Sentencia nº C-25/17 de Tribunal de Justicia, 10 de Julio de 2018

Fecha de Resolución:10 de Julio de 2018
Emisor:Tribunal de Justicia
Número de Resolución:C-25/17
RESUMEN

Procedimiento prejudicial - Protección de las personas físicas en lo que respecta al tratamiento de datos personales - Directiva 95/46/CE - Ámbito de aplicación de dicha Directiva - Artículo 3 - Recogida de datos personales por los miembros de una comunidad religiosa en relación con su actividad de predicación puerta a puerta - Artículo 2, letra c) - Concepto de “fichero de datos personales” -... (ver resumen completo)

 
EXTRACTO GRATUITO

En el asunto C-25/17,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Korkein hallinto-oikeus (Tribunal Supremo de lo Contencioso-Administrativo, Finlandia) mediante resolución de 22 de diciembre de 2016, recibida en el Tribunal de Justicia el 19 de enero de 2017, en el procedimiento incoado a instancias de

Tietosuojavaltuutettu

con intervención de:

Jehovan todistajat - uskonnollinen yhdyskunta,

EL TRIBUNAL DE JUSTICIA (Gran Sala),

integrado por el Sr. K.L., P., el Sr. A.T., V., la Sra. R.S. de L. y los Sres. T. von Danwitz (Ponente), J.L. da C.V., J.M., E.L. y C.V., Presidentes de Sala, y los Sres. A.B.B., J.-C. B., A.A., S.R. y F.B., la Sra. K.J. y el Sr. C.L., Jueces;

Abogado General: Sr. P.M.;

S.: Sra. C.S., administradora;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 28 de noviembre de 2017;

consideradas las observaciones presentadas:

- en nombre del tietosuojavaltuutettu, por el Sr. R.A., en calidad de agente;

- en nombre de la Jehovan todistajat - uskonnollinen yhdyskunta, por el Sr. S.H.B., asianajaja, y el Sr. P.M.;

- en nombre del Gobierno finlandés, por la Sra. H.L., en calidad de agente;

- en nombre del Gobierno checo, por los Sres. M.S. y J.V., en calidad de agentes;

- en nombre del Gobierno italiano, por la Sra. G.P., en calidad de agente, asistida por el Sr. P.G., avvocato dello S.;

- en nombre de la Comisión Europea, por los Sres. P.A., H.K. y D.N., en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 1 de febrero de 2018;

dicta la siguiente

Sentencia

1 La petición de decisión prejudicial tiene por objeto la interpretación del artículo 2, letras c) y d), y del artículo 3 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31), en relación con el artículo 10, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»).

2 Dicha petición se ha presentado en el marco de un procedimiento incoado a instancias del tietosuojavaltuutettu (Supervisor de protección de datos, Finlandia), relativo a la legalidad de una resolución de la tietosuojalautakunta (Comisión de protección de datos, Finlandia) que prohíbe a la Jehovan todistajat - uskonnollinen yhdyskunta (comunidad religiosa de los Testigos de Jehová; en lo sucesivo, «comunidad de los Testigos de Jehová») recoger o tratar datos personales en relación con la actividad de predicación puerta a puerta sin que concurran los requisitos de la legislación finlandesa relativa al tratamiento de datos personales.

Marco jurídico

Derecho de la Unión

3 Los considerandos 10, 12, 15, 26 y 27 de la Directiva 95/46 tienen el siguiente enunciado:

(10) Considerando que las legislaciones nacionales relativas al tratamiento de datos personales tienen por objeto garantizar el respeto de los derechos y libertades fundamentales, particularmente del derecho al respeto de la vida privada reconocido en el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales[, firmado en Roma el 4 de noviembre de 1950], así como en los principios generales del Derecho comunitario; que, por lo tanto, la aproximación de dichas legislaciones no debe conducir a una disminución de la protección que garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección dentro de la Comunidad;

[...]

(12) Considerando que los principios de la protección deben aplicarse a todos los tratamientos de datos personales cuando las actividades del responsable del tratamiento entren en el ámbito de aplicación del Derecho comunitario; que debe excluirse el tratamiento de datos efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas, como la correspondencia y la llevanza de un repertorio de direcciones;

[...]

(15) Considerando que los tratamientos que afectan a dichos datos solo quedan amparados por la presente Directiva cuando están automatizados o cuando los datos a que se refieren se encuentran contenidos o se destinan a encontrarse contenidos en un archivo estructurado según criterios específicos relativos a las personas, a fin de que se pueda acceder fácilmente a los datos de carácter personal de que se trata;

[...]

(26) Considerando que los principios de la protección deberán aplicarse a cualquier información relativa a una persona identificada o identificable; que, para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona; [...]

(27) Considerando que la protección de las personas debe aplicarse tanto al tratamiento automático de datos como a su tratamiento manual; que el alcance de esta protección no debe depender, en efecto, de las técnicas utilizadas, pues lo contrario daría lugar a riesgos graves de elusión; que, no obstante, por lo que respecta al tratamiento manual, la presente Directiva solo abarca los ficheros, y no se aplica a las carpetas que no están estructuradas; que, en particular, el contenido de un fichero debe estructurarse conforme a criterios específicos relativos a las personas, que permitan acceder fácilmente a los datos personales; que, de conformidad con la definición que recoge la letra c) del artículo 2, los distintos criterios que permiten determinar los elementos de un conjunto estructurado de datos de carácter personal y los distintos criterios que regulan el acceso a dicho conjunto de datos pueden ser definidos por cada Estado miembro; que las carpetas y conjuntos de carpetas, así como sus portadas, que no estén estructuradas conforme a criterios específicos no están comprendidas en ningún caso en el ámbito de aplicación de la presente Directiva

.

4 El artículo 1, apartado 1, de la Directiva 95/46 dispone:

Los Estados miembros garantizarán, con arreglo a las disposiciones de la presente Directiva, la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales.

5 El artículo 2 de dicha Directiva establece:

A efectos de la presente Directiva, se entenderá por:

a) “datos personales”: toda información sobre una persona física identificada o identificable (el “interesado”); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;

b) “tratamiento de datos personales” (“tratamiento”): cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción;

c) “fichero de datos personales” (“fichero”): todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;

d) “responsable del tratamiento”: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario;

[...]

6 A tenor del artículo 3 de dicha Directiva:

1. Las disposiciones de la presente Directiva se aplicarán al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

2. Las disposiciones de la presente Directiva no se aplicarán al tratamiento de datos personales:

- efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de los títulos V y VI del Tratado de la Unión Europea y, en cualquier caso, al tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal;

- efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.

Derecho finlandés

7 La Directiva 95/46 fue incorporada al Derecho finlandés mediante la Henkilötietolaki (523/1999) [Ley de datos personales (523/1999); en lo sucesivo, «Ley 523/1999»].

8 El artículo 2 de dicha Ley, titulado «Soveltamisala» (ámbito de aplicación), establece en sus párrafos segundo y tercero:

La presente Ley se aplicará al tratamiento automatizado de datos personales. La presente Ley se aplicará igualmente a los demás tratamientos de datos personales cuando los datos constituyan un fichero de datos personales o una parte de tal fichero, o estén destinados a constituir un fichero de datos personales o una parte de tal fichero.

La presente Ley no se aplicará al...

Para continuar leyendo

SOLICITA TU PRUEBA GRATIS