SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Tercera)

de 1 de octubre de 2015 ( * )

«Procedimiento prejudicial — Directiva 95/46/CE — Tratamiento de datos personales — Artículos 10 y 11 — Información a los interesados — Artículo 13 — Excepciones y limitaciones — Transmisión por una administración pública de un Estado miembro de datos fiscales personales para su tratamiento por otra administración pública»

En el asunto C‑201/14,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por la Curtea de Apel Cluj (Rumanía), mediante resolución de 31 de marzo de 2014, recibida en el Tribunal de Justicia el 22 de abril de 2014, en el procedimiento entre

Smaranda Bara y otros

y

Președintele Casei Naționale de Asigurări de Sănătate,

Casa Naţională de Asigurări de Sănătate,

Agenţia Naţională de Administrare Fiscală (ANAF),

EL TRIBUNAL DE JUSTICIA (Sala Tercera),

integrado por el Sr. M. Ilešič, Presidente de Sala, y el Sr. A. Ó Caoimh, la Sra. C. Toader y los Sres. E. Jarašiūnas y C.G. Fernlund (Ponente), Jueces;

Abogado General: Sr. P. Cruz Villalón;

Secretario: Sra. L. Carrasco Marco, administradora;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 29 de abril de 2015;

consideradas las observaciones presentadas:

en nombre de Smaranda Bara y otros, por el Sr. C.F. Costaş y la Sra. K. Kapcza, avocați;

en nombre de la Casa Naţională de Asigurări de Sănătate, por el Sr. V. Ciurchea, en calidad de agente;

en nombre del Gobierno rumano, por el Sr. R.H. Radu y las Sras. A. Buzoianu, A.‑G. Văcaru y D.M. Bulancea, en calidad de agentes;

en nombre del Gobierno checo, por los Sres. M. Smolek y J. Vláčil, en calidad de agentes;

en nombre de la Comisión Europea, por los Sres. I. Rogalski y B. Martenczuk y la Sra. J. Vondung, en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 9 de julio de 2015;

dicta la siguiente

Sentencia

1

La petición de decisión prejudicial tiene por objeto la interpretación del artículo 124 TFUE y de los artículos 10, 11 y 13 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281, p. 31).

2

Esta petición se presentó en el marco de un litigio entre, por un lado, la Sra. Bara y otros y, por otro lado, el Președintele Casei Naționale de Asigurări de Sănătate (Presidente de la Caja Nacional del Seguro de Enfermedad), la Casa Națională de Asigurări de Sănătate (Caja Nacional del Seguro de Enfermedad; en lo sucesivo, «CNAS») y la Agenția Națională de Administrare Fiscală (Agencia Nacional de Administración Tributaria; en lo sucesivo, «ANAF»), a propósito del tratamiento de ciertos datos.

Marco jurídico

Derecho de la Unión

3

A tenor del artículo 2 de la Directiva 95/46, que lleva por título «Definiciones»:

«A efectos de la presente Directiva, se entenderá por:

a)

“datos personales”: toda información sobre una persona física identificada o identificable (el “interesado”); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;

b)

“tratamiento de datos personales” (“tratamiento”): cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción;

c)

“fichero de datos personales” (“fichero”): todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;

d)

“responsable del tratamiento”: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario;

[...]»

4

El artículo 3 de dicha Directiva, titulado «Ámbito de aplicación», tiene la siguiente redacción:

«1.   Las disposiciones de la presente Directiva se aplicarán al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

2.   Las disposiciones de la presente Directiva no se aplicarán al tratamiento de datos personales:

efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de los títulos V y VI del Tratado de la Unión Europea y, en cualquier caso, al tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal;

efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.»

5

El artículo 6 de la Directiva, que se refiere a los principios relativos a la calidad de los datos, establece lo siguiente:

«1.   Los Estados miembros dispondrán que los datos personales sean:

a)

tratados de manera leal y lícita;

b)

recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dichos fines; no se considerará incompatible el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando los Estados miembros establezcan las garantías oportunas;

c)

adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente;

d)

exactos y, cuando sea necesario, actualizados; deberán tomarse todas las medidas razonables para que los datos inexactos o incompletos, con respecto a los fines para los que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o rectificados;

e)

conservados en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente. Los Estados miembros establecerán las garantías apropiadas para los datos personales archivados por un período más largo del mencionado, con fines históricos, estadísticos o científicos.

