No se ha demostrado que este régimen sea necesario para garantizar el objetivo perseguido: la mejora de la seguridad vial A B, persona física, se le impusieron puntos de penalización por una o varias infracciones de tráfico. Estos puntos fueron inscritos por la Ceļu satiksmes droības direkcija (Dirección de seguridad vial, Letonia; “CSDD”) en el registro nacional de vehículos y conductores.
En virtud de la normativa letona sobre circulación vial, la información relativa a los puntos impuestos a conductores inscritos en dicho registro es accesible al público y es comunicada por la CSDD a cualquier persona que lo solicite, incluyendo a operadores económicos para efectos de reutilización, sin que se tenga que justificar un interés específico en obtener dicha información. Al albergar dudas sobre la legalidad de esta normativa, B interpuso un recurso de inconstitucionalidad ante la Latvijas Republikas Satversmes tiesa (Tribunal Constitucional, Letonia), para que este órgano jurisdiccional examinara la conformidad de dicha normativa con el derecho al respeto de la vida privada.
En el marco de su apreciación de ese derecho constitucional, el Tribunal Constitucional consideró,que debía tener en cuenta el Reglamento general de protección de datos (“RGPD”).
Así pues, solicitó al Tribunal de Justicia que aclarara el alcance de varias disposiciones del RGPD con el fin de determinar la compatibilidad de la normativa letona sobre circulación vial con dicho Reglamento.
Mediante su sentencia, pronunciada en Gran Sala, el Tribunal de Justicia declara que el RGPD se opone a la normativa letona. Señala que no se ha demostrado la necesidad, en particular en relación con el objetivo de mejorar la seguridad vial invocado por el Gobierno letón, de una comunicación de datos personales relativos a puntos de penalización impuestos por infracciones de tráfico. Además, según el Tribunal de Justicia, ni el derecho del público a acceder a documentos oficiales ni el derecho a la libertad de información justifican esa normativa.
Apreciación del Tribunal de Justicia En primer lugar, el Tribunal de Justicia considera que el tratamiento de los datos personales relativos a los puntos constituye un “tratamiento de datos personales relativos a condenas e infracciones penales”, para el que el RGPD prevé una mayor protección debido al carácter especialmente sensible de los datos en cuestión.
En este contexto, observa, con carácter preliminar, que la información relativa a los puntos tiene el carácter de datos personales, y que su comunicación a terceros por parte de la CSDD constituye un tratamiento comprendido en el ámbito de aplicación material del RGPD. En efecto, dicho ámbito de aplicación es muy amplio y ese trato no se cuenta entre las excepciones a la aplicabilidad del Reglamento.
Así pues, por una parte, dicho tratamiento no está cubierto por la excepción relativa a la no aplicación del RGPD a un tratamiento efectuado en el marco de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión. Debe considerarse que la citada excepción tiene como único objeto excluir del ámbito de aplicación del RGPD el tratamiento de datos personales efectuado por autoridades estatales en el marco de una actividad dirigida a preservar la seguridad nacional o de una actividad que pueda incluirse en la misma categoría. Estas actividades comprenden, en particular, aquellas destinadas a proteger las funciones esenciales del Estado y los intereses fundamentales de la sociedad. Ahora bien, las actividades relativas a la seguridad vial no persiguen este objetivo y, por lo tanto, no pueden incluirse en la categoría de las actividades destinadas a preservar la seguridad nacional.
Por otra parte, la comunicación de datos personales relativos a los puntos tampoco es un tratamiento comprendido en la excepción que prevé que el RGPD no se aplique al tratamiento de datos personales efectuado por las autoridades competentes en materia penal. El Tribunal de Justicia observa, en efecto, que no puede considerarse que, en el ejercicio de dicha comunicación, la CSDD sea una de esas “autoridades competentes”.
Para determinar si el acceso a los datos personales relativos a infracciones de tráfico, como los puntos, constituye un tratamiento de datos personales relativos a “infracciones”, los cuales gozan de una mayor protección, el Tribunal de Justicia constata, basándose en particular en la génesis del RGPD, que este concepto se refiere exclusivamente a las infracciones penales. No obstante, el hecho de que, en el sistema jurídico letón, las infracciones de tráfico estén tipificadas como infracciones administrativas no es determinante para apreciar si dichas infracciones están comprendidas en el concepto de “infracción penal”, en la medida en que se trata de un concepto autónomo del Derecho de la Unión que exige una interpretación autónoma y uniforme en toda la Unión. Así pues, tras recordar los tres criterios pertinentes para apreciar el carácter penal de una infracción : la calificación jurídica de la infracción en Derecho interno, la naturaleza de la infracción y el grado de severidad de la sanción impuesta, el Tribunal de Justicia declara que las infracciones de tráfico en cuestión están comprendidas en el concepto de “infracción” en el sentido del RGPD. Por lo que respecta a los dos primeros criterios, el Tribunal de Justicia constata que, aunque las infracciones no se califiquen de “penales” en Derecho nacional, dicho carácter puede derivarse de la naturaleza de la infracción y, especialmente, de la finalidad represiva que persiga la sanción que la propia infracción puede implicar. Pues bien, en este caso, la atribución de puntos por infracciones de tráfico, al igual que las demás sanciones que la comisión de aquellas puede implicar, persiguen, entre otras cosas, esa finalidad represiva. En cuanto al tercer criterio, el Tribunal de Justicia observa que solo las infracciones de tráfico de cierta gravedad implican la imposición de puntos y que, por lo tanto, pueden dar lugar a sanciones de cierta severidad. Además, la imposición de tales puntos se suma generalmente a la sanción impuesta, y la acumulación de estos puntos conlleva consecuencias jurídicas que pueden incluso llegar a la prohibición de conducir.
En segundo lugar, el Tribunal de Justicia considera que el RGPD se opone a la normativa letona que obliga a la CSDD a poner a disposición del público los datos relativos a puntos impuestos a conductores por infracciones de tráfico sin que la persona que solicita el acceso tenga que justificar un interés específico en obtenerlos.
En este contexto, el Tribunal de Justicia subraya que la mejora de la seguridad vial que persigue la normativa letona es un objetivo de interés general reconocido por la Unión y que, por tanto, los Estados miembros pueden calificar la seguridad vial de “misión realizada en interés público”. 8 Sin embargo, no se ha demostrado que el régimen letón de comunicación de datos personales relativos a los puntos sea necesario para lograr el objetivo perseguido. En efecto, por una parte, el legislador letón dispone de numerosas vías de acción que le habrían permitido alcanzar este objetivo por otros medios menos atentatorios contra los derechos fundamentales de las personas afectadas. Por otra parte, deben tenerse en cuenta el carácter sensible de los datos relativos a los puntos y el hecho de que su comunicación al público puede constituir una injerencia grave en los derechos al respeto de la vida privada y a la protección de los datos personales, ya que puede provocar la desaprobación de la sociedad y conllevar la estigmatización de la persona afectada.
Además, el Tribunal de Justicia considera que, habida cuenta del carácter sensible de estos datos y de la gravedad de la injerencia en esos dos derechos fundamentales, los citados derechos prevalecen tanto sobre el interés del público en tener acceso a documentos oficiales, por ejemplo el registro nacional de vehículos y conductores, como sobre el derecho a la libertad de información.
En tercer lugar, por idénticas razones, el Tribunal de Justicia declara que el RGPD se opone también a la normativa letona en la medida en que autoriza a la CSDD a comunicar los datos relativos a los puntos impuestos a conductores por infracciones de tráfico a operadores económicos para que estos puedan reutilizarlos y comunicarlos al público.
En cuarto y último lugar, el Tribunal de Justicia precisa que el principio de primacía del Derecho de la Unión se opone a que el Tribunal Constitucional letón -que es el que conoce del recurso interpuesto contra la normativa nacional calificada por el Tribunal de Justicia de incompatible con el Derecho de la Unión- decida mantener los efectos jurídicos de dicha normativa hasta la fecha en que dicte sentencia firme.
SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala)
de 22 de junio de 2021 (*)
“Procedimiento prejudicial - Protección de las personas físicas en lo que respecta al tratamiento de datos personales - Reglamento (UE) 2016/679 - Artículos 5, 6 y 10 - Normativa nacional que permite el acceso del público a datos personales sobre puntos impuestos por infracciones de tráfico - Licitud - Concepto de “datos personales relativos a condenas e infracciones penales” - Comunicación para mejorar la seguridad vial - Acceso del público a documentos oficiales - Libertad de información - Conciliación con los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales - Reutilización de los datos - Artículo 267 TFUE - Efectos temporales de una resolución prejudicial - Posibilidad de que el tribunal constitucional de un Estado miembro mantenga los efectos jurídicos de una normativa nacional que no es compatible con el Derecho de la Unión - Principios de primacía del Derecho de la Unión y de seguridad jurídica”
En el asunto C-439/19,
que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por la Latvijas Republikas Satversmes tiesa (Tribunal Constitucional de la República de Letonia), mediante resolución de 4 de junio de 2019, recibida en el Tribunal de Justicia el 11 de junio de 2019, en el procedimiento a instancias de
B,
con intervención de:
Latvijas Republikas Saeima,
EL TRIBUNAL DE JUSTICIA (Gran Sala),
integrado por el Sr. K. Lenaerts, Presidente, la Sra. R. Silva de Lapuerta, Vicepresidenta, los Sres. J.-C. Bonichot, A. Arabadjiev, E. Regan, M. Ileič (Ponente) y N. Piçarra, Presidentes de Sala, y los Sres. E. Juhász, M. Safjan, D. váby, S. Rodin y F. Biltgen, la Sra. K. Jürimäe y los Sres. C. Lycourgos y P. G. Xuereb, Jueces;
Abogado General: Sr. M. Szpunar;
Secretario: Sr. A. Calot Escobar;
habiendo considerado los escritos obrantes en autos;
consideradas las observaciones presentadas:
- en nombre del Gobierno letón, inicialmente por las Sras. V. Soņeca y K. Pommere, y posteriormente por la Sra. K. Pommere, en calidad de agentes;
- en nombre del Gobierno neerlandés, por las Sras. M. K. Bulterman y M. Noort, en calidad de agentes;
- en nombre del Gobierno austriaco, por la Sra. J. Schmoll y el Sr. G. Kunnert, en calidad de agentes;
- en nombre del Gobierno portugués, por el Sr. L. Inez Fernandes y las Sras. P. Barros da Costa, A. C. Guerra e I. Oliveira, en calidad de agentes;
- en nombre del Gobierno sueco, por las Sras. C. Meyer-Seitz, H. Shev, H. Eklinder, R. Shahsavan Eriksson, A. Runeskjöld y M. Salborn Hodgson y los Sres. O. Simonsson y J. Lundberg, en calidad de agentes;
- en nombre de la Comisión Europea, por los Sres. D. Nardi y H. Kranenborg y la Sra. I. Rubene, en calidad de agentes;
oídas las conclusiones del Abogado General, presentadas en audiencia pública el 17 de diciembre de 2020;
dicta la siguiente
Sentencia
1 La petición de decisión prejudicial tiene por objeto la interpretación de los artículos 5, 6 y 10 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; en lo sucesivo, “RGPD”), del artículo 1, apartado 2, letra c quater), de la Directiva 2003/98/CE del Parlamento Europeo y del Consejo, de 17 de noviembre de 2003, relativa a la reutilización de la información del sector público (DO 2003, L 345, p. 90), en su versión modificada por la Directiva 2013/37/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013 (DO 2013, L 175, p. 1) (en lo sucesivo, “Directiva 2003/98”), y de los principios de primacía del Derecho de la Unión y de seguridad jurídica.
2 Esta petición se ha presentado en el contexto de un procedimiento a instancias de B en relación con la legalidad de una normativa nacional que permite el acceso del público a datos personales sobre puntos impuestos por infracciones de tráfico.
Marco jurídico
Derecho de la Unión
Directiva 95/46/CE
3 La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31), fue derogada, con efecto a partir del 25 de mayo de 2018, por el RGPD. El artículo 3 de dicha Directiva, titulado “Ámbito de aplicación”, era del tenor siguiente:
“1. Las disposiciones de la presente Directiva se aplicarán al [tratamiento] total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
2. Las disposiciones de la presente Directiva no se aplicarán al tratamiento de datos personales:
- efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de los títulos V y VI del Tratado [UE, en su versión anterior al Tratado de Lisboa,] y, en cualquier caso, al tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal;
[]”.
RGPD
4 Según los considerandos 1, 4, 10, 16, 19, 39, 50 y 154 del RGPD:
“(1) La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (“la Carta”) y el artículo 16 [TFUE], apartado 1, [] establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.
[]
(4) El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad. El presente Reglamento respeta todos los derechos fundamentales y observa las libertades y los principios reconocidos en la Carta conforme se consagran en los Tratados, en particular el respeto de la vida privada y familiar, del domicilio y de las comunicaciones, la protección de los datos de carácter personal, la libertad de pensamiento, de conciencia y de religión, la libertad de expresión y de información, la libertad de empresa, el derecho a la tutela judicial efectiva y a un juicio justo, y la diversidad cultural, religiosa y lingüística.
[]
(10) Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión, el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. Debe garantizarse en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea. []
[]
(16) El presente Reglamento no se aplica a cuestiones de protección de los derechos y las libertades fundamentales o la libre circulación de datos personales relacionadas con actividades excluidas del ámbito de del Derecho de la Unión, como las actividades relativas a la seguridad nacional. Tampoco se aplica al tratamiento de datos de carácter personal por los Estados miembros en el ejercicio de las actividades relacionadas con la política exterior y de seguridad común de la Unión.
[]
(19) La protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal por parte de las autoridades competentes a efectos de la prevención, investigación, detección o enjuiciamiento de infracciones penales o de la ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad pública y la libre circulación de estos datos y su prevención, es objeto de un acto jurídico específico a nivel de la Unión. El presente Reglamento no debe, por lo tanto, aplicarse a las actividades de tratamiento destinadas a tales fines. No obstante, los datos personales tratados por las autoridades públicas en aplicación del presente Reglamento deben, si se destinan a tales fines, regirse por un acto jurídico de la Unión más específico, concretamente la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo[, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO 2016, L 119, p. 89)] []
[]
(39) [] En particular, los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida. [] Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. []
[]
(50) El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. En tal caso, no se requiere una base jurídica aparte, distinta de la que permitió la obtención de los datos personales. Si el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, los cometidos y los fines para los cuales se debe considerar compatible y lícito el tratamiento ulterior se pueden determinar y especificar de acuerdo con el Derecho de la Unión o de los Estados miembros. []
[]
(154) El presente Reglamento permite que, al aplicarlo, se tenga en cuenta el principio de acceso del público a los documentos oficiales. El acceso del público a documentos oficiales puede considerarse de interés público. Los datos personales de documentos que se encuentren en poder de una autoridad pública o un organismo público deben poder ser comunicados públicamente por dicha autoridad u organismo si así lo establece el Derecho de la Unión o los Estados miembros aplicable a dicha autoridad u organismo. Ambos Derechos deben conciliar el acceso del público a documentos oficiales y la reutilización de la información del sector público con el derecho a la protección de los datos personales y, por tanto, pueden establecer la necesaria conciliación con el derecho a la protección de los datos personales de conformidad con el presente Reglamento. La referencia a autoridades y organismos públicos debe incluir, en este contexto, a todas las autoridades u otros organismos a los que se aplica el Derecho de los Estados miembros sobre el acceso del público a documentos. La [Directiva 2003/98/CE] no altera ni afecta en modo alguno al nivel de protección de las personas físicas con respecto al tratamiento de datos personales con arreglo a las disposiciones del Derecho de la Unión y los Estados miembros y, en particular, no altera las obligaciones ni los derechos establecidos en el presente Reglamento. En concreto, dicha Directiva no debe aplicarse a los documentos a los que no pueda accederse o cuyo acceso esté limitado en virtud de regímenes de acceso por motivos de protección de datos personales, ni a partes de documentos accesibles en virtud de dichos regímenes que contengan datos personales cuya reutilización haya quedado establecida por ley como incompatible con el Derecho relativo a la protección de las personas físicas con respecto al tratamiento de los datos personales.”
5 El artículo 1 de dicho Reglamento, titulado “Objeto”, dispone lo siguiente:
“1. El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.
2. El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.
3. La libre circulación de los datos personales en la Unión no podrá ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.”
6 El artículo 2 del Reglamento, titulado “Ámbito de aplicación material”, establece lo siguiente en sus apartados 1 y 2:
“1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
2. El presente Reglamento no se aplica al tratamiento de datos personales:
a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;
b) por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE;
c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;
d) por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.”
7 A tenor del artículo 4 del mismo Reglamento, titulado “Definiciones”:
“A efectos del presente Reglamento se entenderá por:
1) “datos personales”: toda información sobre una persona física identificada o identificable []
2) “tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;
[]
7) “responsable del tratamiento” o “responsable”: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;
[]”.
8 Según el artículo 5 del RGPD, titulado “Principios relativos al tratamiento”:
“1. Los datos personales serán:
a) tratados de manera lícita, leal y transparente en relación con el interesado (“licitud, lealtad y transparencia”);
b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; [] (“limitación de la finalidad”);
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (“minimización de datos”);
d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan (“exactitud”);
e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; [] (“limitación del plazo de conservación”);
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (“integridad y confidencialidad”).
2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva”).”
9 El artículo 6 de dicho Reglamento, titulado “Licitud del tratamiento”, establece lo siguiente en su apartado 1:
“El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.”
10 El artículo 10 del mencionado Reglamento, titulado “Tratamiento de datos personales relativos a condenas e infracciones penales”, dispone lo siguiente:
“El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas sobre la base del artículo 6, apartado 1, solo podrá llevarse a cabo bajo la supervisión de las autoridades públicas o cuando lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados. Solo podrá llevarse un registro completo de condenas penales bajo el control de las autoridades públicas.”
11 El artículo 51 del mismo Reglamento, titulado “Autoridad de control”, establece lo siguiente en su apartado 1:
“Cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes (en adelante “autoridad de control”) supervisar la aplicación del presente Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión.”
12 El artículo 85 del RGPD, titulado “Tratamiento y libertad de expresión y de información”, dispone lo siguiente en su apartado 1:
“Los Estados miembros conciliarán por ley el derecho a la protección de los datos personales en virtud del presente Reglamento con el derecho a la libertad de expresión y de información, incluido el tratamiento con fines periodísticos y fines de expresión académica, artística o literaria.”
13 El artículo 86 del Reglamento, titulado “Tratamiento y acceso del público a documentos oficiales”, establece lo siguiente:
“Los datos personales de documentos oficiales en posesión de alguna autoridad pública o u organismo público o una entidad privada para la realización de una misión en interés público podrán ser comunicados por dicha autoridad, organismo o entidad de conformidad con el Derecho de la Unión o de los Estados miembros que se les aplique a fin de conciliar el acceso del público a documentos oficiales con el derecho a la protección de los datos personales en virtud del presente Reglamento.”
