Asunto C‑439/19
B
(Petición de decisión prejudicial planteada por la Latvijas Republikas Satversmes tiesa)
Sentencia del Tribunal de Justicia (Gran Sala) de 22 de junio de 2021
«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículos 5, 6 y 10 — Normativa nacional que permite el acceso del público a datos personales sobre puntos impuestos por infracciones de tráfico — Licitud — Concepto de “datos personales relativos a condenas e infracciones penales” — Comunicación para mejorar la seguridad vial — Acceso del público a documentos oficiales — Libertad de información — Conciliación con los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales — Reutilización de los datos — Artículo 267 TFUE — Efectos temporales de una resolución prejudicial — Posibilidad de que el tribunal constitucional de un Estado miembro mantenga los efectos jurídicos de una normativa nacional que no es compatible con el Derecho de la Unión — Principios de primacía del Derecho de la Unión y de seguridad jurídica»
1. Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Ámbito de aplicación — Excepciones — Tratamiento de datos en el marco de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión — Actividad dirigida a preservar la seguridad nacional o comprendida en esta categoría — Concepto — Actividad dirigida a mejorar la seguridad vial — Exclusión
[Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, considerando 16 y art. 2, ap. 2, letra a)]
(véanse los apartados 61 a 68)
2. Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Ámbito de aplicación — Excepciones — Tratamiento de datos de carácter personal por parte de las autoridades competentes a efectos de la prevención, investigación, detección o enjuiciamiento de infracciones penales o de la ejecución de sanciones penales — Concepto de autoridad competente — Necesidad del vínculo con la protección de datos personales en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial — Autoridad pública nacional que comunica al público datos personales relativos a puntos impuestos por infracciones de tráfico — Exclusión
[Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, considerando 19 y art. 2, ap. 2, letra d); Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, considerandos 10 y 11 y art. 3, ap. 7]
(véanse los apartados 69 a 72)
3. Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Tratamiento de datos personales relativos a condenas e infracciones penales — Concepto de datos relativos a infracciones — Datos relativos a puntos — Inclusión — Concepto de infracciones — Carácter penal — Criterios de apreciación — Infracciones de tráfico que dan lugar a la imposición de puntos — Inclusión
[Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, art. 10; Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, considerando 13]
(véanse los apartados 77 a 93 y el punto 1 del fallo)
4. Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Condiciones de licitud de un tratamiento de datos personales — Tratamiento necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos — Normativa nacional que hace obligatorio el acceso del público a datos personales relativos a puntos y que autoriza la comunicación de dichos datos a operadores económicos a efectos de su reutilización — Objetivo de interés general de mejorar la seguridad vial — Falta del carácter necesario de ese tratamiento de datos personales — Improcedencia — Derechos de acceso del público a documentos oficiales y a la libertad de información — Irrelevancia — Primacía de los derechos fundamentales al respeto de la vida privada y a la protección de los datos de carácter personal
[Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, considerandos 39 y 154 y arts. 5, ap. 1, 6, ap. 1, letra e), 10, 85 y 86]
(véanse los apartados 99, 106, 108 a 113, 120 a 122, 126 y 129 y los puntos 2 y 3 del fallo)
5. Cuestiones prejudiciales — Interpretación — Efectos en el tiempo de las sentencias interpretativas — Efecto retroactivo — Limitación por el Tribunal de Justicia — Principios de primacía del Derecho de la Unión y de seguridad jurídica — Posibilidad de que el tribunal constitucional de un Estado miembro mantenga los efectos jurídicos de una normativa nacional declarada incompatible con el Derecho de la Unión hasta la fecha en que dicte sentencia firme — Inexistencia
(Art. 267 TFUE)
(véanse los apartados 132 a 137 y el punto 4 del fallo)
Resumen
El Derecho de la Unión sobre protección de datos se opone a la normativa letona que obliga a la autoridad de seguridad vial a hacer accesibles al público los datos relativos a puntos impuestos a conductores por infracciones de tráfico
No se ha demostrado la necesidad de este régimen para garantizar el objetivo perseguido, a saber, la mejora de la seguridad vial
A B, persona física, se le impusieron puntos por una o varias infracciones de tráfico. Estos puntos fueron inscritos por la Ceļu satiksmes drošības direkcija (Dirección de seguridad vial, Letonia; en lo sucesivo, «CSDD») en el registro nacional de vehículos y conductores.