2.   Corresponderá a los responsables del tratamiento garantizar el cumplimiento de lo dispuesto en el apartado 1.»

6

El artículo 7 de esta misma Directiva, que trata sobre los principios relativos a la legitimación del tratamiento de datos, declara:

«Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si:

a)

el interesado ha dado su consentimiento de forma inequívoca, o

b)

es necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado, o

c)

es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o

d)

es necesario para proteger el interés vital del interesado, o

e)

es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos, o

f)

es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.»

7

El artículo 10 de la Directiva 95/46, bajo el título «Información en caso de obtención de datos recabados del propio interesado», establece lo siguiente:

«Los Estados miembros dispondrán que el responsable del tratamiento o su representante deberán comunicar a la persona de quien se recaben los datos que le conciernan, por lo menos la información que se enumera a continuación, salvo si la persona ya hubiera sido informada de ello:

a)

la identidad del responsable del tratamiento y, en su caso, de su representante;

b)

los fines del tratamiento de que van a ser objeto los datos;

c)

cualquier otra información tal como:

los destinatarios o las categorías de destinatarios de los datos,

el carácter obligatorio o no de la respuesta y las consecuencias que tendría para la persona interesada una negativa a responder,

la existencia de derechos de acceso y rectificación de los datos que la conciernen,

en la medida en que, habida cuenta de las circunstancias específicas en que se hayan obtenido los datos, dicha información suplementaria resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado.»

8

El artículo 11 de esta Directiva, titulado «Información cuando los datos no han sido recabados del propio interesado», está redactado en los siguientes términos:

«1.   Cuando los datos no hayan sido recabados del interesado, los Estados miembros dispondrán que el responsable del tratamiento o su representante deberán, desde el momento del registro de los datos o, en caso de que se piense comunicar datos a un tercero, a más tardar, en el momento de la primera comunicación de datos, comunicar al interesado por lo menos la información que se enumera a continuación, salvo si el interesado ya hubiera sido informado de ello:

a)

la identidad del responsable del tratamiento y, en su caso, de su representante;

b)

los fines del tratamiento de que van a ser objeto los datos;

c)

cualquier información adicional como:

las categorías de los datos de que se trate,

los destinatarios o las categorías de destinatarios de los datos,

la existencia de derechos de acceso y rectificación de los datos que la conciernen,

en la medida en que, habida cuenta de las circunstancias específicas en que se hayan obtenido los datos, dicha información suplementaria resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado.

2.   Las disposiciones del apartado 1 no se aplicarán, en particular para el tratamiento con fines estadísticos o de investigación histórica o científica, cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados o el registro o la comunicación a un tercero estén expresamente prescritos por ley. En tales casos, los Estados miembros establecerán las garantías apropiadas.»

9

A tenor del artículo 13 de la Directiva, titulado «Excepciones y limitaciones»:

«1.   Los Estados miembros podrán adoptar medidas legales para limitar el alcance de las obligaciones y los derechos previstos en el apartado 1 del artículo 6, en el artículo 10, en el apartado 1 del artículo 11, y en los artículos 12 y 21 cuando tal limitación constituya una medida necesaria para la salvaguardia de:

a)

la seguridad del Estado;

b)

la defensa;

c)

la seguridad pública;

d)

la prevención, la investigación, la detección y la represión de infracciones penales o de las infracciones de la deontología en las profesiones reglamentadas;

e)

un interés económico y financiero importante de un Estado miembro o de la Unión Europea, incluidos los asuntos monetarios, presupuestarios y fiscales;

f)

una función de control, de inspección o reglamentaria relacionada, aunque sólo sea ocasionalmente, con el ejercicio de la autoridad pública en los casos a que hacen referencia las letras c), d) y e);

g)

la protección del interesado o de los derechos y libertades de otras personas.

2.   Sin perjuicio de las garantías legales apropiadas, que excluyen, en particular, que los datos puedan ser utilizados en relación con medidas o decisiones relativas a personas concretas, los Estados miembros podrán, en los casos en que manifiestamente no exista ningún riesgo de atentado contra la intimidad del interesado, limitar mediante una disposición legal los derechos contemplados en el artículo 12 cuando los datos se vayan a tratar exclusivamente con fines de investigación científica o se guarden en forma de archivos de carácter personal durante un período que no supere el tiempo necesario para la exclusiva finalidad de la elaboración de estadísticas.»

