1. 

Administrația vamală germană solicită anumite date cu caracter personal ale persoanelor care ocupă funcții de conducere și ale angajaților din cadrul întreprinderilor care doresc să obțină sau să își mențină statutul de operator economic autorizat (denumit în continuare „AEO”), în temeiul căruia beneficiază de un tratament mai favorabil față de ceilalți importatori sau exportatori.

2. 

Cererea de decizie preliminară privește limitele impuse de dreptul Uniunii în ceea ce privește aceste solicitări, atât în domeniul strict vamal, cât și în cel al protecției datelor cu caracter personal.

3.

Articolul 38 din Regulamentul nr. 952/2013 ( 2 ) prevede:

„(1)   Orice operator economic stabilit pe teritoriul vamal al Uniunii și care îndeplinește criteriile enunțate la articolul 39 poate să depună o cerere pentru a obține statutul de operator economic autorizat.

[…]

(2)   Statutul de operator economic autorizat cuprinde următoarele tipuri de autorizări:

[…]”

4.

Articolul 39 litera (a) prevede:

„Criteriile pentru acordarea statutului de operator economic autorizat sunt următoarele:

[…]”

5.

În conformitate cu articolul 24 alineatul (1):

„[…]

Dacă solicitantul nu este o persoană fizică, criteriul stabilit la articolul 39 litera (a) din cod este considerat îndeplinit dacă, în ultimii trei ani, niciuna dintre următoarele persoane nu a comis nicio încălcare gravă sau încălcări repetate ale legislației vamale și ale dispozițiilor fiscale și nu a avut cazier conținând infracțiuni grave legate de activitatea sa economică:

6.

Conform articolului 1:

„(1)   Prezentul regulament stabilește măsuri tranzitorii privind mijloacele pentru schimbul și stocarea de date prevăzute la articolul 278 din cod, până când sistemele electronice care sunt necesare pentru punerea în aplicare a dispozițiilor codului devin operaționale.

(2)   Cerințele în materie de date, formatele și codurile care urmează să fie aplicate în perioadele tranzitorii stabilite în prezentul regulament, în Regulamentul delegat (UE) 2015/2446 și în Regulamentul de punere în aplicare (UE) 2015/2447 sunt stabilite în anexele la prezentul regulament.”

7.

Articolul 5 prevede:

„(1)   Până la data de modernizare a sistemului AEO menționat în anexa la Decizia de punere în aplicare 2014/255/UE, autoritățile vamale pot permite utilizarea altor mijloace decât tehnicile de prelucrare electronică a datelor în ceea ce privește cererile și deciziile privind AEO sau orice eveniment ulterior care ar putea afecta cererea sau decizia inițială.

(2)   În cazurile prevăzute la alineatul (1) din prezentul articol, se aplică următoarele dispoziții:

8.

Punctul 19 din notele explicative din anexa VI se referă la conținutul formularului de cerere privind acordarea statutului de AEO:

„Numele, data și semnătura solicitantului:

Semnătura: semnatarul trebuie să își precizeze funcția. Semnatarul trebuie să fie întotdeauna aceeași persoană care reprezintă întreprinderea solicitantului în ansamblu.

Numele: numele și ștampila solicitantului.

[…]

[…]”

9.

Conform articolului 4:

„În sensul prezentului regulament:

[…]”

10.

Articolul 5 prevede:

„Datele cu caracter personal sunt:

[…]”

11.

Articolul 6 precizează:

„(1)   Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:

[…]

[…]

[…]

(2)   Statele membre pot menține sau introduce dispoziții mai specifice de adaptare a aplicării normelor prezentului regulament în ceea ce privește prelucrarea în vederea respectării alineatului (1) literele (c) și (e) prin definirea unor cerințe specifice mai precise cu privire la prelucrare și a altor măsuri de asigurare a unei prelucrări legale și echitabile, inclusiv pentru alte situații concrete de prelucrare, astfel cum este prevăzut în capitolul IX.

(3)   Temeiul pentru prelucrarea menționată la alineatul (1) literele (c) și (e) trebuie să fie prevăzut în:

Scopul prelucrării este stabilit pe baza respectivului temei juridic sau, în ceea ce privește prelucrarea menționată la alineatul (1) litera (e), este necesar pentru îndeplinirea unei sarcini efectuate în interes public sau în cadrul exercitării unei funcții publice atribuite operatorului. […] Dreptul Uniunii sau dreptul intern urmărește un obiectiv de interes public și este proporțional cu obiectivul legitim urmărit.

