Language of document : ECLI:EU:C:2023:266

CONCLUSIONES DEL ABOGADO GENERAL

M. CAMPOS SÁNCHEZ-BORDONA

presentadas el 30 de marzo de 2023(1)

Asunto C162/22

A. G.

con intervención de:

Lietuvos Respublikos generalinė prokuratūra

[Petición de decisión prejudicial planteada por el Lietuvos vyriausiasis administracinis teismas (Tribunal Supremo de lo contencioso administrativo, Lituania)]

«Procedimiento prejudicial — Telecomunicaciones — Tratamiento de datos de carácter personal — Directiva 2002/58/CE — Ámbito de aplicación — Artículo 15, apartado 1 — Acceso a los datos conservados por los proveedores de servicios de comunicaciones electrónicas y recogidos en el marco de procedimientos de instrucción — Utilización posterior de los datos con ocasión de una investigación sobre una falta de servicio»






1.        Este reenvío prejudicial plantea, en síntesis, si ciertos datos personales obtenidos a lo largo de una investigación penal se pueden utilizar, posteriormente, en un procedimiento disciplinario de carácter administrativo seguido contra un funcionario público.

2.        La respuesta a ese interrogante ofrece al Tribunal de Justicia una nueva ocasión para pronunciarse sobre los ámbitos de aplicación respectivos de la Directiva 2002/58/CE, (2) por un lado, y de la Directiva (UE) 2016/680 (3) y el Reglamento (UE) 2016/679, (4) por otro.

3.        En relación con la Directiva 2002/58, el Tribunal de Justicia ha sentado una jurisprudencia, ya consolidada, sobre los supuestos y las condiciones en los que los Estados miembros pueden limitar el alcance de los derechos y las obligaciones que establece. (5)

I.      Marco normativo

A.      Derecho de la Unión

1.      Directiva 2002/58

4.        El artículo 1 («Ámbito de aplicación y objetivo») reza:

«1. La presente Directiva establece la armonización de las disposiciones nacionales  necesaria para garantizar un nivel equivalente de protección de las libertades y los derechos fundamentales y, en particular, del derecho a la intimidad y la confidencialidad, en lo que respecta al tratamiento de los datos personales en el sector de las comunicaciones electrónicas, así como la libre circulación de tales datos y de los equipos y servicios de comunicaciones electrónicas en la Comunidad.

2. Las disposiciones de la presente Directiva especifican y completan la Directiva 95/46/CE [(6)] a los efectos mencionados en el apartado 1. Además, protegen los intereses legítimos de los abonados que sean personas jurídicas.

3. La presente Directiva no se aplicará a las actividades no comprendidas en el ámbito de aplicación del [TFUE], como las reguladas por las disposiciones de los títulos V y VI del Tratado de la Unión Europea [TUE], ni, en cualquier caso, a las actividades que tengan por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dichas actividades estén relacionadas con la seguridad del mismo) y a las actividades del Estado en materia penal».

5.        El artículo 5 («Confidencialidad de las comunicaciones»), apartado 1, prescribe:

«Los Estados miembros garantizarán, a través de la legislación nacional, la confidencialidad de las comunicaciones, y de los datos de tráfico asociados a ellas, realizadas a través de las redes públicas de comunicaciones y de los servicios de comunicaciones electrónicas disponibles al público. En particular, prohibirán la escucha, la grabación, el almacenamiento u otros tipos de intervención o vigilancia de las comunicaciones y los datos de tráfico asociados a ellas por personas distintas de los usuarios, sin el consentimiento de los usuarios interesados, salvo cuando dichas personas estén autorizadas legalmente a hacerlo de conformidad con el apartado 1 del artículo 15. El presente apartado no impedirá el almacenamiento técnico necesario para la conducción de una comunicación, sin perjuicio del principio de confidencialidad».

6.        El artículo 15 («Aplicación de determinadas disposiciones de la Directiva 95/46/CE») indica:

«1. Los Estados miembros podrán adoptar medidas legales para limitar el alcance de los derechos y las obligaciones que se establecen en los artículos 5 y 6, en los apartados 1 a 4 del artículo 8 y en el artículo 9 de la presente Directiva, cuando tal limitación constituya una medida necesaria proporcionada y apropiada en una sociedad democrática para proteger la seguridad nacional (es decir, la seguridad del Estado), la defensa, la seguridad pública, o la prevención, investigación, descubrimiento y persecución de delitos o la utilización no autorizada del sistema de comunicaciones electrónicas a que se hace referencia en el apartado 1 del artículo 13 de la Directiva 95/46/CE. Para ello, los Estados miembros podrán adoptar, entre otras, medidas legislativas en virtud de las cuales los datos se conserven durante un plazo limitado justificado por los motivos establecidos en el presente apartado. Todas las medidas contempladas en el presente apartado deberán ser conformes con los principios generales del derecho comunitario, incluidos los mencionados en los apartados 1 y 2 del artículo 6 del [TUE].

[…]

2. Las disposiciones del capítulo III sobre recursos judiciales, responsabilidad y sanciones de la Directiva 95/46/CE se aplicarán a las disposiciones nacionales adoptadas con arreglo a la presente Directiva y a los derechos individuales derivados de la misma.

[…]».

2.      RGPD

7.        El artículo 2 («Ámbito de aplicación material») establece:

«1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

2. El presente Reglamento no se aplica al tratamiento de datos personales:

a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del derecho de la Unión;

[…]

d) por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.

[…]».

8.        El artículo 5 («Principios relativos al tratamiento») señala:

«1. Los datos personales serán:

[…]

b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales (“limitación de la finalidad”);

[…]».

9.        El artículo 6 («Licitud del tratamiento») impone:

«1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

[…]

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

[…]

3. La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por:

a) el derecho de la Unión, o

b) el derecho de los Estados miembros que se aplique al responsable del tratamiento.

[...]

4. Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:

a) cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;

b) el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento;

c) la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10;

d) las posibles consecuencias para los interesados del tratamiento ulterior previsto;

[…]».

3.      Directiva 2016/680

10.      El artículo 1 («Objeto y objetivos»), apartado 1, señala:

«1. La presente Directiva establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales por parte de las autoridades competentes, con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública».

