CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:270

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Primera)

de 30 de marzo de 2023 (*)

«Procedimiento prejudicial — Protección de datos personales — Reglamento (UE) 2016/679 — Artículo 88, apartados 1 y 2 — Tratamiento de datos en el ámbito laboral — Sistema escolar regional — Enseñanza por videoconferencia debido a la pandemia de COVID‑19 — Aplicación sin el consentimiento expreso de los docentes»

En el asunto C‑34/21,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso‑Administrativo de Wiesbaden, Alemania), mediante resolución de 20 de diciembre de 2020, recibida en el Tribunal de Justicia el 20 de enero de 2021, en el procedimiento entre

Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium

Minister des Hessischen Kultusministeriums,

EL TRIBUNAL DE JUSTICIA (Sala Primera),

integrado por el Sr. A. Arabadjiev, Presidente de Sala, el Sr. K. Lenaerts, Presidente del Tribunal de Justicia, y el Sr. L. Bay Larsen, Vicepresidente del Tribunal de Justicia, en funciones de Jueces de la Sala Primera, y el Sr. A. Kumin y la Sra. I. Ziemele (Ponente), Jueces;

Abogado General: Sr. M. Campos Sánchez‑Bordona;

Secretaria: Sra. S. Beer, administradora;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 30 de junio de 2022;

consideradas las observaciones presentadas:

– en nombre del Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium, por el Sr. J. Kolter, Rechtsanwalt;

– en nombre del Minister des Hessischen Kultusministeriums, por el Sr. C. Meinert;

– en nombre del Gobierno alemán, por los Sres. J. Möller y D. Klebs, en calidad de agentes;

– en nombre del Gobierno austriaco, por el Sr. G. Kunnert y la Sra. J. Schmoll, en calidad de agentes;

– en nombre del Gobierno rumano, por las Sras. E. Gane y A. Wellman, en calidad de agentes;

– en nombre de la Comisión Europea, por los Sres. F. Erlbacher, H. Kranenborg y D. Nardi, en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 22 de septiembre de 2022;

dicta la siguiente

Sentencia

1 La petición de decisión prejudicial tiene por objeto la interpretación del artículo 88, apartados 1 y 2, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; corrección de errores en DO 2021, L 74, p. 35; en lo sucesivo, «RGPD»).

2 Esta petición se ha presentado en el contexto de un litigio entre el Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium (Comité Principal del Personal Docente del Ministerio de Educación y Cultura del Estado Federado de Hesse, Alemania) y el Minister des Hessischen Kultusministeriums (Ministro de Educación y Cultura del Estado Federado de Hesse, Alemania), en relación con la legalidad de un sistema de difusión en directo de clases por videoconferencia establecido en las escuelas del estado federado de Hesse (Alemania) sin que estuviera previsto recabar el consentimiento previo de los docentes.

Marco jurídico

Derecho de la Unión

Directiva 95/46/CE

3 La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31), fue derogada, con efectos a partir del 25 de mayo de 2018, por el RGPD. El artículo 3 de dicha Directiva, titulado «Ámbito de aplicación», era del siguiente tenor:

«1. Las disposiciones de la presente Directiva se aplicarán al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

2. Las disposiciones de la presente Directiva no se aplicarán al tratamiento de datos personales:

– efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de los títulos V y VI del Tratado [UE, en su versión anterior al Tratado de Lisboa,] y, en cualquier caso, al tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal;

[…]».

RGPD

4 Según los considerandos 8, a 10, 13, 16, 45 y 155 del RGPD:

«(8) En los casos en que el presente Reglamento establece que sus normas sean especificadas o restringidas por el Derecho de los Estados miembros, estos, en la medida en que sea necesario por razones de coherencia y para que las disposiciones nacionales sean comprensibles para sus destinatarios, pueden incorporar a su Derecho nacional elementos del presente Reglamento.

(9) Aunque los objetivos y principios de la Directiva [95/46] siguen siendo válidos, ello no ha impedido que la protección de los datos en el territorio de la Unión [Europea] se aplique de manera fragmentada, ni la inseguridad jurídica ni una percepción generalizada entre la opinión pública de que existen riesgos importantes para la protección de las personas físicas, en particular en relación con las actividades en línea. Las diferencias en el nivel de protección de los derechos y libertades de las personas físicas, en particular del derecho a la protección de los datos de carácter personal, en lo que respecta al tratamiento de dichos datos en los Estados miembros pueden impedir la libre circulación de los datos de carácter personal en la Unión. Estas diferencias pueden constituir, por lo tanto, un obstáculo al ejercicio de las actividades económicas a nivel de la Unión, falsear la competencia e impedir que las autoridades cumplan las funciones que les incumben en virtud del Derecho de la Unión. Esta diferencia en los niveles de protección se debe a la existencia de divergencias en la ejecución y aplicación de la Directiva [95/46].

(10) Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión, el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. Debe garantizarse en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea. En lo que respecta al tratamiento de datos personales para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, los Estados miembros deben estar facultados para mantener o adoptar disposiciones nacionales a fin de especificar en mayor grado la aplicación de las normas del presente Reglamento. Junto con la normativa general y horizontal sobre protección de datos por la que se aplica la Directiva [95/46], los Estados miembros cuentan con distintas normas sectoriales específicas en ámbitos que precisan disposiciones más específicas. El presente Reglamento reconoce también un margen de maniobra para que los Estados miembros especifiquen sus normas, inclusive para el tratamiento de categorías especiales de datos personales (“datos sensibles”). En este sentido, el presente Reglamento no excluye el Derecho de los Estados miembros que determina las circunstancias relativas a situaciones específicas de tratamiento, incluida la indicación pormenorizada de las condiciones en las que el tratamiento de datos personales es lícito.

[…]

(13) Para garantizar un nivel coherente de protección de las personas físicas en toda la Unión y evitar divergencias que dificulten la libre circulación de datos personales dentro del mercado interior, es necesario un reglamento que proporcione seguridad jurídica y transparencia a los operadores económicos […] y ofrezca a las personas físicas de todos los Estados miembros el mismo nivel de derechos y obligaciones exigibles y de responsabilidades para los responsables y encargados del tratamiento, con el fin de garantizar una supervisión coherente del tratamiento de datos personales y sanciones equivalentes en todos los Estados miembros, así como la cooperación efectiva entre las autoridades de control de los diferentes Estados miembros. El buen funcionamiento del mercado interior exige que la libre circulación de los datos personales en la Unión no sea restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales. […]

[…]

(16) El presente Reglamento no se aplica a cuestiones de protección de los derechos y las libertades fundamentales o la libre circulación de datos personales relacionadas con actividades excluidas del ámbito del Derecho de la Unión, como las actividades relativas a la seguridad nacional. Tampoco se aplica al tratamiento de datos de carácter personal por los Estados miembros en el ejercicio de las actividades relacionadas con la política exterior y de seguridad común de la Unión.