(4)   În cazul în care prelucrarea în alt scop decât cel pentru care datele cu caracter personal au fost colectate nu se bazează pe consimțământul persoanei vizate sau pe dreptul Uniunii sau dreptul intern, care constituie o măsură necesară și proporțională într‑o societate democratică pentru a proteja obiectivele menționate la articolul 23 alineatul (1), operatorul, pentru a stabili dacă prelucrarea în alt scop este compatibilă cu scopul pentru care datele cu caracter personal au fost colectate inițial, ia în considerare, printre altele:

12.

În conformitate cu articolul 23 alineatul (1) litera (e):

„Dreptul Uniunii sau dreptul intern care se aplică operatorului de date sau persoanei împuternicite de operator poate restricționa printr‑o măsură legislativă domeniul de aplicare al obligațiilor și al drepturilor prevăzute la articolele 12-22 și 34, precum și la articolul 5 în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 12-22, atunci când o astfel de restricție respectă esența drepturilor și libertăților fundamentale și constituie o măsură necesară și proporțională într‑o societate democratică, pentru a asigura:

[…]

13.

Articolul 139a alineatul 1, în versiunea aplicabilă situației de fapt, prevede:

„În scopul identificării univoce în cadrul procedurii de impozitare, Bundeszentralamt für Steuern (Oficiul Federal Central pentru Impozite) atribuie fiecărei persoane impozabile un cod unic și permanent (cod de identificare), care va trebui comunicat de persoana impozabilă sau de un terț care trebuie să transmită datele persoanei impozabile respective către autoritățile fiscale în cazul oricăror cereri, declarații sau comunicări adresate acestora. Codul de identificare constă într‑o serie de cifre care nu poate fi formată sau dedusă din datele persoanei impozabile, și a cărui ultimă poziție este o cifră de control […]”

14.

Conform articolului 139b:

„(1)   O persoană fizică nu poate primi decât un singur număr de identificare […]

(2)   Autoritățile fiscale pot colecta și utiliza numărul de identificare în măsura în care acest fapt este necesar pentru ca acestea să își îndeplinească atribuțiile prevăzute de lege sau dacă o dispoziție legală permite sau prevede în mod explicit acest lucru. Alte organisme publice sau nepublice pot:

(3)   Oficiul Federal Central pentru Impozite stochează următoarele date referitoare la persoanele fizice:

[…]

[…]

(4)   Datele prezentate la alineatul 3 sunt stocate în scopul:

15.

Articolul 38 alineatele 1 și 3, în versiunea aplicabilă la momentul situației de fapt, prevede:

„(1)   În ceea ce privește veniturile din activități salariale, în măsura în care salariul este plătit de un angajator […], impozitul pe venit se colectează prin reținere din salariu (impozit pe salariu).

[…]

(3)   Angajatorul reține impozitul respectiv din salariul lucrătorului la fiecare plată a salariilor […]”

16.

Articolul 39 alineatele 1 și 4 prevede:

„(1)   Pentru reținerea impozitului pe salariu, se vor stabili, la inițiativa lucrătorului, indicatori pentru reținerea din salariu […]

[…]

(4)   Indicatorii pentru reținerea din salariu sunt:

[…]”

17.

Conform articolului 39e:

„(1)   Oficiul Federal Central pentru Impozite stabilește în principiu în mod automat, drept date individuale pentru reținerea la sursă a impozitului pe salariu (articolul 39 alineatul 4 prima teză punctele 1 și 2), clasa de impunere aferentă fiecărui lucrător și, în cazul claselor de impunere I‑IV, numărul creditelor fiscale acordate pentru numărul de copii […]. Atunci când autoritatea fiscală determină datele individuale pentru reținerea la sursă a impozitului pe salariu în conformitate cu articolul 39, aceasta le comunică Oficiului Federal Central pentru Impozite în vederea punerii lor la dispoziția angajatorului în mod automat […]

(2)   Oficiul Federal Central pentru Impozite stochează datele individuale pentru reținerea la sursă a impozitului pe salariu în scopul punerii acestora la dispoziția angajatorului în mod automat, indicând numărul de identificare, precum și, pentru fiecare persoană impozabilă, următoarele date suplimentare în raport cu cele menționate la articolul 139b alineatul 3 din Abgabenordnung (Codul fiscal german):

[…]

(4)   La data începerii raportului de muncă, în scopul verificării datelor individuale pentru reținerea la sursă a impozitului pe salariu, lucrătorul trebuie să comunice fiecăruia dintre angajatorii săi:

[…]

La data începerii raportului de muncă, angajatorul trebuie să obțină în mod telematic, de la Oficiul Federal Central pentru Impozite, datele electronice individuale pentru reținerea la sursă a impozitului pe salariu cu privire la lucrătorul respectiv și să le includă în contul de salariu al lucrătorului. […]

[…]”

18.