11.      El artículo 2 («Ámbito de aplicación»), apartado 1, proclama:

«La presente Directiva se aplica al tratamiento de datos personales por parte de las autoridades competentes a los fines establecidos en el artículo 1, apartado 1».

12.      El artículo 4 («Principios relativos al tratamiento de datos personales») dice:

«1. Los Estados miembros dispondrán que los datos personales sean:

[…]

b) recogidos con fines determinados, explícitos y legítimos, y no ser tratados de forma incompatible con esos fines;

[…]

2. Se permitirá el tratamiento de los datos personales, por el mismo responsable o por otro, para fines establecidos en el artículo 1, apartado 1, distintos de aquel para el que se recojan en la medida en que:

a) el responsable del tratamiento esté autorizado a tratar dichos datos personales para dicho fin de conformidad con el derecho de la Unión o del Estado miembro, y

b) el tratamiento sea necesario y proporcionado para ese otro fin de conformidad con el derecho de la Unión o del Estado miembro.

[…]».

13.      El artículo 9 («Condiciones de tratamiento específicas»), apartado 1, enuncia:

«Los datos personales recogidos por las autoridades competentes para los fines establecidos en el artículo 1, apartado 1, no serán tratados para otros fines distintos de los establecidos en el artículo 1, apartado 1 salvo que dicho tratamiento esté autorizado por el derecho de la Unión o del Estado miembro. Cuando los datos personales sean tratados para otros fines, se aplicará el [RGPD] a menos que el tratamiento se efectúe como parte de una actividad que quede fuera del ámbito de aplicación del derecho de la Unión».

B.      Derecho nacional

1.      Lietuvos Respublikos elektroninių ryšių įstatymas (7)

14.      El artículo 65, apartado 2, impone a los proveedores de servicios de comunicaciones electrónicas la obligación de conservar los datos relacionados en el anexo 1 de la misma ley y, en su caso, de ponerlos a disposición de las autoridades competentes con el fin de que puedan utilizarlos en la lucha contra la criminalidad grave. (8)

15.      En virtud del artículo 77, apartado 1, los proveedores de servicios de comunicaciones electrónicas deben facilitar a las autoridades competentes las informaciones que obren legalmente en su poder y que sean necesarias, en particular, para la prevención, la detección y el enjuiciamiento de infracciones penales.

16.      De conformidad con el artículo 77, apartado 4, de existir una resolución judicial motivada u otra base jurídica prevista por la ley, los proveedores de servicios de comunicaciones electrónicas deben hacer técnicamente posible, en particular para los órganos de investigación criminal y los órganos de instrucción, según las modalidades previstas por la legislación procesal penal, el control del contenido de las comunicaciones difundidas por las redes de comunicaciones electrónicas.

2.      Lietuvos Respublikos kriminalinės žvalgybos įstatymas (9)

17.      Con arreglo al artículo 6, apartado 3, número 1), si se cumplen las condiciones previstas por la propia LIC y previa autorización del Ministerio público o de un órgano judicial, los órganos de investigación criminal (10) pueden recabar informaciones de los proveedores de servicios de comunicaciones electrónicas.

18.      Conforme al artículo 8, apartados 1 y 3, los organismos de investigación en materia penal actuarán tan pronto como se disponga de informaciones sobre la preparación o la comisión de una infracción penal muy grave, grave o relativamente grave, incoándose de inmediato una instrucción penal si la investigación pusiera de manifiesto la existencia de una infracción penal.

19.      De acuerdo con el artículo 19, apartado 1, número 5, las informaciones procedentes de operaciones de investigación criminal pueden ser utilizadas en los casos establecidos en los apartados 3 y 4 del mismo precepto y en otros supuestos previstos por la ley.

20.      En virtud del artículo 19, apartado 3, las informaciones relativas a un hecho que presente las características de una infracción relacionada con la corrupción pueden ser desclasificadas, de acuerdo con la Fiscalía, y utilizadas en el marco de una investigación sobre faltas disciplinarias o de servicio.

3.      Lietuvos Respublikos baudžiamojo proceso kodeksas (11)

21.      A tenor del artículo 154 («Control, grabación y conservación de la información transmitida a través de redes de comunicaciones electrónicas»), apartado 1, mediante resolución de un juez de instrucción adoptada a petición de la Fiscalía, un investigador puede escuchar, grabar y conservar las conversaciones difundidas por las redes de comunicación electrónica si existen razones para pensar que podrán obtenerse datos sobre una infracción muy grave o grave en curso de preparación, de perpetración o que ya ha sido perpetrada, o sobre una infracción relativamente grave o no grave.

22.      Según el artículo 177 («Prohibición de revelación de los datos de la investigación preliminar»), apartado 1, los datos de la instrucción son confidenciales y, hasta el examen judicial del asunto, solo pueden divulgarse mediante autorización de la Fiscalía y en la medida en que resulte justificable. (12)

II.    Hechos, litigio y pregunta prejudicial

23.      La Lietuvos Respublikos generalinė prokuratūra (Fiscalía general de la República de Lituania; en lo sucesivo, «Fiscalía general») incoó una investigación interna sobre las actuaciones de A. G., a la sazón fiscal en una Apygardos prokuratūra (Fiscalía regional), ante la presencia de indicios de conducta indebida en el ejercicio de su cargo. 

24.      La Comisión de la Fiscalía general concluyó que A. G. había incurrido en una conducta indebida en el ejercicio del cargo, y propuso que se le impusiera la sanción disciplinaria de separación del servicio.

25.      Esa conducta habría quedado acreditada a partir de la información, obtenida en el curso del expediente administrativo, derivada de las actuaciones de los servicios de información criminal, las explicaciones de otros funcionarios y del recurrente, así como las conclusiones de dos investigaciones preliminares.

26.      En concreto, habrían existido comunicaciones telefónicas entre A. G. y el abogado de una persona sospechosa, en el marco de una investigación preliminar tramitada por A. G. en relación con asuntos en los que aquel abogado había actuado como letrado defensor. (13)

27.      La vigilancia y la grabación de la información transmitida a través de redes de comunicaciones electrónicas habían sido autorizadas mediante resoluciones judiciales.

28.      El Fiscal general impuso la sanción de separación del servicio a A. G., que la recurrió ante el Vilniaus apygardos administracinis teismas (Tribunal regional de lo contencioso administrativo de Vilna, Lituania), interesando su anulación.