Derecho rumano

Ley no 95/2006

10

Se desprende de la resolución de remisión que el artículo 215 de la Ley no 95/2006 sobre la reforma del sector sanitario (Legea nr. 95/2006 privind reforma în domeniul sănătății), de 14 de abril de 2006 (Monitorul Oficial al României, parte I, no 372, de 28 de abril de 2006), dispone lo siguiente:

«1)   La obligación de abonar la cotización para el seguro de enfermedad incumbe a la persona física o jurídica que contrata personal sobre la base de un contrato individual de trabajo o de un estatuto especial previsto por la Ley, así como, en su caso, a las personas físicas.

2)   Las personas jurídicas o físicas para las cuales los asegurados efectúan su actividad están obligadas a presentar cada mes a la caja de seguro de enfermedad que elija libremente el asegurado las declaraciones nominativas sobre las obligaciones que les incumben respecto del fondo y la prueba de haber efectuado el pago de las cotizaciones.

[...]»

11

El artículo 315 de dicha Ley dispone lo siguiente:

«Las autoridades, instituciones públicas y otras instituciones transmitirán gratuitamente a las cajas del seguro de enfermedad, sobre la base de un protocolo, los datos necesarios para determinar la condición de asegurado.»

La Orden no 617/2007 del Presidente de la CNAS

12

El artículo 35 de la Orden no 617/2007 del Presidente de la Caja Nacional del Seguro de Enfermedad, de 13 de agosto de 2007, por la que se aprueban las normas de ejecución relativas a la determinación de los documentos justificativos para la adquisición de la condición de asegurado, o de asegurado sin pago de cotización, y a la aplicación de medidas de ejecución forzosa para el cobro de las cantidades adeudadas al Fondo nacional único del seguro de enfermedad (Monitorul Oficial al României, parte I, no 649, de 24 de septiembre de 2007), dispone lo siguiente:

«[...] para las obligaciones de pago al fondo a cargo de las personas físicas que se aseguran mediante contrato de seguro, distintas de aquéllas respecto de las cuales la ANAF efectúa el pago, constituyen título de deuda, según los casos, la declaración [...], la liquidación expedida por el organismo competente de la CAS [Caja del Seguro de Enfermedad], y las resoluciones judiciales sobre los créditos del fondo. La liquidación podrá ser expedida por el organismo competente de la CAS y sobre la base de la información transmitida en virtud del Protocolo de la ANAF.»

Protocolo de 2007

13

A tenor del artículo 4 del Protocolo no P 5282/26.10.2007/95896/30.10.2007 celebrado entre la CNAS y la ANAF (en lo sucesivo, «Protocolo de 2007»):

«Tras la entrada en vigor del presente Protocolo, la [ANAF] transmitirá en formato electrónico, a través de sus unidades especiales subordinadas, la base de datos inicial relativa a:

a.

los ingresos de las personas que pertenecen a las categorías contempladas en el artículo 1, apartado 1, del presente Protocolo y, cada tres meses, la actualización de dicha base de datos, a la [CNAS], en una forma que permita su tratamiento automatizado, con arreglo al anexo I del presente Protocolo [...]

[...]»

Litigio principal y cuestiones prejudiciales

14

Los recurrentes en el procedimiento principal obtienen ingresos de actividades por cuenta propia. La ANAF transmitió a la CNAS los datos relativos a sus ingresos declarados. Basándose en estos datos, la CNAS reclamó el pago de atrasos de cotizaciones al régimen de seguro de enfermedad.

15

Los recurrentes en el procedimiento principal interpusieron un recurso ante la Curtea de Apel Cluj (tribunal de apelación de Cluj, Rumanía) impugnando la legalidad de la transmisión de los datos fiscales relativos a sus ingresos con arreglo a la Directiva 95/46. Alegan que esos datos personales fueron transmitidos y utilizados, sin otra base que un mero protocolo interno, para fines distintos de aquéllos para los que habían sido inicialmente comunicados a la ANAF, sin su consentimiento expreso y sin haber sido previamente informados de ello.

16

Se desprende de la resolución de remisión que los organismos públicos están facultados, en virtud de la Ley no 95/2006, para transmitir datos personales a las cajas de seguro de enfermedad con el fin de que éstas puedan determinar la condición de asegurado de los interesados. Tales datos se refieren a la identificación de las personas (nombre, apellido, número de identificación personal, domicilio), pero no incluyen los relativos a los ingresos obtenidos.

17

El órgano jurisdiccional remitente pretende dilucidar si el tratamiento de los datos por la CNAS requería la previa información de los interesados acerca de la identidad del responsable del tratamiento de los datos y de la finalidad con que se transmitían esos datos. Dicho órgano jurisdiccional ha de pronunciarse asimismo acerca de si la transmisión de los datos basada en el Protocolo de 2007 es contraria a las disposiciones de la Directiva 95/46, que exigen que cualquier restricción de los derechos de los interesados esté prevista por la Ley y vaya acompañada de garantías, especialmente cuando los datos se utilizan en su contra.

18

En tales circunstancias, la Curtea de Apel Cluj decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1)

La autoridad tributaria nacional, en su condición de organismo representativo del Ministerio competente de un Estado miembro, ¿es una entidad financiera en el sentido del artículo 124 TFUE?

2)

¿Puede regularse la transmisión por la administración nacional tributaria a otra institución del Estado miembro de la base de datos relativos a los ingresos obtenidos por los ciudadanos de un Estado miembro mediante un acto equivalente a los actos administrativos, a saber, un protocolo celebrado entre la autoridad tributaria nacional y otra institución del Estado, sin que ello constituya un acceso privilegiado, tal como se define en el artículo 124 TFUE?

3)

La transmisión de la base de datos con objeto de obligar a los ciudadanos del Estado miembro a abonar las cotizaciones sociales a la institución del Estado miembro a cuyo favor se efectúa la transmisión, ¿está comprendida en el concepto de consideración prudencial en el sentido del artículo 124 TFUE?

4)

¿Puede tratar los datos personales una autoridad que no era destinataria de los mismos, si dicha operación crea, de modo retroactivo, un perjuicio patrimonial?»

Cuestiones prejudiciales

Sobre la admisibilidad

Sobre la admisibilidad de las cuestiones prejudiciales primera a tercera

19

Según jurisprudencia reiterada, el Tribunal de Justicia se puede negar a pronunciarse sobre una cuestión prejudicial planteada por un órgano jurisdiccional nacional cuando resulta evidente que la interpretación del Derecho de la Unión solicitada no tiene relación alguna con la realidad o con el objeto del litigio principal, cuando el problema es de naturaleza hipotética o cuando el Tribunal de Justicia no dispone de los elementos de hecho o de Derecho necesarios para responder de manera útil a las cuestiones planteadas (véase la sentencia PreussenElektra, C-379/98, EU:C:2001:160, apartado 39 y jurisprudencia citada).

20

Todas las observaciones presentadas ante el Tribunal de Justicia se inclinan por considerar que las cuestiones prejudiciales primera a tercera, relativas a la interpretación del artículo 124 TFUE, son inadmisibles por no guardar relación con el objeto del litigio principal.

21

A este respecto, ha de recordarse que el artículo 124 TFUE está comprendido en la tercera parte, título VIII, del Tratado FUE, relativo a la política económica y monetaria. Dicho artículo prohíbe cualquier medida que no se base en consideraciones prudenciales que establezca un acceso privilegiado a las entidades financieras para las instituciones, órganos u organismos de la Unión, Gobiernos centrales, autoridades regionales, locales u otras autoridades públicas, organismos de Derecho público o empresas públicas de los Estados miembros.

22

Esta prohibición tiene su origen en el artículo 104 A del Tratado CE (posteriormente artículo 102 CE) introducido en el Tratado CE por el Tratado de Maastricht. Forma parte de las disposiciones del Tratado FUE relativas a la política económica que tratan de incitar a los Estados miembros a seguir una política presupuestaria sana, evitando que la financiación monetaria de los déficits públicos o el acceso privilegiado de las autoridades públicas a los mercados financieros desemboquen en un endeudamiento excesivo o en déficits excesivos de los Estados miembros (véase, en este sentido, la sentencia Gauweiler y otros, C‑62/14, EU:C:2015:400, apartado 100).

23

Resulta, pues, evidente que la interpretación del artículo 124 TFUE solicitada no guarda relación alguna con la realidad o el objeto del litigio principal, que trata sobre la protección de los datos personales.

24

Por consiguiente, no procede responder a las cuestiones prejudiciales primera a tercera.

Sobre la admisibilidad de la cuarta cuestión prejudicial

25

La CNAS y el Gobierno rumano sostienen que la cuarta cuestión prejudicial es inadmisible. Dicho Gobierno alega que no existe vínculo alguno entre el perjuicio invocado por los recurrentes en el procedimiento principal y la anulación de los actos administrativos impugnados en dicho procedimiento.

26

Procede recordar, a este respecto, que, según jurisprudencia reiterada del Tribunal de Justicia, las cuestiones sobre la interpretación del Derecho de la Unión planteadas por el juez nacional en el marco fáctico y normativo definido bajo su responsabilidad y cuya exactitud no corresponde verificar al Tribunal de Justicia disfrutan de una presunción de pertinencia. La negativa del Tribunal de Justicia a pronunciarse sobre una cuestión planteada por un órgano jurisdiccional nacional sólo está justificada cuando resulta evidente que la interpretación del Derecho de la Unión solicitada no tiene relación alguna con la realidad o con el objeto del litigio principal, cuando el problema es de naturaleza hipotética o cuando el Tribunal de Justicia no dispone de los elementos de hecho o de Derecho necesarios para responder útilmente a las cuestiones planteadas (sentencia Fish Legal y Shirley, C‑279/12, EU:C:2013:853, apartado 30 y jurisprudencia citada).

27

Es de señalar que el procedimiento principal trata sobre la legalidad del tratamiento de los datos fiscales recogidos por la ANAF. El órgano jurisdiccional remitente se pregunta acerca de la interpretación de las disposiciones de la Directiva 95/46 en el marco del control de la legalidad de la transmisión de esos datos a la CNAS y de su tratamiento subsiguiente. La cuarta cuestión prejudicial es por tanto pertinente y suficientemente precisa para que el Tribunal de Justicia pueda responder a ella de forma útil. Así pues, la petición de decisión prejudicial debe considerarse admisible en lo que respecta a la cuarta cuestión.

Sobre el fondo

28

Mediante su cuarta cuestión, el órgano jurisdiccional remitente pregunta, en lo sustancial, si los artículos 10, 11 y 13 de la Directiva 95/46 deben interpretarse en el sentido de que se oponen a medidas nacionales, como las que son objeto del procedimiento principal, que permiten a una administración pública de un Estado miembro transmitir datos personales a otra administración pública y el subsiguiente tratamiento de esos datos, sin que los interesados hayan sido informados de esa transmisión ni de ese tratamiento.

29

A este respecto, procede observar, basándose en las indicaciones facilitadas por el órgano jurisdiccional remitente, que los datos fiscales transferidos por la ANAF a la CNAS constituyen datos personales en el sentido del artículo 2, letra a), de dicha Directiva, puesto que se trata de «información sobre una persona física identificada o identificable» (sentencia Satakunnan Markkinapörssi y Satamedia, C‑73/07, EU:C:2008:727, apartado 35). Tanto su transmisión por la ANAF, organismo encargado de la gestión de la base de datos en donde se recopilan, como su tratamiento subsiguiente por la CNAS tienen por lo tanto carácter de «tratamiento de datos personales» en el sentido del artículo 2, letra b), de la propia Directiva (véanse, en este sentido, en particular, las sentencias Österreichischer Rundfunk y otros, C‑465/00, C‑138/01 y C‑139/01, EU:C:2003:294, apartado 64, y Huber, C‑524/06, EU:C:2008:724, apartado 43).

30

Con arreglo a lo dispuesto en el capítulo II de la Directiva 95/46, titulado «Condiciones generales para la licitud del tratamiento de datos personales», sin perjuicio de las excepciones admitidas al amparo de su artículo 13, todo tratamiento de datos personales debe ser conforme, por una parte, con los principios relativos a la calidad de los datos, enunciados en el artículo 6 de dicha Directiva, y, por otra, con alguno de los principios relativos a la legitimación del tratamiento de datos, enumerados en su artículo 7 (sentencias Österreichischer Rundfunk y otros, C‑465/00, C‑138/01 y C‑139/01, EU:C:2003:294, apartado 65; Huber, C‑524/06, EU:C:2008:724, apartado 48, y ASNEF y FECEMD, C‑468/10 y C‑469/10, EU:C:2011:777, apartado 26).