[…]

(45) Cuando se realice en cumplimiento de una obligación legal aplicable al responsable del tratamiento, o si es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, el tratamiento debe tener una base en el Derecho de la Unión o de los Estados miembros. El presente Reglamento no requiere que cada tratamiento individual se rija por una norma específica. Una norma puede ser suficiente como base para varias operaciones de tratamiento de datos basadas en una obligación legal aplicable al responsable del tratamiento, o si el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos. La finalidad del tratamiento también debe determinase en virtud del Derecho de la Unión o de los Estados miembros. Además, dicha norma podría especificar las condiciones generales del presente Reglamento por las que se rige la licitud del tratamiento de datos personales, establecer especificaciones para la determinación del responsable del tratamiento, el tipo de datos personales objeto de tratamiento, los interesados afectados, las entidades a las que se pueden comunicar los datos personales, las limitaciones de la finalidad, el plazo de conservación de los datos y otras medidas para garantizar un tratamiento lícito y leal. […]

[…]

(155) El Derecho de los Estados miembros o los convenios colectivos, incluidos los “convenios de empresa”, pueden establecer normas específicas relativas al tratamiento de datos personales de los trabajadores en el ámbito laboral, en particular en relación con las condiciones en las que los datos personales en el contexto laboral pueden ser objeto de tratamiento sobre la base del consentimiento del trabajador, los fines de la contratación, la ejecución del contrato laboral, incluido el cumplimiento de las obligaciones establecidas por la ley o por convenio colectivo, la gestión, planificación y organización del trabajo, la igualdad y seguridad en el lugar de trabajo, la salud y seguridad en el trabajo, así como a los fines del ejercicio y disfrute, sea individual o colectivo, de derechos y prestaciones relacionados con el empleo y a efectos de la rescisión de la relación laboral.»

5 El artículo 1 del RGPD, titulado «Objeto», dispone:

«1. El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.

2. El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.

3. La libre circulación de los datos personales en la Unión no podrá ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.»

6 El artículo 2 de dicho Reglamento, titulado «Ámbito de aplicación material», establece lo siguiente en sus apartados 1 y 2:

«1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

2. El presente Reglamento no se aplica al tratamiento de datos personales:

a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;

b) por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del [Tratado UE];

c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;

d) por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.»

7 El artículo 4 de dicho Reglamento, titulado «Definiciones», dispone que:

«A efectos del presente Reglamento se entenderá por:

1) “datos personales”: toda información sobre una persona física identificada o identificable (“el interesado”); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

2) “tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

[…]».

8 Según el artículo 5 del RGPD, titulado «Principios relativos al tratamiento»:

«1. Los datos personales serán:

a) tratados de manera lícita, leal y transparente en relación con el interesado (“licitud, lealtad y transparencia”);

b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales (“limitación de la finalidad”);

c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (“minimización de datos”);

d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan (“exactitud”);

e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado (“limitación del plazo de conservación”);

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (“integridad y confidencialidad”).

2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva”).»

9 El artículo 6 de dicho Reglamento, titulado «Licitud del tratamiento», establece lo siguiente en sus apartados 1 a 3:

«1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

[…]

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

2. Los Estados miembros podrán mantener o introducir disposiciones más específicas a fin de adaptar la aplicación de las normas del presente Reglamento con respecto al tratamiento en cumplimiento del apartado 1, letras c) y e), fijando de manera más precisa requisitos específicos de tratamiento y otras medidas que garanticen un tratamiento lícito y equitativo, con inclusión de otras situaciones específicas de tratamiento a tenor del capítulo IX.

3. La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por:

a) el derecho de la Unión, o

b) el derecho de los Estados miembros que se aplique al responsable del tratamiento.

La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Dicha base jurídica podrá contener disposiciones específicas para adaptar la aplicación de normas del presente Reglamento, entre otras: las condiciones generales que rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados afectados; las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación; la limitación de la finalidad; los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones específicas de tratamiento a tenor del capítulo IX. El derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido.»

10 Dentro del capítulo IX del RGPD, titulado «Disposiciones relativas a situaciones específicas de tratamiento», su artículo 88, relativo al «Tratamiento en el ámbito laboral», establece:

«1. Los Estados miembros podrán, a través de disposiciones legislativas o de convenios colectivos, establecer normas más específicas para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral, en particular a efectos de contratación de personal, ejecución del contrato laboral, incluido el cumplimiento de las obligaciones establecidas por la ley o por el convenio colectivo, gestión, planificación y organización del trabajo, igualdad y diversidad en el lugar de trabajo, salud y seguridad en el trabajo, protección de los bienes de empleadores o clientes, así como a efectos del ejercicio y disfrute, individual o colectivo, de los derechos y prestaciones relacionados con el empleo y a efectos de la extinción de la relación laboral.

2. Dichas normas incluirán medidas adecuadas y específicas para preservar la dignidad humana de los interesados, así como sus intereses legítimos y sus derechos fundamentales, prestando especial atención a la transparencia del tratamiento, a la transferencia de los datos personales dentro de un grupo empresarial o de una unión de empresas dedicadas a una actividad económica conjunta y a los sistemas de supervisión en el lugar de trabajo.

3. Cada Estado miembro notificará a la Comisión [Europea] las disposiciones legales que adopte de conformidad con el apartado 1 a más tardar el 25 de mayo de 2018 y, sin dilación, cualquier modificación posterior de las mismas.»

Derecho alemán

11 El artículo 26, apartado 1, de la Bundesdatenschutzgesetz (Ley Federal de Protección de Datos), de 30 de junio de 2017 (BGBl. 2017 I, p. 2097), dispone:

«Los datos personales de los trabajadores podrán ser objeto de tratamiento por necesidades de la relación laboral si resulta necesario para decidir sobre el establecimiento de una relación laboral o, tras el establecimiento de la relación laboral, para su ejecución o su extinción, o para el ejercicio de los derechos o el cumplimiento de las obligaciones inherentes a la representación de los intereses de los trabajadores derivados de una ley o de un instrumento de regulación colectiva, de un convenio de empresa o de servicio (convenio colectivo). […]»

12 A tenor del artículo 23 de la Hessisches Datenschutz‑ und Informationsfreiheitsgesetz (Ley de Protección de Datos y Libertad de Información del Estado Federado de Hesse), de 3 de mayo de 2018 (en lo sucesivo, «HDSIG»):

«1. Los datos personales de los trabajadores pueden ser tratados a efectos de la relación laboral si es necesario para la decisión sobre el establecimiento de una relación laboral o, tras el establecimiento de la relación laboral, para su aplicación, rescisión o resolución, así como para la aplicación de medidas internas de planificación, organización, de naturaleza social o de personal. […]

2. Cuando el tratamiento de los datos personales de los empleados se efectúe sobre la base de un consentimiento, para apreciar si se ha dado libremente el consentimiento, deberá tenerse en cuenta, en particular, la dependencia del trabajador en la relación laboral, así como las circunstancias en las que se haya dado el consentimiento. El carácter libre del consentimiento podrá acreditarse, en particular, si existe una ventaja jurídica o económica para el trabajador o si el empresario y el trabajador tienen intereses convergentes. El consentimiento deberá otorgarse por escrito, salvo que sea necesaria otra forma debido a circunstancias particulares. El empresario estará obligado a informar por escrito al trabajador sobre la finalidad del tratamiento de los datos y de su derecho a retirar su consentimiento, previsto en el artículo 7, apartado 3, del [RGPD].