Deutsche Post este titularul autorizațiilor vamale acordate în temeiul Regulamentului (CEE) nr. 2913/92 ( 6 ) și al Regulamentului (CEE) nr. 2454/93 ( 7 ), în special în calitate de destinatar și de expeditor autorizat. Aceasta beneficiază de asemenea de o garanție globală în scopul facilitării regimului de tranzit unional sau al celui comun și, începând cu data aplicabilității integrale a noului cod vamal, de autorizația pentru deținerea unui spațiu de depozitare temporară.

19.

Prin scrisoarea din 19 aprilie 2017, Hauptzollamt (Biroul Vamal Central) a solicitat Deutsche Post ca, până la 19 mai 2017, să completeze chestionarul de autoevaluare, partea I (Informații referitoare la întreprindere), disponibil pe internet. Chestionarul respectiv conținea printre altele următoarele întrebări:

„1.1.2 În măsura în care se aplică formei juridice a societății dumneavoastră, vă rugăm să indicați,

[…]

1.1.6 Vă rugăm să menționați principalele persoane care ocupă funcții de conducere în cadrul întreprinderii (directori generali, șefi de departament, șeful departamentului financiar‑contabil, șeful departamentului vamal etc.) și să descrieți reglementările privind reprezentarea aplicabile acestora. Datele minime necesare sunt numele și prenumele, data nașterii, numărul de identificare fiscală și administrația fiscală competentă.

[…]

1.3.1. Vă rugăm să menționați persoanele responsabile cu chestiunile vamale sau persoanele care se ocupă cu chestiunile vamale în cadrul organizației dumneavoastră (de exemplu consilieri în domeniul vamal, șeful departamentului vamal) și să indicați în acest sens numele și prenumele, data nașterii, numărul de identificare fiscală și administrația fiscală competentă, precum și poziția deținută de aceste persoane în cadrul organizației.”

20.

Biroul Vamal Central a atras atenția Deutsche Post asupra faptului că, în cazul refuzului de a colabora, nu se poate stabili dacă îndeplinește condițiile de autorizare prevăzute de Codul vamal. De asemenea, acesta a atenționat întreprinderea respectivă că, în cazul în care refuză să colaboreze sau nu mai îndeplinește condițiile de autorizare, îi va retrage autorizațiile acordate pe durată nedeterminată.

21.

Deutsche Post a introdus o acțiune la instanța de trimitere, prin care a contestat obligația de a comunica Biroului Vamal Central numerele de identificare fiscală (denumite în continuare „NIF”) ale persoanelor menționate în chestionarul de autoevaluare, precum și coordonatele administrațiilor fiscale competente în ceea ce le privește. Aceasta a solicitat instanței să constate că nu are obligația de a răspunde la partea respectivă din chestionar.

22.

În susținerea acțiunii sale, Deutsche Post a invocat:

23.

Biroul Vamal Central a contestat argumentele prezentate de Deutsche Post, susținând că solicitarea NIF este indispensabilă pentru o identificare corespunzătoare a persoanelor respective atunci când administrațiile fiscale sunt consultate în acest sens. Schimbul de informații este prevăzut numai pentru situația în care autoritățile fiscale dețin informații referitoare la încălcări grave sau repetate ale dispozițiilor fiscale. În acest sens, nu sunt relevante procedurile penale sau de sancționare încheiate. Încălcările repetate ale dispozițiilor fiscale sunt luate în considerare numai în cazul în care frecvența acestora este disproporționată în raport cu natura și cu importanța activității comerciale a solicitantului.

24.

Potrivit Biroului Vamal Central, cercul persoanelor la care fac referire întrebările respectă articolul 24 alineatul (1) al doilea paragraf din Regulamentul de punere în aplicare a CVU și Orientările Comisiei privind operatorii economici autorizați. Biroul Vamal Central decide, de la caz la caz, în funcție de profilul de risc, care sunt persoanele concrete în privința cărora trebuie să se efectueze schimbul de informații cu administrațiile fiscale. În ceea ce privește persoanele care se ocupă cu chestiuni vamale, pentru departamentele vamale de mari dimensiuni verificarea se limitează la persoanele cu funcții de conducere și de răspundere.

25.

Finanzgericht Düsseldorf (Tribunalul Fiscal din Düsseldorf, Germania) are îndoieli în ceea ce privește aspectul dacă verificarea datelor cu caracter personal solicitate (NIF ale persoanelor menționate la punctul 1.1.2 litera c, la punctul 1.1.6 și la punctul 1.3.1 din chestionar și administrațiile fiscale competente să colecteze impozitul pe venit al acestora) reprezintă o prelucrare legală a datelor respective, în sensul RPD și al articolului 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”).

