23 del Reglamento 2016/679, respetar los principios que regulan el tratamiento de los datos personales enunciados en el artículo 5 de dicho Reglamento, así como los derechos del interesado que figuran en sus artículos 12 a 22.

62

En el caso de autos, el órgano jurisdiccional remitente se pregunta, en particular, acerca del hecho de que, por una parte, los tratamientos mencionados en el apartado 60 de la presente sentencia afecten a una cantidad ilimitada de información en relación con un período no delimitado y de que, por otra parte, la solicitud de información no especifique la finalidad de dichos tratamientos.

63

A este respecto, procede señalar, en primer lugar, que el artículo 5, apartado 1, letra b), del Reglamento 2016/679 establece, en particular, que los datos personales deben ser recogidos con fines determinados, explícitos y legítimos.

64

Antes de nada, el requisito de que hayan de determinarse los fines del tratamiento implica, como se desprende del considerando 39 de dicho Reglamento, que estos deben indicarse, a más tardar, en el momento de la recogida de los datos personales.

65

Además, los fines del tratamiento deben ser explícitos, lo que significa que deben indicarse claramente.

66

Por último, estos fines deben ser legítimos. Por lo tanto, deben garantizar un tratamiento lícito, en el sentido del artículo 6, apartado 1, de dicho Reglamento.

67

Los tratamientos mencionados en el apartado 60 de la presente sentencia se inician con una solicitud de información de datos personales que la Administración tributaria letona dirige al proveedor de servicios de publicación de anuncios en Internet. A este respecto, resulta que, en virtud del artículo 15, apartado 6, de la Ley de impuestos y tributos, dicho proveedor está obligado a dar curso favorable a tal solicitud.

68

Habida cuenta de las consideraciones expuestas en los apartados 64 y 65 de la presente sentencia, es necesario que los fines de estos tratamientos estén claramente declarados en dicha solicitud.

69

Siempre que los fines así declarados en dicha solicitud sean necesarios para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos a la Administración tributaria, esta circunstancia basta, como se desprende del artículo 6, apartado 1, párrafo primero, inicio y letra e), del Reglamento 2016/679, en relación con el artículo 6, apartado 3, párrafo segundo, de dicho Reglamento, para que tales tratamientos cumplan también el requisito de licitud recordado en el apartado 66 de la presente sentencia.

70

A este respecto, procede recordar que la recaudación de impuestos y la lucha contra el fraude fiscal deben considerarse misiones realizadas en interés público a efectos del artículo 6, apartado 1, párrafo primero, letra e), del Reglamento 2016/679 (véase, por analogía, la sentencia de 27 de septiembre de 2017, Puškár, C‑73/16, EU:C:2017:725, apartado 108).

71

De ello se deduce que, en un supuesto en el que la comunicación de los datos personales controvertidos no se basa directamente en una disposición legal que constituya su fundamento, sino que resulta de una solicitud de la autoridad pública competente, es necesario que dicha solicitud precise cuáles son los fines concretos de la recogida de los datos a la luz de la misión que se realiza en interés público o del ejercicio de poderes públicos, con el fin de permitir al destinatario de esa solicitud garantizar que la transmisión de los datos personales en cuestión es lícita y a los órganos jurisdiccionales nacionales interesados ejercer un control de la legalidad de los tratamientos de que se trate.

72

En segundo lugar, con arreglo al artículo 5, apartado 1, letra c), del Reglamento 2016/679, los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

73

A este respecto, procede recordar que, según jurisprudencia reiterada, las excepciones y restricciones al principio de protección de dichos datos deben establecerse sin sobrepasar los límites de lo estrictamente necesario [véase, en este sentido, la sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartado 110 y jurisprudencia citada].

74

De ello se deduce que el responsable del tratamiento, incluso cuando actúa en el marco de la misión realizada en interés público que se le ha conferido, no puede proceder, de manera generalizada e indiferenciada, a la recogida de datos personales y que debe abstenerse de recoger datos que no sean estrictamente necesarios en relación con los fines del tratamiento.

75

En el caso de autos, procede señalar que, como se desprende de los apartados 17 a 19 de la presente sentencia, la Administración tributaria letona solicitó al operador económico de que se trata que le facilitara datos relativos a los anuncios de venta de turismos publicados en su sitio de Internet entre el 14 de julio y el 31 de agosto de 2018 y, en el supuesto de que no pudiera renovarle el acceso a esta información, que le facilitara, a más tardar el tercer día de cada mes, los datos relativos a los anuncios de venta de turismos publicados en su sitio de Internet durante el mes anterior, sin fijar ninguna limitación temporal.

76

Habida cuenta de las consideraciones expuestas en el apartado 74 de la presente sentencia, corresponde al órgano jurisdiccional remitente comprobar si la finalidad de la recogida de esos datos puede alcanzarse sin que la Administración tributaria letona disponga potencialmente de datos relativos a todos los anuncios de venta de turismos publicados en el sitio de Internet de dicho operador y, en particular, si cabe la posibilidad de que dicha Administración seleccione anuncios determinados en función de criterios específicos.