En virtud de la normativa letona sobre circulación vial, (1) la información relativa a los puntos impuestos a conductores inscritos en dicho registro es accesible al público y es comunicada por la CSDD a cualquier persona que lo solicite, sin que se tenga que justificar un interés específico en obtener dicha información, incluidos operadores económicos a efectos de reutilización. Al albergar dudas sobre la legalidad de esta normativa, B interpuso un recurso de inconstitucionalidad ante la Latvijas Republikas Satversmes tiesa (Tribunal Constitucional, Letonia), para que este órgano jurisdiccional examinara la conformidad de dicha normativa con el derecho al respeto de la vida privada.
El Tribunal Constitucional consideró, en el marco de su apreciación de dicho derecho constitucional, que debía tener en cuenta el Reglamento general de protección de datos (en lo sucesivo, «RGPD»). (2) Así pues, solicitó al Tribunal de Justicia que aclarara el alcance de varias disposiciones del RGPD con el fin de determinar la compatibilidad de la normativa letona sobre circulación vial con dicho Reglamento.
Mediante su sentencia, pronunciada en Gran Sala, el Tribunal de Justicia declara que el RGPD se opone a la normativa letona. Señala que no se ha demostrado la necesidad, en particular en relación con el objetivo de mejorar la seguridad vial invocado por el Gobierno letón, de una comunicación de datos personales relativos a puntos impuestos por infracciones de tráfico. Además, según el Tribunal de Justicia, ni el derecho del público a acceder a documentos oficiales ni el derecho a la libertad de información justifican tal normativa.
Apreciación del Tribunal de Justicia
En primer lugar, el Tribunal de Justicia considera que el tratamiento de datos personales relativos a los puntos constituye un «tratamiento de datos personales relativos a condenas e infracciones penales», (3) para el que el RGPD prevé una mayor protección debido al carácter especialmente sensible de los datos en cuestión.
En este contexto, observa, con carácter preliminar, que la información relativa a los puntos es datos personales y que su comunicación por parte de la CSDD a terceros constituye un tratamiento comprendido en el ámbito de aplicación material del RGPD. En efecto, dicho ámbito de aplicación es muy amplio y ese trato no está comprendido en las excepciones a la aplicabilidad del Reglamento.
Así pues, por una parte, dicho tratamiento no está cubierto por la excepción relativa a la no aplicación del RGPD a un tratamiento efectuado en el marco de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión. (4) Debe considerarse que la citada excepción tiene como único objeto excluir del ámbito de aplicación del RGPD el tratamiento de datos personales efectuado por autoridades estatales en el marco de una actividad dirigida a preservar la seguridad nacional o de una actividad que pueda incluirse en la misma categoría. Estas actividades comprenden, en particular, las que tienen por objeto proteger las funciones esenciales del Estado y los intereses fundamentales de la sociedad. Ahora bien, las actividades relativas a la seguridad vial no persiguen este objetivo y, por lo tanto, no pueden incluirse en la categoría de las actividades que tienen por objeto la preservación de la seguridad nacional.
