CONCLUSIONES DEL ABOGADO GENERAL
SR. PAOLO MENGOZZI
presentadas el 1 de febrero de 2018 (1)
Asunto C‑25/17
Tietosuojavaltuutettu
contra
Jehovan todistajat — uskonnollinen yhdyskunta
[Petición de decisión prejudicial planteada por el Korkein hallinto-oikeus (Tribunal Supremo de lo Contencioso-Administrativo, Finlandia)]
«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Directiva 95/46/CE — Ámbito de aplicación — Concepto de actividad exclusivamente personal o doméstica — Datos recogidos y tratados por los miembros de una comunidad religiosa en relación con su actividad de predicación puerta a puerta — Libertad religiosa — Artículo 10 de la Carta de los Derechos Fundamentales de la Unión Europea — Concepto de fichero — Concepto de responsable del tratamiento de datos personales»
1. ¿Debe la comunidad de Testigos de Jehová cumplir las normas establecidas por el Derecho de la Unión en materia de protección de datos personales debido a que sus miembros, cuando ejercen su actividad de predicación puerta a puerta, pueden verse obligados a tomar notas que recojan el contenido de su conversación y, en particular, la orientación religiosa de las personas a las que han visitado? Ésta es, en esencia, la problemática del presente procedimiento prejudicial.
I. Marco jurídico
A. Derecho de la Unión
2. Se desprende del considerando 12 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, (2) que «los principios de la protección deben aplicarse a todos los tratamientos de datos personales cuando las actividades del responsable del tratamiento entren en el ámbito de aplicación del Derecho comunitario; que debe excluirse el tratamiento de datos efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas, como la correspondencia y la llevanza de un repertorio de direcciones».
3. A tenor del considerando 27 de la Directiva 95/46, «la protección de las personas debe aplicarse tanto al tratamiento automático de datos como a su tratamiento manual; […] el alcance de esta protección no debe depender, en efecto, de las técnicas utilizadas, pues lo contrario daría lugar a riesgos graves de elusión; […] no obstante, por lo que respecta al tratamiento manual, la presente Directiva sólo abarca los ficheros, y no se aplica a las carpetas que no están estructuradas; […] en particular, el contenido de un fichero debe estructurarse conforme a criterios específicos relativos a las personas, que permitan acceder fácilmente a los datos personales; […] de conformidad con la definición que recoge la letra c) del artículo 2, los distintos criterios que permiten determinar los elementos de un conjunto estructurado de datos de carácter personal y los distintos criterios que regulan el acceso a dicho conjunto de datos pueden ser definidos por cada Estado miembro; […] las carpetas y conjuntos de carpetas, así como sus portadas, que no estén estructuradas conforme a criterios específicos no están comprendidas en ningún caso en el ámbito de aplicación de la presente Directiva».
4. El artículo 2 de la Directiva 95/46 tiene el siguiente tenor:
«A los efectos de la presente Directiva, se entenderá por:
a) “datos personales”: toda información sobre una persona física identificada o identificable (el “interesado”); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;
b) “tratamiento de datos personales” (“tratamiento”): cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción;
c) “fichero de datos personales” (“fichero”): todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;
d) “responsable del tratamiento”: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario;
e) “encargado del tratamiento”: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento;
[…]».
5. El artículo 3 de la Directiva 95/46 establece:
«1. Las disposiciones de la presente Directiva se aplicarán al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
2. Las disposiciones de la presente Directiva no se aplicarán al tratamiento de datos personales:
– efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de los títulos V y VI del Tratado de la Unión Europea y, en cualquier caso, al tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal;
– efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.»
6. El artículo 8, apartado 1, de la Directiva 95/46 dispone que «los Estados miembros prohibirán el tratamiento de datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, así como el tratamiento de los datos relativos a la salud o a la sexualidad». El apartado 2, letra d), de este mismo artículo añade que «lo dispuesto en el apartado 1 no se aplicará cuando […] el tratamiento sea efectuado en el curso de sus actividades legítimas y con las debidas garantías por una fundación, una asociación o cualquier otro organismo sin fin de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refiera exclusivamente a sus miembros o a las personas que mantengan contactos regulares con la fundación, la asociación o el organismo por razón de su finalidad y con tal de que los datos no se comuniquen a terceros sin el consentimiento de los interesados […]».
B. Derecho nacional
7. La Directiva 95/46 fue incorporada al Derecho finlandés mediante la Henkilötietolaki 523/1999 (Ley 523/1999 de Datos Personales).
8. El artículo 3, apartado 3, de la Ley de datos personales define el fichero de datos personales como un «conjunto de datos personales que está compuesto por registros agrupados por razón de su finalidad y que es tratado total o parcialmente mediante procedimientos automatizados de tratamiento de datos, o bien se organiza como archivo de fichas, catálogo o de otro modo comparable, a fin de que puedan encontrarse fácilmente datos relativos a determinadas personas evitando costes excesivos».
9. El artículo 11 de la Ley de datos personales prohíbe el tratamiento de datos personales sensibles, entre los que se incluyen las convicciones religiosas. El artículo 12 de la Ley de datos personales prevé, no obstante, que tales datos podrán someterse a tratamiento cuando, tratándose de datos sobre las convicciones religiosas, éstos se obtengan en el marco de la actividad de asociaciones u otras organizaciones que representen tales convicciones, si los datos versan sobre miembros de dichas asociaciones u organizaciones o sobre personas que mantengan contactos periódicos con dichas asociaciones u organizaciones en relación con los objetivos de las mismas, y los referidos datos no sean cedidos a terceros sin el consentimiento de los interesados.
10. El artículo 44 de la Ley de datos personales establece que la Comisión de Protección de Datos, a solicitud del Supervisor de Protección de Datos, podrá prohibir el tratamiento de datos personales que vulnere dicha Ley o los reglamentos u otras disposiciones adoptados en virtud de dicha Ley, así como ordenar la subsanación dentro de un plazo razonable en caso de acción u omisión ilegales.
II. Litigio principal, cuestiones prejudiciales y procedimiento ante el Tribunal de Justicia
11. El 17 de septiembre de 2013, la Comisión finlandesa de Protección de Datos (en lo sucesivo, «Comisión»), a instancias del Tietosuojavaltuutettu (Supervisor de Protección de Datos, Finlandia; demandante en el litigio principal), adoptó una resolución mediante la cual prohibió a la comunidad religiosa de los Testigos de Jehová (demandada en el procedimiento principal; en lo sucesivo, «comunidad») recoger o tratar datos personales en el marco de su actividad de predicación puerta a puerta sin cumplir los requisitos legales para el tratamiento de datos personales establecidos en la Ley de datos personales. Así pues, la Comisión consideró que la comunidad y sus miembros eran responsables del tratamiento de datos personales sensibles en el sentido de la Ley 523/1999. En la resolución se otorgó a la comunidad un plazo de seis meses para cumplir dichos requisitos.