26.

Instanța de trimitere are îndoieli de asemenea cu privire la necesitatea de a utiliza datele cu caracter personal ale lucrătorilor și ale membrilor consiliului de supraveghere din cadrul întreprinderii reclamante, colectate pentru perceperea impozitului pe venit, deoarece ele nu au legătură directă cu aprecierea credibilității din perspectivă vamală și nici cu activitatea economică a Deutsche Post.

27.

În acest context, instanța de trimitere a decis să adreseze Curții următoarea întrebare preliminară:

„Articolul 24 alineatul (1) al doilea paragraf din Regulamentul de punere în aplicare (UE) 2015/2447 al Comisiei din 24 noiembrie 2015 de stabilire a unor norme pentru punerea în aplicare a anumitor dispoziții din Regulamentul (UE) nr. 952/2013 al Parlamentului European și al Consiliului de stabilire a Codului vamal al Uniunii trebuie interpretat în sensul că, în temeiul acestei dispoziții, autoritatea vamală poate impune solicitanților să îi comunice numărul de identificare fiscală care le‑a fost atribuit de Oficiul Federal Central pentru Impozite german în scopul colectării impozitului pe venit, precum și administrațiile fiscale competente să stabilească impozitul pe venit datorat de membrii Consiliului de supraveghere al solicitantului, de directorii generali, de șefii de departament, de șeful departamentului financiar‑contabil, de șeful departamentului vamal care își desfășoară activitatea în cadrul acestuia, de persoanele responsabile cu chestiuni vamale și de persoanele care prelucrează chestiuni vamale?”

28.

Au prezentat observații scrise Deutsche Post, Biroul Vamal Central, guvernele spaniol, maghiar și italian, precum și Comisia. La ședința desfășurată la 5 iulie 2018 au participat Deutsche Post, Biroul Vamal Central și Comisia.

29.

Înainte de a proceda la analiza pe fond, trebuie să clarificăm ce norme ale Uniunii în materia protecției datelor cu caracter personal sunt aplicabile în prezenta cauză.

30.

Cererea de comunicare a datelor a fost transmisă către Deutsche Post la 19 aprilie 2017, prin urmare înainte de data intrării în vigoare a RPD (25 mai 2018). La momentul respectiv, era aplicabilă Directiva 95/46/CE ( 8 ); cu toate acestea, atât instanța de trimitere, cât și intervenienții în procedura de trimitere preliminară – cu excepția Comisiei – pleacă de la premisa că este aplicabil regulamentul menționat.

31.

Această anomalie aparentă ar putea fi justificată de natura procedurii naționale inițiale. Astfel cum s‑a arătat în ședință, Deutsche Post nu a introdus o acțiune în anulare („Anfechtungsklage”), care ar trebui soluționată în conformitate cu reglementarea în vigoare la momentul situației de fapt, ci o acțiune în constatare („Feststellungsklage”) ( 9 ), care trebuie soluționată conform normelor juridice în vigoare la momentul ședinței și al pronunțării hotărârii.

32.

Revine instanței de trimitere sarcina de a interpreta dreptul procedural național, în privința căruia Curtea nu se poate pronunța. Prin urmare, în cazul în care, în temeiul normelor naționale, instanța de trimitere consideră că litigiul trebuie soluționat ratione temporis în conformitate cu RPD, iar nu cu Directiva 95/46, Curtea trebuie să asigure interpretarea regulamentului respectiv, iar nu a directivei ( 10 ).

33.

Prin intermediul întrebării preliminare se solicită interpretarea, iar nu eventuala declarare a nevalidității articolului 24 alineatul (1) din Regulamentul de punere în aplicare a CVU, scop în care vor trebui luate în considerare RPD și articolele 7 și 8 din cartă ( 11 ). Astfel cum am menționat, instanța de trimitere nu a ridicat problema eventualei nevalidități a articolului respectiv, care se limitează la stabilirea condițiilor pentru acordarea statutului de AEO, fără să prevadă, ca atare, transmiterea sau prelucrarea datelor cu caracter personal de către un terț.

34.

Statutul de AEO ( 12 ) conferă avantaje operatorilor economici care, în contextul operațiunilor lor vamale, sunt considerați demni de încredere pe întreg teritoriul Uniunii [articolul 5 alineatul (5) din Codul vamal]. Printre avantajele respective se remarcă, conform prevederilor articolului 38 alineatul (6) din Codul vamal, faptul că aceștia beneficiază de un tratament favorabil față de alți operatori economici în ceea ce privește controalele vamale. În funcție de tipul de autorizație acordată, un AEO beneficiază de reducerea numărului de controale fizice și documentare.