3. No obstante lo dispuesto en el artículo 9, apartado 1, del [RGPD], el tratamiento de las categorías especiales de datos personales en el sentido del artículo 9, apartado 1, del [RGPD] se autorizará a efectos de la relación laboral cuando sea necesario para ejercer derechos o cumplir obligaciones jurídicas derivadas del Derecho del trabajo, del Derecho de la seguridad social y de la protección social, y no hay motivo para pensar que prevalece el interés legítimo del interesado en excluir el tratamiento. El apartado 2 también será válido para el consentimiento al tratamiento de las categorías especiales de datos personales. A este respecto, el consentimiento debe referirse expresamente a esos datos. […]

4. El tratamiento de datos personales, incluidas las categorías especiales de datos personales de los trabajadores a efectos de la relación laboral, estará permitido con arreglo a lo dispuesto en convenio colectivo. En ese marco, las partes negociadoras deben respetar el apartado 2 del artículo 88 del [RGPD].

5. El responsable del tratamiento deberá adoptar medidas adecuadas para garantizar, en particular, el cumplimiento de los principios relativos al tratamiento establecidos en el artículo 5 del [RGPD].

[…]

7. Los apartados 1 a 6 se aplicarán también cuando los datos personales, incluidas las categorías especiales de datos personales de los empleados, sean tratados sin que estén contenidos o destinados a ser incluidos en un fichero. Las disposiciones de la Hessisches Beamtengesetz [(Ley de la Función Pública del Estado Federado de Hesse)], de 21 de junio de 2018 (en lo sucesivo, «HBG»), aplicables a los expedientes del personal, se aplicarán mutatis mutandis a los trabajadores del sector público, salvo disposición en contrario prevista en el instrumento de regulación colectiva de trabajo.

8. Son empleados en el sentido de la presente Ley:

1. los trabajadores, incluidos los trabajadores cedidos por empresas de trabajo temporal en las relaciones con el usuario;

[…]

7. los funcionarios sometidos a la HBG, los magistrados del estado federado y las personas que desempeñen un servicio civil.

[…]»

13 El artículo 86, apartado 4, de la HBG, dispone:

«El empleador puede recoger datos personales de los aspirantes, funcionarios y antiguos funcionarios solo en la medida en que sea necesario para el establecimiento de una relación laboral o para su aplicación, cese o resolución, así como para la aplicación de medidas de organización, de naturaleza social o de personal, especialmente también para la planificación y el despliegue del personal, o si una disposición legislativa o un acuerdo colectivo de la función pública lo permiten. […]»

Litigio principal y cuestiones prejudiciales

14 Como se desprende de los autos remitidos al Tribunal de Justicia, mediante dos actos adoptados en 2020, el Ministro de Educación y Cultura del Estado Federado de Hesse estableció el marco jurídico y organizativo de la enseñanza escolar durante el período de pandemia de COVID‑19. Este marco establecía, en particular, la posibilidad de que los alumnos que no pudieran estar presentes en clase asistieran en directo a las clases por videoconferencia. Con el fin de preservar los derechos de los alumnos en materia de protección de datos personales, se dispuso que la conexión al servicio de videoconferencia solo se autorizaría con el consentimiento de los propios alumnos o, en caso de minoría de edad de estos, de sus padres. En cambio, no se prescribió el consentimiento de los docentes a su participación en dicho servicio.

15 El Comité Principal del Personal Docente del Ministerio de Educación y Cultura del Estado Federado de Hesse interpuso un recurso ante el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso‑Administrativo de Wiesbaden, Alemania) censurando que la difusión en directo de las clases por videoconferencia no estuviera supeditada al requisito del consentimiento de los docentes implicados.

16 El Ministro de Educación y Cultura del Estado Federado de Hesse, por su parte, alegó que el tratamiento de datos personales que constituye la difusión en directo de las clases por videoconferencia estaba cubierto por el artículo 23, apartado 1, primera frase, de la HDSIG, de modo que podía realizarse sin solicitar el consentimiento del docente implicado.

17 El Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso‑Administrativo de Wiesbaden) indica a este respecto que, de conformidad con la voluntad del legislador del estado federado de Hesse, el artículo 23 de la HDSIG y el artículo 86 de la HBG pertenecen a la categoría de las «normas más específicas» que los Estados miembros pueden establecer, de conformidad con el artículo 88, apartado 1, del RGPD, para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral. No obstante, dicho órgano jurisdiccional alberga dudas en cuanto a la compatibilidad del artículo 23, apartado 1, primera frase, de la HDSIG y del artículo 86, apartado 4, de la HBG con las exigencias impuestas por el artículo 88, apartado 2, del RGPD.

18 Considera que, en primer lugar, el artículo 23, apartado 1, primera frase, de la HDSIG y el artículo 86, apartado 4, de la HBG se basan en la «necesidad», como base jurídica del tratamiento de los datos de los trabajadores. Pues bien, por una parte, la inserción en la ley del principio de «necesidad» no constituye una norma que especifique las exigencias contenidas en el artículo 88, apartado 2, del RGPD, dado que el tratamiento de datos necesario en el contexto de una relación laboral ya se rige por el artículo 6, apartado 1, párrafo primero, letra b), del RGPD.

19 Señala que, por otra parte, el artículo 23, apartado 1, primera frase, de la HDSIG se aplica, más allá de la relación contractual propiamente dicha, a todo tratamiento de datos de los trabajadores. Pues bien, del artículo 6, apartado 1, párrafo primero, letra f), del RGPD se desprende que, en el caso de un tratamiento de datos personales que vaya más allá del estrictamente necesario en el marco del contrato de trabajo, deben ponderarse las libertades y los derechos fundamentales del interesado, en este caso los trabajadores y los funcionarios, con el interés legítimo perseguido por el responsable del tratamiento, en este caso el empleador. En la medida en que el artículo 23, apartado 1, primera frase, de la HDSIG no prevé tal ponderación, esta disposición no puede considerarse una norma sectorial específica tras la entrada en vigor del RGPD.