29.      El recurso fue desestimado por sentencia de 16 de julio de 2021, al apreciar el tribunal de primera instancia que la actuación de los servicios de información criminal había sido lícita, al igual que la utilización, en el curso del expediente disciplinario, de los datos obtenidos por esos servicios.

30.      A. G. ha interpuesto un recurso contra la sentencia de primera instancia ante el Lietuvos vyriausiasis administracinis teismas (Tribunal Supremo de lo contencioso administrativo, Lituania), que eleva al Tribunal de Justicia esta pregunta prejudicial:

«¿Debe interpretarse el artículo 15, apartado 1, de la Directiva 2002/58 […], analizado en relación con los artículos 7, 8, 11 y 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea [Carta], en el sentido de que prohíbe a las autoridades públicas competentes utilizar datos conservados por proveedores de servicios de comunicaciones electrónicas que puedan proporcionar información sobre los datos de un usuario de un medio de comunicaciones electrónicas, y las comunicaciones realizadas por ese usuario, en el marco de investigaciones de conductas indebidas relacionadas con la corrupción en el ejercicio del cargo, con independencia de que el acceso a esos datos se haya concedido, en el caso concreto, con el fin de luchar contra la delincuencia grave y prevenir las amenazas graves contra la seguridad pública?»

III. Procedimiento ante el Tribunal de Justicia

31.      La petición de decisión prejudicial se registró en el Tribunal de Justicia el 3 de marzo de 2022.

32.      Han presentado observaciones escritas A. G., los Gobiernos checo, estonio, húngaro, irlandés, italiano y lituano, además de la Comisión Europea.

33.      En la vista pública, celebrada el 2 de febrero de 2023, han comparecido A. G., los Gobiernos francés, húngaro, irlandés y lituano, así como la Comisión.

IV.    Análisis

A.      Admisibilidad. Delimitación de la respuesta a la pregunta prejudicial

34.      El órgano de reenvío es un tribunal de lo contencioso-administrativo, competente para la revisión jurisdiccional de decisiones asimismo administrativas. Tiene tal carácter la adoptada por el Fiscal general, que impuso una sanción de revocación del servicio a un funcionario de una fiscalía de ámbito territorial, por hechos constitutivos de faltas de servicio.

35.      El litigio a quo no tiene por objeto, pues, decisiones de las autoridades judiciales del orden penal. Aun cuando esas decisiones coexistan con el procedimiento administrativo (disciplinario) que dio lugar a la revocación del cargo, (14) importa destacar que solo en lo que afecta a esta última se suscita la controversia.

36.      Sentado lo anterior, se advierte en la decisión de reenvío una cierta imprecisión en cuanto a los hechos del litigio, que prefiguran el contexto en el que se inscribe la pregunta prejudicial.

37.      Como han destacado el Gobierno checo y la Comisión, no es posible establecer con seguridad, a partir del auto de remisión, si las autoridades competentes: a) se dirigieron a los proveedores de servicios de comunicaciones electrónicas para obtener los datos controvertidos; o b) obtuvieron por sí mismas, directamente, esos datos.

38.      La cuestión no es, en absoluto, menor. De ella depende identificar qué normativa de la Unión resulta pertinente para responder a la pregunta prejudicial. En función de que los hechos hayan sucedido de un modo o de otro, se habrá de aplicar:

— La Directiva 2002/58, si los datos obtenidos son el resultado de una obligación de tratamiento impuesta a los proveedores de servicios de comunicaciones electrónicas; o

— La Directiva 2016/680, si los datos los obtuvo directamente el poder público, sin imponer obligaciones a aquellos proveedores.

39.      En esta segunda hipótesis, la protección de los datos personales se regiría por el derecho nacional, sin perjuicio de la aplicación de la Directiva 2016/680. (15) La pregunta prejudicial, en consecuencia, al poner el acento en la Directiva 2002/58, habría adoptado un enfoque inadecuado.

40.      El Gobierno húngaro, persuadido de que los datos personales se habrían obtenido mediante operaciones de interceptación telefónica llevadas a cabo por los servicios de información criminal, pone en duda la admisibilidad del reenvío prejudicial, pues la Directiva 2002/58 sería, por lo dicho, inaplicable.

41.      Para la Comisión, sin embargo,

— regiría la Directiva 2016/680 en la medida en que se trate de utilizar, para una investigación posterior, datos personales recogidos y conservados directamente por las autoridades en el marco de una investigación penal previa;

— se aplicaría la Directiva 2002/58 si, como el tribunal de reenvío ha hecho constar, (16) al menos, algunos de los datos han debido recogerse y conservarse en virtud de una norma nacional adoptada en aplicación de su artículo 15, apartado 1. La Directiva 2002/58, resultaría, así, relevante para la resolución del litigio.

42.      Coincido con este planteamiento de la Comisión, que, por lo demás, es el único que permite superar las (justificadas) reticencias que suscita la decisión de reenvío en cuanto a su admisibilidad.

43.      Así entendida la pregunta prejudicial, la pertinencia de la Directiva 2002/58 para su respuesta:

— Deriva de la presunción inherente a todo reenvío prejudicial, en cuanto a la necesidad de su planteamiento, cuya responsabilidad corresponde al juez que lo propone. (17)

— Puede aceptarse en cuanto que únicamente sobre esa Directiva 2002/58, que el órgano judicial considera clave para resolver el litigio, se pide la interpretación del Tribunal de Justicia. (18)

44.      En efecto, según el tribunal de remisión, en el proceso que ha de enjuiciar son relevantes:

«i) el acceso a los datos conservados por los proveedores de servicios de comunicaciones electrónicas, no solo con fines de lucha contra la delincuencia grave y de prevención de amenazas graves contra la seguridad pública, y

ii) la utilización de los datos conservados que se hayan obtenido con el fin de luchar contra la delincuencia grave y prevenir las amenazas graves contra la seguridad pública al investigar una conducta indebida relacionada con la corrupción en el ejercicio de un cargo». (19)

45.      Todo parece indicar, pues, que, al margen de la eventual concurrencia de datos personales cuyo tratamiento no podría incluirse en el ámbito de aplicación de la Directiva 2002/58 (sino en el de la Directiva 2016/680), la investigación que culminó con la sanción impuesta hizo uso de datos personales recabados de los proveedores de servicios de comunicaciones electrónicas.