14 A tenor del artículo 87 de dicho Reglamento, titulado “Tratamiento del número nacional de identificación”:
“Los Estados miembros podrán determinar adicionalmente las condiciones específicas para el tratamiento de un número nacional de identificación o cualquier otro medio de identificación de carácter general. En ese caso, el número nacional de identificación o cualquier otro medio de identificación de carácter general se utilizará únicamente con las garantías adecuadas para los derechos y las libertades del interesado con arreglo al presente Reglamento.”
15 El artículo 94 del mismo Reglamento dispone lo siguiente:
“1. Queda derogada la [Directiva 95/46] con efecto a partir del 25 de mayo de 2018.
2. Toda referencia a la Directiva derogada se entenderá hecha al presente Reglamento. []”
Directiva 2016/680
16 Según los considerandos 10, 11 y 13 de la Directiva 2016/680:
“(10) En la Declaración n.º 21 relativa a la protección de datos de carácter personal en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial, aneja al acta final de la Conferencia Intergubernamental que adoptó el Tratado de Lisboa, la Conferencia reconoció que podrían requerirse normas específicas sobre protección de datos personales y libre circulación de los mismos en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial basada en el artículo 16 del TFUE, en razón de la naturaleza específica de dichos ámbitos.
(11) Conviene por lo tanto que esos ámbitos estén regulados por una directiva que establezca las normas específicas relativas a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública. Entre dichas autoridades competentes no solo se deben incluir autoridades públicas tales como las autoridades judiciales, la policía u otras fuerzas y cuerpos de seguridad, sino también cualquier otro organismo o entidad en que el Derecho del Estado miembro haya confiado el ejercicio de la autoridad y las competencias públicas a los efectos de la presente Directiva. Cuando dicho organismo o entidad trate datos personales con fines distintos de los previstos en la presente Directiva, se aplica el [RGPD]. Así pues, el [RGPD] se aplica en los casos en los que un organismo o entidad recopile datos personales con otros fines y proceda a su tratamiento para el cumplimiento de una obligación jurídica a la que esté sujeto. []
[]
(13) Una infracción penal en el sentido de lo dispuesto en la presente Directiva debe ser un concepto autónomo del Derecho de la Unión, tal y como lo interpreta el Tribunal de Justicia de la Unión Europea []”.
17 El artículo 3 de dicha Directiva dispone lo siguiente:
“A efectos de la presente Directiva se entenderá por:
[]
7. “autoridad competente”:
a) toda autoridad pública competente para la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluidas la protección y prevención frente a amenazas para la seguridad pública, o
b) cualquier otro órgano o entidad a quien el Derecho del Estado miembro haya confiado el ejercicio de la autoridad pública y las competencias públicas a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales o ejecución de sanciones penales, incluidas la protección y prevención frente a amenazas para la seguridad pública;
[]”.
Directiva 2003/98
18 A tenor del considerando 21 de la Directiva 2003/98:
“La presente Directiva se debe incorporar al Derecho interno y aplicar de forma que se cumplan plenamente los principios relativos a la protección de los datos personales, de conformidad con la [Directiva 95/46].”
19 El artículo 1 de la Directiva 2003/98, titulado “Objeto y ámbito de aplicación”, establece lo siguiente:
“1. La presente Directiva establece un conjunto mínimo de normas que regulen la reutilización y los instrumentos prácticos que faciliten la reutilización de los documentos existentes conservados por organismos del sector público de los Estados miembros.
2. La presente Directiva no se aplicará a:
[]
c quater) los documentos a los que no pueda accederse o cuyo acceso esté limitado en virtud de regímenes de acceso por motivos de protección de los datos personales, y las partes de documentos accesibles en virtud de dichos regímenes que contengan datos personales cuya reutilización se haya definido por ley como incompatible con la legislación relativa a la protección de las personas físicas con respecto al tratamiento de los datos personales;
[]
3. La presente Directiva se basa en los regímenes de acceso de los Estados miembros y no les afecta de forma alguna.
4. La presente Directiva no menoscaba ni afecta en modo alguno el nivel de protección de las personas físicas en lo que respecta al tratamiento de datos personales con arreglo a las disposiciones del Derecho de la Unión y nacional, y, en particular, no altera las obligaciones ni los derechos establecidos en la [Directiva 95/46].
[]”
Derecho letón
20 El artículo 96 de la Latvijas Republikas Satversme (Constitución de la República de Letonia; en lo sucesivo, “Constitución letona”) dispone lo siguiente:
“Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia.”
21 Según el artículo 1, apartado 5, de la Informācijas atklātības likums (Ley relativa a la Divulgación de la Información), de 29 de octubre de 1998 (Latvijas Vēstnesis, 1998, n.º 334/335), la reutilización consiste en la utilización de información accesible al público que obra en poder de y ha sido creada por una autoridad, con fines comerciales o no comerciales distintos del propósito inicial que tenía esa información cuando se generó, si dicha utilización la efectúa un particular y no implica competencias públicas.
22 De conformidad con el artículo 4 de dicha Ley, la información accesible al público es la que no forma parte de la categoría de información de acceso restringido.
23 El artículo 5 de dicha Ley establece, en su apartado 1, que la información será de acceso restringido cuando esté destinada a un grupo limitado de personas para el cumplimiento de sus funciones u obligaciones profesionales y cuando la comunicación o pérdida de dicha información, debido a su naturaleza y contenido, obstaculice o pueda obstaculizar las actividades de una autoridad o cause o pueda causar perjuicio a los intereses de las personas protegidas por las leyes. Este artículo subraya, en su apartado 2, que la información se considerará de acceso restringido cuando, en particular, la ley así lo establezca, y precisa, en su apartado 6, que la información ya publicada no podrá considerarse de acceso restringido.
24 Según el artículo 10, apartado 3, de la misma Ley, la información accesible al público podrá facilitarse previa solicitud, sin que el solicitante esté obligado a justificar de manera específica su interés en obtener dicha información, y no se le podrá denegar el acceso a ella por el hecho de que no le afecte.
25 El artículo 141 de la Ceļu satiksmes likums (Ley de Tráfico), de 1 de octubre de 1997 (Latvijas Vēstnesis, 1997, n.º 274/276), en su versión aplicable al litigio principal, titulado “Acceso a la información conservada en el registro nacional de vehículos y conductores []”, recoge lo siguiente en su apartado 2:
“La información relativa [] al derecho de una persona a conducir vehículos, a las multas impuestas por infracciones de tráfico y no pagadas en el plazo previsto por la ley, así como cualquier otra información que se encuentre en el registro nacional de vehículos y conductores [], constituye información accesible al público.”
26 El artículo 431 de la Ley de Tráfico, titulado “Sistema de puntos”, dispone lo siguiente en su apartado 1:
“Al objeto de influir en el comportamiento de los conductores, fomentando la conducción segura de los vehículos y el cumplimiento de la normativa vial, así como con el fin de reducir en toda la medida de lo posible los riesgos para la vida, la salud y la propiedad de las personas, las infracciones administrativas cometidas por los conductores se inscribirán en el registro de condenas y los puntos se inscribirán en el registro nacional de vehículos y conductores.”
27 De conformidad con los apartados 1 y 4 del Ministru kabineta noteikumi Nr.551 “Pārkāpumu uzskaites punktu sistēmas piemēroanas noteikumi” (Decreto n.º 551 del Consejo de Ministros sobre “Normas para la aplicación del sistema de puntos”), de 21 de junio de 2004 (Latvijas Vēstnesis, 2004, n.º 102), los puntos impuestos por infracciones administrativas cometidas en materia de circulación vial por parte de conductores se registrarán automáticamente el día de expiración del plazo de recurso contra la resolución por la que se adopte una sanción administrativa.
28 Según el apartado 7 de dicho Decreto, los puntos se eliminan cuando prescriben.
29 En virtud del apartado 12 de dicho Decreto, en función del número de puntos, los conductores son objeto de medidas, como advertencias, cursillos o exámenes en materia de seguridad vial, o de la prohibición de ejercer el derecho a conducir durante un período determinado.
30 Como se desprende del artículo 32, apartado 1, de la Satversmes tiesas likums (Ley del Tribunal Constitucional), de 5 de junio de 1996 (Latvijas Vēstnesis, 1996, n.º 103), una sentencia de la Latvijas Republikas Satversmes tiesa (Tribunal Constitucional de la República de Letonia) es firme y ejecutiva desde su pronunciamiento. Con arreglo al artículo 32, apartado 3, de dicha Ley, una disposición jurídica que la Latvijas Republikas Satversmes tiesa (Tribunal Constitucional de la República de Letonia) haya declarado no conforme con una norma jurídica superior se considerará nula a partir del día de la publicación de la sentencia de dicho órgano jurisdiccional, salvo que este decida lo contrario.
Litigio principal y cuestiones prejudiciales
31 B es una persona física a la que se le han impuesto puntos por una o varias infracciones de tráfico. De conformidad con la Ley de Tráfico y con el Decreto n.º 551 de 21 de junio de 2004, la Ceļu satiksmes droības direkcija (Dirección de Seguridad Vial, Letonia; en lo sucesivo, “CSDD”) inscribió dichos puntos en el registro nacional de vehículos y conductores.
32 Dado que la información relativa a dichos puntos que se recoge en ese registro es accesible al público y que, además, según B, fue comunicada, a efectos de su reutilización, a varios operadores económicos, B interpuso un recurso de inconstitucionalidad ante la Latvijas Republikas Satversmes tiesa (Tribunal Constitucional de la República de Letonia), para que esta examinara la conformidad del artículo 141, apartado 2, de la Ley de Tráfico con el derecho fundamental al respeto de la vida privada consagrado en el artículo 96 de la Constitución letona.