12. La comunidad interpuso un recurso contra dicha resolución ante el órgano jurisdiccional de primera instancia alegando que se trataba de un tratamiento de datos efectuado con fines exclusivamente individuales en el sentido de la Ley de datos personales. Mediante sentencia de 18 de diciembre de 2014, dicho órgano jurisdiccional revocó la resolución de la Comisión al considerar que la comunidad no era responsable de un tratamiento ilícito de datos personales.
13. El Supervisor de Protección de Datos interpuso recurso ante el órgano jurisdiccional remitente solicitando la anulación de la sentencia de 18 de diciembre de 2014.
14. El órgano jurisdiccional remitente describe del siguiente modo la actividad de los miembros de la comunidad. En el marco de su actividad de predicación, dichos miembros van de puerta en puerta, realizan anotaciones sobre los encuentros mantenidos con personas que, en principio, no conocen. Los datos se recogen pro memoria con el fin de recuperar información útil para posteriores visitas. Las personas que reciben este tipo de visitas y cuyos datos registran los miembros de la comunidad en sus anotaciones no son informadas de dicha recogida ni del tratamiento de sus datos personales. La recogida de los datos se lleva a cabo en cuadernos o en fichas. Los datos que se recaban son el nombre y la dirección, así como un resumen sobre la conversación mantenida, que versa, en particular, sobre las convicciones religiosas y la situación familiar. Según el órgano jurisdiccional remitente, la comunidad organiza esa actividad de predicación obteniendo mapas de la zona y asignando los radios de acción a los miembros con fines de evangelización. Las congregaciones llevan registros relativos a los predicadores en los que se indica el número de publicaciones que han distribuido y se contabiliza el tiempo que ha dedicado cada uno de ellos a la actividad de predicación.
15. La comunidad ya ha utilizado una publicación editada por ésta para difundir instrucciones relativas a la toma de notas. (3) Inicialmente la recogida de datos se realizaba mediante formularios cuya utilización dejó de fomentar la comunidad a raíz de una recomendación del Supervisor de Protección de Datos en este sentido. Además, las congregaciones de la comunidad llevan una lista, denominada «lista de prohibiciones», de las personas que han manifestado su deseo de dejar de recibir visitas por parte de los miembros de dicha comunidad. En opinión del Supervisor de Protección de Datos, dicha lista cumple la Ley de datos personales.
16. El Supervisor de Protección de Datos alega ante el órgano jurisdiccional remitente que los datos recogidos por los miembros de la comunidad en el ejercicio de su actividad de predicación constituyen un fichero, por cuanto que tienen la misma finalidad y que se registran para servir de recordatorio durante una visita posterior. El tratamiento de datos efectuado a partir de anotaciones individuales está dirigido y organizado detalladamente por la propia comunidad, la cual ejerce un control efectivo sobre la recogida y el tratamiento de los datos. Cuando toman notas personales en el marco de su actividad de predicación, la comunidad y sus miembros deben ser, conjuntamente, considerados «responsable del tratamiento de los datos».
17. La comunidad, por su parte, sostiene que la actividad de predicación, en el curso de la cual el miembro realiza anotaciones, en su caso, forma parte de la práctica religiosa personal. Las anotaciones realizadas son meramente personales. La toma de notas y el eventual tratamiento posterior de los datos recabados se llevan a cabo con independencia de la existencia de la comunidad, la cual no ejerce control alguno, si bien reconoce que formula recomendaciones y proporciona orientación espiritual en cuanto al deber de cada uno de los miembros de participar en la actividad de evangelización. Sin embargo, las anotaciones de los miembros no se transmiten a la comunidad, que no tiene acceso a ellas. No existe ningún sistema de agrupación de datos que permita realizar búsquedas. La comunidad desconoce cuáles de sus miembros realizan anotaciones tras sus visitas. La recogida de datos sólo se lleva a cabo en relación con información a la que se puede acceder en repertorios públicos, tales como la guía telefónica, y son destruidos cuando ya no se necesitan. El conjunto de los datos recogidos a iniciativa propia, individual y personal de los miembros no constituye un fichero y la comunidad no puede ser considerada responsable del tratamiento de los datos personales. De hecho, ésta es la apreciación de las autoridades neerlandesas, danesas y noruegas, según las cuales la actividad controvertida en el procedimiento principal no está comprendida en el ámbito de aplicación de la ley nacional que regula la recogida y el tratamiento de datos personales o no es contraria a dicha ley.
18. Según el órgano jurisdiccional remitente, es preciso pues determinar, en primer lugar, el ámbito de aplicación de la Ley de datos personales, que se corresponde con el ámbito de aplicación de la Directiva 95/46. (4) A la luz de la jurisprudencia del Tribunal de Justicia, la actividad de recogida y de tratamiento de datos efectuada en el marco de una práctica religiosa como la actividad de predicación no parece estar comprendida en la exclusión establecida en el artículo 3, apartado 2, primer guion, de la Directiva 95/46, pero sigue sin estar claro si la actividad de predicación puede ser considerada una actividad exclusivamente personal o doméstica en el sentido del artículo 3, apartado 2, segundo guion, de la Directiva 95/46. A efectos de dicha apreciación, el órgano jurisdiccional remitente se pregunta sobre la incidencia de las indicaciones que figuran en el considerando 12 de la Directiva 95/46, ya que los datos recogidos parecen ir más allá de los que se suelen recabar para elaborar una agenda de direcciones, en particular en la medida en que pueden ser datos sensibles y recopilarse en relación con personas a quienes los miembros no conocen, habida cuenta de la precisión posteriormente aportada por el considerando 18 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46, (5) y, por último, del papel que desempeña la comunidad. El órgano jurisdiccional remitente considera que la determinación del ámbito de aplicación del artículo 3, apartado 2, segundo guion, de la Directiva 95/46 exige establecer un equilibrio entre, por una parte, el derecho fundamental al respeto de la vida privada y, por otra parte, la libertad religiosa, no menos fundamental, una de cuyas manifestaciones es la actividad de predicación.
19. En segundo lugar, el órgano jurisdiccional remitente se pregunta sobre el concepto de «fichero» en el sentido del artículo 2, letra c), de la Directiva 95/46, partiendo de la premisa de que, si la actividad controvertida en el procedimiento principal no está comprendida en la exclusión establecida en el artículo 3, apartado 2, segundo guion, de dicha Directiva, esta última sólo será aplicable, a falta de tratamiento automatizado de los datos en cuestión, si dichos datos se encuentran contenidos en un «fichero». Dicho órgano jurisdiccional subraya en este contexto el objetivo común de las anotaciones de los miembros, que es servir de recordatorio y facilitar la búsqueda de información relativa a las personas en una visita posterior.
20. Por último, en un tercer momento, el órgano jurisdiccional remitente se pregunta si la comunidad, por sí sola o conjuntamente con sus miembros, puede ser considerada «responsable del tratamiento» en el sentido del artículo 2, letra d), de la Directiva 95/46, ya que parece ejercer un control efectivo sobre la actividad de recogida sin que existan en la actualidad consignas o instrucciones escritas formuladas por ella. El concepto de «responsable del tratamiento» parece ser objeto de una definición amplia en la jurisprudencia del Tribunal de Justicia (6) y el órgano jurisdiccional nacional destaca, en particular, que, pese a que quizá la comunidad no tenga acceso a los datos recabados, desempeña una función de fomento de la actividad de predicación puerta a puerta y que en el pasado ya impartió instrucciones para la recogida de datos a sus miembros y cabe que les facilitara formularios a estos efectos.