46.      La respuesta del Tribunal de Justicia ha de ceñirse a la solicitud del órgano judicial de reenvío tal como este la plantea. Habrá de dilucidar, por lo tanto, si los datos personales obtenidos y tratados al amparo del artículo 15, apartado 1, de la Directiva 2002/58 en el marco de una investigación penal pueden ser utilizados, ulteriormente, en un procedimiento (administrativo) de carácter disciplinario dirigido contra un funcionario público.

47.      Así delimitados los términos del reenvío prejudicial, el reverso de cuanto se acaba de exponer es que quedan fuera de él las siguientes cuestiones:

— En primer lugar, las relativas a la legalidad de la obtención inicial de los datos personales al amparo del artículo 15, apartado 1, de la Directiva 2002/58. La pregunta del tribunal de reenvío se ciñe a la utilización posterior de esos datos en el procedimiento disciplinario, sin poner en duda la licitud de su obtención originaria. (20)

— En segundo lugar, las relativas a la utilización de los datos obtenidos y tratados de manera directa por las autoridades públicas en el marco de investigaciones penales precedentes. Sobre ese extremo, cuya disciplina se encuadra en el ámbito del derecho nacional y de la Directiva 2016/680, tampoco plantea dudas el órgano judicial de remisión.

48.      En suma, las consideraciones que siguen en cuanto al fondo habrán de dejar de lado la interpretación de la Directiva 2016/680. (21) Se circunscribirán, en lo que atañe a la Directiva 2002/58, a la utilización de datos personales obtenidos a su amparo mediante tratamientos cuya licitud inicial ha de darse por supuesta, en la medida en que no se discute en el litigo a quo.

B.      Sobre el fondo

1.      Recapitulación de la jurisprudencia del Tribunal de Justicia en cuanto a la aplicación de la Directiva 2002/58

49.      Del artículo 15, apartado 1, primera frase, de la Directiva 2002/58 se infiere que los Estados miembros podrán adoptar una medida que suponga una excepción al principio de confidencialidad consagrado en el artículo 5, apartado 1, de la misma Directiva, cuando sea «necesaria, proporcionada y apropiada en una sociedad democrática» y resulte «rigurosamente» proporcionada al objetivo que pretende lograr. (22)

50.      En particular, la posibilidad de que los Estados miembros justifiquen una limitación de los derechos y obligaciones previstos en los artículos 5, 6 y 9 de la Directiva 2002/58 debe apreciarse a la vista de la gravedad de la injerencia que supone esa limitación y comprobando que la importancia del objetivo de interés general perseguido por ella guarde relación con tal gravedad. (23)

51.      «Para cumplir el requisito de proporcionalidad, una normativa debe establecer reglas claras y precisas que regulen el alcance y la aplicación de la medida en cuestión e impongan unas exigencias mínimas, de modo que las personas cuyos datos personales resulten afectados dispongan de garantías suficientes que permitan proteger de manera eficaz esos datos contra los riesgos de abuso. Dicha normativa debe ser legalmente imperativa en derecho interno y, en particular, indicar en qué circunstancias y con arreglo a qué requisitos puede adoptarse una medida que contemple el tratamiento de tales datos […]». (24)

52.      En cuanto a los motivos de interés general que permiten justificar una medida adoptada en virtud del artículo 15, apartado 1, de la Directiva 2002/58, conforme al principio de proporcionalidad, existe una jerarquía de objetivos, en función de su importancia respectiva: la importancia del perseguido por tal medida debe ser correlativa a la gravedad de la injerencia. (25)

53.      En esa jerarquía de objetivos, la protección de la seguridad nacional, interpretada a la luz del artículo 4 TUE, apartado 2, supera la de los demás contemplados en el artículo 15, apartado 1, de la Directiva 2002/58, esto es, la defensa, la seguridad pública o la prevención, la investigación, el descubrimiento y la persecución de delitos o la utilización no autorizada del sistema de comunicaciones electrónicas. El propósito de combatir la delincuencia en general, incluso grave, y de proteger la seguridad pública figura en esta segunda categoría. (26)

54.      De esta categorización de objetivos se deduce que:

— El de defender la seguridad nacional, primero en el orden jerárquico señalado por el Tribunal de Justicia, consiente injerencias de tanta gravedad como las representadas por medidas legislativas que permitan imponer a los proveedores de servicios de comunicaciones electrónicas la obligación de conservar de manera generalizada e indiferenciada los datos de tráfico y de localización. (27)

— El objetivo que le sigue inmediatamente en importancia, esto es, la lucha contra la delincuencia grave, puede justificar injerencias tales como, por ejemplo, una conservación selectiva de los datos de tráfico y de localización o de las direcciones IP atribuidas al origen de una conexión, para un período temporalmente limitado a lo estrictamente necesario. (28)

2.      Aplicación de esa jurisprudencia en este reenvío prejudicial

55.      Según el tribunal de remisión, los datos controvertidos se habrían obtenido mediante injerencias de carácter grave en los derechos garantizados por los artículos 7, 8 y 11 de la Carta. (29)

56.      No se trata aquí, repito, de examinar la licitud inicial de la obtención de esos datos, es decir, de apreciar si la injerencia estuvo suficientemente justificada en razón de la gravedad del delito contra el que se pretendía actuar.

57.      Sobre ambos extremos (gravedad de la injerencia y gravedad de la infracción) se ha pronunciado el tribunal de remisión en términos que no se discuten en el procedimiento a quo y no resultan, por ello, relevantes para el reenvío prejudicial.

58.      Lo que importa ahora, en palabras del órgano judicial a quo, es determinar si aquellos datos: a) pueden también utilizarse en investigaciones ulteriores que tengan por objeto la lucha contra la delincuencia en general (suponiendo que en este concepto cupiera la conducta objeto de la sanción disciplinaria controvertida); o b) únicamente pueden emplearse en las investigaciones dirigidas a combatir la delincuencia grave.

59.      Los Gobiernos checo e irlandés han examinado si la conducta que se enjuicia ante el tribunal de reenvío merece, o no, la consideración de «infracción grave», concluyendo en sentido afirmativo.