20 En segundo lugar, el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso‑Administrativo de Wiesbaden) considera que la mera referencia que figura en el artículo 23, apartado 5, de la HDSIG, según la cual el responsable del tratamiento debe respetar, en particular, los principios enunciados en el artículo 5 del RGPD, no satisface las exigencias del artículo 88, apartado 2, de este Reglamento. Entiende que este último precepto exige que las disposiciones normativas adecuadas y específicas a las que se refiere se adopten para preservar la dignidad humana, los intereses legítimos y los derechos fundamentales de los interesados, prestando especial atención a la transparencia del tratamiento, a la transferencia de los datos personales dentro de un grupo empresarial o de una unión de empresas dedicadas a una actividad económica conjunta y a los sistemas de supervisión en el lugar de trabajo, y no es simplemente una regla más que deba respetar el operador jurídico nacional, de manera que el operador jurídico no es el destinatario del artículo 88, apartado 2, del RGPD.

21 En estas circunstancias, el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso‑Administrativo de Wiesbaden) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1) ¿Debe interpretarse el artículo 88, apartado 1, del [RGPD] en el sentido de que, para que una disposición legislativa constituya una norma más específica para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral, a los efectos del citado artículo 88, apartado 1, del [RGPD], debe satisfacer las exigencias impuestas por el artículo 88, apartado 2, del [RGPD] en relación con tales disposiciones?

2) ¿Puede seguir aplicándose, así y todo, una norma nacional cuando resulte claro que no satisface las exigencias impuestas por el artículo 88, apartado 2, del [RGPD]?»

22 Mediante una comunicación recibida en la Secretaría del Tribunal de Justicia el 30 de noviembre de 2021, el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso‑Administrativo de Wiesbaden) informó al Tribunal de Justicia de que, debido a las modificaciones de la normativa nacional que regula la competencia territorial de los tribunales de lo contencioso‑administrativo del estado federado de Hesse, que debían surtir efecto el 1 de diciembre de 2021, el litigio principal había sido transferido al Verwaltungsgericht Frankfurt am Main (Tribunal de lo Contencioso‑Administrativo de Fráncfort del Meno, Alemania). Mediante una comunicación recibida en la Secretaría del Tribunal de Justicia el 21 de febrero de 2022, este último órgano jurisdiccional confirmó dicha transferencia e indicó al Tribunal de Justicia el nuevo número de asunto atribuido al litigio principal.

Admisibilidad de la petición de decisión prejudicial

23 En sus observaciones escritas, el Gobierno alemán alegó que la petición de decisión prejudicial era inadmisible en la medida en que las cuestiones prejudiciales no eran pertinentes para la solución del litigio principal. En efecto, a su juicio, la respuesta del Tribunal de Justicia no sería útil para el órgano jurisdiccional remitente en el caso de que se autorizara el tratamiento de los datos debido al consentimiento del docente. Pues bien, el órgano jurisdiccional remitente, según el Gobierno alemán, no explica las razones por las que no tiene en cuenta tal eventualidad.

24 No obstante, al ser interrogado sobre este extremo en la vista ante el Tribunal de Justicia, el Gobierno alemán reconoció que las cuestiones prejudiciales eran pertinentes si no podía recabarse el consentimiento del docente.

25 A este respecto debe recordarse que, según reiterada jurisprudencia, las cuestiones sobre la interpretación del Derecho de la Unión planteadas por el juez nacional en el marco fáctico y normativo definido bajo su responsabilidad, y cuya exactitud no corresponde verificar al Tribunal de Justicia, disfrutan de una presunción de pertinencia. El Tribunal de Justicia solo puede abstenerse de pronunciarse sobre una petición de decisión prejudicial planteada por un órgano jurisdiccional nacional cuando resulta evidente que la interpretación solicitada del Derecho de la Unión no tiene relación alguna con la realidad o con el objeto del litigio principal, cuando el problema es de naturaleza hipotética o cuando el Tribunal de Justicia no dispone de los elementos de hecho o de Derecho necesarios para dar una respuesta útil a las cuestiones planteadas (sentencia de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, apartado 48 y jurisprudencia citada).

26 En el caso de autos, de la resolución de remisión se desprende que las partes en el litigio principal discrepan acerca de si el establecimiento de la difusión en directo de una clase por sistemas de videoconferencia requiere, además del consentimiento de los padres por sus hijos o de los alumnos mayores de edad, el consentimiento de los docentes implicados, o si, por el contrario, el tratamiento de los datos personales de estos está comprendido en el ámbito de aplicación del artículo 23, apartado 1, primera frase, de la HDSIG y del artículo 86, apartado 4, de la HBG.

27 Asimismo, es preciso señalar que el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso‑Administrativo de Wiesbaden) indicó en su petición de decisión prejudicial, por una parte, que el legislador nacional consideró que el artículo 23 de la HDSIG y el artículo 86 de la HBG constituyen normas más específicas en el sentido del artículo 88 del RGPD y, por otra parte, que la resolución del litigio principal depende de si el artículo 23, apartado 1, primera frase, de la HDSIG y el artículo 86, apartado 4, de la HBG satisfacen las exigencias del citado artículo 88 del RGPD, de modo que puedan constituir normas más específicas aplicables al tratamiento de datos personales de los docentes con ocasión de la difusión en directo de las clases a través del sistema de videoconferencia controvertido en el litigio principal.

28 Habida cuenta de las anteriores explicaciones aportadas en la petición de decisión prejudicial, los argumentos esgrimidos por el Gobierno alemán no bastan para desvirtuar la presunción de pertinencia de que gozan las cuestiones prejudiciales planteadas.

29 En estas circunstancias, no puede considerarse que haya una evidente falta de relación entre la interpretación de las disposiciones del Derecho de la Unión solicitada y la realidad o el objeto del litigio principal ni que se trate de un problema de carácter hipotético, puesto que para resolver el litigio principal el órgano jurisdiccional remitente puede tener en cuenta esa interpretación. Por último, el Tribunal de Justicia dispone de los elementos fácticos y jurídicos necesarios para dar una respuesta útil a las cuestiones prejudiciales que le han sido planteadas.

30 En consecuencia, la petición de decisión prejudicial es admisible.

Sobre las cuestiones prejudiciales

Observaciones preliminares

31 Las cuestiones prejudiciales versan sobre la interpretación del artículo 88, apartados 1 y 2, del RGPD en el marco de un litigio relativo al tratamiento de datos personales de los docentes con ocasión de la difusión en directo por videoconferencia de las clases de enseñanza pública que han de impartir.