35.

Având în vedere că încrederea pe care o prezintă și reputația AEO trebuie verificate, acordarea acestui statut este supusă îndeplinirii condițiilor stabilite la articolul 39 din Codul vamal ( 13 ), și anume:

36.

Condițiile respective sunt aplicabile tuturor operatorilor care solicită acordarea statutului de AEO, atât persoane fizice, cât și juridice. În prezenta cauză, având în vedere că Deutsche Post este o persoană juridică, condiția privind absența unor încălcări grave sau repetate ale legislației vamale și ale dispozițiilor fiscale, precum și a unui cazier conținând infracțiuni grave se extinde și asupra unora dintre angajații săi (cei cu funcțiile cele mai importante, enumerați în continuare) ( 14 ). Acestea sunt prevederile articolului 24 din Regulamentul de punere în aplicare a CVU, dispoziție care a fost adoptată pentru punerea în aplicare a articolului 39 litera (a) din Codul vamal ( 15 ).

37.

Conform articolului 24 din Regulamentul de punere în aplicare a CVU, „persoana împuternicită să îl reprezinte pe solicitant sau care exercită controlul asupra gestiunii acestuia” și „angajatul responsabil cu chestiunile vamale ale solicitantului” ( 16 ) nu trebuie să facă obiectul acestor critici.

38.

Articolul 24 din Regulamentul de punere în aplicare a CVU stabilește limitele pe care autoritățile vamale nu trebuie să le depășească în cadrul cererilor de informații cu privire la cercul persoanelor supuse verificărilor. Această dispoziție trebuie respectată de asemenea din perspectiva scopului urmărit prin colectarea datelor persoanelor respective.

39.

Logica articolului 24 din Regulamentul de punere în aplicare a CVU este că, pentru acordarea ( 17 ) statutului de AEO, autoritățile vamale trebuie să dispună de anumite date ale principalilor responsabili din cadrul întreprinderilor, precum și ale persoanelor fizice care coordonează activitățile vamale ale acesteia ( 18 ).

40.

Articolul 24 din Regulamentul de punere în aplicare a CVU are o formulare restrictivă: se referă exclusiv la persoana împuternicită (de către operatorul care solicită acordarea statutului de AEO) sau care exercită controlul asupra gestiunii acestuia și la angajatul responsabil cu chestiunile vamale. Dispoziția respectivă utilizează singularul, astfel încât se impune o interpretare strictă, bazată de asemenea pe faptul că informațiile comunicate reprezintă date cu caracter personal. O normă de drept derivat subordonată din punct de vedere ierarhic articolului 24 din Regulamentul de punere în aplicare a CVU, precum anexa 6 la Regulamentul delegat 2016/341, nu poate extinde domeniul de aplicare personal al acestuia.

41.

Prin urmare, autoritățile vamale pot colecta numai date cu caracter personal privind:

42.

Pornind de la această premisă, împărtășim opinia instanței de trimitere potrivit căreia solicitarea datelor cu caracter personal ale membrilor consiliului de supraveghere sau ai comitetului consultativ al unei întreprinderi nu este inclusă în domeniul de aplicare al articolului 24 din Regulamentul de punere în aplicare a CVU. În același sens, dispoziția respectivă nu poate fi invocată nici pentru a solicita date ale directorilor altor departamente și ale șefilor departamentului financiar-contabil, cu excepția cazului în care persoanele respective au de asemenea putere de decizie finală în întreprindere sau se ocupă de chestiunile vamale ale acesteia.

43.

Astfel cum am precizat, conform articolului 24 din Regulamentul de punere în aplicare a CVU, se pot colecta numai informațiile indispensabile pentru a verifica că persoana nu a comis o „încălcare gravă sau încălcări repetate ale legislației vamale și ale dispozițiilor fiscale” sau „infracțiuni grave legate de activitatea economică [a solicitantului]”.

44.

Prin urmare, acesta este unicul scop în care trebuie efectuată colectarea de informații de către autoritățile vamale. Dispoziția menționată nu specifică totuși ce tip de date sunt adecvate pentru atingerea obiectivului său: revine statelor membre sarcina de a le determina, ținând seama de faptul că le pot colecta numai pe cele indispensabile pentru a verifica (in)existența unor comportamente care afectează credibilitatea principalilor responsabili din cadrul întreprinderii.

45.

Pentru a determina dacă angajații menționați anterior din cadrul întreprinderii candidate la statutul de AEO sunt lipsiți de integritatea necesară pentru a beneficia de încrederea autorității vamale, articolul 24 din Regulamentul de punere în aplicare a CVU recurge la trei categorii de încălcări:

46.