33 La Latvijas Republikas Saeima (Parlamento de la República de Letonia; en lo sucesivo, “Parlamento letón”) participó en el procedimiento como institución que había adoptado la Ley de Tráfico. Por otra parte, la CSDD, que trata los datos relativos a los puntos impuestos por infracciones de tráfico, fue oída, al igual que la Datu valsts inspekcija (Agencia Estatal de Protección de Datos, Letonia), que es, en Letonia, la autoridad de control en el sentido del artículo 51 del RGPD, así como varias otras autoridades y personas.
34 En el marco del litigio principal, el Parlamento letón confirmó que, en virtud del artículo 141, apartado 2, de la Ley de Tráfico, cualquier persona puede obtener información relativa a los puntos impuestos a otra persona, ya sea solicitándolo directamente a la CSDD, ya sea recurriendo a los servicios prestados por reutilizadores comerciales.
35 Subrayó que dicha disposición es lícita por estar justificada por el objetivo de mejorar la seguridad vial. Afirmó que este interés general exige que los infractores del Código de la Circulación, en particular los que incumplan dicho Código de manera sistemática y de mala fe, sean identificados abiertamente y que los conductores se vean disuadidos, a través de esta transparencia, de cometer infracciones.
36 Afirmó que, por otra parte, dicha disposición está justificada por el derecho de acceso a la información, previsto por la Constitución letona.
37 El Parlamento letón precisó que, en la práctica, la información que contiene el registro nacional de vehículos y conductores se comunica a condición de que el solicitante proporcione el número nacional de identificación del conductor cuyos datos desea conocer. Este requisito previo a la obtención de la información se justificaba por el hecho de que, a diferencia del nombre de la persona, que puede ser idéntico al de otras personas, el número nacional de identificación es un identificador único.
38 Por su parte, la CSDD indicó que el artículo 141, apartado 2, de la Ley de Tráfico no impone límites ni al acceso del público a los datos relativos a puntos ni a la reutilización de dichos datos. En cuanto a los contratos que celebra con reutilizadores comerciales, la CSDD subrayó que estos contratos no se contempla la transferencia legal de los datos y que los reutilizadores deben garantizar que la información que transmitan a sus clientes no exceda de la que se puede obtener de la CSDD. La CSDD añadió que, en el marco de esos contratos, el adquirente certifica que utilizará la información obtenida de conformidad con los fines indicados en el contrato y con lo dispuesto en la normativa vigente.
39 Por lo que se refiere a la Agencia Estatal de Protección de Datos, esta expresó sus dudas en cuanto a la conformidad del artículo 141, apartado 2, de la Ley de Tráfico con el artículo 96 de la Constitución letona, que establece el derecho al respeto de la vida privada. Desde su punto de vista, la importancia y el objetivo del tratamiento efectuado sobre la base de la disposición controvertida en el litigio principal no están claramente acreditados, de modo que no cabe descartar que dicho tratamiento sea inadecuado o desproporcionado. En efecto, si bien las estadísticas sobre accidentes de tráfico en Letonia ponen de manifiesto un descenso en el número de accidentes, a su juicio, no está acreditado que el sistema de puntos y el acceso del público a la información relativa a dicho sistema hayan contribuido a esta favorable evolución.
40 La Latvijas Republikas Satversmes tiesa (Tribunal Constitucional de la República de Letonia) señala, antes de nada, que el recurso versa sobre el artículo 141, apartado 2, de la Ley de Tráfico únicamente en la medida en que esta disposición establece que los puntos inscritos en el registro nacional de vehículos y conductores serán accesibles al público.
41 Asimismo, dicho órgano jurisdiccional señala que los puntos constituyen datos personales y que procede, al valorar el derecho al respeto de la vida privada establecido en el artículo 96 de la Constitución letona, tener en cuenta el RGPD, así como, más en general, el artículo 16 TFUE y el artículo 8 de la Carta.
42 En cuanto a los objetivos de la normativa letona en materia de circulación vial, dicho órgano jurisdiccional expone que, con el fin, en particular, de favorecer la seguridad vial, las infracciones cometidas por los conductores, que en Letonia se consideran infracciones administrativas, se inscriben en el registro nacional de condenas, y los puntos impuestos se inscriben en el registro nacional de vehículos y conductores.
43 Por lo que atañe, en particular, al registro nacional de vehículos y conductores, el órgano jurisdiccional remitente explica que permite conocer el número de infracciones de tráfico cometidas y adoptar medidas dependiendo de ese número. Así pues, según dicho tribunal, con el sistema de puntos se trata de mejorar la seguridad vial, al permitir, por una parte, diferenciar a los conductores que sistemáticamente y de mala fe incumplen las normas de tráfico de los conductores que cometen infracciones ocasionales. Por otra parte, tal sistema también puede influir con carácter preventivo en el comportamiento de los usuarios de la carretera, incitándolos a respetar la normativa vial.
44 El mismo órgano jurisdiccional indica que es pacífico que el artículo 141, apartado 2, de la Ley de Tráfico otorga a cualquier persona el derecho a solicitar y obtener de la CSDD la información contenida en el registro nacional de vehículos y conductores en relación con los puntos impuestos a los conductores. Confirma a ese respecto que, en la práctica, esta información se proporciona al solicitante tan pronto como este indica el número nacional de identificación del conductor de que se trate.
45 La Latvijas Republikas Satversmes tiesa (Tribunal Constitucional de la República de Letonia) continúa explicando que los puntos impuestos están comprendidos, por ser considerados información accesible al público, en el ámbito de aplicación de la Ley relativa a la Divulgación de la Información y, por tanto, pueden reutilizarse con fines comerciales o no comerciales distintos del propósito inicial que tenía esa información cuando se generó.
46 Con objeto de interpretar y aplicar el artículo 96 de la Constitución letona de conformidad con el Derecho de la Unión, dicho órgano jurisdiccional remitente desea saber, en primer lugar, si la información relativa a los puntos impuestos está comprendida en la que es objeto del artículo 10 del RGPD, es decir, los “datos personales relativos a condenas e infracciones penales”. En caso de respuesta afirmativa, entiende que podría considerarse que el artículo 141, apartado 2, de la Ley de Tráfico infringe el requisito del mencionado artículo 10 de que el tratamiento de los datos que allí se mencionan solo pueda llevarse a cabo “bajo la supervisión de las autoridades públicas” o a condición de que existan “garantías adecuadas para los derechos y libertades de los interesados”.
47 Dicho órgano jurisdiccional indica que el artículo 8, apartado 5, de la Directiva 95/46, que dejaba a los Estados miembros la apreciación de si las normas especiales sobre los datos relativos a infracciones y condenas penales debían extenderse a los datos relativos a las infracciones y sanciones administrativas, se había transpuesto en Letonia, desde el 1 de septiembre de 2007, de manera que los datos personales relativos a infracciones administrativas, al igual que los relativos a infracciones y condenas penales, solo podían ser tratados por las personas y en los supuestos legalmente previstos.
48 El mismo órgano jurisdiccional subraya, asimismo, que, de conformidad con el considerando 4 del RGPD, el alcance de su artículo 10 debe valorarse teniendo en cuenta la función de los derechos fundamentales en la sociedad. Pues bien, en este contexto, considera que el objetivo de evitar que una condena previa de una persona tenga una incidencia excesivamente negativa en su vida privada y profesional puede aplicarse tanto a las condenas penales como a las infracciones administrativas. A su entender, en este contexto, es preciso tomar en consideración la jurisprudencia del Tribunal Europeo de Derechos Humanos sobre la asimilación de determinados asuntos administrativos a asuntos penales.
49 La Latvijas Republikas Satversmes tiesa (Tribunal Constitucional de la República de Letonia) se plantea, en segundo lugar, el alcance del artículo 5 del RGPD. En particular, se pregunta si el legislador letón ha cumplido con su obligación, establecida en el apartado 1, letra f), de dicho artículo, de que los datos personales se traten con “integridad y confidencialidad”. Indica que el artículo 141, apartado 2, de la Ley de Tráfico, que, al conceder el acceso a la información sobre los puntos, permite averiguar si una persona ha sido sancionada por una infracción de tráfico, no ha ido acompañado de medidas específicas que garanticen la seguridad de tales datos.
50 En tercer lugar, dicho órgano jurisdiccional desea saber si la Directiva 2003/98 es relevante para apreciar si el artículo 141, apartado 2, de la Ley de Tráfico es compatible con el derecho al respeto de la vida privada. Según razona dicho órgano jurisdiccional, de la Directiva 2003/98 resulta que la reutilización de datos personales puede autorizarse únicamente si se respeta ese derecho.
51 En cuarto lugar, habida cuenta de la jurisprudencia según la cual la interpretación del Derecho de la Unión efectuada en las decisiones prejudiciales tiene efectos erga omnes y ex tunc, dicho órgano jurisdiccional se pregunta si, en caso de incompatibilidad del artículo 141, apartado 2, de la Ley de Tráfico con el artículo 96 de la Constitución letona, considerado a la luz del RGPD y de la Carta, podría mantener los efectos temporales de dicho artículo 141, apartado 2, hasta la fecha en que dicte su sentencia, habida cuenta del gran número de relaciones jurídicas afectadas.
52 A ese respecto, la Latvijas Republikas Satversmes tiesa (Tribunal Constitucional de la República de Letonia) expone que, con arreglo a la legislación letona, una ley declarada inconstitucional debe considerarse inválida desde la fecha de publicación de la sentencia de dicho tribunal, a no ser que este resuelva otra cosa. Explica que debe, a ese respecto, buscar un equilibrio entre el principio de seguridad jurídica y los derechos fundamentales de las distintas partes interesadas.
53 En estas condiciones, la Latvijas Republikas Satversmes tiesa (Tribunal Constitucional de la República de Letonia) decidió suspender el procedimiento y plantear al Tribunal de Justicia las cuestiones prejudiciales siguientes:
“1) ¿Debe interpretarse el concepto de “tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas”, utilizado en el artículo 10 del [RGPD], en el sentido de que comprende el tratamiento de información relativa a los puntos impuestos por infracciones de tráfico a los conductores previsto en la norma controvertida?
2) Con independencia de la respuesta a la primera cuestión, ¿puede interpretarse lo dispuesto en el [RGPD], en particular el principio de “integridad y confidencialidad” enunciado en su artículo 5, apartado 1, letra f), en el sentido de que prohíbe a los Estados miembros establecer que la información relativa a los puntos impuestos por infracciones de tráfico a los conductores sea accesible al público y permitir el tratamiento de los datos correspondientes mediante su comunicación?
3) ¿Deben interpretarse los considerandos 50 y 154, los artículos 5, apartado 1, letra b), y 10 del [RGPD], y el artículo 1, apartado 2, letra c quater), de la Directiva 2003/98 en el sentido de que se oponen a una normativa de un Estado miembro que permite la transmisión de la información relativa a los puntos impuestos por infracciones de tráfico a los conductores a efectos de su reutilización?
4) En caso de que se responda afirmativamente a alguna de las cuestiones anteriores, ¿deben interpretarse el principio de primacía del Derecho de la Unión y el principio de seguridad jurídica en el sentido de que podría estar permitido aplicar la norma controvertida y mantener sus efectos jurídicos hasta que la resolución definitiva que adopte la Satversmes tiesa (Tribunal Constitucional) adquiera firmeza?”
Sobre las cuestiones prejudiciales
Primera cuestión
54 Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 10 del RGPD debe interpretarse en el sentido de que se aplica al tratamiento de datos personales relativos a puntos impuestos a conductores por infracciones de tráfico consistente en la comunicación al público de tales datos.
55 A tenor del artículo 10 del RGPD, el tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas sobre la base del artículo 6, apartado 1, solo podrá llevarse a cabo bajo la supervisión de las autoridades públicas o cuando lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados.
56 Así pues, con carácter preliminar, es preciso comprobar si la información relativa a puntos comunicada a terceros en virtud de la normativa controvertida en el litigio principal constituye “datos personales”, en el sentido del artículo 4, apartado 1, del RGPD, y si dicha comunicación constituye un “tratamiento” de tales datos, en el sentido del artículo 4, apartado 2, de dicho Reglamento, comprendido en el ámbito de aplicación material de este, tal como se define en su artículo 2.
57 A este respecto, es preciso observar, en primer lugar, que de la resolución de remisión se desprende que la normativa letona establece la imposición de puntos a los conductores que hayan cometido una infracción de tráfico y sobre los que haya recaído una sanción pecuniaria o de otro tipo. Estos puntos son inscritos por un organismo público, la CSDD, en el registro nacional de vehículos y conductores el día de expiración del plazo de recurso contra la resolución por la que se adopte dicha sanción.
58 También se desprende de la resolución de remisión que las infracciones de tráfico y las sanciones dirigidas a reprimirlas pertenecen, en Letonia, al Derecho administrativo y que la imposición de puntos no tiene por objeto que recaiga una sanción adicional, sino sensibilizar a los conductores afectados, incitándolos a adoptar un modo de conducción más seguro. Cuando se alcanza un determinado número de puntos, el interesado puede ser objeto de una prohibición de conducir durante un período determinado.
59 También se desprende de dicha resolución que la normativa controvertida en el litigio principal obliga al CSDD a comunicar la información relativa a los puntos impuestos a un conductor determinado a toda persona que solicite el acceso a dicha información. La CSDD se limita a exigir, a tal efecto, que el solicitante de la información identifique debidamente al conductor de que se trate facilitando el número nacional de identificación de este.
60 Así pues, resulta obligado observar que la información relativa a puntos que se refiere a una persona física identificada es “datos personales”, en el sentido del artículo 4, punto 1, del RGPD, y que su comunicación por parte del CSDD a terceros constituye un “tratamiento”, en el sentido del artículo 4, punto 2, del RGPD.
61 En segundo lugar, es conveniente observar que la comunicación de dicha información está comprendida en la definición muy amplia del ámbito de aplicación material del RGPD, tal como se enuncia en su artículo 2, apartado 1, y no figura entre los tratamientos de datos personales que el artículo 2, apartado 2, letras a) y d), del RGPD excluye de ese ámbito de aplicación.
62 Con arreglo al artículo 2, apartado 2, letra a), del RGPD, dicho Reglamento no se aplica al tratamiento de datos personales “en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión”. Esta excepción a la aplicabilidad del RGPD, al igual que las demás excepciones previstas en su artículo 2, apartado 2, debe interpretarse en sentido estricto (véanse, en este sentido, las sentencias de 9 de julio de 2020, Land Hessen, C-272/19, EU:C:2020:535, apartado 68, y de 16 de julio de 2020, Facebook Ireland y Schrems, C-311/18, EU:C:2020:559, apartado 84).
63 A este respecto, es preciso interpretar el artículo 2, apartado 2, letra a), de dicho Reglamento, en relación con su artículo 2, apartado 2, letra b), y su considerando 16, que precisa que el Reglamento no se aplica al tratamiento de datos personales en el ejercicio de “actividades excluidas del ámbito de del Derecho de la Unión, como las actividades relativas a la seguridad nacional”, así como de “actividades relacionadas con la política exterior y de seguridad común de la Unión”.
64 De ello resulta que el artículo 2, apartado 2, letras a) y b), del RGPD se inscribe parcialmente en la continuidad del artículo 3, apartado 2, primer guion, de la Directiva 95/46. De ello se deduce que el artículo 2, apartado 2, letras a) y b), del RGPD no puede interpretarse en el sentido de que dispone de un alcance más amplio que la excepción que se derivaba del artículo 3, apartado 2, primer guion, de la Directiva 95/46, que ya excluía del ámbito de aplicación de esta Directiva, en particular, el tratamiento de datos personales que tuviera lugar en el marco de “actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de los títulos V y VI del Tratado [UE, en su versión anterior al Tratado de Lisboa,] y, en cualquier caso, [el] tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado []”.
65 Pues bien, como ha declarado reiteradamente el Tribunal de Justicia, solo estaban excluidos del ámbito de aplicación de dicha Directiva los tratamientos de datos personales realizados en el marco de una actividad propia de los Estados o de las autoridades estatales y expresamente mencionada en dicho artículo 3, apartado 2, o en el marco de una actividad que pudiera incluirse en la misma categoría (véanse, en este sentido, las sentencias de 6 de noviembre de 2003, Lindqvist, C-101/01, EU:C:2003:596, apartados 42 a 44; de 27 de septiembre de 2017, Pukár, C-73/16, EU:C:2017:725, apartados 36 y 37, y de 10 de julio de 2018, Jehovan todistajat, C-25/17, EU:C:2018:551, apartado 38).
66 De ello resulta que debe considerarse que el artículo 2, apartado 2, letra a), del RGPD, interpretado a la luz del considerando 16 de dicho Reglamento, tiene como único objeto excluir del ámbito de aplicación del mencionado Reglamento los tratamientos de datos personales efectuados por autoridades estatales en el marco de una actividad dirigida a preservar la seguridad nacional o una actividad que pueda incluirse en la misma categoría, de modo que el mero hecho de que una actividad sea propia del Estado o de una autoridad pública no basta para que dicha excepción sea automáticamente aplicable a tal actividad (véase, en este sentido, la sentencia de 9 de julio de 2020, Land Hessen, C-272/19, EU:C:2020:535, apartado 70).
67 Las actividades cuya finalidad es preservar la seguridad nacional a las que se refiere el artículo 2, apartado 2, letra a), del RGPD cubren, en particular, como también ha señalado en esencia el Abogado General en los puntos 57 y 58 de sus conclusiones, las que tienen por objeto proteger las funciones esenciales del Estado y los intereses fundamentales de la sociedad.
68 Pues bien, las actividades relativas a la seguridad vial no persiguen tal objetivo y, en consecuencia, no pueden incluirse en la categoría de las actividades cuya finalidad es la preservación de la seguridad nacional que se contemplan en el artículo 2, apartado 2, letra a), del RGPD.
69 Por lo que atañe, por otra parte, al artículo 2, apartado 2, letra d), del RGPD, establece que dicho Reglamento no se aplicará al tratamiento de datos personales “por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención”. Según resulta del considerando 19 de dicho Reglamento, esta excepción está motivada por el hecho de que los tratamientos, efectuados a tales efectos y por las autoridades competentes, de datos personales se rigen por un acto más específico de la Unión, a saber, la Directiva 2016/680, que fue adoptada el mismo día que el RGPD y que define, en su artículo 3, punto 7, lo que debe entenderse por “autoridad competente”, definición que debe aplicarse, por analogía, al artículo 2, apartado 2, letra d).
70 Del considerando 10 de la Directiva 2016/680 se desprende que el concepto de “autoridad competente” debe entenderse en relación con la protección de datos personales en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial, habida cuenta de las adaptaciones que podrían requerirse, a este respecto, en razón de la naturaleza específica de dichos ámbitos. Además, el considerando 11 de la Directiva 2016/680 precisa que el RGPD se aplica al tratamiento de datos personales efectuado por una “autoridad competente”, en el sentido del artículo 3, apartado 7, de dicha Directiva, pero con fines distintos de los previstos en esta.
71 A la vista de los elementos de que dispone el Tribunal de Justicia, no parece que, en el ejercicio de las actividades controvertidas en el litigio principal, que consisten en comunicar al público, teniendo por finalidad la seguridad vial, datos personales relativos a puntos impuestos, la CSDD pueda considerarse una “autoridad competente”, en el sentido de dicho artículo 3, apartado 7, de la Directiva 2016/680, y, por tanto, que tales actividades puedan estar comprendidas en la excepción prevista en el artículo 2, apartado 2, letra d), del RGPD.
72 Por lo tanto, la comunicación por parte de la CSDD de datos personales relativos a puntos impuestos a conductores por infracciones de tráfico está comprendida en el ámbito de aplicación material del RGPD.
73 En cuanto a la aplicabilidad del artículo 10 del RGPD a tal comunicación, se trata de saber si la información así comunicada constituye datos personales “relativos a condenas e infracciones penales o medidas de seguridad conexas”, en el sentido de esta disposición, cuyo tratamiento “solo podrá llevarse a cabo bajo la supervisión de las autoridades públicas”, a menos que “lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados”.
74 A este respecto, es preciso recordar que dicho artículo 10 tiene por objeto garantizar una mayor protección frente a tratamientos que, en atención a la particular sensibilidad de los datos de que se trate, pueden constituir una injerencia especialmente grave en los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales, garantizados por los artículos 7 y 8 de la Carta [véase, en este sentido, la sentencia de 24 de septiembre de 2019, GC y otros (Retirada de enlaces a datos sensibles), C-136/17, EU:C:2019:773, apartado 44].
75 En efecto, dado que los datos contemplados en el artículo 10 del RGPD se refieren a comportamientos que conllevan la desaprobación de la sociedad, la concesión de un acceso a tales datos puede estigmatizar a la persona afectada y constituir así una injerencia grave en su vida privada o profesional.
76 En el caso de autos, es cierto que, como ha subrayado el Gobierno letón en sus respuestas a las preguntas del Tribunal de Justicia, las resoluciones de las autoridades letonas dirigidas a reprimir las infracciones de tráfico quedan inscritas en el registro de condenas, al que el público solo tiene acceso en casos limitados, y no en el registro de vehículos y conductores, al que el artículo 141, apartado 2, de la Ley de Tráfico da libremente acceso. Sin embargo, como ha subrayado el órgano jurisdiccional remitente, la comunicación por parte de la CSDD de datos personales relativos a puntos impuestos e inscritos en este último registro permite al público saber si una persona determinada ha cometido infracciones de tráfico y, en caso afirmativo, deducir de ello la gravedad y la frecuencia de tales infracciones. Tal régimen de comunicación de puntos equivale, por tanto, a dar acceso a datos personales relativos a infracciones de tráfico.
77 Para determinar si tal acceso constituye un tratamiento de datos personales relativos a “infracciones”, en el sentido del artículo 10 del RGPD, es conveniente señalar, en primer lugar, que este concepto se refiere exclusivamente a las infracciones penales, como resulta, en particular, de la génesis del RGPD. En efecto, mientras que el Parlamento Europeo había propuesto incluir expresamente en esta disposición los términos “sanciones administrativas” (DO 2017, C 378, p. 430), esta propuesta no fue acogida. Esta circunstancia es tanto más notable cuanto que la disposición que precedió al artículo 10 del RGPD, a saber, el artículo 8, apartado 5, de la Directiva 95/46, que se refería, en su párrafo primero, a las “infracciones” y a las “condenas penales”, ofrecía a los Estados miembros, en su párrafo segundo, la posibilidad de “establecer que el tratamiento de datos relativos a sanciones administrativas [] se [realice] asimismo bajo el control de los poderes públicos”. Así pues, de una lectura global de dicho artículo 8, apartado 5, resulta claramente que el concepto de “infracción” se refería únicamente a las infracciones penales.
78 En estas condiciones, debe considerarse que el legislador de la Unión, al omitir deliberadamente el adjetivo “administrativo” en el artículo 10 del RGPD, pretendió limitar al ámbito penal la mayor protección prevista en esta disposición.
79 Esta interpretación queda corroborada, como ha señalado el Abogado General en los puntos 74 a 77 de sus conclusiones, por el hecho de que varias de las versiones lingüísticas del artículo 10 del RGPD hagan expresamente referencia expresa a las “infracciones penales”, como las de lengua alemana (“Straftaten”), española (“infracciones penales”), italiana (“reati”), lituana (“nusikalstamas veikas”), maltesa (“reati”) y neerlandesa (“strafbare feiten”).
80 En segundo lugar, el hecho de que en Letonia las infracciones de tráfico se consideren infracciones administrativas no es determinante para apreciar si dichas infracciones están comprendidas en el ámbito de aplicación del artículo 10 del RGPD.
81 A este respecto, procede recordar que el tenor de una disposición de Derecho de la Unión que no contenga una remisión expresa al Derecho de los Estados miembros para determinar su sentido y su alcance debe normalmente ser objeto de una interpretación autónoma y uniforme en toda la Unión (sentencias de 19 de septiembre de 2000, Linster, C-287/98, EU:C:2000:468, apartado 43, y de 1 de octubre de 2019, Planet49, C-673/17, EU:C:2019:801, apartado 47).
82 En el caso de autos, procede señalar, para comenzar, que el RGPD no contiene ninguna remisión a los Derechos nacionales en lo que atañe al alcance de los términos que figuran en el artículo 10 de este, en particular de los términos “infracciones” y “condenas penales”.
83 A continuación, del considerando 10 del RGPD se desprende que este pretende contribuir a la plena realización de un espacio de libertad, seguridad y justicia mediante la garantía de un nivel uniforme y elevado de protección de las personas físicas por lo que se refiere al tratamiento de los datos personales, lo que supone que ese nivel de protección sea equivalente y homogéneo en todos los Estados miembros. Pues bien, sería contrario a tal finalidad que la mayor protección prevista en dicha disposición solo se aplicara al tratamiento de datos personales relativos a infracciones de tráfico en determinados Estados miembros y no en otros, por el mero hecho de que tales infracciones no se consideren infracciones penales en estos últimos Estados miembros.
84 Por último, como ha señalado el Abogado General en el punto 84 de sus conclusiones, esta constatación queda corroborada por el considerando 13 de la Directiva 2016/680, que indica que “una infracción penal en el sentido de lo dispuesto en [dicha] Directiva debe ser un concepto autónomo del Derecho de la Unión, tal y como lo interpreta el Tribunal de Justicia de la Unión Europea”.
85 De ello resulta que el concepto de “infracción penal”, decisivo para determinar la aplicabilidad del artículo 10 del RGPD a los datos personales relativos a infracciones de tráfico como las controvertidas en el litigio principal, requiere, en toda la Unión, una interpretación autónoma y uniforme, que debe buscarse teniendo en cuenta el objetivo que pretende alcanzar dicha disposición y el contexto en que esta se incluye, sin que sea determinante a este respecto la calificación dada por el Estado miembro de que se trate a esas infracciones, calificación que puede ser diferente de un país a otro (véase, en este sentido, la sentencia de 14 de noviembre de 2013, Balá, C-60/12, EU:C:2013:733, apartados 26 y 35).
86 En tercer lugar, procede examinar si infracciones de tráfico como las que dan lugar a la inscripción en el registro de vehículos y conductores de puntos cuya comunicación a terceros está prevista por la disposición controvertida constituyen una “infracción penal” en el sentido del artículo 10 del RGPD.
87 Según la jurisprudencia del Tribunal de Justicia, tres criterios son pertinentes para apreciar el carácter penal de una infracción. El primero de ellos es la calificación jurídica de la infracción en Derecho interno, el segundo la propia naturaleza de la infracción y el tercero la gravedad de la sanción que puede imponerse al interesado (véanse, en este sentido, las sentencias de 5 de junio de 2012, Bonda, C-489/10, EU:C:2012:319, apartado 37; de 20 de marzo de 2018, Garlsson Real Estate y otros, C-537/16, EU:C:2018:193, apartado 28, y de 2 de febrero de 2021, Consob, C-481/19, EU:C:2021:84, apartado 42).
88 Incluso en el caso de infracciones que el Derecho nacional no califique de “penales”, tal carácter puede derivarse, no obstante, de la propia naturaleza de la infracción de que se trate y del grado de severidad de las sanciones que esta pueda implicar (véase, a este respecto, la sentencia de 20 de marzo de 2018, Garlsson Real Estate y otros, C-537/16, EU:C:2018:193, apartados 28 y 32).
89 En cuanto al criterio relativo a la propia naturaleza de la infracción, este implica comprobar si la sanción de que se trata tiene concretamente una finalidad represiva, sin que la mera circunstancia de que persiga igualmente una finalidad preventiva pueda privarla de la calificación de sanción penal. En efecto, es propio de las sanciones penales tener por objeto tanto la represión como la prevención de conductas ilícitas. En cambio, una medida que se limite a reparar el perjuicio causado por la infracción de que se trate no reviste carácter penal (véanse, en este sentido, las sentencias de 5 de junio de 2012, Bonda, C-489/10, EU:C:2012:319, apartado 39, y de 20 de marzo de 2018, Garlsson Real Estate y otros, C-537/16, EU:C:2018:193, apartado 33). Pues bien, consta que la atribución de puntos por infracciones de tráfico, al igual que las multas u otras sanciones que puede implicar la comisión de dichas infracciones, no solo tienen por objeto reparar los perjuicios eventualmente causados por dichas infracciones, sino que también tienen una finalidad represiva.
90 Por lo que respecta al criterio relativo al grado de severidad de las sanciones que la comisión de esas mismas infracciones puede implicar, es conveniente señalar, para comenzar, que solo infracciones de tráfico de cierta gravedad suponen la atribución de puntos y que, por tanto, tales infracciones pueden dar implicar sanciones de cierta severidad. A continuación, la imposición de puntos se suma generalmente a la sanción que recae en caso de comisión de tal infracción, como por cierto ocurre, según se ha señalado en el apartado 58 de la presente sentencia, con la normativa controvertida en el litigio principal. Por último, la acumulación de dichos puntos implica, en sí misma, consecuencias jurídicas, como la obligación de hacer un examen o incluso una prohibición de conducir.
91 Este análisis se ve corroborado por la jurisprudencia del Tribunal Europeo de Derechos Humanos (TEDH) según la cual, a pesar de la tendencia a la despenalización de las infracciones de tráfico en algunos Estados, estas infracciones deben considerarse por lo general de naturaleza penal, habida cuenta de la finalidad tanto preventiva como represiva de las sanciones que recaen y del grado de severidad que estas pueden alcanzar (véanse, en este sentido, TEDH, 21 de febrero de 1984, Öztürk c. Alemania, CE:ECHR:1984:0221JUD000854479, §§ 49 a 53; 29 de junio de 2007, O’Halloran y Francis c. Reino Unido, CE:ECHR:2007:0629JUD001580902, §§ 33 a 36, y 4 de octubre de 2016, Rivard c. Suiza, CE:ECHR:2016:1004JUD002156312, §§ 23 y 24).
92 La calificación de las infracciones de tráfico que pueden implicar la atribución de puntos como “infracción penal”, en el sentido del artículo 10 del RDPD, encaja asimismo con la finalidad de esta disposición. En efecto, la comunicación al público de datos personales relativos a infracciones de tráfico, incluidos los puntos impuestos por su comisión, puede, habida cuenta de que tales infracciones constituyen un atentado a la seguridad vial, provocar la desaprobación de la sociedad y conllevar la estigmatización del interesado, en particular cuando esos puntos ponen de manifiesto cierta gravedad o cierta frecuencia de dichas infracciones.
93 De ello se deriva que las infracciones de tráfico que pueden implicar la atribución de puntos están comprendidas en el concepto de “infracciones” contemplado en el artículo 10 del RGPD.
94 Habida cuenta de todas las consideraciones anteriores, procede responder a la primera cuestión prejudicial planteada que el artículo 10 del RGPD debe interpretarse en el sentido de que se aplica al tratamiento de datos personales relativos a puntos impuestos a conductores por infracciones de tráfico.
Segunda cuestión
95 Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si las disposiciones del RGPD deben interpretarse en el sentido de que se oponen a una normativa nacional que obliga al organismo público encargado del registro en el que se inscriben los puntos impuestos a conductores por infracciones de tráfico a comunicar dichos datos a cualquier persona que lo solicite, sin que esta tenga que justificar un interés específico en obtenerlos.
96 A este respecto, es conveniente recordar que todo tratamiento de datos personales debe ser conforme, por una parte, con los principios relativos al tratamiento de datos enunciados en el artículo 5 del RGPD y, por otra, con alguno de los principios relativos a la licitud del tratamiento enumerados en el artículo 6 de dicho Reglamento (véase, en este sentido, la sentencia de 16 de enero de 2019, Deutsche Post, C-496/17, EU:C:2019:26, apartado 57 y jurisprudencia citada).
97 En cuanto a los principios relativos al tratamiento de los datos personales, es cierto que el órgano jurisdiccional remitente se refiere específicamente a los principios de “integridad” y de “confidencialidad” consagrados en el artículo 5, apartado 1, letra f), del RGPD. Dicho esto, de los interrogantes que plantea ese órgano jurisdiccional se desprende que pretende determinar con carácter más general si el tratamiento de datos personales controvertido en el litigio principal puede considerarse lícito a la luz de todas las disposiciones de dicho Reglamento y, en particular, a la luz del principio de proporcionalidad.
98 De ello se deduce que, en la respuesta que ha de darse a dicho órgano jurisdiccional, deben tenerse en cuenta asimismo los demás principios enunciados en el artículo 5, apartado 1, del mencionado Reglamento y, en particular, el principio de “minimización de datos” que figura en la letra c) de dicha disposición, según el cual los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados, y que refleja el citado principio de proporcionalidad (véase, en este sentido, la sentencia de 11 de diciembre de 2019, Asociaţia de Proprietari bloc M5A-ScaraA, C-708/18, EU:C:2019:1064, apartado 48).
99 Por lo que respecta a los principios relativos a la licitud del tratamiento, el artículo 6 del RGPD prevé una lista exhaustiva y taxativa de los casos en los que un tratamiento de datos personales puede considerarse lícito. Así pues, para poder ser considerado legítimo, el tratamiento de datos personales debe estar comprendido en uno de los seis casos contemplados en dicho artículo 6 (véase, en este sentido, la sentencia de 11 de diciembre de 2019, Asociaţia de Proprietari bloc M5A-ScaraA, C-708/18, EU:C:2019:1064, apartados 37 et 38). A este respecto, el tratamiento de datos personales controvertido en el litigio principal, a saber, la comunicación al público de datos relativos a puntos impuestos por infracciones de tráfico, efectuado por la CSDD, puede estar comprendido en el ámbito de aplicación del artículo 6, apartado 1, letra e), del RGPD, en virtud del cual el tratamiento será lícito siempre y cuando sea “necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”.
100 Además, en la medida en que, como se ha señalado en el apartado 94 de la presente sentencia, los datos personales relativos a puntos de penalización impuestos a conductores por infracciones de tráfico están comprendidos en el ámbito de aplicación del artículo 10 del RGPD, su tratamiento está sujeto a las restricciones adicionales previstas en dicha disposición. De ese modo, conforme a esta, el tratamiento de estos datos “solo podrá llevarse a cabo bajo la supervisión de las autoridades públicas”, a menos que “lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados”. Dicha disposición precisa, por otra parte, que “solo podrá llevarse un registro completo de condenas penales bajo el control de las autoridades públicas”.
101 En el caso de autos, consta que el tratamiento de datos personales controvertido en el litigio principal, a saber, la comunicación al público de datos relativos a puntos impuestos por infracciones de tráfico, es realizado por un organismo público, la CSDD, que es el responsable del tratamiento en el sentido del artículo 4, punto 7, del RGPD (véase, por analogía, la sentencia de 9 de marzo de 2017, Manni, C-398/15, EU:C:2017:197, apartado 35). No obstante, consta asimismo que, una vez comunicados, estos datos son consultados por las personas que han solicitado su comunicación y, en su caso, son conservados o difundidos por esas personas. En la medida en que estos tratamientos posteriores de datos ya no se efectúan “bajo la supervisión” de la CSDD o de otra autoridad pública, el Derecho nacional que autoriza la comunicación de dichos datos por parte de la CSDD debe establecer “garantías adecuadas para los derechos y libertades de los interesados”.
102 Por ende, son tanto las condiciones generales de licitud, en particular las establecidas en los artículos 5, apartado 1, letra c), y 6, apartado 1, letra e), del RGPD, como las restricciones concretas previstas en su artículo 10 las que deben guiarnos al examinar la conformidad con dicho Reglamento de una normativa nacional como la controvertida en el litigio principal.
103 A este respecto, es conveniente observar que ninguna de estas disposiciones prohíbe de manera general y absoluta que, en virtud de una normativa nacional, una autoridad pública esté facultada, o incluso obligada, a comunicar datos personales a las personas que lo soliciten.
104 En efecto, si bien el artículo 5, apartado 1, letra c), del RGPD supedita al respeto del principio de “minimización de datos” el tratamiento de datos personales, del tenor de esta disposición resulta claramente que no pretende establecer tal prohibición general y absoluta y que, en particular, no obsta a que se comuniquen al público datos personales cuando dicha comunicación sea necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, en el sentido del artículo 6, apartado 1, letra e), de dicho Reglamento. Así sucede incluso cuando los datos en cuestión están comprendidos en el ámbito de aplicación del artículo 10 del RGPD, siempre que la normativa que autorice dicha comunicación establezca garantías adecuadas para los derechos y libertades de los interesados [véase, en este sentido, la sentencia de 24 de septiembre de 2019, GC y otros (Retirada de enlaces a datos sensibles), C-136/17, EU:C:2019:773, apartado 73].
105 En este contexto, procede recordar que los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales no constituyen prerrogativas absolutas, sino que deben considerarse según su función en la sociedad y ponderarse con otros derechos fundamentales. Así pues, podrán introducirse limitaciones, siempre que, de conformidad con el artículo 52, apartado 1, de la Carta, sean establecidas por la ley y respeten el contenido esencial de los derechos fundamentales y el principio de proporcionalidad. En virtud de este último principio, solo podrán introducirse limitaciones cuando sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás. Dichas limitaciones no deben exceder de lo estrictamente necesario y la normativa controvertida que conlleve la injerencia debe establecer reglas claras y precisas que regulen el alcance y la aplicación de la medida en cuestión (véase, en este sentido, la sentencia de 16 de julio de 2020, Facebook Ireland y Schrems, C-311/18, EU:C:2020:559, apartados 172 a 176).