32 En primer lugar, es preciso determinar si tal tratamiento está comprendido en el ámbito de aplicación material del RGPD, habida cuenta de que, a tenor del artículo 2, apartado 2, letra a), de dicho Reglamento, este no se aplica «en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión» y de que, con arreglo al artículo 165 TFUE, apartado 1, los Estados miembros son responsables de los contenidos de la enseñanza y de la organización de sus sistemas educativos.

33 A este respecto, de la jurisprudencia del Tribunal de Justicia se desprende que la definición del ámbito de aplicación material del RGPD, tal como se enuncia en su artículo 2, apartado 1, es muy amplia y que las excepciones a dicho ámbito de aplicación, previstas en su artículo 2, apartado 2, deben interpretarse estrictamente [véanse, en este sentido, las sentencias de 9 de julio de 2020, Land Hessen, C‑272/19, EU:C:2020:535, apartado 68, y de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartados 61 y 62].

34 Además, es preciso interpretar el artículo 2, apartado 2, letra a), del RGPD, en relación con su artículo 2, apartado 2, letra b), y su considerando 16, que precisa que dicho Reglamento no se aplica al tratamiento de datos personales en el ejercicio de «actividades excluidas del ámbito del Derecho de la Unión, como las actividades relativas a la seguridad nacional», así como de «actividades relacionadas con la política exterior y de seguridad común de la Unión» [sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartado 63].

35 De ello resulta que el artículo 2, apartado 2, letras a) y b), del RGPD, que se inscribe parcialmente en la continuidad del artículo 3, apartado 2, primer guion, de la Directiva 95/46, no puede interpretarse en el sentido de que dispone de un alcance más amplio que la excepción que se derivaba del artículo 3, apartado 2, primer guion, de la Directiva 95/46, que ya excluía del ámbito de aplicación de esta Directiva, en particular, el tratamiento de datos personales que tuviera lugar en el marco de «actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de los títulos V y VI del Tratado [UE, en su versión anterior al Tratado de Lisboa,] y, en cualquier caso, [el] tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado […]» [sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartado 64].

36 En el caso de autos, ha quedado acreditado que la actividad relativa a la organización de la enseñanza en el estado federado de Hesse no puede clasificarse en la categoría de las actividades que tienen por objeto la preservación de la seguridad nacional, a que se refiere el artículo 2, apartado 2, letra a), del RGPD.

37 Por lo tanto, un tratamiento de datos personales de docentes en el marco de la difusión en directo por videoconferencia de las clases de enseñanza pública que imparten, como el controvertido en el litigio principal, está comprendido en el ámbito de aplicación material del RGPD.

38 En segundo lugar, de la petición de decisión prejudicial se desprende que el tratamiento de datos personales objeto del litigio principal concierne a unos docentes que forman parte del servicio público del estado federado de Hesse, en calidad de empleados o funcionarios.

39 Por consiguiente, es preciso determinar si tal tratamiento de datos personales está comprendido en el ámbito de aplicación del artículo 88 del RGPD, que se refiere al «tratamiento de datos personales de los trabajadores en el ámbito laboral».

40 A este respecto, procede señalar que el RGPD no define los términos «trabajadores» y «ámbito laboral» ni remite al Derecho de los Estados miembros para definirlos. A falta de tal remisión, procede recordar que, como se desprende de las exigencias tanto de la aplicación uniforme del Derecho de la Unión como del principio de igualdad, el tenor de una disposición del Derecho de la Unión que no contenga una remisión expresa al Derecho de los Estados miembros para determinar su sentido y su alcance normalmente debe ser objeto en toda la Unión de una interpretación autónoma y uniforme (sentencia de 2 de junio de 2022, HK/Danmark y HK/Privat, C‑587/20, EU:C:2022:419, apartado 25 y jurisprudencia citada).

41 Además, al no existir en el RGPD una definición de las expresiones «trabajadores» y «ámbito laboral», estas deben interpretarse de conformidad con su sentido habitual en el lenguaje corriente, teniendo también en cuenta el contexto en el que se utilizan y los objetivos perseguidos por la normativa de la que forman parte (sentencia de 2 de junio de 2022, HK/Danmark y HK/Privat, C‑587/20, EU:C:2022:419, apartado 26 y jurisprudencia citada).

42 Pues bien, el término «trabajador» en su sentido habitual designa a una persona que realiza su trabajo en el marco de una relación de subordinación con su empresario y, por tanto, bajo su control (sentencia de 18 de marzo de 2021, Kuoni Travel, C‑578/19, EU:C:2021:213, apartado 42).

43 Asimismo, la característica esencial de las relaciones propias del «ámbito laboral» radica en la circunstancia de que una persona realice, durante cierto tiempo, en favor de otra y bajo la dirección de esta, determinadas prestaciones a cambio de las cuales percibe una retribución (sentencia de 15 de julio de 2021, Ministrstvo za obrambo, C‑742/19, EU:C:2021:597, apartado 49).

44 Dado que tal característica es propia de los trabajadores y del ámbito laboral tanto del sector público como del sector privado, procede deducir de ello que las expresiones «trabajador» y «ámbito laboral», entendidas en su sentido habitual, no excluyen a las personas que ejercen su actividad profesional en el sector público.

45 En efecto, el alcance del artículo 88, apartado 1, del RGPD no puede determinarse en función de la naturaleza del vínculo jurídico que une al trabajador y al empleador. Así pues, carece de pertinencia saber si la persona de que se trata está empleada como trabajador o como funcionario o si su relación laboral pertenece al ámbito del Derecho público o del Derecho privado, dado que estas calificaciones jurídicas varían en función de las legislaciones nacionales y no pueden proporcionar, por lo tanto, un criterio de interpretación apropiado para una interpretación uniforme y autónoma de dicha disposición (véanse, por analogía, las sentencias de 12 de febrero de 1974, Sotgiu, 152/73, EU:C:1974:13, apartado 5, y de 3 de junio de 1986, Comisión/Francia, 307/84, EU:C:1986:222, apartado 11).

46 Por lo que respecta específicamente a las personas que prestan sus servicios profesionales en el marco de una relación que no es de carácter laboral, como los funcionarios, es cierto que el artículo 88 del RGPD hace referencia, en su apartado 1, a la «ejecución del contrato laboral». No obstante, ha de señalarse, por un lado, que esta referencia figura entre otros fines del tratamiento de datos personales en el marco del ámbito laboral que puede ser objeto de las normas más específicas establecidas por los Estados miembros, enunciadas en el artículo 88, apartado 1, del RGPD, y que, en cualquier caso, esta enumeración no tiene carácter exhaustivo, como pone de manifiesto la locución adverbial «en particular» utilizada en esta disposición.

