RK v Ministerstvo zdravotnictví.

• Jurisdiction: European Union
• ECLI: ECLI:EU:C:2023:745
• Date: 05 October 2023
• Docket Number: C-659/22
• Celex Number: 62022CJ0659
• Court: Court of Justice (European Union)

Edición provisional

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Octava)

de 5 de octubre de 2023 (*)

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 4, punto 2 — Concepto de “tratamiento” de datos personales — Aplicación móvil — Verificación de la validez de “certificados COVID digitales de la UE” expedidos con arreglo al Reglamento (UE) 2021/953»

En el asunto C‑659/22,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Nejvyšší správní soud (Tribunal Supremo de lo Contencioso-Administrativo, República Checa), mediante resolución de 12 de octubre de 2022, recibida en el Tribunal de Justicia el 20 de octubre de 2022, en el procedimiento entre

RK

y

Ministerstvo zdravotnictví,

EL TRIBUNAL DE JUSTICIA (Sala Octava),

integrado por el Sr. M. Safjan, Presidente de Sala, y los Sres. N. Piçarra y M. Gavalec (Ponente), Jueces;

Abogada General: Sra. L. Medina;

Secretario: Sr. A. Calot Escobar;

habiendo considerado los escritos obrantes en autos;

consideradas las observaciones presentadas:

– en nombre de RK, por la Sra. D. Sudolská, advokátka;

– en nombre del Gobierno checo, por los Sres. M. Smolek, O. Serdula y J. Vláčil, en calidad de agentes;

– en nombre del Gobierno neerlandés, por las Sras. M. K. Bulterman y A. Hanje, en calidad de agentes;

– en nombre de la Comisión Europea, por los Sres. A. Bouchagiar, H. Kranenborg y P. Ondrůšek, en calidad de agentes;

vista la decisión adoptada por el Tribunal de Justicia, oída la Abogada General, de que el asunto sea juzgado sin conclusiones;

dicta la siguiente

Sentencia

1 La petición de decisión prejudicial tiene por objeto la interpretación de los artículos 2, apartado 1, y 4, punto 2, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; en lo sucesivo, «RGPD»).

2 Esta petición se ha presentado en el contexto de un litigio entre RK y el Ministerstvo zdravotnictví (Ministerio de Sanidad, República Checa; en lo sucesivo, «Ministerio») relativo a la adopción por este de una medida excepcional que regula el acceso de las personas a determinados lugares y eventos con el fin de proteger a la población de la propagación de la epidemia de COVID-19.

Marco jurídico

RGPD

3 Con arreglo al considerando 1 del RGPD, «la protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea […] y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE) establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan».

4 El artículo 2 de ese Reglamento, titulado «Ámbito de aplicación material», establece lo siguiente en su apartado 1:

«El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.»

5 El apartado 2 de ese artículo enumera cuatro supuestos en los que el RGPD «no se aplica al tratamiento de datos personales».

6 A tenor del artículo 4 de dicho Reglamento:

«A efectos del presente Reglamento se entenderá por:

1) “datos personales”: toda información sobre una persona física identificada o identificable (“el interesado”); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

2) “tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

[…]».

7 Los artículos 5 y 6 de ese mismo Reglamento tienen por objeto respectivamente los «principios relativos al tratamiento» y la «licitud del tratamiento».

Reglamento (UE) 2021/953

8 El considerando 48 del Reglamento (UE) 2021/953 del Parlamento Europeo y del Consejo, de 14 de junio de 2021, relativo a un marco para la expedición, verificación y aceptación de certificados COVID-19 interoperables de vacunación, de prueba diagnóstica y de recuperación (certificado COVID digital de la UE) a fin de facilitar la libre circulación durante la pandemia de COVID-19 (DO 2021, L 211, p. 1), enuncia:

«El [RGPD] se aplica al tratamiento de datos personales efectuado al aplicar el presente Reglamento. El presente Reglamento establece la base jurídica para el tratamiento de los datos personales en el sentido del artículo 6, apartado 1, letra c), y el artículo 9, apartado 2, letra g), del [RGPD], necesarios para la expedición y verificación de los certificados interoperables establecidos en el presente Reglamento. […] Los Estados miembros pueden tratar datos personales con otros fines si la base jurídica para su tratamiento con otros fines, incluidos los plazos de conservación correspondientes, está establecida en el Derecho nacional, que debe cumplir con el Derecho de la Unión en materia de protección de datos y los principios de eficacia, necesidad y proporcionalidad, y debe incluir disposiciones específicas que determinen claramente el ámbito de aplicación y el alcance del tratamiento, la finalidad específica de que se trate, las categorías de entidades que puedan verificar el certificado, así como las salvaguardias pertinentes para evitar la discriminación y el abuso, teniendo en cuenta los riesgos para los derechos y las libertades de los interesados. […]»

9 Bajo la rúbrica «Objeto», el artículo 1 de dicho Reglamento dispone:

«El presente Reglamento establece un marco para la expedición, verificación y aceptación de certificados COVID-19 interoperables de vacunación, de prueba diagnóstica y de recuperación (certificado COVID digital de la UE), a fin de facilitar el ejercicio, por sus titulares, de su derecho a la libre circulación durante la pandemia de COVID-19. El presente Reglamento contribuirá asimismo a facilitar la supresión gradual de las restricciones a la libre circulación establecidas por los Estados miembros, de conformidad con el Derecho de la Unión, a fin de limitar la propagación del SARS-CoV-2, de manera coordinada.

Establece la base jurídica para el tratamiento de los datos personales necesarios para expedir tales certificados y para el tratamiento de la información necesaria para verificar y confirmar la autenticidad y validez de dichos certificados con plena observancia del [RGPD].»

10 Con el título «Certificado COVID digital de la UE», el artículo 3 de ese Reglamento establece, en su...