Ce date pot fi colectate de autoritățile vamale, în conformitate cu articolul 24 din Regulamentul de punere în aplicare a CVU, pentru a descoperi existența infracțiunilor respective, în vederea acordării statutului de AEO?

47.

Biroul Vamal Central susține că trebuie să dispună de NIF ale persoanelor cu funcții de conducere și ale angajaților din cadrul Deutsche Post responsabili cu gestionarea chestiunilor vamale și de coordonatele administrațiilor fiscale competente în ceea ce îi privește. Biroul vamal respectiv consideră că numai în acest mod poate constata dacă aceștia au comis încălcări grave sau repetate ale dispozițiilor fiscale, având în vedere că în Germania există multe impozite administrate de autoritățile regionale. NIF ar constitui principala informație care trebuie comunicată autorităților respective pentru a le solicita cu exactitate datele necesare cu privire la persoanele menționate.

48.

Dimpotrivă, Deutsche Post susține că situația lucrătorilor săi privind impozitul pe venit nu este relevantă pentru a aprecia dacă s‑au comis încălcări grave sau repetate ale dispozițiilor fiscale. Comunicarea NIF ale lucrătorilor respectivi nu este, așadar, nici necesară și nici adecvată pentru a stabili dacă aceștia sunt demni de încredere în ceea ce privește gestionarea chestiunilor vamale.

49.

Din observațiile scrise și din explicațiile oferite în ședință rezultă că NIF este un număr personal de identificare folosit în raporturile persoanelor fizice cu administrația fiscală germană pentru diverse chestiuni. Nu se contestă faptul că acesta este utilizat în principal pentru administrarea impozitului pe venit, ceea ce justifică asocierea sa, în litigiul principal, cu coordonatele administrațiilor fiscale competente să îl stabilească.

50.

Interpretarea dreptului german nu revine Curții, ci instanței de trimitere. Aceasta din urmă susține că NIF alocate de Oficiul Federal Central pentru Impozite angajaților Deutsche Post (articolul 139a alineatul 1 prima teză din Codul fiscal) pot fi colectate și stocate numai în scopul perceperii impozitului pe venit sub forma reținerii la sursă din salarii (articolul 39e alineatul 4 prima teză punctul 1 din Legea privind impozitul pe venit).

51.

Potrivit instanței de trimitere, datele cu caracter personal ale lucrătorilor din cadrul Deutsche Post, colectate în scopul menționat, nu ar avea o legătură directă cu activitatea economică a întreprinderii respective și, prin urmare, nu ar fi relevante pentru a se aprecia dacă aceștia sunt demni de încredere în materie vamală ( 23 ).

52.

Cu toate acestea, considerăm că, din perspectiva legislației vamale, nimic nu împiedică administrația germană să solicite NIF (și desemnarea autorității competente să stabilească impozitul pe venit) al directorului și al angajatului responsabil cu chestiunile vamale ale întreprinderii candidate la statutul de AEO. Fără să aducem atingere considerațiilor prezentate în continuare cu privire la protecția acestor date cu caracter personal, stocarea lor poate fi utilă pentru a verifica absența încălcărilor comise de persoanele respective.

53.

Argumentul instanței de trimitere ar putea fi relevant dacă ar exista o disociere (la care pare să facă referire) între informațiile care pot fi obținute pe baza NIF, referitoare în mod obligatoriu la fiecare persoană fizică, și activitatea întreprinderii. Totuși, prin intermediul acestei verificări se urmărește să se stabilească tocmai dacă cele două persoane fizice care îndeplinesc funcții importante în cadrul entității candidate la statutul de AEO au săvârșit, în ultimii trei ani, fapte pe cont propriu (cu alte cuvinte, care nu sunt ale întreprinderii) care le afectează credibilitatea, contaminând, ca să spunem așa, entitatea în cadrul căreia asigură administrarea generală sau gestionarea chestiunilor vamale cu lipsa caracterului lor onest – în cazul în care ar fi fost sancționate în trecut.

54.

Asemenea altor date similare de natură fiscală pe care Curtea ( 24 ) le‑a calificat drept date cu caracter personal, NIF este o dată cu caracter personal în sensul articolului 4 punctul 1 din RPD, dat fiind că este o informație privind o persoană identificată sau identificabilă ( 25 ).

55.

În ordonanța de trimitere, desemnarea administrațiilor fiscale competente să stabilească impozitul pe venit al unei anumite persoane pare a fi strâns legată de NIF, ca urmare a structurii federale a regimului de impozitare german. În acest context, mențiunea respectivă poate fi considerată, cu titlu accesoriu, o informație fiscală privind o persoană identificată sau identificabilă.