60.      A mi juicio, sin embargo, es ese un extremo sobre el que el Tribunal de Justicia no tiene por qué pronunciarse, pues la calificación de la conducta compete al órgano judicial de reenvío.

61.      El tribunal a quo afirma que, si la utilización de los datos obtenidos mediante una injerencia grave en los derechos fundamentales solo pudiera justificarse en la lucha contra la delincuencia grave y la prevención de amenazas graves contra la seguridad pública, no cabría emplear esos datos en las investigaciones de faltas disciplinarias relacionadas con la corrupción. (30) Esto es, en investigaciones como la controvertida en este asunto.

62.      A partir de esta apreciación, lo que interesa es dilucidar si las infracciones disciplinarias para cuya persecución se pretende utilizar determinados datos personales han de ser cualitativamente equivalentes, en cuanto a su gravedad, a las infracciones que justificaron la obtención de tales datos. (31)

63.      En la vista, el Gobierno lituano reconoció que la revocación del cargo había sido impuesta por una falta deontológica del fiscal sancionado. Apreciar si esa falta (la filtración de información sobre una investigación preliminar) puede asimilarse a una infracción penal grave o implicar un riesgo grave para la salvaguardia de la seguridad pública es algo que depende de un conjunto de factores que solo el tribunal de reenvío está en condiciones de verificar. (32)

64.      Durante la vista se hicieron numerosas referencias a la lucha contra la corrupción, en cuanto fenómeno subyacente en conductas como la aquí enjuiciada. El debate sobre este extremo requeriría no pocas matizaciones, en aras del rigor exigible en todas las manifestaciones del poder punitivo del Estado. Habría que determinar, por ejemplo, si se emplea el término «corrupción» en un sentido genérico o se alude a un tipo específico de comportamiento en el que, en abstracto, acaso sería excesivo incluir el mero quebrantamiento del deber de secreto si no va acompañado de una ventaja correlativa en favor del funcionario. (33)

65.      En cualquier caso, si el tribunal de reenvío estimase que la infracción deontológica aquí sancionada es de menor gravedad que la infracción penal cuya investigación justificó la medida adoptada a título del artículo 15 de la Directiva 2002/58, la respuesta a su pregunta prejudicial se infiere de estas declaraciones del Tribunal de Justicia:

— «El acceso a los datos de tráfico y de localización conservados por los proveedores con arreglo a una medida adoptada de conformidad con el artículo 15, apartado 1, de la Directiva 2002/58, que debe efectuarse respetando los requisitos que se derivan de la jurisprudencia que ha interpretado la Directiva 2002/58, solo puede estar justificado, en principio, por el objetivo de interés general para el que dicha conservación se impuso a estos proveedores. Solo cabría una solución diferente si la importancia del objetivo perseguido por el acceso fuera mayor que la del objetivo que justificó la conservación». (34)

— «En particular, […] el acceso a tales datos con fines de persecución y de sanción de un delito ordinario no puede concederse en ningún caso cuando su conservación esté justificada por el objetivo de lucha contra la delincuencia grave o, a fortiori, de protección de la seguridad nacional». (35)

66.      Rige, pues, a este respecto una suerte de principio de equivalencia entre los objetivos de interés general que justifican la obtención de datos personales, por un lado, y los que legitiman su utilización posterior, por otro. La única excepción a este principio es, como se acaba de exponer, que la importancia del objetivo perseguido por el acceso sea mayor que la del objetivo que justificó la conservación.

67.      Entenderlo de otro modo supondría desnaturalizar el sistema de garantías de la Directiva 2002/58: los derechos que salvaguarda podrían ser objeto de injerencias graves fuera de los supuestos previstos en su artículo 15 y de las condiciones determinadas en la jurisprudencia del Tribunal de Justicia.

68.      En particular, el sacrificio de la indemnidad del derecho a la confidencialidad de las comunicaciones solo es legítimamente admisible en función del concreto objetivo de interés general al que sirve. Por eso, la legitimidad del acceso a los datos conservados ha de verificarse caso a caso, ponderando la gravedad que comporta, por un lado, y la importancia del objetivo de interés general al que ha de servir esa injerencia, por otro.

69.      Lo que no puede aceptarse como interpretación de la Directiva 2002/58 es que, facilitado el acceso con ocasión de un primer supuesto que válidamente lo justifique, haya vía libre para un acceso posterior (en realidad, una reutilización de los datos obtenidos) fundado en un objetivo jerárquicamente inferior al de aquel supuesto originario.

70.      A estos efectos, las exigencias requeridas para el acceso inicial (incluidas las que demanda el Tribunal de Justicia en cuanto a su autorización) (36) son trasladables a la utilización posterior de los mismos datos por otras autoridades.

C.      A título subsidiario: incidencia de la Directiva 2016/680

71.      Hasta aquí he expuesto lo que considero más adecuado para responder a la petición de decisión prejudicial en sus propios términos, es decir, facilitando al tribunal de reenvío la interpretación de la Directiva 2002/58, tal como solicita.

72.      En la hipótesis de que los datos controvertidos en este asunto no se hubieran obtenido al amparo del artículo 15, apartado, de la Directiva 2002/58, sino directamente por los servicios de información criminal del Estado miembro, en un procedimiento penal, el escenario sería diferente.

73.      En esa hipótesis, entrarían en juego las normas del derecho nacional, sin perjuicio de la aplicación de la Directiva 2016/680 en lo que atañe al tratamiento de los datos personales obtenidos en una investigación penal. Doy por sentado que la actuación de los servicios de información criminal en supuestos como este encaja en el ámbito de la Directiva 2016/680. Así se confirmó en la vista.

74.      Como expuse en las conclusiones del asunto Inspektor v Inspektorata kam Visshia sadeben savet (Fines del tratamiento de datos personales — Instrucción penal), (37) «el RGPD y la Directiva 2016/680 integran un sistema coherente en el que:

— Al RGPD le corresponde fijar las normas generales para la protección de las personas físicas en relación con el tratamiento de sus datos personales.