47 Por otra parte, la falta de pertinencia de la calificación del vínculo jurídico entre el empleado y la administración que lo emplea se ve corroborada por el hecho de que la gestión, planificación y organización del trabajo, la igualdad y diversidad en el lugar de trabajo, la salud y seguridad en el trabajo, la protección de los bienes de empleadores o clientes, el ejercicio y disfrute, individual o colectivo, de los derechos y prestaciones relacionados con el empleo, así como la extinción de la relación laboral, también enunciados en ese artículo 88, apartado 1, del RGPD, se refieren al empleo tanto en el sector privado como en el sector público.

48 Por consiguiente, no cabe deducir de la referencia a la «ejecución del contrato laboral», que figura en el artículo 88, apartado 1, del RGPD, que el empleo en el sector público que no se basa en un contrato laboral esté excluido del ámbito de aplicación de dicha disposición.

49 La misma conclusión se impone en lo que atañe al hecho de que, entre los tres elementos a los que los Estados miembros deben prestar «especial atención» al adoptar tales «normas más específicas», el artículo 88, apartado 2, del RGPD menciona la transferencia de datos personales «dentro de un grupo empresarial o de una unión de empresas dedicadas a una actividad económica conjunta». En efecto, los otros dos elementos, a saber, la transparencia del tratamiento y los sistemas de supervisión en el lugar de trabajo, son pertinentes tanto para el empleo en el sector privado como para el del sector público, cualquiera que sea la naturaleza del vínculo jurídico que une al trabajador con el empleador.

50 La interpretación que se deriva del tenor del artículo 88 del RGPD se ve confirmada por el contexto en el que se inscribe dicho artículo y por el objetivo perseguido por la normativa de la que forma parte.

51 Así pues, como se desprende del artículo 1, apartado 1, del RGPD, interpretado, en particular, a la luz de sus considerandos 9, 10 y 13, este Reglamento aspira a garantizar una armonización de las legislaciones nacionales relativas a la protección de los datos personales, en principio, completa. Sin embargo, las disposiciones de dicho Reglamento ofrecen a los Estados miembros la posibilidad de establecer normas nacionales adicionales, que sean más estrictas o prevean alguna excepción, y les deja un margen de apreciación en cuanto a la manera de aplicar dichas disposiciones («cláusulas de apertura») (véase, en este sentido, la sentencia de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, apartado 57).

52 El artículo 88 del RGPD, que forma parte del capítulo IX de dicho Reglamento, titulado «Disposiciones relativas a situaciones específicas de tratamiento», constituye tal cláusula de apertura, puesto que confiere a los Estados miembros la facultad de establecer «normas más específicas» para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral.

53 Las particularidades del tratamiento de los datos personales en el marco de las relaciones laborales y, por consiguiente, la facultad conferida a los Estados miembros por el artículo 88, apartado 1, del RGPD se explican, en particular, por la existencia de una relación de subordinación entre el trabajador y el empleador y no por la naturaleza del vínculo jurídico que une a ambas partes.

54 Además, de conformidad con el artículo 1, apartado 2, del RGPD, en relación con el considerando 10 de este, dicho Reglamento tiene por objeto, en particular, garantizar un nivel elevado de protección de las libertades y los derechos fundamentales de las personas físicas en relación con el tratamiento de sus datos personales, pues este derecho también está reconocido por el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea y se vincula íntimamente con el derecho al respeto de la vida privada, consagrado en el artículo 7 de esta (véase, en este sentido, la sentencia de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, apartado 61).

55 Pues bien, es conforme con este objeto realizar una interpretación amplia del artículo 88, apartado 1, del RGPD, según la cual las «normas más específicas» que los Estados miembros pueden establecer para garantizar la protección de los derechos y libertades en relación con el tratamiento de datos personales de los trabajadores en el ámbito laboral pueden referirse a todos los trabajadores, con independencia de la naturaleza del vínculo jurídico que los une a su empleador.

56 En estas circunstancias, un tratamiento de datos personales de docentes con ocasión de la difusión en directo por videoconferencia de las clases de enseñanza pública que imparten, como el controvertido en el litigio principal, está comprendido en el ámbito de aplicación material y personal del artículo 88 del RGPD.

Primera cuestión prejudicial

57 Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 88 del RGPD debe interpretarse en el sentido de que, para poder ser calificada de norma más específica a los efectos del apartado 1 de dicho artículo, una norma jurídica debe cumplir las condiciones impuestas por el apartado 2 del referido artículo.

58 Como se ha señalado en el apartado 52 de la presente sentencia, los Estados miembros tienen la facultad y no la obligación de adoptar tales normas, pudiendo establecerse estas por ley o por convenio colectivo.

59 Además, cuando los Estados miembros ejercen la facultad normativa que les concede la cláusula de apertura del RGPD, deben utilizar su margen de apreciación respetando las condiciones y los límites establecidos por las disposiciones de dicho Reglamento y deben legislar de tal modo que el contenido y los objetivos de dicho Reglamento no resulten menoscabados (véase, en este sentido, la sentencia de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, apartado 60).

60 Para determinar las condiciones y los límites a los que están sujetas las normas previstas en el artículo 88, apartados 1 y 2, del RGPD y, en consecuencia, evaluar el margen de apreciación que estas disposiciones confieren a los Estados miembros, procede recordar que, según reiterada jurisprudencia, la interpretación de una disposición del Derecho de la Unión requiere tener en cuenta no solo su tenor, sino también el contexto en el que se inscribe, así como los objetivos y la finalidad que persigue el acto del que forma parte (sentencia de 15 de marzo de 2022, Autorité des marchés financiers, C‑302/20, EU:C:2022:190, apartado 63).

61 Por lo que respecta al tenor del artículo 88, apartado 1, del RGPD, del uso de la expresión «más específicas» se desprende, en primer lugar, que las normas a las que se refiere esta disposición deben tener un contenido normativo propio del ámbito regulado y distinto de las reglas generales de dicho Reglamento.

62 A continuación, como se ha señalado en el apartado 52 de la presente sentencia, el objetivo de las normas establecidas sobre la base de esta disposición consiste en proteger los derechos y libertades de los trabajadores en relación con el tratamiento de sus datos personales en el ámbito laboral.

63 Por último, de los diferentes fines para los que puede efectuarse el tratamiento de datos personales, tal como se enuncian en el artículo 88, apartado 1, del RGPD, se desprende que las «normas más específicas» que contempla pueden referirse a un gran número de tratamientos relacionados con el ámbito laboral, de modo que abarquen todos los fines para los que puede efectuarse el tratamiento de datos personales en el ámbito laboral. Además, dado que el enunciado de estos fines no es exhaustivo, como se ha señalado en el apartado 46 de la presente sentencia, los Estados miembros disponen de un margen de apreciación en cuanto a los tratamientos sujetos a dichas normas más específicas.