56.

Astfel cum subliniază instanța de trimitere, accesarea automatizată a NIF permite obținerea unor informații deosebit de sensibile ( 26 ). Prin urmare, acesta este un instrument care permite identificarea persoanei căreia i‑a fost atribuit și obținerea anumitor informații privind viața sa privată și de familie, aflat la dispoziția administrației.

57.

Activitatea desfășurată în legătură cu NIF în raporturile administrației vamale cu candidații la statutul AEO poate fi calificată drept colectare sau comunicare prin transmitere. În ambele cazuri, are loc o prelucrare a datelor în sensul articolului 4 punctul 2 din RPD. Administrația vamală germană solicită NIF și le organizează și le utilizează pentru a obține de la administrațiile fiscale competente informații privind posibilele încălcări grave sau repetate ale legislației fiscale comise de persoanele respective. Simpla obținere a datelor respective presupune deja o prelucrare, la fel și – în mare măsură – organizarea și utilizarea lor ulterioare pentru a obține informații privind persoanele respective ( 27 ).

58.

Curtea a apreciat de asemenea că există prelucrare a datelor în cazul transferului de date de la un organism la altul ( 28 ) și atunci când un angajator transmite date cu caracter personal unei autorități naționale ( 29 ). Prin urmare, transmiterea de către Deutsche Post către Biroul Vamal Central a datelor cu caracter personal ale persoanelor care ocupă funcții de conducere și ale angajaților reprezintă o „prelucrare de date” în sensul RPD.

59.

Articolul 5 alineatul (1) litera (b) din RPD prevede limitările legate de scop drept principiu director al prelucrării, conform căruia „datele cu caracter personal sunt colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într‑un mod incompatibil cu aceste scopuri” ( 30 ).

60.

Prin urmare, trebuie să se determine dacă utilizarea de către autoritățile vamale germane a NIF ale persoanelor cu funcții de conducere și ale angajaților responsabili cu chestiunile vamale din cadrul Deutsche Post, solicitate acesteia din urmă, este compatibilă cu obiectivul atribuit de legislația națională colectării respectivelor date cu caracter personal.

61.

Instanța de trimitere își manifestă îndoielile în acest sens ( 31 ) și consideră că nu există o legătură directă între NIF și administrațiile fiscale competente să stabilească impozitul pe venit al persoanelor cu funcții de conducere și al angajaților responsabili cu activitățile vamale ai Deutsche Post. Astfel cum s‑a arătat în ședință și după cum am clarificat anterior, dreptul german prevede utilizarea datelor fiscale respective în raportul de muncă dintre angajator și lucrător, în principal, deși nu în mod exclusiv, în vederea colectării impozitului pe venit.

62.

NIF (și, cu titlu accesoriu, desemnarea administrațiilor fiscale competente să stabilească impozitul pe venit) constituie, așadar, date cu caracter personal care nu au fost concepute pentru utilizarea lor în relațiile dintre o întreprindere și administrația vamală germană în vederea obținerii sau a păstrării statutului de AEO. Prin urmare, ar fi vorba despre o prelucrare a datelor cu caracter personal care, în principiu, nu respectă scopul în care au fost colectate, contrară articolului 5 alineatul (1) litera (b) din RPD.

63.

O prelucrare de date cu caracter personal de acest tip ar putea fi totuși justificată. Ar fi suficient, de exemplu, ca persoanele fizice afectate să își exprime consimțământul, în sensul articolului 6 alineatul (1) litera (a) din RPD. Cu toate acestea, din dosarul cauzei rezultă că angajații Deutsche Post se opun, ceea ce înlătură această soluție.

64.

Alte justificări posibile sunt indicate la articolul 6 alineatul (1), conform căruia prelucrarea datelor este legală atunci când este necesară „în vederea îndeplinirii unei obligații legale care îi revine operatorului” ( 32 ) [litera (c)] sau „pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul” [litera (e)] ( 33 ). În ambele cazuri, articolul 6 alineatul (3) din RPD prevede că temeiul prelucrării trebuie stabilit de dreptul Uniunii sau de dreptul statelor membre aplicabil operatorului.

65.

Legalitatea cererii adresate Deutsche Post de către administrația vamală și a prelucrării datelor cu caracter personal solicitate prin aceasta se întemeiază pe obligația legală ( 34 ) impusă administrației respective de a se asigura că statutul de AEO se acordă numai întreprinderilor ai căror directori și angajați responsabili cu chestiuni vamale nu au comis încălcările menționate anterior. Această obligație legală rezultă, în ultimă instanță, din articolul 24 din Regulamentul de punere în aplicare a CVU. Considerăm, așadar, că există justificarea menționată la articolul 6 alineatul (1) litera (c) din RPD.