31

Además, el responsable del tratamiento de los datos o su representante está sujeto a una obligación de información cuyo contenido concreto, enunciado en los artículos 10 y 11 de la Directiva 95/46, varía según que dichos datos hayan sido o no recabados del propio interesado, y sin perjuicio de las excepciones admitidas al amparo del artículo 13 de la Directiva.

32

Por lo que respecta, en primer lugar, al artículo 10 de la citada Directiva, dispone que el responsable del tratamiento deberá comunicar a la persona de quien se recaben los datos que le conciernan la información enumerada en dicho artículo, letras a) a c), salvo si esa persona ya hubiera sido informada de ello. Dicha información se refiere a la identidad del responsable del tratamiento de esos datos, los fines de ese tratamiento, así como cualquier otra información necesaria para garantizar un tratamiento leal de los datos. Dentro de esa otra información necesaria para garantizar un tratamiento leal de los datos, el artículo 10, letra c), de la propia Directiva menciona expresamente a «los destinatarios o las categorías de destinatarios de los datos» y «la existencia de derechos de acceso y rectificación de los datos que [...] conciernen [a esa persona]».

33

Como señaló el Abogado General en el punto 74 de sus conclusiones, esa exigencia de información de los interesados resulta especialmente importante en la medida en que es una condición necesaria para el ejercicio por éstos de su derecho de acceso a los datos objeto de tratamiento y de rectificación de los mismos, establecido en el artículo 12 de la Directiva 95/46, y de su derecho de oposición al tratamiento de esos datos, contemplado en el artículo 14 de la propia Directiva.

34

Por consiguiente, la exigencia de tratamiento leal de los datos personales prevista en el artículo 6 de la Directiva 95/46 obliga a una administración pública a informar a los interesados de la transmisión de esos datos a otra administración pública para su tratamiento por ésta en su calidad de destinataria de dichos datos.

35

Se desprende de las explicaciones del órgano jurisdiccional remitente que los recurrentes en el procedimiento principal no fueron informados por la ANAF de la transmisión a la CNAS de los datos personales relativos a ellos.

36

El Gobierno rumano alega no obstante que la ANAF está obligada, concretamente en virtud del artículo 315 de la Ley no 95/2006, a transmitir a las cajas regionales del seguro de enfermedad los datos necesarios para que la CNAS pueda determinar la condición de asegurados de las personas que obtienen ingresos de actividades por cuenta propia.

37

Es cierto que el artículo 315 de la Ley no 95/2006 dispone expresamente que «las autoridades, instituciones públicas y otras instituciones transmitirán gratuitamente a las cajas del seguro de enfermedad, sobre la base de un protocolo, los datos necesarios para determinar la condición de asegurado». No obstante, se desprende de las explicaciones facilitadas por el órgano jurisdiccional remitente que los datos necesarios para determinar la condición de asegurado, en el sentido de dicha disposición, no incluyen los relativos a los ingresos, ya que la ley reconoce igualmente la condición de asegurado a quienes carecen de ingresos sujetos a tributación.

38

En tales circunstancias, el artículo 315 de la Ley no 95/2006 no puede constituir, en el sentido del artículo 10 de la Directiva 95/46, una información previa que pueda dispensar al responsable del tratamiento de su obligación de informar a las personas de quienes recaba los datos relativos a sus ingresos sobre los destinatarios de dichos datos. Por lo tanto, no cabe considerar que la transmisión en cuestión haya sido realizada respetando las disposiciones del artículo 10 de la Directiva 95/46.

39

Ha de examinarse si esa omisión de información a los interesados puede estar amparada por el artículo 13 de la Directiva. Se desprende, en efecto, del apartado 1, letras e) y f), de dicho artículo 13, que los Estados miembros pueden limitar el alcance de las obligaciones y los derechos previstos en el artículo 10 de la Directiva cuando tal limitación constituya una medida necesaria para la salvaguardia de «un interés económico y financiero importante de un Estado miembro [...], incluidos los asuntos monetarios, presupuestarios y fiscales» así como de «una función de control, de inspección o reglamentaria relacionada, aunque sólo sea ocasionalmente, con el ejercicio de la autoridad pública en los casos a que hacen referencia las letras c), d) y e)». No obstante, el citado artículo 13 exige expresamente que tales limitaciones se adopten mediante medidas legales.