21. En estas circunstancias, el Korkein hallinto-oikeus (Tribunal Supremo de lo Contencioso-Administrativo, Finlandia) decidió suspender el procedimiento y, mediante resolución de remisión recibida en la Secretaría el 19 de enero de 2017, planteó las siguientes cuestiones prejudiciales al Tribunal de Justicia:
«1) ¿Deben interpretarse las excepciones al ámbito de aplicación de la Directiva [95/46] establecidas en el artículo 3, apartado 2, [guiones primero y segundo de ésta] en el sentido de que la recogida y demás operaciones de tratamiento de datos personales efectuadas por miembros de una comunidad religiosa en relación con la actividad de predicación puerta a puerta no están comprendidas en el ámbito de aplicación de la Directiva? A efectos de evaluar la aplicabilidad de la Directiva, ¿qué relevancia tiene, por un lado, que la actividad de predicación en cuyo marco se recogen los datos sea organizada por la comunidad religiosa y sus congregaciones y, por otro, que se trate al mismo tiempo de la práctica religiosa personal de los miembros de la comunidad religiosa?
2) ¿Debe interpretarse la definición del concepto de “fichero” establecida en el artículo 2, letra c), de la Directiva [95/46], habida cuenta de los considerandos 26 y 27 de dicha Directiva, en el sentido de que el conjunto de los datos personales recopilados de forma no automatizada en relación con la actividad descrita de predicación puerta a puerta (nombre, dirección y otros posibles datos y características relativos a la persona)
a) no constituye un fichero en tal sentido porque no se trata de archivos de fichas o catálogos específicos ni de sistemas similares de clasificación y búsqueda a efectos de la definición de la Ley finlandesa sobre los datos personales, o bien
b) constituye un fichero en tal sentido porque de dichos datos, teniendo en cuenta su finalidad, puede extraerse la información necesaria para un uso posterior de forma efectivamente sencilla y sin un coste excesivo, tal y como está previsto en la Ley finlandesa sobre los datos personales?
3) ¿Debe interpretarse la expresión “que solo o conjuntamente con otros determine los fines y medios del tratamiento de datos personales”, mencionada en el artículo 2, letra d), de la Directiva [95/46], en el sentido de que una comunidad religiosa que organiza una actividad en la que se recogen datos personales (en particular, mediante el reparto de las zonas asignadas a los predicadores, mediante el seguimiento de la actividad de predicación y mediante la llevanza de registros sobre las personas que no desean que los predicadores vayan a sus domicilios) puede ser considerada responsable del tratamiento de datos personales en relación con esta actividad de sus miembros, pese a que la comunidad religiosa alega que sólo determinados predicadores tienen acceso a la información registrada?
4) ¿Debe interpretarse el citado artículo 2, letra d), en el sentido de que la comunidad religiosa sólo puede ser considerada responsable del tratamiento si adopta otras medidas específicas, como encargos o instrucciones por escrito, mediante las que dirige la recogida de datos, o bien basta con que la comunidad religiosa desempeñe un papel efectivo en la dirección de la actividad de sus miembros?»
22. Han presentado observaciones escritas la demandada en el procedimiento principal, los Gobiernos finlandés, checo e italiano, y la Comisión Europea.
23. En la vista oral celebrada ante el Tribunal de Justicia el 28 de noviembre de 2017, el Supervisor de Protección de Datos, la demandada en el procedimiento principal, el Gobierno finlandés y la Comisión presentaron sus observaciones orales.
III. Análisis
A. Sobre la competencia del Tribunal de Justicia
24. La presente petición de decisión prejudicial se caracteriza por una enérgica impugnación por parte de la demandada en el procedimiento principal de la situación fáctica tal como la presentó el Supervisor de Protección de Datos y expuesta por el órgano jurisdiccional remitente. La comunidad sostiene que, conforme a la sentencia Meilicke, el Tribunal de Justicia no debe responder a las cuestiones planteadas por el Korkein hallinto‑oikeus (Tribunal Supremo de lo Contencioso-Administrativo). (7)
25. Ha de recordarse que, en dicha sentencia, el Tribunal de Justicia evocó las «reglas del juego» del diálogo prejudicial. Pues bien, aunque el Tribunal de Justicia está obligado, en principio, a responder a las cuestiones planteadas por el órgano jurisdiccional nacional, que es el único que tiene conocimiento directo del asunto y, por consiguiente, quien está en mejor situación para apreciar la necesidad de una decisión prejudicial para pronunciarse, puede verificar su propia competencia para asegurarse de que su decisión prejudicial contribuirá efectivamente, no a la formulación de opiniones consultivas sobre cuestiones generales o hipotéticas, sino a la administración de la justicia en los Estados miembros. Por tanto, incumbe al juez nacional determinar los hechos del asunto para permitir al Tribunal de Justicia conocer todos los elementos de hecho y de Derecho que puedan ser importantes para la interpretación que se le pide del Derecho de la Unión. (8) En la sentencia Meilicke, (9) el Tribunal de Justicia consideró, precisamente, que se le había solicitado que se pronunciase sobre un problema de carácter hipotético sin disponer de los elementos de hecho o de Derecho necesarios que le permitieran responder de manera útil a las cuestiones que se le habían planteado y resolvió que no procedía pronunciarse sobre las cuestiones.
26. Cuando invoca dicha jurisprudencia, la demandada en el procedimiento principal no ignora que el principio sigue siendo la presunción de pertinencia de las cuestiones prejudiciales planteadas por el órgano jurisdiccional remitente y que el Tribunal de Justicia únicamente puede negarse a responder a ellas en casos excepcionales. (10) Pues bien, los autos presentados al Tribunal de Justicia en el presente asunto, y en particular la resolución de remisión, no presentan lagunas que puedan llevar al Tribunal de Justicia a sobrepasar los límites de su función si decide responder a las cuestiones prejudiciales planteadas por el órgano jurisdiccional remitente. (11) En cualquier caso, corresponde a éste, cuando ello forme parte de sus competencias, (12) determinar los hechos de forma definitiva. En todo caso, los que figuran en la resolución de remisión son ampliamente suficientes para que el Tribunal de Justicia pueda pronunciarse con pleno conocimiento de causa. (13)
B. Sobre las cuestiones prejudiciales
1. Sobre la primera cuestión prejudicial
27. Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pretende dilucidar si la actividad de los miembros de la comunidad de los Testigos de Jehová puede sustraerse a la aplicación de las disposiciones de la Directiva 95/46 sobre la base del artículo 3, apartado 2, primer guion, de dicha Directiva. La demandante en el litigio principal mantiene, a este respecto, que la actividad controvertida en el litigio principal, que está relacionada con la libertad religiosa y de expresión religiosa privada y pacífica, está comprendida en esta exclusión. Por otra parte, el tribunal remitente se pregunta si esta actividad puede quedar sustraída a la aplicación de las reglas de la Directiva 95/46 en virtud del artículo 3, apartado 2, segundo guion, de ésta, que excluye de su ámbito de aplicación el tratamiento de datos personales efectuado «por una persona física en el ejercicio de actividades exclusivamente personales o domésticas». (14)
a) La actividad de predicación no está excluida del ámbito de aplicación de la Directiva 95/46 con arreglo al artículo 3, apartado 2, primer guion, de ésta
28. El artículo 3, apartado 2, primer guion, de la Directiva 95/46 establece que queda fuera del ámbito de aplicación de ésta el tratamiento de datos personales «efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de los títulos V y VI del Tratado de la Unión Europea y, en cualquier caso, al tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal». La demandada en el procedimiento principal sostiene, en esencia, que la actividad de predicación, en el marco de la cual tienen lugar la recogida y el tratamiento de datos de las personas que han sido visitadas por los miembros de la comunidad, es una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión en el sentido de dicha disposición. (15) Por su parte, el Gobierno italiano invoca la existencia del artículo 17 TFUE, que otorga a los Estados miembros competencia exclusiva para regular las cuestiones relativas a las comunidades religiosas, para llegar a la misma conclusión que la demandada en el procedimiento principal.
29. Ante todo, procede recordar que se desprende de reiterada jurisprudencia del Tribunal de Justicia que la Directiva 95/46 define su ámbito de aplicación «de una manera muy amplia», en particular, sin subordinar la aplicación de las normas de protección a la cuestión de si el tratamiento supone un vínculo efectivo con la libre circulación entre los Estados miembros. (16) Por otro lado, el Tribunal de Justicia ha recordado asimismo que la Directiva no prevé más limitaciones de su ámbito de aplicación que las establecidas en su artículo 3. (17) Habida cuenta del objetivo que persigue la Directiva 95/46 de garantizar un nivel elevado de protección de las libertades y los derechos fundamentales de las personas físicas, sobre todo de su vida privada, en relación con el tratamiento de datos personales, (18) dicha protección exige que «las excepciones a la protección de los datos personales y las restricciones a dicha protección se establezcan sin sobrepasar los límites de lo estrictamente necesario». (19) Como toda cláusula de excepción, el artículo 3, apartado 2, primer guion, de la Directiva 95/46 debe ser interpretado de manera restrictiva.
30. Además, el Tribunal de Justicia declaró que «las actividades que en el primer guion del artículo 3, apartado 2, de la Directiva 95/46 se citan como ejemplos […] son, en todos los casos, actividades propias del Estado o de las autoridades estatales y ajenas a la esfera de actividades de los particulares». (20) A continuación, precisó que dichas actividades «tienen por objeto delimitar el alcance de la excepción que se establece en dicha disposición, de modo que sólo se aplique a aquellas actividades que se mencionan expresamente o que pueden incluirse en la misma categoría (eiusdem generis)». (21)
31. Principalmente, el Tribunal de Justicia consideró, en el marco de un asunto relativo a la actividad de una catequista en una parroquia de Suecia, consistente en la creación de una página web que facilitaba información a los feligreses de la parroquia que se preparaban para la confirmación, que «las actividades voluntarias o religiosas como las que realiza [la recurrente en el procedimiento principal] no pueden equipararse a las actividades citadas en el primer guion del artículo 3, apartado 2, de la Directiva 95/46 y, por tanto, no están comprendidas en dicha excepción». (22) Cuando en sus conclusiones presentadas en dicho asunto, el Abogado General Tizzano se pronunció en sentido contrario, no fue en razón del carácter religioso del contexto en el que se desarrollaba en aquel momento la actividad de la recurrente en el procedimiento principal, sino debido a la inexistencia de ánimo de lucro, de elemento transfronterizo alguno y de toda relación laboral, es decir, a la falta de cualquier vínculo entre dicha actividad y el ejercicio de las libertades fundamentales garantizadas por el Tratado. (23) En la sentencia Lindqvist, (24) el Tribunal de Justicia no sólo declaró que, habida cuenta del objetivo fundamental perseguido por la Directiva 95/46, no es necesario, antes de aplicar la Directiva, comprobar caso por caso si la actividad concreta afecta directamente a la libre circulación entre los Estados miembros, (25) sino que también admitió, cuando menos tácitamente, que la actividad de la recurrente en el procedimiento principal, que se inscribía en el pleno ejercicio de su libertad religiosa, pertenece a «la esfera de actividades de los particulares», más que a las «actividades propias del Estado o de las autoridades estatales» (26) que son las únicas que están comprendidas en la excepción establecida en el artículo 3, apartado 2, primer guion, de la Directiva 95/46.
32. ¿Constituye la incorporación del artículo 17 TFUE mediante el Tratado de Lisboa un elemento nuevo susceptible de modificar la interpretación dada por el Tribunal de Justicia en su sentencia Lindqvist? (27)
33. No lo creo.
34. A este respecto, es útil recordar que, cuando el Tribunal de Justicia dictó dicha sentencia, ya se había señalado necesariamente a su atención que el procedimiento principal se refería a una actividad religiosa. Por otro lado, no desconocía la Declaración n.o 11 sobre el estatuto de las iglesias y de las organizaciones no confesionales (28) adjunta al Tratado de Ámsterdam, con arreglo a la cual la Unión se comprometía a respetar y no prejuzgar el estatuto reconocido, en virtud del Derecho nacional, a las iglesias y las asociaciones o comunidades religiosas en los Estados miembros. Parece difícil sostener que el legislador pretendía excluir del ámbito de aplicación de la Directiva 95/46, conforme al artículo 3, apartado 2, primer guion, las actividades de los particulares desarrolladas en relación con la libertad religiosa, cuando, algunas disposiciones más adelante, establece un régimen específico aplicable al tratamiento de datos efectuado por una organización religiosa. (29) No obstante, cabe aducir que la Directiva 95/46 es anterior a la Declaración n.o 11 adjunta al Tratado de Ámsterdam. Sin embargo, a pesar de la inclusión en el Tratado del artículo 17 TFUE, recordado en esencia en el considerando 165 del Reglamento 2016/679, ha de reconocerse que el legislador de la Unión ha persistido en esta línea y no ha apreciado ninguna contradicción entre, por una parte, el reconocimiento del estatuto de las comunidades religiosas establecido por los Estados miembros y, por otra, la confirmación de la sujeción del tratamiento de datos por estas mismas comunidades a un régimen especial. (30) En cualquier caso, me cuesta creer que la exclusión de las actividades religiosas, al menos de una actividad religiosa como la controvertida en el procedimiento principal, del ámbito de aplicación del artículo 3, apartado 2, primer guion, de la Directiva 95/46 suponga una amenaza para el «estatuto» de las comunidades religiosas definido por los Estados miembros. (31)
35. Por consiguiente, la actividad controvertida en el procedimiento principal no está comprendida en la excepción establecida en el artículo 3, apartado 2, primer guion, de la Directiva 95/46.
b) La actividad de predicación no está excluida del ámbito de aplicación de la Directiva 95/46 en virtud de su artículo 3, apartado 2, segundo guion
36. Desde un punto de vista literal, el artículo 3, apartado 2, segundo guion, de la Directiva 95/46 establece que dicha Directiva no es aplicable al tratamiento de datos personales «efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas». (32)
37. Para empezar, procede rechazar la interpretación propuesta en la vista oral por la demandada en el procedimiento principal según la cual el carácter personal o doméstico de la actividad a que se refiere dicha disposición debe apreciarse desde el punto de vista de la persona cuyos datos se recogen. Dado que los miembros predicadores de la comunidad acuden al domicilio de las personas «visitadas», se trata necesariamente, a su juicio, de una actividad doméstica. El Tribunal de Justicia no ha seguido nunca tal planteamiento al examinar si una actividad es «personal o doméstica» en el sentido del artículo 3, apartado 2, segundo guion, de la Directiva 95/46, sino que siempre ha adoptado el punto de vista de la persona que efectúa la recogida de los datos personales o, con carácter más amplio, el tratamiento. (33)
38. En segundo lugar, es preciso recordar que la afirmación anterior, relativa a la interpretación necesariamente restrictiva de la exclusión del ámbito de aplicación de la Directiva 95/46 que figura en el artículo 3, apartado 2, primer guion, de dicha Directiva, (34) es igualmente aplicable a la interpretación de su segundo guion.
39. Por otro lado, se desprende de la jurisprudencia del Tribunal de Justicia que el considerando 12 de la Directiva 95/46, que cita como ejemplos de tratamiento de datos efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas la correspondencia y la llevanza de un repertorio de direcciones, puede resultar útil para aclarar el alcance del artículo 3, apartado 2, segundo guion, de dicha Directiva. (35) De ello resulta que «esta excepción debe interpretarse en el sentido de que es aplicable únicamente a las actividades que se inscriben en el marco de la vida privada o familiar de los particulares», (36) es decir, «cuando el tratamiento se efectúa en la esfera exclusivamente personal o doméstica de quien procede al tratamiento de datos». (37) El Tribunal de Justicia considera que claramente no es así en el caso de un tratamiento de datos personales «consistente en la difusión de dichos datos por Internet de modo que resulten accesibles a un grupo indeterminado de personas» (38) o «que [tiene] por objeto poner los datos recogidos en conocimiento de un número indefinido de personas». (39) En este sentido, todo aquello «que [abarque] una zona ajena a la esfera privada de la persona que procede al tratamiento de datos» no puede considerarse una actividad exclusivamente personal o doméstica a efectos del artículo 3, apartado 2, segundo guion, de la Directiva 95/46. (40)
40. Se desprende de los hechos, tal como han sido presentados al Tribunal de Justicia por el órgano jurisdiccional remitente, que la actividad de predicación en el curso de la cual se consideran recogidos los datos personales de las personas visitadas trasciende cuando menos la esfera doméstica de quien trata los datos, por cuanto que la predicación es, por naturaleza, una entrada en contacto con personas en principio desconocidas y que no comparten la fe del predicador. A diferencia de lo que sucede con la llevanza de un repertorio de direcciones, por ejemplo, la actividad de predicación lleva necesariamente a una «confrontación» con la esfera ajena al propio hogar y núcleo familiar. La naturaleza de los datos recogidos —que incluyen datos que gozan de una protección reforzada con arreglo a la Directiva 95/46— (41) también aboga a favor de establecer una clara distinción con el ejemplo mencionado en el considerando 12 de la Directiva 95/46.
41. De estos mismos hechos se desprende asimismo que la función que en la primera cuestión prejudicial se atribuye a la comunidad religiosa y a sus congregaciones consistente en organizar la actividad de predicación lleva necesariamente a la conclusión de que trasciende no sólo la esfera doméstica, sino también la esfera de la vida privada de las personas que ejercen la actividad de predicación.
42. Teniendo en cuenta la dimensión comunitaria de la actividad de predicación (42) y el hecho de que ésta implica necesariamente que la persona que trata los datos en dicho contexto salga de su esfera privada y familiar para encontrarse con personas que no forman parte de su círculo íntimo, en el domicilio de estas últimas, no cabe excluir del ámbito de aplicación de la Directiva 95/46, en virtud de su artículo 3, apartado 2, segundo guion, la recogida y el tratamiento de datos personales efectuados por los miembros de una comunidad religiosa en el marco de una actividad de predicación puerta a puerta.
43. Tal interpretación respeta plenamente las exigencias de interpretación en sentido estricto de las excepciones al ámbito de aplicación de la Directiva 95/46 y de limitación de éstas a lo estrictamente necesario y es plenamente fiel al objetivo perseguido por dicha Directiva de garantizar un nivel elevado de protección de las libertades y los derechos fundamentales de las personas físicas, sobre todo de su vida privada, en relación con el tratamiento de datos personales. (43)
44. No obstante, es preciso comprobar aún que esa interpretación no choque con otros derechos fundamentales con los cuales ha de conciliarse la protección de la vida privada y de los datos personales (44) y que conduce a una ponderación equilibrada entre dicha protección, por un lado, y la libertad religiosa, de la cual constituye un corolario la libertad de predicación, por otro. Si bien hasta ahora el Tribunal de Justicia ha declarado que las disposiciones de la Directiva 95/46 deben ser interpretadas a la luz de los derechos fundamentales recogidos en la Carta de los Derechos Fundamentales de la Unión Europea (45) (en lo sucesivo, «Carta») en referencia exclusivamente a los artículos 7 y 8 de ésta, (46) se impone con la misma evidencia el cumplimiento de las restantes disposiciones de la Carta.
45. En este sentido, el artículo 10, apartado 1, de la Carta establece que «toda persona tiene derecho a la libertad de […] religión. Este derecho implica la libertad de cambiar de religión o de convicciones, así como la libertad de manifestar su religión o sus convicciones individual o colectivamente, en público o en privado, a través del culto, la enseñanza, las prácticas y la observancia de los ritos». La explicación relativa al artículo 10 de la Carta (47) precisa que el derecho a la libertad de religión corresponde al derecho garantizado en el artículo 9 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, firmado en Roma el 4 de noviembre de 1950 (en lo sucesivo, «CEDH») y que, de conformidad con lo dispuesto en el artículo 52, apartado 3, de la Carta, tiene el mismo sentido y alcance que éste. Por lo tanto, la libertad de religión sólo puede ser objeto de restricciones en las condiciones establecidas en el artículo 9, apartado 2, del CEDH, es decir, que las restricciones deben estar previstas por la ley, constituir medidas necesarias, en una sociedad democrática, para la seguridad pública, la protección del orden, de la salud o de la moral públicas, o la protección de los derechos o libertades de los demás.
46. La primera enseñanza que cabe extraer del artículo 9, apartado 2, del CEDH es que, en contra de la conclusión a la que llega la demandada en el procedimiento principal al término de su argumentación, la libertad de religión y la libertad de predicación, que es su corolario, por muy fundamentales que sean, no constituyen, sin embargo, una especie de «metaderecho fundamental» de rango jerárquicamente superior a todos los demás y que no puede ser vulnerado en ningún caso. Por consiguiente, conciliar la libertad de predicación con la protección de la vida privada no sólo es posible, sino también necesario para garantizar «la protección de los derechos o libertades de los demás» como exige dicha disposición.
47. En relación con la libertad de religión, el Tribunal Europeo de Derechos Humanos (en lo sucesivo, «TEDH») ha declarado que, si bien dicha libertad «es ante todo una cuestión de fuero interno, implica también la libertad para toda persona de manifestar su religión en público o en privado, individual o colectivamente, y en el círculo de quienes comparten su fe. Por otro lado, el [TEDH] ya ha tenido la oportunidad de establecer derechos de contenido negativo en virtud del artículo 9 del [CEDH], en particular la libertad de no profesar una religión y no practicarla». (48)
48. Pues bien, no me parece que la actividad de predicación puerta a puerta amenace, en sentido estricto, el aspecto negativo de la libertad de religión según la define el TEDH. Cabe añadir que, en mi opinión, la libertad de predicación no tiene una vertiente negativa, por cuanto que implica necesariamente intentar convencer a quien no comparte su fe o carece por completo de ella. Si se me permite, la libertad de predicación implica necesariamente la existencia de un público «objetivo» al que no se le puede reconocer el derecho de contenido negativo a no recibir predicación, a no ser objeto de tentativa de proselitismo, pues lo contrario supondría vaciar de contenido a la libertad en cuestión y a su posible consecuencia, también protegida tanto por el artículo 9 del CEDH como por el artículo 10, apartado 1, de la Carta, que es la libertad de cambiar de religión. (49)
49. Tampoco me parece que la actividad de predicación puerta a puerta descrita por el órgano jurisdiccional remitente rebase los límites establecidos por el TEDH, que prohíbe únicamente el proselitismo excesivo (50) o de mala fe. (51)
50. Para que la interpretación del artículo 3, apartado 2, segundo guion, de la Directiva 95/46 propuesta en el punto 42 de las presentes conclusiones pueda verse modificada por la toma en consideración del artículo 9 del CEDH y, por consiguiente, del artículo 10, apartado 1, de la Carta, sería preciso constatar que la sujeción de la actividad controvertida en el procedimiento principal al cumplimiento de las normas de dicha Directiva constituye una injerencia intolerable o desproporcionada en la libertad de predicación. Ahora bien, no alcanzo a identificar en el caso de autos tal injerencia, ya que tomar notas y transmitirlas en el seno de la comunidad religiosa no es en absoluto consustancial a la actividad de predicación. Sin embargo, suponiendo que se apreciara la existencia de esa injerencia, habría de comprobarse si está prevista por la ley y si constituye una medida que, en una sociedad democrática, es necesaria para alcanzar el objetivo legítimo de protección de los derechos y las libertades de los demás. Pues bien, la supuesta injerencia que supondría la necesidad de cumplir las disposiciones de la Directiva 95/46 está efectivamente prevista por la ley, en la medida en que se encuentra precisamente contemplada por la Directiva 95/46 y, por las razones expuestas anteriormente, es necesaria, en una sociedad democrática, para la protección de los derechos de los demás, en particular del derecho a la vida privada y el derecho a la protección de los datos personales de las personas visitadas, derechos a los que se ha de prestar idéntica atención.
51. Por lo tanto, la protección que otorga el artículo 10, apartado 1, de la Carta, no permite poner en entredicho la apreciación según la cual la actividad de predicación puerta a puerta de los miembros de la comunidad no tiene un carácter exclusivamente personal o doméstico en el sentido del artículo 3, apartado 2, segundo guion, de la Directiva 95/46.
52. Habida cuenta de estas consideraciones, procede responder a la primera cuestión prejudicial planteada por el órgano jurisdiccional remitente que una actividad de predicación puerta a puerta como la controvertida en el procedimiento principal no constituye una actividad exclusivamente personal o doméstica en el sentido del artículo 3, apartado 2, segundo guion, de la Directiva 95/46.
2. Sobre la segunda cuestión prejudicial
53. Mediante su segunda cuestión prejudicial, el tribunal remitente insta además al Tribunal de Justicia a que examine el ámbito de aplicación de la Directiva 95/46, considerado en esta ocasión desde el punto de vista de su artículo 3, apartado 1, que establece que las disposiciones de la Directiva «se aplicarán al tratamiento […] de datos personales […] contenidos o destinados a ser incluidos en un fichero». Parece indiscutido que el tratamiento de los datos recogidos por los miembros de la comunidad no es, al menos en parte, automatizado, la Directiva 95/46 sólo se aplicará si existe un fichero que el artículo 2, letra c), de la Directiva 95/46 define como «todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica». El órgano jurisdiccional remitente expone que, de conformidad con la Ley de datos personales, la inexistencia de fichas o catálogos específicos o de otro sistema de búsqueda similar impide considerar como «fichero» los datos tratados por los miembros de la comunidad. No obstante, dicho órgano jurisdiccional se pregunta en qué medida influye en tal calificación el hecho de que se pueda extraer información para un uso posterior de forma sencilla y sin costes excesivos —que son los dos criterios establecidos en la Ley de datos personales—.
54. La demandada en el procedimiento principal insiste de nuevo sobre el carácter marcadamente teórico de esta segunda cuestión, habida cuenta de que no se ha demostrado que sus miembros tomen efectivamente notas al ejercer su actividad de predicación puerta a puerta, como se desprende, a su juicio, de la motivación de la petición de decisión prejudicial. Respecto a dicha objeción reiterada, me remito a los puntos 25 y siguientes de las presentes conclusiones. De conformidad con el análisis efectuado por el órgano jurisdiccional remitente, las consideraciones que se exponen a continuación parten de la premisa de que es posible que los miembros de la comunidad tomen notas en el curso de dicha actividad.
55. Es preciso centrar el debate en la Directiva 95/46 y en la definición que contiene del concepto de fichero. El artículo 2, letra c), de la Directiva 95/46, cuya redacción es bastante sibilina, (52) debe leerse en relación con el considerando 27 de esta misma Directiva, el cual indica que el ámbito de aplicación de la protección de datos no debe depender de las técnicas utilizadas, pues lo contrario daría lugar a riesgos graves de elusión, y que, por lo que respecta al tratamiento manual, la Directiva sólo abarca los ficheros que deben estructurarse conforme a criterios específicos relativos a las personas, que permitan acceder fácilmente a los datos personales. Además, los distintos criterios que permiten determinar los elementos de un conjunto estructurado de datos de carácter personal y los distintos criterios que regulan el acceso a dicho conjunto de datos pueden ser definidos por cada Estado miembro.
56. Según la jurisprudencia del Tribunal de Justicia, el artículo 3, apartado 1, de la Directiva 95/46 define de manera muy amplia el ámbito de aplicación de ésta. (53) Por tanto, no debe interpretarse dicha disposición de modo que se ponga en peligro el alto nivel de protección otorgado por la Directiva 95/46.
57. Creo que, tras una aparente descentralización, (54) las anotaciones realizadas, en su caso, por los miembros de la comunidad, pueden constituir un «fichero» en el sentido de la Directiva 95/46. Uno de los primeros criterios que estructuran este conjunto es el criterio geográfico. En cierta medida, el propio miembro pasa a ser un criterio estructurador del conjunto de los datos, en la medida en que la comunidad distribuye geográficamente los sectores asignados a cada predicador. Por consiguiente, sabe que los datos relativos a una persona en concreto que reside en un determinado barrio han podido ser recopilados por un miembro en particular. Suponiendo que la comunidad no indique a sus miembros la naturaleza de los datos recogidos, ésta se deriva de facto del objetivo perseguido, que es la preparación de visitas posteriores. El órgano jurisdiccional remitente ha indicado al Tribunal de Justicia que se trata del nombre, la dirección y un resumen del contenido de la conversación mantenida, relativa, en particular, a las convicciones religiosas y la situación familiar. Dicha estructura, aun sin ser de una complejidad especial, permite acceder fácilmente a los datos recogidos. Asimismo, mantiene viva la memoria de la actividad de predicación de la comunidad y es fácil imaginar que, en caso de traslado de un miembro, éste pueda transmitir la información recogida al nuevo miembro que lo sustituirá en la zona geográfica en cuestión. Por consiguiente, parece que se cumple el criterio de accesibilidad de los datos. (55)
58. En estas circunstancias, parece que el Derecho finlandés exige un grado de complejidad superior al exigido por la Directiva 95/46, por cuanto restringe la calificación de «fichero» a los archivos de fichas, los catálogos o cualquier otro sistema de búsqueda similar. Por tanto, no cabe descartar que la Ley de datos personales contenga una restricción adicional con respecto a lo dispuesto en la Directiva 95/46. Sin embargo, el órgano jurisdiccional remitente no ha planteado al Tribunal de Justicia tal cuestión y le incumbirá extraer de la respuesta del Tribunal de Justicia a esta segunda cuestión las debidas consecuencias, también con respecto a su Derecho nacional.
59. Por consiguiente, procede declarar que el artículo 3, apartado 1, de la Directiva 95/46, en relación con el artículo 2, letra c), de dicha Directiva, debe interpretarse en el sentido de que puede constituir un fichero el conjunto de datos personales recopilados de forma no automatizada por los miembros de una comunidad religiosa en el marco de una actividad como la controvertida en el procedimiento principal, con arreglo a una distribución geográfica determinada y que tiene por objeto la preparación de visitas posteriores a personas con las que se ha entablado un diálogo espiritual.
3. Sobre las cuestiones prejudiciales tercera y cuarta, consideradas conjuntamente
60. Mediante sus cuestiones prejudiciales tercera y cuarta, que procede examinar conjuntamente, el órgano jurisdiccional remitente solicita, en esencia, al Tribunal de Justicia, que determine si el artículo 2, letra d), de la Directiva 95/46 debe interpretarse en el sentido de que cabe considerar «responsable del tratamiento» en el sentido de dicha Directiva a una comunidad religiosa que organiza una actividad de predicación en la que se recopilan datos personales, a los cuales sólo tienen acceso los predicadores. A los efectos de esta calificación, el órgano jurisdiccional remitente pregunta además si la comunidad debe adoptar medidas específicas, como instrucciones por escrito dirigidas a sus miembros, o si basta con que dicha comunidad desempeñe un papel efectivo en la dirección de la actividad de sus miembros.
61. Antes de emprender el análisis de estas cuestiones, deseo formular una observación previa. Tanto en sus observaciones escritas como en la vista ante el Tribunal de Justicia, la demandada en el procedimiento principal ha negado ser «responsable del tratamiento» de los datos recogidos por sus miembros, en el sentido de la Directiva 95/46, y ha manifestado un cierto malestar cuando se ha alegado que sus miembros actúan con arreglo a sus instrucciones y no en respuesta a un mandato divino. Sin embargo, reitero que no cabe otorgar a la determinación de la aplicabilidad de la Directiva 95/46 al caso de autos ni a una eventual calificación de la comunidad como «responsable del tratamiento», en el sentido de esta misma Directiva 95/46, un alcance mayor del que tienen, a saber, que se trata de operaciones de calificación jurídica. De la jurisprudencia del Tribunal de Justicia se desprende que el responsable del tratamiento, en el sentido de la Directiva 95/46, «debe garantizar, en el marco de sus responsabilidades, de sus competencias y de sus posibilidades, que [la actividad de tratamiento de los datos] satisface las exigencias de la Directiva 95/46 para que las garantías establecidas en ella puedan tener pleno efecto y pueda llevarse a cabo una protección eficaz y completa de los interesados, en particular, de su derecho al respeto de la vida privada». (56) Por consiguiente, se trata de una operación de calificación jurídica y no de un cuestionamiento del papel de la comunidad o del fundamento inicial de la actividad de predicación.
62. Precisado lo anterior, procedo al análisis.
63. A tenor del artículo 2, letra d), de la Directiva 95/46, el responsable del tratamiento es «la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales […]». Se desprende de la jurisprudencia del Tribunal de Justicia que dicho concepto debe definirse en sentido amplio al efecto de cumplir el objetivo de una protección eficaz y completa que persigue la Directiva 95/46 (57) y habida cuenta del papel determinante del responsable del tratamiento en el régimen establecido por la Directiva 95/46. (58)
64. El Grupo de Trabajo del Artículo 29 sobre protección de datos (en lo sucesivo, «Grupo del Artículo 29») (59) considera que la determinación del responsable del tratamiento en el sentido del artículo 2, letra d), de la Directiva 95/46 «se basa en un análisis de los hechos más que en un análisis formal» (60) y «equivale a determinar, respectivamente, el “por qué” y el “cómo” de ciertas actividades de tratamiento». (61)
65. Por consiguiente, se trata de dilucidar si la comunidad determina los fines y los medios del tratamiento de los datos recopilados por sus miembros. A tal efecto, procede recordar que se desprende de la redacción de la tercera cuestión prejudicial que la comunidad «organiza» la actividad en la que sus miembros recogen datos personales en el sentido de que reparte los radios de acción entre los distintos predicadores, realiza el seguimiento de la actividad de tales predicadores (62) y lleva un registro de las personas que no desean recibir visitas. Dichos elementos son indicativos de que la comunidad centraliza la actividad de predicación. En estas circunstancias, difícilmente puede seguir sosteniéndose que dicha actividad y la eventual recogida de datos personales que la acompaña son exclusivamente individuales y totalmente ajenas a la comunidad. (63)
66. En mi opinión, existe un conjunto de indicios suficientes —habida cuenta de la necesidad de interpretar de manera amplia el concepto de «responsable del tratamiento» de conformidad con la Directiva 95/46 y del objetivo de alcanzar un alto nivel de protección— que permite considerar que la comunidad determina la finalidad del tratamiento de datos personales recogidos por los miembros, consistente en la búsqueda permanente de un aumento del número de fieles a través de una mayor eficacia de la actividad de predicación, que requiere una preparación óptima de las visitas.
67. Por lo que se refiere a la determinación de los medios por la comunidad, ésta me parece difícilmente discutible respecto al período durante el cual dicha comunidad facilitaba formularios a sus miembros e impartía instrucciones muy concretas relativas a la toma de notas a través de artículos publicados en su revista. Aunque parece haber cesado la utilización de formularios, ha de señalarse que las publicaciones siguen estando disponibles en línea y que, con posterioridad a la fecha de la resolución impugnada en el procedimiento principal se han seguido impartiendo instrucciones para la toma de notas. (64)
68. En cualquier caso, la cuestión prejudicial parte de la premisa de la inexistencia de instrucciones escritas. A efectos de la determinación del «responsable del tratamiento» en el sentido de la Directiva 95/46, me inclino por considerar, al igual que los Gobiernos finlandés, checo e italiano, que un excesivo formalismo permitiría eludir fácilmente las disposiciones de la Directiva 95/46 y que, por consiguiente, es preciso basarse en un análisis más fáctico que formal para apreciar si la comunidad desempeña un papel efectivo en la determinación de los fines y las modalidades del tratamiento.
69. Tal interpretación se ve también corroborada por el texto del artículo 2, letra d), de la Directiva 95/46, que no contiene ninguna referencia expresa a un requisito relativo a instrucciones escritas. Al parecer ésta es también la interpretación que adoptó de esta disposición el Grupo del Artículo 29, según el cual la capacidad de influencia de hecho puede bastar para determinar el responsable del tratamiento de los datos. (65)
70. Es evidente que la apreciación de la existencia de una influencia de hecho no es competencia del Tribunal de Justicia e incumbe al órgano jurisdiccional remitente. Sin embargo, es útil que este último sea consciente de que el concepto de «responsable del tratamiento» en el sentido de la Directiva 95/46 ha de definirse de manera amplia. Si bien acabo de concluir que no se puede exigir la existencia de instrucciones escritas para no encerrar dicho concepto en un formalismo demasiado estricto, la apreciación de la existencia de una influencia de hecho debe hacerse con arreglo a criterios razonablemente verificables. A este respecto, reconozco que no me convence la opinión sostenida por la Comisión según la cual corresponde al órgano jurisdiccional remitente comprobar que los miembros de la Comunidad perciben la orden de ésta como «suficientemente vinculante desde el punto de vista moral».
71. En cuanto a si el responsable del tratamiento de datos ha de tener necesariamente acceso a dichos datos, cabe señalar de nuevo que tal requisito no forma parte de la definición establecida en la Directiva 95/46. Lo mismo opina el Grupo del Artículo 29, según el cual el hecho de no estar en condiciones de cumplir directamente todas las obligaciones que incumben al responsable del tratamiento, tales como el derecho de acceso, no excluye que se sea responsable del tratamiento. (66) Precisamente para ese tipo de supuestos la Directiva 95/46 prevé que la responsabilidad pueda ser asumida de manera conjunta. (67) Por consiguiente, comparto plenamente la opinión expresada por el Abogado General Bot, quien considera que «la interpretación que prima la existencia de un poder de control completo sobre todos los aspectos del tratamiento puede dar lugar a serias lagunas en materia de protección de los datos personales». (68)
72. Para finalizar mi análisis, cabe precisar que en el procedimiento principal, la eventual determinación de la responsabilidad de la comunidad no excluye en absoluto la determinación, en paralelo, de una responsabilidad compartida de los miembros de dicha comunidad, «[ya que] la evaluación del control conjunto debería ser un reflejo de la evaluación del control “único” […] y también debería adoptarse un enfoque sustantivo y funcional, centrado en establecer si los fines y los medios los determina más de una parte. […] La participación de las partes en la determinación de los fines y los medios del tratamiento en el contexto del control conjunto puede revestir distintas formas y el reparto no tiene que ser necesariamente a partes iguales». (69) Pues bien, parece deducirse de los hechos, tal como han sido presentados al Tribunal de Justicia por el órgano jurisdiccional remitente, que los miembros de la comunidad pueden influir concretamente en los medios del tratamiento (mediante la determinación de las personas que van a ser visitadas, la toma de decisiones sobre la pertinencia de realizar anotaciones, la elección del soporte de dichas anotaciones, la determinación del alcance de los datos recopilados, etc.).
73. Habida cuenta de lo que antecede, propongo al Tribunal de Justicia que responda que el artículo 2, letra d), de la Directiva 95/46 debe interpretarse en el sentido de que una comunidad religiosa que organiza una actividad de predicación en la que se recogen datos personales puede ser considerada responsable del tratamiento a pesar de que ella misma no tenga acceso a los datos personales registrados por sus miembros. A efectos de la determinación del «responsable del tratamiento» en el sentido de la Directiva 95/46, no es imperativo que existan instrucciones por escrito, pero debe comprobarse, en su caso mediante un conjunto de indicios, que el responsable puede ejercer una influencia de hecho sobre la actividad de recogida y tratamiento de datos personales, extremo que corresponde comprobar al órgano jurisdiccional remitente.
IV. Conclusión
74. Habida cuenta de las consideraciones que preceden, propongo al Tribunal de Justicia que responda del siguiente modo a las cuestiones prejudiciales planteadas por el Korkein hallinto-oikeus (Tribunal Supremo de lo Contencioso-Administrativo, Finlandia):
«1) Una actividad de predicación puerta a puerta como la controvertida en el procedimiento principal no está comprendida en la excepción prevista en el artículo 3, apartado 2, guiones primero y segundo, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
2) El artículo 3, apartado 1, de la Directiva 95/46, en relación con el artículo 2, letra c), de dicha Directiva, debe interpretarse en el sentido de que puede constituir un fichero el conjunto de datos personales recopilados de forma no automatizada por los miembros de una comunidad religiosa en el marco de una actividad como la controvertida en el procedimiento principal, con arreglo a una distribución geográfica determinada y que tiene por objeto la preparación de visitas posteriores a personas con las que se ha entablado un diálogo espiritual.
3) El artículo 2, letra d), de la Directiva 95/46 debe interpretarse en el sentido de que una comunidad religiosa que organiza una actividad de predicación en la que se recogen datos personales puede ser considerada responsable del tratamiento a pesar de que ella misma no tenga acceso a los datos personales registrados por sus miembros. A efectos de la determinación del “responsable del tratamiento” en el sentido de la Directiva 95/46, no es imperativo que existan instrucciones por escrito, pero debe comprobarse, en su caso mediante un conjunto de indicios, que el responsable puede ejercer una influencia de hecho sobre la actividad de recogida y tratamiento de datos personales, extremo que corresponde comprobar al órgano jurisdiccional remitente.»