Petición de decisión prejudicial planteada por el Korkein hallinto-oikeus (Finlandia) el 19 de enero de 2017 — Supervisor de Protección de Datos
(Asunto C-25/17)
Lengua de procedimiento: finés
Órgano jurisdiccional remitente
Korkein hallinto-oikeus
Partes en el procedimiento principal
Recurrente: Supervisor de Protección de Datos
Otra parte del procedimiento: Testigos de Jehová — Comunidad religiosa
Cuestiones prejudiciales
¿Deben interpretarse las excepciones relativas al ámbito de aplicación establecidas en el artículo 3, apartado 2, de la Directiva sobre protección de datos 1 en el sentido de que la recogida y demás operaciones de tratamiento de datos personales efectuadas por miembros de una comunidad religiosa en relación con la actividad de predicación puerta a puerta no quedan comprendidas en el ámbito de aplicación de la Directiva? A efectos de evaluar la aplicabilidad de la Directiva, ¿qué relevancia tiene, por un lado, que la actividad de predicación en cuyo marco se recogen los datos sea organizada por la comunidad religiosa y sus congregaciones y, por otro, que se trate al mismo tiempo de la práctica religiosa personal de los miembros de la comunidad religiosa?
¿Debe interpretarse la definición del concepto de «fichero» establecida en el artículo 2, letra c), de la Directiva sobre protección de datos, habida cuenta de los considerandos 26 y 27 de dicha Directiva, en el sentido de que el conjunto de los datos personales recopilados de forma no automatizada en relación con la actividad descrita de predicación puerta a puerta (nombre, dirección y otros posibles datos y características relativos a la persona)
no constituye un fichero en tal sentido porque no se trata de archivos de fichas o catálogos específicos ni de sistemas similares de clasificación y búsqueda a efectos de la definición de la Ley finlandesa sobre los datos personales, o bien
constituye un fichero en tal sentido porque de dichos datos, teniendo en cuenta su finalidad, puede extraerse la información necesaria para un uso posterior de forma efectivamente sencilla y sin costes excesivos, tal y como está previsto en la Ley finlandesa sobre los datos personales?
¿Debe interpretarse la expresión «que sólo o conjuntamente con otros determine los fines y medios del tratamiento de datos personales», mencionada en el artículo 2, letra d), de la Directiva sobre protección de datos, en el sentido de que una comunidad religiosa que organiza una actividad en la que se recogen datos personales (en particular, mediante el reparto de los radios de acción de los predicadores, mediante el seguimiento de la actividad de predicación y mediante la llevanza de registros sobre las personas que no desean que los predicadores vayan a sus domicilios) puede ser considerada responsable del tratamiento de datos personales en relación con esta actividad de sus miembros, pese a que la comunidad religiosa alega que sólo determinados predicadores tienen acceso a la información registrada?
¿Debe interpretarse el citado artículo 2, letra d), en el sentido de que la comunidad religiosa sólo puede ser considerada responsable del tratamiento si adopta otras medidas específicas, tales como encargos o instrucciones por escrito, mediante las que dirige la recogida de datos, o bien basta con que la comunidad religiosa desempeñe un papel efectivo en la dirección de la actividad de sus miembros?
Sólo será necesaria una respuesta a las cuestiones tercera y cuarta si, en virtud de las respuestas a las cuestiones primera y segunda, proceda aplicar la Directiva. Sólo será necesaria una respuesta a la cuarta cuestión si, en virtud de la tercera cuestión, no puede excluirse la aplicación del artículo 2, letra d), de la Directiva a una comunidad religiosa.
____________1 Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31)