77

En este contexto, procede señalar que, conforme al principio de responsabilidad proactiva enunciado en el artículo 5, apartado 2, del Reglamento 2016/679, el responsable del tratamiento debe ser capaz de demostrar que respeta los principios relativos al tratamiento de datos personales establecidos en el apartado 1 de dicho artículo.

78

Por lo tanto, corresponde a la Administración tributaria letona acreditar que, de conformidad con el artículo 25, apartado 2, de dicho Reglamento, intentó minimizar en la medida de lo posible la cantidad de datos personales que debían recogerse.

79

En relación con el hecho de que la solicitud de información remitida por la Administración tributaria letona no contemple ningún límite temporal para el supuesto de que el proveedor de servicios de publicidad de que se trata no renueve el acceso a los anuncios publicados en el período a que se refiere la solicitud, procede recordar que, habida cuenta del principio de minimización de datos, el responsable de dicho tratamiento también está obligado a limitar a lo estrictamente necesario, a la luz del objetivo perseguido con el tratamiento, el período de recogida de los datos personales de que se trata.

80

Por lo tanto, el período a que se refiere la recogida no puede exceder de la duración estrictamente necesaria para alcanzar el objetivo de interés general perseguido.

81

Como se desprende del apartado 77 de la presente sentencia, la carga de la prueba a este respecto incumbe a la Administración tributaria letona.

82

Sin embargo, el hecho de que los datos mencionados se recojan sin que la Administración tributaria letona haya determinado, en la propia solicitud de información, un límite temporal para dicho tratamiento no permite considerar que la duración del tratamiento excede de la estrictamente necesaria para alcanzar el objetivo perseguido.

83

En este contexto, cabe recordar, no obstante, que, para cumplir el requisito de proporcionalidad que se refleja en el artículo 5, apartado 1, letra c), del Reglamento 2016/679 [véase, en este sentido, la sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartado 98 y jurisprudencia citada], la normativa en la que se basa el tratamiento debe establecer reglas claras y precisas que regulen el alcance y la aplicación de la medida en cuestión e impongan unas exigencias mínimas, de modo que las personas cuyos datos personales resulten afectados dispongan de garantías suficientes que permitan proteger de manera eficaz esos datos frente a los riesgos de abuso. Dicha normativa debe ser legalmente imperativa en Derecho interno y, en particular, indicar en qué circunstancias y con arreglo a qué requisitos puede adoptarse una medida que contemple el tratamiento de tales datos, garantizando así que la injerencia se limite a lo estrictamente necesario (sentencia de 6 de octubre de 2020, Privacy International, C‑623/17, EU:C:2020:790, apartado 68 y jurisprudencia citada).

84

De ello se desprende que una normativa nacional que regule una solicitud de comunicación como la controvertida en el litigio principal debe basarse en criterios objetivos para definir las circunstancias y los requisitos conforme a los cuales un proveedor de servicios en Internet está obligado a suministrar datos personales relativos a sus usuarios (véase, en este sentido, la sentencia de 6 de octubre de 2020, Privacy International, C‑623/17, EU:C:2020:790, apartado 78 y jurisprudencia citada).

85

Habida cuenta de todas las consideraciones anteriores, procede responder a las cuestiones prejudiciales tercera a novena que las disposiciones del Reglamento 2016/679 deben interpretarse en el sentido de que no se oponen a que la Administración tributaria de un Estado miembro exija a un proveedor de servicios de publicación de anuncios en Internet que le facilite información relativa a los contribuyentes que hayan publicado anuncios en alguna de las secciones de su portal de Internet siempre que, en particular, tales datos sean necesarios a la luz de los fines específicos para los que se recaban y que el período de recogida de dichos datos no exceda de lo estrictamente necesario para alcanzar el objetivo de interés general perseguido.

Costas

86

Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

 

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Quinta) declara:

 

1)

Las disposiciones del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), deben interpretarse en el sentido de que la recogida, por parte de la Administración tributaria de un Estado miembro, de información que implique una cantidad considerable de datos personales de manos de un operador económico está sujeta a los requisitos de dicho Reglamento, en particular a los enunciados en su artículo 5, apartado 1.

 

2)

Las disposiciones del Reglamento 2016/679 deben interpretarse en el sentido de que la Administración tributaria de un Estado miembro no puede establecer excepciones a lo dispuesto en el artículo 5, apartado 1, de dicho Reglamento si tal facultad no le ha sido concedida mediante una medida legislativa, en el sentido del artículo 23, apartado 1, de este.

 

3)

Las disposiciones del Reglamento 2016/679 deben interpretarse en el sentido de que no se oponen a que la Administración tributaria de un Estado miembro exija a un proveedor de servicios de publicación de anuncios en Internet que le facilite información relativa a los contribuyentes que hayan publicado anuncios en alguna de las secciones de su portal de Internet siempre que, en particular, tales datos sean necesarios a la luz de los fines específicos para los que se recaban y que el período de recogida no exceda del estrictamente necesario para alcanzar el objetivo de interés general perseguido.

 

Firmas


( *1 ) Lengua de procedimiento: letón.