— La Directiva 2016/680 instaura las normas específicas para el tratamiento de esos datos en el ámbito de la cooperación judicial en materia penal y de la cooperación policial». (38)

75.      Recordaba entonces (39) que:

— «La protección que dispensa el régimen constituido por ambas disposiciones se fundamenta en los principios de licitud, lealtad, transparencia y, en lo que aquí interesa, en el principio de estricta limitación de la recogida de los datos y de su tratamiento a los fines previstos en la ley».

— «En concreto, el artículo 5, apartado 1, letra b), del RGPD prescribe que los datos serán “recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines”. En esos términos se expresa también, en cuanto lex specialis, el artículo 4, apartado 1, letra b), de la Directiva 2016/680».

— «Así pues, los datos de carácter personal no pueden recogerse ni tratarse con carácter general, sino solo en función de unos fines determinados y con sujeción a las condiciones de licitud establecidas por el legislador de la Unión». (40)

— «El principio de estricta vinculación entre la recogida y el tratamiento de datos, por un lado, y los fines a los que ambas operaciones deben servir, por otro lado, no tiene un carácter absoluto, pues tanto el RGPD como la Directiva 2016/680 consienten cierta flexibilidad [...]».

76.      Pues bien, tal como el Tribunal de Justicia ha interpretado el artículo 4, apartado 2, de la Directiva 2016/680, (41) difícilmente podrá admitirse que los datos personales recabados en el curso de un procedimiento penal se utilicen con el mismo fin en el contexto de un ulterior procedimiento disciplinario contra un funcionario público.

77.      He de recordar, sin embargo, que, a tenor del artículo 4, apartado 2, de la Directiva 2016/680, «se permitirá el tratamiento de los datos personales, por el mismo responsable o por otro, para fines establecidos en el artículo 1, apartado 1, distintos de aquel para el que se recojan en la medida en que:

— El responsable del tratamiento esté autorizado a tratar dichos datos personales para dicho fin de conformidad con el derecho de la Unión o del Estado miembro, y

— El tratamiento sea necesario y proporcionado para ese otro fin de conformidad con el derecho de la Unión o del Estado miembro».

78.      A partir de esta premisa, el tribunal de reenvío deberá considerar si el fin (distinto) del tratamiento ulterior se halla entre los establecidos en el artículo 1, apartado 1, de la Directiva 2016/680 o si se encuentra fuera de estos últimos:

— En el primer caso (readscripción ad intra) habrá de comprobar que se cumplan los dos requisitos previstos en el artículo 4, apartado 2, de la Directiva 2016/680.

— En el segundo caso (readscripción ad extra) entra en juego el artículo 9, apartado 1, de la Directiva 2016/680.

1.      Utilización de los datos a título del artículo 4, apartado 2, de la Directiva 2016/680

79.      En cuanto al primero de los dos requisitos que exige el precepto, solo se observará si el derecho del Estado miembro se plasma en una ley (42) que regule cuándo el responsable resulta autorizado a tratar los datos personales. Esa ley debe, por lo demás, contener reglas vinculantes, claras y precisas. (43)

80.      Es este, sin embargo, un extremo que, naturalmente, corresponde verificar al tribunal de reenvío, tras analizar el artículo 177 del CEC, el artículo 19, apartado 3, de la LIC y las Recomendaciones de la Fiscalía general. (44) Con esos elementos habrá de calibrar hasta qué punto el derecho nacional consiente que las informaciones obtenidas en el marco de un procedimiento penal puedan utilizarse, bajo determinadas condiciones, en el contexto de la investigación de faltas disciplinarias. En esa verificación pueden resultarle útiles las consideraciones de la STEDH Adomaitis. (45)

81.      En cuanto al segundo requisito, habrá de apreciar el tribunal de reenvío si, en el tratamiento de datos objeto de este asunto, se dio la necesidad de la injerencia y su carácter proporcionado. (46)

82.      De nuevo, las declaraciones de la STEDH Adomaitis pudieran contribuir a esa apreciación:

— En cuanto a la necesidad, habrá de ponderar hasta qué punto la insuficiencia probatoria de otros datos disponibles en el curso del procedimiento disciplinario hacía verdaderamente necesario, para el éxito de la investigación en curso, servirse de los datos controvertidos. (47)

— En cuanto a la proporcionalidad, habrá de calibrar la gravedad de la infracción que ha dado lugar al procedimiento disciplinario, teniendo presente que, como ha alegado el Gobierno lituano y se desprende de la STEDH Adomaitis, (48) la utilización de datos personales queda reservada a los supuestos de infracciones para los que está prevista la sanción disciplinaria más severa, esto es, la revocación.

2.      Utilización de los datos a título del artículo 9 de la Directiva 2016/680

83.      Con arreglo al artículo 9, apartado 1, de la Directiva 2016/680, los datos personales recogidos por las autoridades competentes para los fines establecidos en su artículo 1, apartado 1, pueden ser tratados para otros fines distintos de los establecidos en el artículo 1, apartado 1, cuando dicho tratamiento esté autorizado por el derecho de la Unión o del Estado miembro. En este supuesto, se aplicará el RGPD, a menos que el tratamiento se efectúe como parte de una actividad que quede fuera del ámbito de aplicación del derecho de la Unión. (49)

84.      En la hipótesis de que el tribunal de reenvío estime inaplicable el artículo 4, apartado 2, de la Directiva 2016/680, habrá de acudir al RGPD. Con arreglo a este Reglamento tendrá que dilucidar si, además de la previsión legal, concurre al menos unas de las condiciones de licitud del tratamiento de datos personales enumeradas con carácter exhaustivo en su artículo 6, apartado 1.

V.      Conclusión

85.      A tenor de lo expuesto, propongo al Tribunal de Justicia responder al Lietuvos vyriausiasis administracinis teismas (Tribunal Supremo de lo contencioso-administrativo, Lituania) en estos términos:

«1. El artículo 15, apartado 1, de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), en relación con los artículos 7, 8, 11 y 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea,

ha de interpretarse en el sentido de que:

no permite a las autoridades públicas competentes recabar datos conservados por proveedores de servicios de comunicaciones electrónicas que puedan proporcionar información detallada sobre un usuario y utilizarlos en el marco de investigaciones de conductas constitutivas de infracciones menos graves que aquellas cuya investigación haya podido justificar en su momento el acceso a dichos datos.

2. Con carácter subsidiario:

El artículo 9, apartado 1, de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se  deroga la Decisión Marco 2008/977/JAI del Consejo, en relación con los artículos 6 y 10 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, a la luz de los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea,

ha de interpretarse en el sentido de que:

no se opone a la utilización, en un procedimiento administrativo de carácter disciplinario, de datos personales obtenidos lícita y directamente por el poder público en el marco de una investigación penal, siempre que, conforme a reglas claras, precisas y vinculantes del derecho nacional, aquel procedimiento y esta investigación se encuentren vinculados y en la medida en que la utilización de los datos tenga un fin legítimo y resulte necesaria y proporcionada, lo que corresponde determinar a la autoridad judicial».

1      Lengua original: español.

2      Directiva del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO 2002, L 201, p. 37).

3      Directiva del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO 2016, L 119, p. 89).

4      Reglamento del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1). En lo sucesivo, «RGPD».

5      Sin ánimo exhaustivo, entre los referentes principales de esa jurisprudencia pueden citarse las sentencias de 8 de abril de 2014, Digital Rights Ireland y otros (C-293/12 y C-594/12, EU:C:2014:238); de 21 de diciembre de 2016, Tele2 Sverige y Watson y otros (C-203/15 y C‑698/15, EU:C:2016:970); de 6 de octubre de 2020, La Quadrature du Net y otros (C-511/18, C-512/18 y C-520/18, EU:C:2020:791; en lo sucesivo, «sentencia La Quadrature du Net»); de 2 de marzo de 2021, Prokuratuur (Condiciones de acceso a los datos relativos a las comunicaciones electrónicas) (C-746/18, EU:C:2021:152); y de 5 de abril de 2022, Commissioner of An Garda Síochána y otros (C‑140/20, EU:C:2022:258; en lo sucesivo, «sentencia Commissioner of An Garda Síochána»).

6      Directiva del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31).

7      Ley de la República de Lituania de Comunicaciones Electrónicas, en la versión de la Ley n.º IX-2135, de 15 de abril de 2004, redacción modificada por la Ley n.º XIII-2172, de 6 de junio de 2019; en lo sucesivo, «LCE».

8      Los datos enumerados en el referido anexo («Categorías de datos que deben protegerse») son los necesarios para identificar el origen y el destino de una comunicación, su fecha, hora y duración, el tipo de comunicación y la localización del material de comunicación (también de la comunicación móvil) de los usuarios.

9      Ley de la República de Lituania de Inteligencia Criminal, en la versión de la Ley n.º XI-2234, de 2 de octubre de 2012, redacción modificada por la Ley n.º XIII-1837, de 20 de diciembre de 2018; en lo sucesivo, «LIC».

10      Utilizaré el término «información», y no «inteligencia», para designar los servicios que llevan a cabo las investigaciones correspondientes.

11      Código de Enjuiciamiento Criminal de la República de Lituania, de 14 de marzo de 2002, en la versión aplicable al procedimiento principal; en lo sucesivo, «CEC».

12      Según las Ikiteisminio tyrimo duomenų teikimo ir panaudojimo ne baudžiamojo persekiojimo tikslais ir ikiteisminio tyrimo duomenų apsaugos rekomendajos (Recomendaciones sobre la puesta a disposición y la utilización de los datos de la investigación preliminar con fines ajenos a la instrucción y la protección de los datos de la investigación preliminar) aprobadas por el Decreto n.º 1 279 del Fiscal General de 17 de agosto de 2017, en su redacción modificada por el Decreto n.º 1 211 de 25 de junio de 2018, en particular la cláusula 23, una vez ha recibido una solicitud de acceso a los datos de la instrucción, el Fiscal decide si ha lugar a facilitarlos. En caso afirmativo, debe precisar en qué medida pueden facilitarse.

13      Según se expuso en la vista, están aún pendientes de enjuiciamiento sendos procesos penales contra A. G. y el abogado por esos hechos.

14      Véase la nota 13 de estas conclusiones.

15      Sentencia La Quadrature du Net, apartado 103: «cuando los Estados miembros aplican directamente medidas que suponen excepciones a la confidencialidad de las comunicaciones electrónicas, sin imponer obligaciones de tratamiento a los proveedores de servicios de tales comunicaciones, la protección de los datos de las personas afectadas no está regulada por la Directiva 2002/58, sino únicamente por el derecho nacional, sin perjuicio de la aplicación de la [Directiva 2016/680]».

16      Apartado 37 del auto de remisión.

17      Por todas, sentencias de 4 de diciembre de 2018, Minister for Justice and Equality y Commissioner of An Garda Síochána (C‑378/17, EU:C:2018:979), apartado 26; y de 22 de diciembre de 2022, Airbnb Ireland y Airbnb Payments UK (C-83/21, EU:C:2022:1018), apartado 82.

18      La inequívoca referencia a la Directiva 2002/58 en la parte dispositiva de la decisión de reenvío y el silencio sobre la Directiva 2016/680 en su fundamentación jurídica abogan en el mismo sentido. Distinto es que el Tribunal de Justicia, sin desbordar los límites de la pregunta, pueda facilitar al órgano judicial de reenvío indicaciones útiles para su pronunciamiento, eventualmente apelando a otras normas del derecho de la Unión. En este sentido, la sentencia de 18 de septiembre de 2019, VIPA (C‑222/18, EU:C:2019:751), apartado 50, con cita de jurisprudencia.

19      Apartado 35 del auto de reenvío. Cursiva añadida.

20      No es necesario, pues que el Tribunal de Justicia se pronuncie sobre la licitud de esas operaciones previas. De hacerlo, habría de reiterar que el acceso a los datos en poder de los proveedores de servicios de comunicaciones electrónicas solo puede concederse si su conservación se atuvo al artículo 15, apartado 1, de la Directiva 2002/58. Véase en este sentido, la sentencia La Quadrature du Net, apartado 167. Ese precepto, interpretado en relación con los artículos 7, 8, 11 y 52, apartado 1, de la Carta, se opone a medidas legislativas que establezcan, para tales fines, con carácter preventivo, la conservación generalizada e indiferenciada de los datos de tráfico y de localización (sentencia La Quadrature du Net, apartado 168).