64 El artículo 88 del RGPD dispone, en su apartado 2, que las normas establecidas sobre la base de su artículo 88, apartado 1, incluirán medidas adecuadas y específicas para preservar la dignidad humana de los interesados así como sus intereses legítimos y sus derechos fundamentales, prestando especial atención a la transparencia del tratamiento, a la transferencia de los datos personales dentro de un grupo empresarial o de una unión de empresas dedicadas a una actividad económica conjunta y a los sistemas de supervisión en el lugar de trabajo.

65 Así pues, del tenor del artículo 88 del RGPD se desprende que el apartado 2 de este artículo delimita el margen de apreciación de los Estados miembros que pretenden establecer «normas más específicas» en virtud del apartado 1 de dicho artículo. De esta manera, por una parte, tales normas no pueden limitarse a reiterar las disposiciones del referido Reglamento, sino que deben tener por objeto la protección de los derechos y libertades de los trabajadores en relación con el tratamiento de sus datos personales en el ámbito laboral e incluir medidas adecuadas y específicas destinadas a proteger la dignidad humana, los intereses legítimos y los derechos fundamentales de los interesados.

66 Por otra parte, debe prestarse especial atención a la transparencia del tratamiento, a la transferencia de datos personales dentro de un grupo empresarial o de una unión de empresas dedicadas a una actividad económica conjunta, y a los sistemas de supervisión en el lugar de trabajo.

67 Por lo que respecta al contexto en el que se inscribe el artículo 88 del RGPD, procede señalar, en primer lugar, que esta disposición debe interpretarse a la luz del considerando 8 del referido Reglamento, según el cual, en los casos en que dicho Reglamento establece que sus normas sean especificadas o restringidas por el Derecho de los Estados miembros, estos, en la medida en que sea necesario por razones de coherencia y para que las disposiciones nacionales sean comprensibles para sus destinatarios, pueden incorporar a su Derecho nacional elementos del referido Reglamento.

68 En segundo lugar, es preciso recordar que los capítulos II y III del RGPD enuncian, respectivamente, los principios que regulan el tratamiento de los datos personales, así como los derechos de la persona afectada que todo tratamiento de tales datos debe respetar [sentencia de 24 de febrero de 2022, Valsts ieņēmumu dienests (Tratamiento de datos personales con fines fiscales), C‑175/20, EU:C:2022:124, apartado 50].

69 En particular, todo tratamiento de datos personales debe ser conforme, por una parte, con los principios relativos al tratamiento de datos enunciados en el artículo 5 del RGPD y, por otra, con alguno de los principios relativos a la licitud del tratamiento contemplados en el artículo 6 de dicho Reglamento [sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartado 96 y jurisprudencia citada].

70 Por lo que respecta a los principios relativos a la licitud del tratamiento, el artículo 6 del RGPD establece una lista exhaustiva y taxativa de los casos en los que un tratamiento de datos personales puede considerarse lícito. Así, para poder ser considerado legítimo, el tratamiento de datos personales debe estar comprendido en uno de los casos contemplados en dicho artículo 6 [sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartado 99 y jurisprudencia citada].

71 Por consiguiente, si bien, en el ejercicio de la facultad que les concede una cláusula de apertura del RGPD, los Estados miembros pueden incorporar elementos de dicho Reglamento a su Derecho en la medida necesaria para garantizar la coherencia y a fin de que las disposiciones nacionales sean comprensibles para las personas destinatarias, las «normas más específicas» adoptadas sobre la base del artículo 88, apartado 1, de dicho Reglamento no pueden limitarse a constituir la reiteración de las condiciones de licitud del tratamiento de los datos personales y de los principios de dicho tratamiento, enunciados, respectivamente, en los artículos 6 y 5 del mismo Reglamento o a remitir a dichas condiciones y principios.

72 La interpretación según la cual el margen de apreciación de los Estados miembros al adoptar las normas sobre la base del artículo 88, apartado 1, del RGPD está limitado por el apartado 2 de dicho artículo es conforme con el objetivo de este Reglamento, recordado en el apartado 51 de la presente sentencia, que es garantizar una armonización de las legislaciones nacionales relativas a la protección de los datos personales, que, en principio, es completa.

73 En efecto, como señaló, en esencia, el Abogado General en los puntos 56, 70 y 73 de sus conclusiones, la posibilidad de que los Estados miembros establezcan «normas más específicas» sobre la base del artículo 88, apartado 1, del RGPD puede conducir a una falta de armonización en el ámbito de aplicación de dichas normas. Pues bien, las condiciones impuestas por el artículo 88, apartado 2, del referido Reglamento reflejan los límites de la diferenciación aceptada por este Reglamento, en el sentido de que tal falta de armonización solo puede admitirse cuando las diferencias que subsisten van acompañadas de garantías adecuadas y específicas destinadas a proteger los derechos y libertades de los trabajadores en relación con el tratamiento de sus datos personales en el ámbito laboral.

74 Por consiguiente, para poder ser calificada de «norma más específica» en el sentido del artículo 88, apartado 1, del RGPD, una norma jurídica debe cumplir las condiciones establecidas en el apartado 2 de dicho artículo. Además de tener un contenido normativo propio del ámbito regulado y distinto de las normas generales de dicho Reglamento, estas normas más específicas deben tener por objeto la protección de los derechos y libertades de los trabajadores en relación con el tratamiento de sus datos personales en el ámbito laboral e incluir medidas adecuadas y específicas destinadas a proteger la dignidad humana, los intereses legítimos y los derechos fundamentales de los interesados. Debe prestarse especial atención a la transparencia del tratamiento, a la transferencia de los datos personales dentro de un grupo empresarial o de una unión de empresas dedicadas a una actividad económica conjunta y a los sistemas de supervisión en el lugar de trabajo.

75 Habida cuenta de todo lo anterior, procede responder a la primera cuestión prejudicial que el artículo 88 del RGPD debe interpretarse en el sentido de que una normativa nacional no puede constituir una «norma más específica», a los efectos del apartado 1 de dicho artículo, en caso de que no cumpla las condiciones impuestas en el apartado 2 del referido artículo.

Segunda cuestión prejudicial

76 Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente se pregunta, en esencia, sobre las consecuencias que deben extraerse de una declaración de incompatibilidad de unas disposiciones nacionales establecidas para garantizar la protección de los derechos y libertades en cuanto se refiere al tratamiento de datos personales de los trabajadores en el ámbito laboral con las condiciones y los límites previstos en el artículo 88, apartados 1 y 2, del RGPD.

77 A este respecto, es preciso recordar que, en virtud del artículo 288 TFUE, párrafo segundo, un reglamento es obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro, de modo que sus disposiciones no requieren, en principio, ninguna medida de aplicación de los Estados miembros (sentencia de 15 de junio de 2021, Facebook Ireland y otros, C‑645/19, EU:C:2021:483, apartado 109).