40

Pues bien, además de la circunstancia, puesta de relieve por el órgano jurisdiccional remitente, de que los datos relativos a los ingresos no forman parte de los datos personales necesarios para la determinación de la condición de asegurado, procede subrayar que el artículo 315 de la Ley no 95/2006 no hace sino contemplar, como principio, la transmisión de estos últimos datos personales en poder de las autoridades, instituciones públicas y otras instituciones. Se desprende asimismo de la resolución de remisión que la definición de los datos que pueden transmitirse y las disposiciones de aplicación de la transmisión de esos datos fueron elaboradas no mediante una medida legal, sino mediante el Protocolo de 2007 celebrado entre la ANAF y la CNAS, que no fue objeto de publicación oficial.

41

En tales circunstancias, no puede considerarse que concurran los requisitos previstos en el artículo 13 de la Directiva 95/46 para que un Estado miembro pueda establecer una excepción a los derechos y obligaciones derivados del artículo 10 de dicha Directiva.

42

Por lo que se refiere, en segundo lugar, al artículo 11 de la citada Directiva, dispone, en su apartado 1, que el responsable del tratamiento de datos que no hayan sido recabados del interesado deberá comunicar a éste la información enumerada en las letras a) a c). Esa información se refiere a la identidad del responsable del tratamiento, los fines del tratamiento y cualquier otra información necesaria para garantizar un tratamiento leal de los datos. Dentro de esta otra información, el artículo 11, apartado 1, letra c), de la propia Directiva menciona expresamente «las categorías de los datos de que se trate» y «la existencia de derechos de acceso y rectificación de los datos que la conciernen».

43

De lo anterior se deduce que, con arreglo al artículo 11, apartado 1, letras b) y c), de la Directiva 95/46, en las circunstancias del asunto principal, el tratamiento por la CNAS de los datos transmitidos por la ANAF implicaba que las personas a quienes se referían tales datos fuesen informadas de los fines de dicho tratamiento y de las categorías de datos de que se trataba.

44

Ahora bien, de las explicaciones facilitadas por el órgano jurisdiccional remitente se desprende que la CNAS no comunicó a los recurrentes en el procedimiento principal la información enumerada en el artículo 11, apartado 1, letras a) a c), de dicha Directiva.

45

Es preciso añadir que, con arreglo al artículo 11, apartado 2, de la Directiva 95/46, las disposiciones del artículo 11, apartado 1, de la propia Directiva no se aplicarán, en particular, cuando el registro o la comunicación de los datos a un tercero estén expresamente prescritos por ley, debiendo en tales casos los Estados miembros establecer las garantías apropiadas. Por los motivos expuestos en los apartados 40 y 41 de la presente sentencia, las disposiciones de la Ley no 95/2006 invocadas por el Gobierno rumano y el Protocolo de 2007 no pueden estar amparados ni por el régimen excepcional del artículo 11, apartado 2, ni por el del artículo 13 de la citada Directiva.

46

Habida cuenta del conjunto de las consideraciones anteriores, procede responder a la cuestión planteada que los artículos 10, 11 y 13 de la Directiva 95/46 deben interpretarse en el sentido de que se oponen a medidas nacionales, como las que son objeto del procedimiento principal, que permiten a una administración pública de un Estado miembro transmitir datos personales a otra administración pública y el subsiguiente tratamiento de esos datos, sin que los interesados hayan sido informados de esa transmisión ni de ese tratamiento.

Costas

47

Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional nacional, corresponde a éste resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

 

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Tercera) declara:

 

Los artículos 10, 11 y 13 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, deben interpretarse en el sentido de que se oponen a medidas nacionales, como las que son objeto del procedimiento principal, que permiten a una administración pública de un Estado miembro transmitir datos personales a otra administración pública y el subsiguiente tratamiento de esos datos, sin que los interesados hayan sido informados de esa transmisión ni de ese tratamiento.

 

Firmas


( * )   Lengua de procedimiento: rumano.