Por otra parte, la comunicación de datos personales relativos a los puntos tampoco es un tratamiento comprendido por la excepción que prevé que no se aplique el RGPD al tratamiento de datos personales efectuado por las autoridades competentes en materia penal. (5) El Tribunal de Justicia observa, en efecto, que no puede considerarse que, en el ejercicio de dicha comunicación, la CSDD sea una de esas «autoridades competentes». (6)
Para determinar si el acceso a los datos personales relativos a infracciones de tráfico, como los puntos, constituye un tratamiento de datos personales relativos a «infracciones», (7) los cuales gozan de una mayor protección, el Tribunal de Justicia constata, basándose en particular en la génesis del RGPD, que este concepto se refiere exclusivamente a las infracciones penales. No obstante, el hecho de que, en el sistema jurídico letón, las infracciones de tráfico estén tipificadas como infracciones administrativas no es determinante para apreciar si tales infracciones están comprendidas en el concepto de «infracción penal», en la medida en que se trata de un concepto autónomo del Derecho de la Unión que exige, en toda la Unión, una interpretación autónoma y uniforme. Así pues, tras recordar los tres criterios pertinentes para apreciar el carácter penal de una infracción, a saber, la calificación jurídica de la infracción en Derecho interno, la naturaleza de la infracción y el grado de severidad de la sanción impuesta, el Tribunal de Justicia declara que las infracciones de tráfico en cuestión están comprendidas en el concepto de «infracción» en el sentido del RGPD. Por lo que respecta a los dos primeros criterios, el Tribunal de Justicia constata que, aunque las infracciones no se califiquen de «penales» en Derecho nacional, tal carácter puede derivarse de la naturaleza de la infracción y, especialmente, de la finalidad represiva que persiga la sanción que la propia infracción puede implicar. Pues bien, en el caso de autos, la atribución de puntos por infracciones de tráfico, al igual que las demás sanciones que la comisión de aquellas puede implicar, persiguen, entre otras cosas, tal finalidad represiva. En cuanto al tercer criterio, el Tribunal de Justicia observa que solo las infracciones de tráfico de cierta gravedad implican la imposición de puntos y que, por lo tanto, pueden dar lugar a sanciones de cierta severidad. Además, la imposición de tales puntos se suma generalmente a la sanción impuesta, y la acumulación de estos puntos conlleva consecuencias jurídicas que pueden incluso llegar a la prohibición de conducir.
En segundo lugar, el Tribunal de Justicia considera que el RGPD se opone a la normativa letona que obliga a la CSDD a poner a disposición del público los datos relativos a puntos impuestos a conductores por infracciones de tráfico sin que la persona que solicita el acceso tenga que justificar un interés específico en obtenerlos.
En este contexto, el Tribunal de Justicia subraya que la mejora de la seguridad vial que persigue la normativa letona es un objetivo de interés general reconocido por la Unión y que, por tanto, los Estados miembros pueden calificar la seguridad vial de «misión realizada en interés público». (8) Sin embargo, no se ha demostrado la necesidad del régimen letón de comunicación de datos personales relativos a los puntos para lograr el objetivo perseguido. En efecto, por una parte, el legislador letón dispone de numerosas vías de acción que le habrían permitido alcanzar este objetivo por otros medios menos atentatorios contra los derechos fundamentales de las personas afectadas. Por otra parte, deben tenerse en cuenta el carácter sensible de los datos relativos a los puntos y el hecho de que su comunicación al público puede constituir una injerencia grave en los derechos al respeto de la vida privada y a la protección de los datos personales, ya que puede provocar la desaprobación de la sociedad y conllevar la estigmatización de la persona afectada.
Además, el Tribunal de Justicia considera que, habida cuenta del carácter sensible de estos datos y de la gravedad de la injerencia en esos dos derechos fundamentales, dichos derechos prevalecen tanto sobre el interés del público en tener acceso a documentos oficiales, por ejemplo el registro nacional de vehículos y conductores, como sobre el derecho a la libertad de información.
En tercer lugar, por idénticas razones, el Tribunal de Justicia declara que el RGPD se opone también a la normativa letona en la medida en que autoriza a la CSDD a comunicar los datos relativos a los puntos impuestos a conductores por infracciones de tráfico a operadores económicos para que estos puedan reutilizarlos y comunicarlos al público.
En cuarto y último lugar, el Tribunal de Justicia precisa que el principio de primacía del Derecho de la Unión se opone a que el órgano jurisdiccional remitente, que es el que conoce del recurso interpuesto contra la normativa letona calificada por el Tribunal de Justicia de incompatible con el Derecho de la Unión, decida mantener los efectos jurídicos de dicha normativa hasta la fecha en que dicho órgano jurisdiccional remitente dicte sentencia firme.