66.

Legalitatea prelucrării NIF al directorului și al angajatului responsabil cu chestiunile vamale din cadrul unei întreprinderi, în vederea atribuirii statutului de AEO, poate fi întemeiată de asemenea pe „exercitarea autorității publice cu care este învestit operatorul” [articolul 6 alineatul (1) litera (e) din RPD] ( 35 ), aceasta fiind necesară pentru ca administrația vamală să își exercite autoritatea publică atribuită în vederea verificării întreprinderilor care au statut de AEO. Statutul respectiv implică o anumită delegare a atribuțiilor de control vamal în favoarea AEO, care este compensată de o competență amplă a administrației vamale de verificare și de supraveghere a încrederii pe care o prezintă aceștia.

67.

Cu toate că solicitarea și prelucrarea datelor care fac obiectul litigiului sunt legale, întrucât se întemeiază pe articolul 6 alineatul (1) literele (c) și (e) din RPD, pot da naștere anumitor limitări ale drepturilor conferite de articolele 12-22 din RPD titularilor datelor cu caracter personal respective. Revine instanței de trimitere sarcina de a stabili dacă Biroul Vamal Central, prin faptul că prelucrează datele respective, limitează anumite drepturi ale persoanelor vizate, precum dreptul de acces, de rectificare, de ștergere sau de opoziție.

68.

Aceste limitări, dacă ar exista, ar putea fi justificate de o parte dintre „obiective[le] importante de interes public general ale Uniunii sau ale unui stat membru, în special un interes economic sau financiar important al Uniunii sau al unui stat membru, inclusiv în domeniile monetar, bugetar și fiscal și în domeniul sănătății publice și al securității sociale” [articolul 23 alineatul (1) litera (c) din RPD]. În plus, măsura prin care sunt impuse ar trebui să respecte „esența drepturilor și libertăților fundamentale” și să fie „necesară și proporțională într‑o societate democratică” ( 36 ).

69.

În opinia noastră, obiectivul de asigurare a încrederii pe care trebuie să o prezinte, din perspectivă vamală, directorul și angajatul responsabil cu chestiunile vamale din cadrul unei întreprinderi, în vederea acordării statutului de AEO, corespunde unui obiectiv de interes public general al Uniunii și al statului german, din punct de vedere economic, fiscal și bugetar. Verificarea credibilității unui AEO va favoriza colectarea taxelor vamale – care constituie o resursă proprie a Uniunii – plătite de statele membre și transferate la bugetul Uniunii, ulterior deducerii unui procentaj pentru gestionarea administrativă.

70.

Lipsa de integritate a directorului unei întreprinderi și a angajatului acesteia responsabil cu chestiunile vamale sunt factori care pot compromite încrederea pe care o prezintă întreprinderea respectivă din perspectivă vamală, afectând în mod direct acordarea statutului de AEO ( 37 ). Astfel cum am subliniat în Concluziile prezentate în cauza Impresa di Costruzioni Ing. E. Mantovani și Guerrato ( 38 ), este logic să se aprecieze lipsa de credibilitate a unei întreprinderi prin prisma comportamentului ilicit manifestat de persoanele aflate la conducerea sa.

71.

Această împrejurare justifică faptul că administrația vamală are posibilitatea să verifice evidența fiscală a directorilor respectivi, care include evoluția lor în ceea ce privește impozitul pe venit. În opinia noastră, dacă directorul unei întreprinderi sau angajatul responsabil cu chestiunile vamale a comis încălcări privind colectarea impozitului respectiv sau a oricărui alt impozit, administrația vamală trebuie să aibă posibilitatea de a obține informații cu privire la acestea.

72.

În aceeași ordine de idei, colectarea și utilizarea unor astfel de date constituie mijloace proporționale pentru atingerea obiectivului prevăzut la articolul 24 alineatul (1) din Regulamentul de punere în aplicare a CVU ( 39 ). Potrivit afirmațiilor din ședință ale Oficiului Federal Central pentru Impozite, în dreptul german nu există mijloace alternative mai puțin restrictive, deoarece structura federală a statului german presupune ca anumite impozite, precum impozitul pe venit, să fie gestionate de autoritățile regionale. NIF reprezintă mijlocul cel mai adecvat prin care administrația vamală (federală) poate să colecteze și să obțină informațiile fiscale deținute de diverse autorități regionale ( 40 ).

73.

Se impun două ultime precizări:

74.

Având în vedere considerațiile anterioare, propunem Curții să răspundă Finanzgericht Düsseldorf (Tribunalul Fiscal din Düsseldorf, Germania) după cum urmează: