SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala)
de 16 de diciembre de 2008 (*)
«Directiva 95/46/CE – Ámbito de aplicación – Tratamiento y circulación de datos fiscales de carácter personal – Protección de las personas físicas – Libertad de expresión»
En el asunto C‑73/07,
que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 234 CE, por el Korkein hallinto-oikeus (Finlandia), mediante resolución de 8 de febrero de 2007, recibida en el Tribunal de Justicia el 12 de febrero de 2007, en el procedimiento entre
Tietosuojavaltuutettu
y
Satakunnan Markkinapörssi Oy,
Satamedia Oy,
EL TRIBUNAL DE JUSTICIA (Gran Sala),
integrado por el Sr. V. Skouris, Presidente, los Sres. P. Jann, C.W.A. Timmermans, A. Rosas, K. Lenaerts y A. Ó Caoimh, Presidentes de Sala, y los Sres. P. Kūris, E. Juhász, G. Arestis, A. Borg Barthet, J. Klučka, U. Lõhmus y E. Levits (Ponente), Jueces;
Abogado General: Sra. J. Kokott;
Secretaria: Sra. C. Strömholm, administradora;
habiendo considerado los escritos obrantes en autos y celebrada la vista el 12 de febrero de 2008;
consideradas las observaciones presentadas:
– en nombre de Satakunnan Markkinapörssi Oy y Satamedia Oy, por el Sr. P. Vainio, lakimies;
– en nombre del Gobierno finlandés, por el Sr. J. Heliskoski, en calidad de agente;
– en nombre del Gobierno estonio, por el Sr. L. Uibo, en calidad de agente;
– en nombre del Gobierno portugués, por el Sr. L.I. Fernandes y la Sra. C. Vieira Guerra, en calidad de agentes;
– en nombre del Gobierno sueco, por las Sras. A. Falk y K. Petkovska, en calidad de agentes;
– en nombre de la Comisión de las Comunidades Europeas por los Sres. C. Docksey y P. Aalto, en calidad de agentes;
oídas las conclusiones de la Abogado General, presentadas en audiencia pública el 8 de mayo de 2008;
dicta la siguiente
Sentencia
1 La petición de decisión prejudicial tiene por objeto la interpretación de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281, p. 31; en lo sucesivo, «Directiva»).
2 Dicha petición se presentó en el marco de un litigio entre, por una parte, el tietosuojavaltuutettu (mediador encargado de la protección de datos) y, por otra, la tietosuojalautakunta (comisión de protección de datos) en relación con actividades de tratamiento de datos personales llevadas a cabo por las sociedades Satakunnan Markkinapörssi Oy (en lo sucesivo, «Markkinapörssi») y Satamedia Oy (en lo sucesivo, «Satamedia»).
Marco jurídico
Derecho comunitario
3 Como se desprende de su artículo 1, apartado 1, la Directiva tiene por objeto la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales.
4 El artículo 1, apartado 2, de la Directiva dispone:
«Los Estados miembros no podrán restringir ni prohibir la libre circulación de datos personales entre los Estados miembros por motivos relacionados con la protección garantizada en virtud del apartado 1.»
5 El artículo 2 de la Directiva, titulado «Definiciones», dispone:
«A efectos de la presente Directiva, se entenderá por:
a) “datos personales”: toda información sobre una persona física identificada o identificable (“interesado”); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;
b) “tratamiento de datos personales” (“tratamiento”): cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción;
c) “fichero de datos personales” (“fichero”): todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;
[…]»
6 El artículo 3 de la Directiva define el ámbito de aplicación de la misma del siguiente modo:
«1. Las disposiciones de la presente Directiva se aplicarán al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
2. Las disposiciones de la presente Directiva no se aplicarán al tratamiento de datos personales:
– efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de los títulos V y VI del Tratado de la Unión Europea y, en cualquier caso, al tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal;
– efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.»
7 La relación entre la protección de datos personales y la libertad de expresión se rige por el artículo 9 de la Directiva, titulado «Tratamiento de datos personales y libertad de expresión», del siguiente modo:
«En lo referente al tratamiento de datos personales con fines exclusivamente periodísticos o de expresión artística o literaria, los Estados miembros establecerán, respecto de las disposiciones del presente capítulo, del capítulo IV y del capítulo VI, exenciones y excepciones sólo en la medida en que resulten necesarias para conciliar el derecho a la intimidad con las normas que rigen la libertad de expresión.»
8 A este respecto, el trigésimo séptimo considerando de la Directiva tiene el siguiente tenor:
«(37)Considerando que para el tratamiento de datos personales con fines periodísticos o de expresión artística o literaria, en particular en el sector audiovisual, deben preverse excepciones o restricciones de determinadas disposiciones de la presente Directiva siempre que resulten necesarias para conciliar los derechos fundamentales de la persona con la libertad de expresión y, en particular, la libertad de recibir o comunicar informaciones, tal y como se garantiza en el artículo 10 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales; que por lo tanto, para ponderar estos derechos fundamentales, corresponde a los Estados miembros prever las excepciones y las restricciones necesarias en lo relativo a las medidas generales sobre la legalidad del tratamiento de datos, las medidas sobre la transferencia de datos a terceros países y las competencias de las autoridades de control sin que esto deba inducir, sin embargo, a los Estados miembros a prever excepciones a las medidas que garanticen la seguridad del tratamiento; que, igualmente, debería concederse a la autoridad de control responsable en la materia al menos una serie de competencias a posteriori como por ejemplo publicar periódicamente un informe al respecto o bien iniciar procedimientos legales ante las autoridades judiciales».
9 El artículo 13 de la Directiva, titulado «Excepciones y limitaciones», dispone:
«1. Los Estados miembros podrán adoptar medidas legales para limitar el alcance de las obligaciones y los derechos previstos en el apartado 1 del artículo 6, en el artículo 10, en el apartado 1 del artículo 11, y en los artículos 12 y 21 cuando tal limitación constituya una medida necesaria para la salvaguardia de:
a) la seguridad del Estado;
[…]»
10 El artículo 17 de la Directiva, titulado «Seguridad del tratamiento», enuncia:
«1. Los Estados miembros establecerán la obligación del responsable del tratamiento de aplicar las medidas técnicas y de organización adecuadas, para la protección de los datos personales contra la destrucción, accidental o ilícita, la pérdida accidental y contra la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, y contra cualquier otro tratamiento ilícito de datos personales.
Dichas medidas deberán garantizar, habida cuenta de los conocimientos técnicos existentes y del coste de su aplicación, un nivel de seguridad apropiado en relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que deban protegerse.
2. Los Estados miembros establecerán que el responsable del tratamiento, en caso de tratamiento por cuenta del mismo, deberá elegir un encargado del tratamiento que reúna garantías suficientes en relación con las medidas de seguridad técnica y de organización de los tratamientos que deban efectuarse, y se asegure de que se cumplen dichas medidas.
[…]»
Normativa nacional
11 El artículo 10, apartado 1, de la Constitución finlandesa [perustuslaki (731/1999)], de 11 de junio de 1999, dispone:
«Se garantiza la intimidad, el derecho al honor y la inviolabilidad del domicilio. La ley regulará la protección de los datos personales.»
12 Según el artículo 12 de la Constitución:
«Toda persona gozará de libertad de expresión. La libertad de expresión comprende el derecho a expresarse, publicar y recibir información, opiniones y otros mensajes, sin censura previa. La ley regulará el ejercicio de la libertad de expresión. […]
Serán públicos los documentos y los registros que se hallen en poder de las autoridades, salvo si su limitación se encuentra específicamente limitada por ley por razones imperiosas. Toda persona tendrá derecho a obtener información sobre los documentos y registros públicos.»
13 La Ley sobre los datos personales [henkilötietolaki (523/1999)], de 22 de abril de 1999, por la que se adapta el ordenamiento jurídico interno a la Directiva, se aplica al tratamiento de tales datos (artículo 2, apartado 1), salvo a los archivos nominativos que sólo contengan información publicada en cuanto tal en los medios de comunicación (artículo 2, apartado 4). Únicamente se aplicará parcialmente al tratamiento de datos personales con fines editoriales, artísticos o literarios (artículo 2, apartado 5).
14 El artículo 32 de la Ley sobre los datos personales prevé que el responsable de un fichero debe adoptar las medidas técnicas y organizativas necesarias para proteger los datos personales contra el acceso injustificado a tales datos, la pérdida fortuita, la destrucción ilícita, la modificación, cesión o transferencia accidental o ilícita, o cualquier otro tratamiento ilegal de dichos datos.
15 La Ley sobre la publicidad de las actividades de la Administración [laki viranomaisten toiminnan julkisuudesta (621/1999)], de 21 de mayo de 1999, regula igualmente el acceso a la información.
16 Según el artículo 1, apartado 1, de la Ley sobre la publicidad de las actividades de la Administración, la regla general es que los documentos a que se refiere dicha Ley son públicos.
17 El artículo 9 de dicha Ley dispone que toda persona tiene derecho a interesarse por un documento público de la Administración.
18 El artículo 16, apartado 1, de la misma Ley define las modalidades de acceso a tal documento. Dicha disposición prevé que la administración debe dar cuenta verbalmente del contenido de un documento administrativo o dar vista del documento en sus dependencias donde el interesado podrá examinarlo u oír la lectura de su contenido y copiarlo nuevamente, pudiendo asimismo la administración entregar una copia de tal documento o de una tirada impresa.
19 El apartado 3 de dicho artículo establece las condiciones en las que pueden comunicarse los datos que constan en ficheros de la Administración pública que contienen datos personales.
«Siempre que la presente Ley no disponga lo contrario, podrán comunicarse datos de carácter personal contenidos en un fichero de una autoridad mediante copia o extracto o en forma electrónica, o de una tirada impresa que contenga datos personales de un fichero nominativo de la Administración pública si el destinatario está facultado para conservar y tratar tales datos. No obstante, los datos personales únicamente podrán cederse con fines de mercadotecnia directa, sondeos o estudios de mercado si está previsto expresamente o si el interesado ha prestado su consentimiento.»
20 El órgano jurisdiccional remitente señala que la Ley sobre el acceso a los datos de carácter fiscal y su confidencialidad [laki verotustietojen julkisuudesta ja salassapidosta (1346/1999)], de 30 de diciembre de 1999, prevalece sobre la Ley sobre protección de datos y sobre la Ley sobre la publicidad de las actividades de la Administración.
21 Según el artículo 2 de la referida Ley, las disposiciones de la Ley sobre la publicidad de las actividades de la Administración y de la Ley sobre los datos personales únicamente se aplicarán a los documentos y datos de carácter fiscal en la medida en que no exista disposición normativa contraria.
22 El artículo 3 de la misma Ley establece:
«Los datos de carácter fiscal serán públicos con arreglo a lo dispuesto en la presente Ley.
Toda persona tiene derecho a conocer los documentos de carácter fiscal que se encuentren en poder de la administración tributaria según el procedimiento regulado en la Ley sobre el acceso a la información relativa a las actividades de la administración, sin perjuicio de las excepciones establecidas por la presente Ley.»
23 De conformidad con el artículo 5, apartado 1, de la referida Ley, la información de carácter público relativa a la tributación de cada año consiste en el nombre del obligado al pago, su fecha de nacimiento y el municipio en que reside. Además, será pública la siguiente información:
«1. los rendimientos del trabajo imponibles (impuesto estatal);
2. los rendimientos del capital y el patrimonio imponibles (impuesto estatal);
3. los rendimientos imponibles (impuesto municipal);
4. las cuotas de los impuestos sobre la renta y sobre el patrimonio, del impuesto municipal, y de los impuestos y tributos objeto de apremio.
[…]»
24 Por último, El capítulo 24, apartado 8, del Código penal (rikoslaki, en su versión resultante de la Ley 531/2000) sanciona como delito la divulgación de una información que atente contra la intimidad. Se castiga, asimismo, el hecho de difundir entre un gran número de personas, utilizando los medios de comunicación u otros medios, informaciones, insinuaciones o imágenes relativas a la vida privada de terceros en circunstancias que puedan perjudicar a una persona, producirle un sufrimiento o acarrearle descrédito.
Litigio principal y cuestiones prejudiciales
25 Desde hace muchos años, Markkinapörssi recoge datos públicos de la administración fiscal finlandesa para publicar cada año extractos de dichos datos en las ediciones regionales del periódico Veropörssi.
26 Los datos contenidos en dichas publicaciones comprenden el nombre y apellido de alrededor de 1.200.000 personas físicas cuyos ingresos superan determinados umbrales y con un margen de aproximación de 100 euros, los datos relativos a las rentas derivadas de sus rendimientos del trabajo y del capital, así como indicaciones relativas a la imposición de su patrimonio. La información se clasifica por municipio y por tipo de renta y se hace constar por orden alfabético.
27 Según la resolución de remisión, Markkinapörssi señala que del periódico Veropörssi pueden eliminarse los datos personales a instancia del interesado y sin coste alguno.
28 Aunque dicho periódico contiene también artículos, resúmenes y anuncios, su finalidad esencial es publicar información personal de carácter fiscal.
29 Markkinapörssi transmitió a Satamedia, de cuyo capital social son titulares las mismas personas, varios CD-ROM con los datos personales publicados en Veropörssi para su publicación por un sistema de mensajes de texto (SMS). A estos efectos, las dos sociedades firmaron un acuerdo con una operadora de telefonía móvil que, por cuenta de Satamedia, estableció un servicio de mensajes de texto que permite a los usuarios de teléfonos móviles recibir en su teléfono, por el pago de unos 2 euros, los datos publicados en el Veropörssi. A instancia del interesado, los datos personales se eliminan de dicho servicio.
30 El tietosuojavaltuutettu y la tietosuojalautakunta, autoridades finlandesas encargadas de la protección de datos, controlan el tratamiento de datos personales y tienen potestad decisoria en las condiciones establecidas en la Ley sobre los datos personales.
31 A raíz de denuncias de particulares que alegaban la violación de su intimidad, el tietosuojavaltuutettu encargado de investigar las actividades de Markkinapörssi y Satamedia solicitó el 10 de marzo de 2004 a la tietosuojalautakunta que prohibiera a estas últimas continuar las actividades relativas al tratamiento de datos personales controvertido.
32 Al denegar la tietosuojalautakunta dicha solicitud, el tietosuojavaltuutettu interpuso un recurso ante el Helsingin hallinto-oikeus (Tribunal de lo contencioso-administrativo de Helsinki) que también desestimó el recurso. El tietosuojavaltuutettu presentó entonces un recurso ante el Korkein hallinto-oikeus (Tribunal Supremo de lo contencioso-administrativo).
33 El órgano jurisdiccional remitente ha hecho hincapié en que el recurso de casación presentado por el tietosuojavaltuutettu no tiene por objeto la transmisión de datos por la Administración finlandesa. Asimismo precisa que no se impugna el carácter público de los datos fiscales de que se trata. Por el contrario, alberga dudas sobre el tratamiento ulterior de dichos datos.
34 En estas circunstancias, el Korkein hallinto-oikeus decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:
«1) ¿Puede considerarse “tratamiento de datos personales” en el sentido del artículo 3, apartado 1, de la Directiva […] la actividad consistente en:
a) recoger tales datos de los documentos públicos de la administración fiscal relativos a los rendimientos del trabajo y del capital y al patrimonio de las personas físicas, y tratarlos para su publicación,
b) publicarlos por orden alfabético y por tipos de rentas, en listas pormenorizadas clasificadas por municipios,
c) cederlos en discos CD-ROM para que sean utilizados con fines comerciales,
d) tratarlos en un servicio de mensajes de texto (SMS) que permite a los usuarios de teléfonos móviles, enviando el nombre y el municipio en el que reside una persona física, recibir información relativa a los rendimientos del trabajo y del capital, así como al patrimonio de esa persona?
2) ¿Debe interpretarse la Directiva […] en el sentido de que puede considerarse que las diversas actividades mencionadas anteriormente en la cuestión 1, letras a) a d), constituyen un “tratamiento de datos personales realizado con fines exclusivamente periodísticos”, en el sentido del artículo 9 de la Directiva, si se tiene en cuenta que los datos que se han recogido, y que se refieren a más de 1.000.000 de contribuyentes, proceden de documentos que son públicos en virtud de la normativa nacional sobre acceso a la información? ¿Es pertinente para el análisis del presente asunto el hecho de que la finalidad primordial de dicha actividad consista en publicar los datos de que se trata?
3) ¿Debe interpretarse el artículo 17 de la Directiva […], en relación con los principios y la finalidad de la Directiva, en el sentido de que se opone a la publicación de datos que se han recogido con fines periodísticos y a su cesión con fines comerciales?
4) ¿Puede interpretarse la Directiva […] en el sentido de que quedan totalmente excluidos de su ámbito de aplicación los ficheros nominativos que únicamente contienen información ya publicada tal cual en los medios de comunicación?»
Sobre las cuestiones prejudiciales
Primera cuestión
35 Procede observar que los datos a los que se refiere dicha cuestión, referentes al apellido y nombre de determinadas personas físicas cuyos ingresos sean superiores a ciertos umbrales y, en particular, con una aproximación de 100 euros, los datos relativos a sus rendimientos del trabajo y del capital, son datos personales en el sentido del artículo 2, letra a), de la Directiva, puesto que se trata de «información sobre una persona física identificada o identificable» (véase igualmente la sentencia de 20 de mayo de 2003, Österreichischer Rundfunk y otros, C‑465/00, C‑138/01 y C‑139/01, Rec. p. I‑4989, apartado 64).
36 A continuación basta con señalar que resulta claramente de la propia lectura del artículo 2, letra b), de la Directiva que la actividad contemplada en dicha cuestión está comprendida en la definición de «tratamiento de datos personales» en el sentido de dicha disposición.
37 Por consiguiente, procede responder a la primera cuestión que el artículo 3, apartado 1, de la Directiva debe interpretarse en el sentido de que debe considerarse «tratamiento de datos personales» en el sentido de dicha disposición una actividad consistente en:
– recoger de los documentos públicos de la administración fiscal datos relativos a los rendimientos del trabajo y del capital y al patrimonio de las personas físicas y tratarlos para su publicación,
– publicarlos por orden alfabético y por tipos de rentas, en listas pormenorizadas clasificadas por municipios,
– cederlos en discos CD-ROM para que sean utilizados con fines comerciales,
– tratarlos en un servicio de mensajes de texto (SMS) que permite a los usuarios de teléfonos móviles, enviando el nombre y el municipio en el que reside una persona física, recibir información relativa a los rendimientos del trabajo y del capital, así como al patrimonio de esa persona.
Sobre la cuarta cuestión
38 Mediante su cuarta cuestión, que procede examinar en segundo lugar, el órgano jurisdiccional remitente pide, en síntesis, que se dilucide si las actividades de tratamiento de datos personales como las que son objeto de la primera cuestión, letras c) y d), relativas a ficheros nominativos que sólo contienen información ya publicada tal cual en los medios de comunicación, están comprendidas dentro del ámbito de aplicación de la Directiva.
39 A este respecto, de conformidad con el artículo 3, apartado 2, de la Directiva, ésta no se aplica a los tratamientos de datos personales en dos supuestos.
40 El primer supuesto se refiere a los tratamientos de datos personales efectuados en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de los títulos V y VI del Tratado de la Unión Europea y, en cualquier caso, al tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal.
41 Dichas actividades, enumeradas a título de ejemplo en el primer guión de dicha disposición son, en todos los casos, actividades propias del Estado o de las autoridades estatales y ajenas a la esfera de actividades de los particulares. Tienen por objeto delimitar el alcance de la excepción que se establece en dicha disposición, de modo que sólo se aplique a aquellas actividades que se mencionan expresamente o que pueden incluirse en la misma categoría (eiusdem generis) (véase la sentencia de 6 de noviembre de 2003, Lindqvist, C‑101/01, Rec. p. I‑12971, apartados 43 y 44).
42 Ahora bien, las actividades de tratamiento de datos personales como las mencionadas en la primera cuestión, letras c) y d), son actividades desarrolladas por sociedades privadas. Dichas actividades no forman parte en modo alguno de un marco creado por los poderes públicos con objeto de proteger la seguridad pública. Por consiguiente, tales actividades no pueden asimilarse a las previstas en el artículo 3, apartado 2, de la Directiva (véase, en este sentido, la sentencia de 30 de mayo de 2006, Parlamento/Consejo, C‑317/04 y C‑318/04, Rec. p. I‑4721, apartado 58).
43 Por lo que respecta al segundo supuesto previsto en el segundo guión de dicha disposición, el duodécimo considerando de la Directiva, relativo a dicha excepción, menciona, como ejemplos del tratamiento de datos efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas, la correspondencia y la llevanza de un repertorio de direcciones.
44 De ello resulta que esta excepción debe interpretarse en el sentido de que es aplicable únicamente a las actividades que se inscriben en el marco de la vida privada o familiar de los particulares (véase la sentencia Lindqvist, antes citada, apartado 47). Manifiestamente éste no es el caso de las actividades de Markkinapörssi y Satamedia, que tienen por objeto poner los datos recogidos en conocimiento de un número indefinido de personas.
45 Por consiguiente, debe concluirse que las actividades de tratamiento de datos personales como las que son objeto de la primera cuestión, letras c) y d), no están comprendidas en uno de los supuestos recogidos en el artículo 3, apartado 2, de la Directiva.
46 Además, debe señalarse que la Directiva no prevé limitación adicional alguna de su ámbito de aplicación.
47 A este respecto, la Abogado General señaló en el punto 125 de sus conclusiones que el artículo 13 de la Directiva únicamente permite que se establezcan excepciones a algunas de sus disposiciones; el artículo 3 no forma parte de ellas.
48 Por último, procede señalar que una excepción general a la aplicación de la Directiva en favor de datos publicados dejaría esta última en gran medida vacía de contenido. En efecto, bastaría con que los Estados miembros publicaran los datos para que quedaran sustraídos a la protección prevista por la Directiva.
49 Por consiguiente, procede responder a la cuarta cuestión que las actividades de tratamiento de datos personales como las que son objeto de la primera cuestión, letras c) y d), relativas a los ficheros de la Administración pública que contienen datos personales, que únicamente tengan por objeto información ya publicada tal cual en los medios de comunicación, están comprendidas dentro del ámbito de aplicación de la Directiva.
Sobre la segunda cuestión
50 Mediante su segunda cuestión, el tribunal remitente pide, en esencia, que se dilucide si el artículo 9 de la Directiva debe interpretarse en el sentido de que las actividades mencionadas en la primera cuestión, letras a) a d), relativas a los datos procedentes de documentos públicos según la legislación nacional, han de considerarse actividades de tratamiento de datos personales ejercidas exclusivamente con fines periodísticos. Dicho tribunal precisa que solicita que se determine si el hecho de que la finalidad primordial de dicha actividad consista en publicar los datos de que se trata es pertinente para dicha apreciación.
51 Con carácter previo ha de señalarse que, según reiterada jurisprudencia, la interpretación de las disposiciones de una directiva debe realizarse a la luz del objetivo perseguido por ésta y del sistema que establece (véase, en este sentido, la sentencia de 11 de septiembre de 2008, Caffaro, C‑265/07, Rec. p. I‑0000, apartado 14).
52 A este respecto consta, como se desprende del artículo 1 de la Directiva, que el objetivo de ésta es que los Estados miembros, al tiempo que permiten la libre circulación de datos personales, garanticen no obstante la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de dichos datos.
53 Sin embargo, dicho objetivo no puede alcanzarse sin tener en cuenta que los referidos derechos fundamentales han de conciliarse, en una cierta medida, con el derecho fundamental a la libertad de expresión.
54 La necesidad de tal conciliación se contempla en el artículo 9 de la Directiva. Como se desprende, en particular, del trigésimo séptimo considerando de la Directiva, el artículo 9 de ésta tiene por objeto conciliar dos derechos fundamentales: por una parte, la protección de la intimidad y, por otra, la libertad de expresión. Dicha función incumbe a los Estados miembros.
55 Para conciliar esos dos «derechos fundamentales» en el sentido de la Directiva, los Estados miembros han de prever determinadas excepciones o restricciones a la protección de datos y, por lo tanto, al Derecho fundamental a la intimidad, previstos en los capítulos II, IV y VI de dicha Directiva. Tales excepciones deben establecerse exclusivamente con fines periodísticos o de expresión artística o literaria, que están comprendidos dentro del derecho fundamental de la libertad de expresión artística o literaria, sólo en la medida en que resulten necesarias para conciliar el derecho a la intimidad con las normas que rigen la libertad de expresión.
56 Para tener en cuenta la importancia que tiene la libertad de expresión en toda sociedad democrática, procede, por una parte, interpretar ampliamente los conceptos relacionados con ella, entre ellos el de periodismo. Por otra parte, y para obtener una ponderación equilibrada de los dos derechos fundamentales, la protección del derecho fundamental a la intimidad exige que las excepciones y restricciones a la protección de los datos previstas en los capítulos antes mencionados de la Directiva se establezcan dentro de los límites de lo que resulte estrictamente necesario.
57 En este contexto, deben tenerse en cuenta los elementos siguientes.
58 En primer lugar, como señaló la Abogado General en el punto 65 de sus conclusiones y se desprende de los trabajos preparatorios de la Directiva, las exenciones y excepciones previstas en el artículo 9 de la Directiva se aplican no sólo a las empresas de medios de comunicación, sino también a toda persona que ejerza una actividad periodística.
59 En segundo lugar, el hecho de que se publiquen datos personales con ánimo de lucro no excluye a priori que pueda considerarse una actividad «exclusivamente con fines periodísticos». En efecto, como señalan Markkinapörssi y Satamedia en sus observaciones y la Abogado General en el punto 82 de sus conclusiones, toda empresa persigue obtener un beneficio de su actividad. Un cierto éxito comercial puede ser incluso la condición sine qua non para la subsistencia de un periodismo profesional.
60 En tercer lugar ha de tenerse en cuenta la evolución y la multiplicación de los medios de comunicación y de difusión de información. Como destacó, en particular, el Gobierno sueco, el soporte en el que se transmiten los datos, clásico como el papel o las ondas de radio, o electrónico como Internet, no es determinante para apreciar si se trata de una actividad «con fines exclusivamente periodísticos».
61 De todo cuanto antecede resulta que actividades como las del litigio principal, relativas a datos procedentes de documentos públicos según la legislación nacional, pueden calificarse de «actividades periodísticas» si su finalidad es divulgar al público información, opiniones o ideas, por cualquier medio de transmisión. No están reservadas a las empresas de medios de comunicación y pueden ejercerse con ánimo de lucro.
62 Por consiguiente, procede responder a la segunda cuestión que el artículo 9 de la Directiva debe interpretarse en el sentido de que las actividades mencionadas en la primera cuestión, letras a) a d), relativas a datos procedentes de documentos públicos según la legislación nacional, han de considerarse actividades de tratamiento de datos personales efectuadas «exclusivamente con fines periodísticos» en el sentido de dicha disposición, si tales actividades se ejercen exclusivamente con la finalidad de divulgar al público información, opiniones o ideas, siendo esta apreciación competencia del órgano jurisdiccional remitente.
Sobre la tercera cuestión
63 Mediante su tercera cuestión, el órgano jurisdiccional remitente solicita, en esencia, que se dilucide si procede interpretar el artículo 17 de la Directiva en el sentido de que se opone a la publicación de datos que se hayan recogido con fines periodísticos y a su cesión con fines comerciales.
64 Habida cuenta de la respuesta dada a la segunda cuestión, no procede responder a esta tercera cuestión.
Costas
65 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional nacional, corresponde a éste resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.
En virtud de todo lo expuesto, el Tribunal de Justicia (Gran Sala) declara:
1) El artículo 3, apartado 1, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse en el sentido de que debe considerarse «tratamiento de datos personales» en el sentido de dicha disposición una actividad consistente en:
– recoger de los documentos públicos de la administración fiscal datos relativos a los rendimientos del trabajo y del capital y al patrimonio de las personas físicas y tratarlos para su publicación,
– publicarlos por orden alfabético y por tipos de rentas, en listas pormenorizadas clasificadas por municipios,
– cederlos en discos CD-ROM para que sean utilizados con fines comerciales,
– tratarlos en un servicio de mensajes de texto (SMS) que permita a los usuarios de teléfonos móviles, enviando el nombre y el municipio en el que reside una persona física, recibir información relativa a los rendimientos del trabajo y del capital, así como al patrimonio de esa persona.
2) El artículo 9 de la Directiva 95/46 debe interpretarse en el sentido de que las actividades mencionadas en la primera cuestión, letras a) a d), relativas a datos procedentes de documentos públicos según la legislación nacional, han de considerarse actividades de tratamiento de datos personales efectuadas «exclusivamente con fines periodísticos» en el sentido de dicha disposición, si tales actividades se ejercen exclusivamente con la finalidad de divulgar al público información, opiniones o ideas, siendo esta apreciación competencia del órgano jurisdiccional remitente.
3) Las actividades de tratamiento de datos personales como las que son objeto de la primera cuestión, letras c) y d), relativas a los ficheros de la Administración pública que contienen datos personales, que únicamente tengan por objeto información ya publicada tal cual en los medios de comunicación, están comprendidas dentro del ámbito de aplicación de la Directiva 95/46.
Firmas