78 No obstante, como se ha recordado en el apartado 51 de la presente sentencia, las cláusulas de apertura previstas por el RGPD ofrecen a los Estados miembros la posibilidad de establecer normas nacionales adicionales, que sean más estrictas o prevean alguna excepción, y les deja un margen de apreciación en cuanto a la manera de aplicar las disposiciones de que se trata.

79 Como se ha señalado en el apartado 59 de la presente sentencia, cuando los Estados miembros ejercen la facultad que les concede la cláusula de apertura del RGPD, deben utilizar su margen de apreciación respetando las condiciones y los límites establecidos por las disposiciones de dicho Reglamento y deben legislar de tal modo que el contenido y los objetivos de ese Reglamento no resulten menoscabados.

80 Corresponde al órgano jurisdiccional remitente, único competente para interpretar el Derecho nacional, apreciar si las disposiciones controvertidas en el litigio principal respetan las condiciones y los límites establecidos en el artículo 88 del RGPD, tal como se han resumido en el apartado 74 de la presente sentencia.

81 No obstante, como señaló el Abogado General en los puntos 60 a 62 de sus conclusiones, disposiciones como el artículo 23, apartado 1, de la HDSIG y el artículo 86, apartado 4, de la HBG, que supeditan el tratamiento de los datos personales de los empleados a la condición de que dicho tratamiento sea necesario para determinados fines relacionados con la ejecución de una relación laboral, parecen reiterar la condición para la licitud general del tratamiento ya establecida en el artículo 6, apartado 1, párrafo primero, letra b), del RGPD, sin añadir una norma más específica en el sentido del artículo 88, apartado 1, de dicho Reglamento. En efecto, tales disposiciones no parecen tener un contenido normativo propio del ámbito regulado y distinto de las normas generales del referido Reglamento.

82 En el supuesto de que el órgano jurisdiccional remitente llegara a la conclusión de que las disposiciones controvertidas en el litigio principal no respetan las condiciones y los límites establecidos por el artículo 88 del RGPD, le correspondería, en principio, dejar inaplicadas las referidas disposiciones.

83 En efecto, en virtud del principio de la primacía del Derecho de la Unión, las disposiciones de los Tratados y los actos de las instituciones directamente aplicables producen el efecto, en sus relaciones con el Derecho interno de los Estados miembros, de hacer inaplicable de pleno derecho, por el propio hecho de su entrada en vigor, cualquier disposición contraria de la legislación nacional (sentencias de 9 de marzo de 1978, Simmenthal, 106/77, EU:C:1978:49, apartado 17; de 19 de junio de 1990, Factortame y otros, C‑213/89, EU:C:1990:257, apartado 18, y de 4 de febrero de 2016, Ince, C‑336/14, EU:C:2016:72, apartado 52).

84 Por consiguiente, a falta de normas más específicas que respeten las condiciones y los límites establecidos en el artículo 88 del RGPD, el tratamiento de datos personales en el ámbito laboral, tanto en el sector privado como en el público, se rige directamente por las disposiciones de dicho Reglamento.

85 A este respecto, procede señalar que pueden aplicarse a un tratamiento de datos personales como el controvertido en el litigio principal las letras c) y e), del artículo 6, apartado 1, párrafo primero, del RGPD, en virtud de las cuales el tratamiento de datos personales será lícito si es necesario, respectivamente, para el cumplimiento de una obligación legal aplicable al responsable del tratamiento o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

86 El artículo 6, apartado 3, del RGPD establece, por una parte, en relación con esas dos hipótesis de licitud contempladas respectivamente en las letras c) y e) del artículo 6, apartado 1, primer párrafo, de dicho Reglamento, que el tratamiento debe basarse en el Derecho de la Unión o en el Derecho del Estado miembro que se aplique al responsable del tratamiento y añade, por otra parte, que la finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el referido apartado 1, párrafo primero, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento [véase, en este sentido, la sentencia de 8 de diciembre de 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Fines del tratamiento de datos personales — Instrucción penal), C‑180/21, EU:C:2022:967, apartado 95].

87 Procede recordar que el Tribunal de Justicia ya ha declarado que el tratamiento lícito de datos personales por parte de los responsables del tratamiento, sobre la base del artículo 6, apartado 1, párrafo primero, letra e), del RGPD, presupone no solo que pueda considerarse que estos cumplen una misión realizada en interés público, sino también que los tratamientos de datos personales a efectos del cumplimiento de tal misión se fundan en una base jurídica contemplada en el artículo 6, apartado 3, de ese Reglamento (véase, en este sentido, la sentencia de 20 de octubre de 2022, Koalitsia «Demokratichna Bulgaria — Obedinenie», C‑306/21, EU:C:2022:813, apartado 52).

88 Por consiguiente, en caso de que el órgano jurisdiccional remitente llegara a la conclusión de que las disposiciones nacionales relativas al tratamiento de datos personales en el ámbito laboral no respetan las condiciones y los límites establecidos por el artículo 88, apartados 1 y 2, del RGPD, deberá comprobar además si dichas disposiciones constituyen una base jurídica contemplada en el artículo 6, apartado 3, de dicho Reglamento, en relación con su considerando 45, que cumple las exigencias establecidas en el mismo Reglamento. Si es así, no deberá excluirse la aplicación de las disposiciones nacionales.

89 Habida cuenta de lo expuesto anteriormente, procede responder a la segunda cuestión prejudicial que el artículo 88, apartados 1 y 2, del RGPD debe interpretarse en el sentido de que la aplicación de disposiciones nacionales adoptadas para garantizar la protección de los derechos y libertades de los trabajadores en cuanto se refiere al tratamiento de sus datos personales en el ámbito laboral deberá excluirse cuando esas disposiciones no respeten las condiciones y los límites establecidos por el citado artículo 88, apartados 1 y 2, a menos que dichas disposiciones constituyan una base jurídica contemplada en el artículo 6, apartado 3, de dicho Reglamento que cumple las exigencias establecidas en este.

Costas

90 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes en el litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Primera) declara:

1) El artículo 88 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),

debe interpretarse en el sentido de que

una normativa nacional no puede constituir una «norma más específica», a los efectos del apartado 1 de dicho artículo, en caso de que no cumpla las condiciones impuestas en el apartado 2 del referido artículo.

2) El artículo 88, apartados 1 y 2, del Reglamento 2016/679

debe interpretarse en el sentido de que

la aplicación de disposiciones nacionales adoptadas para garantizar la protección de los derechos y libertades de los trabajadores en cuanto se refiere al tratamiento de sus datos personales en el ámbito laboral deberá excluirse cuando esas disposiciones no respeten las condiciones y los límites establecidos por el citado artículo 88, apartados 1 y 2, a menos que dichas disposiciones constituyan una base jurídica contemplada en el artículo 6, apartado 3, de dicho Reglamento que cumple las exigencias establecidas en este.

Firmas

* Lengua de procedimiento: alemán.