21      Me referiré a ella, sin embargo, a título subsidiario en la parte final de estas conclusiones.

22      Sentencia La Quadrature du Net, apartado 129.

23      Sentencia La Quadrature du Net, apartado 131, con cita de jurisprudencia.

24      Sentencia Commissioner of An Garda Síochána, apartado 54.

25      Sentencia Commissioner of An Garda Síochána, apartado 56.

26      Sentencia La Quadrature du Net, apartados 135 y 136, donde se explica que la seguridad nacional constituye una responsabilidad exclusiva del Estado que corresponde al interés primordial de proteger las funciones esenciales del Estado y los intereses fundamentales de la sociedad frente a actividades que puedan desestabilizar gravemente las estructuras constitucionales, políticas, económicas o sociales fundamentales de un país, y, en particular, amenazar directamente a la sociedad, a la población o al propio Estado, tales como las actividades terroristas. Amenazas que se distinguen, por su naturaleza y especial gravedad, del riesgo general de que surjan tensiones o perturbaciones, incluso graves, que afecten a la seguridad pública. De ahí que el objetivo de protección de la seguridad nacional pueda justificar medidas que supongan injerencias en los derechos fundamentales más graves que las que podrían legitimar esos otros objetivos.

27      Sentencia Commissioner of An Garda Síochána, apartado 58.

28      Sentencia La Quadrature du Net, apartado 168.

29      Así se desprende del apartado 46 del auto de reenvío: en él se alude a datos que pueden proporcionar información sobre las comunicaciones efectuadas por un usuario de un medio de comunicación electrónica o sobre la localización de los equipos terminales que utiliza y que permiten extraer conclusiones precisas sobre la vida privada de las personas afectadas.

30      Auto de reenvío, apartado 46, in fine.

31      En la sentencia del Tribunal Europeo de Derechos Humanos (TEDH) de 18 de enero de 2022, Adomaitis c. Lituania (CE:ECHR:2022:0118JUD001483318; en lo sucesivo, «STEDH  Adomaitis»), referida a la interceptación de comunicaciones electrónicas ante un abuso de poder continuado por parte del director de un establecimiento penitenciario, se proporcionan pistas para valora esa equivalencia.

32      En principio, no son equiparables conductas punibles cuyo enjuiciamiento se verifica a través de un proceso penal, por un lado, y faltas meramente deontológicas, cuya sanción se formaliza mediante un procedimiento disciplinario, por otro lado. El proceso penal y el procedimiento disciplinario se diferencian, en cuanto a su objeto, por la naturaleza y gravedad de la conducta enjuiciada. La disparidad de  procedimientos es, a estos efectos, indicativa de la diferente gravedad de sus respectivos objetos.

33      En el Convenio establecido sobre la base del artículo K.3, apartado 2, letra c), del Tratado de la Unión Europea, relativo a la lucha contra los actos de corrupción en los que estén implicados funcionarios de las Comunidades Europeas o de los Estados miembros de la Unión Europea (DO 1997, C 195, p. 2) se contemplan supuestos de corrupción pasiva («el hecho intencionado de que un funcionario, directamente o por medio de terceros, solicite o reciba ventajas de cualquier naturaleza, para sí mismo o para un tercero, o el hecho de aceptar la promesa de tales ventajas, por cumplir o abstenerse de cumplir, de forma contraria a sus deberes oficiales, un acto propio de su función o un acto en el ejercicio de su función») y activa («el hecho intencionado de que cualquier persona prometa o dé, directamente o por medio de terceros, una ventaja de cualquier naturaleza a un funcionario, para éste o para un tercero, para que cumpla o se abstenga de cumplir, de forma contraria a sus deberes oficiales, un acto propio de su función o un acto en el ejercicio de su función»), que se han de tipificar como infracciones penales.

34      Sentencia Commissioner of An Garda Síochána, apartado 98.

35      Sentencia La Quadrature du Net, apartado 166.

36      Sentencia Commissioner of An Garda Síochána, apartado 106, con cita de la sentencia Prokuratuur, apartado 51.

37      C‑180/21 (EU:C:2022:406); en lo sucesivo, «conclusiones Inspektor v Inspektorata».

38      Conclusiones Inspektor v Inspektorata, punto 35.

39      Conclusiones Inspektor v Inspektorata, puntos 36 a 39.

40      El requisito de la «licitud» lo exige el artículo 5, apartado 1, letra a), del RGPD [artículo 4, apartado 1, letra a), de la Directiva 2016/680], explicitándose en el artículo 6 del mismo Reglamento cuáles son sus condiciones. En lo que aquí importa y con arreglo a la letra e) de este último precepto, el tratamiento ha de ser necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable (del propio tratamiento).

41      Sentencia de 8 de diciembre de 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Fines del tratamiento de datos personales — Instrucción penal), C‑180/21 (EU:C:2022:967); en lo sucesivo, «sentencia Inspektor v Inspektorata».

42      Coincido con la Comisión en que, siendo la utilización posterior de datos personales obtenidos en el curso de una investigación penal una injerencia en los derechos fundamentales garantizados por los artículos 7 y 8 de la Carta, resulta inexcusable, en virtud del artículo 52, apartado 1, de la Carta, que esté prevista por la ley.

43      Punto 51 de estas conclusiones

44      Nota 12 de estas conclusiones.

45      Sentencia en cuyo apartado 83 se considera suficiente la garantía de legalidad de la injerencia asegurada por las disposiciones legislativas nacionales y la jurisprudencia constitucional lituana.

46      Como advierte la Comisión, este asunto no es muy distinto del examinado en la sentencia del TEDH de 16 de junio de 2016, Versini-Campinchi y Crasnianski c. Francia (CE:ECHR:2016:0616JUD004917611). Según su apartado 57, responde a un fin legítimo, con arreglo al artículo 8 del CEDH, la utilización, en el marco de un procedimiento disciplinario por quebrantamiento del secreto profesional, de las comunicaciones intervenidas en un procedimiento penal. La íntima imbricación material entre los objetos respectivos de los procedimientos penal y disciplinario aboca a la comunión de la legitimidad de los fines de uno y otro.

47      STEDH Adomaitis, apartado 85.

48      STEDH Adomaitis, apartado 87.

49      Esta excepción ha sido objeto de una interpretación restrictiva en la sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), (C‑439/19, EU:C:2021:504), apartado 66.