106 Por lo tanto, para determinar si una comunicación al público de datos personales relativos a puntos como la controvertida en el litigio principal es necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, en el sentido del artículo 6, apartado 1, letra e), del RGPD, y si la legislación que autoriza tal comunicación establece garantías adecuadas para los derechos y libertades de los interesados, en el sentido del artículo 10 de dicho Reglamento, procede verificar, en particular, si, habida cuenta de la gravedad de la injerencia en los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales causada por dicha comunicación, esta resulta justificada, y en particular proporcionada, para alcanzar los objetivos perseguidos.
107 En el caso de autos, el Parlamento letón, en sus observaciones ante el órgano jurisdiccional remitente, y el Gobierno letón, en sus observaciones ante el Tribunal de Justicia, alegan que la comunicación por parte de la CSDD de datos personales relativos a puntos a cualquier persona que lo solicite forma parte de la misión realizada en interés público, que incumbe a dicho órgano, de mejorar la seguridad vial y tiene por objeto, en particular, en este contexto, permitir la identificación de los conductores que sistemáticamente infrinjan las normas de tráfico e incitarlos a un comportamiento conforme con dictas normas.
108 A este respecto, procede recordar que la mejora de la seguridad vial constituye un objetivo de interés general reconocido por la Unión (véase, en ese sentido, la sentencia de 23 de abril de 2015, Aykul, C-260/13, EU:C:2015:257, apartado 69 y jurisprudencia citada). Por lo tanto, los Estados miembros están legitimados para calificar la seguridad vial de “misión realizada en interés público”, en el sentido del artículo 6, apartado 1, letra e), del RGPD.
109 Sin embargo, para cumplir con las condiciones establecidas por esta última disposición, es necesario que la comunicación de datos personales relativos a puntos inscritos en el registro que lleva la CSDD responda efectivamente al objetivo de interés general de mejorar la seguridad vial, sin ir más allá de lo necesario para alcanzar dicho objetivo.
110 Como subraya el considerando 39 del RGPD, este requisito de la necesidad no se cumple cuando el objetivo de interés general perseguido puede alcanzarse razonablemente de manera tan eficaz por otros medios menos atentatorios respecto de los derechos fundamentales de los interesados, en particular respecto de los derechos al respeto de la vida privada y de protección de los datos personales, garantizados por los artículos 7 y 8 de la Carta, puesto que las excepciones y restricciones al principio de protección de dichos datos deben establecerse sin sobrepasar los límites de lo estrictamente necesario (véase, en este sentido, la sentencia de 11 de diciembre de 2019, Asociaţia de Proprietari bloc M5A-ScaraA, C-708/18, EU:C:2019:1064, apartados 46 y 47).
111 Pues bien, como se desprende de la práctica de los Estados miembros, cada uno de ellos dispone de multitud de acciones entre las que figuran, en particular, la de reprimir de manera disuasoria las infracciones de tráfico, en particular privando a los conductores afectados del derecho a conducir, y el quebrantamiento de tal prohibición puede, a su vez, ser reprimido con penas efectivas, sin que sea necesario comunicar al público la adopción de tales medidas. De esta práctica también se desprende que, además, pueden adoptarse numerosas medidas preventivas, que van desde campañas de sensibilización colectiva hasta la adopción de medidas individuales consistentes en obligar a un conductor a seguir cursillos y someterse a exámenes, sin que sea necesario comunicar al público la adopción de tales medidas individuales. Pues bien, de los autos que obran ante el Tribunal de Justicia no se desprende que tales medidas hubieran sido examinadas y priorizadas por el legislador letón en lugar de adoptar la normativa controvertida en el litigio principal.
112 Además, como se ha señalado en el apartado 92 de la presente sentencia, la comunicación al público de datos personales relativos a infracciones de tráfico, incluidos los datos relativos a puntos impuestos por su comisión, puede llegar a constituir una injerencia grave en los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales, puesto que puede provocar la desaprobación de la sociedad y conllevar la estigmatización del interesado.
113 Habida cuenta, por una parte, del carácter sensible de los datos de que se trata y de la gravedad de dicha injerencia en los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales de los interesados, así como, por otra parte, de que, tomando en consideración las apreciaciones efectuadas en el apartado 111 de la presente sentencia, no resulta que el objetivo de mejorar la seguridad vial no pueda alcanzarse razonablemente de manera tan eficaz por otros medios menos atentatorios, no puede considerarse acreditada la necesidad, para garantizar dicho objetivo, de un régimen de comunicación de este tipo de datos personales relativos a puntos impuestos por infracciones de tráfico (véase, por analogía, la sentencia de 9 de noviembre de 2010, Volker und Markus Schecke y Eifert, C-92/09 y C-93/09, EU:C:2010:662, apartado 86).
114 Así pues, si bien puede estar justificado diferenciar a los conductores que sistemáticamente y de mala fe incumplen las normas de tráfico de los conductores que cometen infracciones ocasionales, no puede considerarse que la identificación de la primera categoría de conductores deba, a efectos de mejorar la seguridad vial, ser efectuada por el público en general o compartida con él, de modo que incluso cabe dudar de la idoneidad de la normativa controvertida en el litigio principal para alcanzar el primero de los objetivos mencionados en el apartado 107 de la presente sentencia.
115 Por lo demás, de los autos que obran ante el Tribunal de Justicia se desprende que la CSDD comunica al público no solo los datos relativos a puntos impuestos a conductores que sistemáticamente y de mala fe incumplen las normas de tráfico, sino también los relativos a puntos impuestos a conductores que cometen infracciones ocasionales. Así pues, resulta que, al permitir un acceso generalizado del público a los puntos, la normativa controvertida en el litigio principal va, en cualquier caso, más allá de lo necesario para garantizar el objetivo de combatir el incumplimiento sistemático y de mala fe de las normas de tráfico.
116 Por lo que respecta al segundo de los objetivos perseguidos por la normativa controvertida en el litigio principal, recordado en el apartado 107 de la presente sentencia, de dichos autos se desprende que, si bien en Letonia ha podido observarse una tendencia a la disminución del número de accidentes de tráfico, nada permite concluir que esta tendencia esté más vinculada a la comunicación de la información relativa a los puntos que a la implantación del propio sistema de puntos.
117 La conclusión enunciada en el apartado 113 de la presente sentencia no queda desvirtuada por la circunstancia de que la CSDD someta, en la práctica, la comunicación de los datos personales de que se trata al requisito de que el solicitante indique el número nacional de identificación del conductor sobre el que desea informarse.
118 En efecto, aun suponiendo que, como ha precisado el Gobierno letón, la comunicación de los números nacionales de identificación por los organismos públicos que llevan los registros de población esté sujeta a requisitos estrictos y cumpla así el artículo 87 del RGPD, no es menos cierto que la normativa controvertida en el litigio principal, tal como la aplica la CSDD, permite que cualquier persona que conozca el número nacional de identificación de un conductor determinado obtenga, sin más condiciones, los datos personales relativos a los puntos impuestos a ese conductor. Tal régimen de comunicación puede llegar a producir una situación en la que esos datos se comuniquen a personas que, por razones ajenas al objetivo de interés general de mejorar la seguridad vial, pretenden informarse sobre los puntos impuestos a una persona en concreto.
119 La conclusión enunciada en el apartado 113 de la presente sentencia tampoco queda desvirtuada por la circunstancia de que el registro nacional de vehículos y conductores sea un documento oficial en el sentido del artículo 86 del RGPD.
120 En efecto, si bien el acceso del público a documentos oficiales constituye, según se deriva del considerando 154 de dicho Reglamento, un interés público que puede llegar a legitimar la comunicación de datos personales que figuren en tales documentos, dicho acceso debe conciliarse, no obstante, con los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales, según exige, por otra parte, expresamente el mencionado artículo 86. Pues bien, habida cuenta, en particular, del carácter sensible de los datos relativos a puntos impuestos por infracciones de tráfico y de la gravedad de la injerencia en los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales de los interesados que provoca la comunicación de tales datos, debe considerarse que dichos derechos prevalecen sobre el interés del público a tener acceso a documentos oficiales y, en concreto, al registro nacional de vehículos y conductores.
121 Además, por esta misma razón, el derecho a la libertad de información a que se refiere el artículo 85 del RGPD no puede interpretarse en el sentido de que justifique la comunicación a cualquier persona que lo solicite de datos personales relativos a puntos impuestos por infracciones de tráfico.
122 Habida cuenta de todo lo anterior, procede responder a la segunda cuestión prejudicial que las disposiciones del RGPD, en particular sus artículos 5, apartado 1, 6, apartado 1, letra e), y 10, deben interpretarse en el sentido de que se oponen a una normativa nacional que obliga al organismo público encargado del registro en el que se inscriben los puntos impuestos a conductores por infracciones de tráfico a establecer que dichos datos sean accesibles al público sin que la persona que solicite ese acceso tenga que justificar un interés específico en obtenerlos.
Tercera cuestión
123 Mediante su tercera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si las disposiciones del RGPD, en particular sus artículos 5, apartado 1, letra b), y 10, así como el artículo 1, apartado 2, letra c quater), de la Directiva 2003/98, deben interpretarse en el sentido de que se oponen a una normativa nacional que autoriza al organismo público encargado del registro en el que se inscriben los puntos impuestos por infracciones de tráfico a los conductores a comunicar dichos datos a operadores económicos a efectos de su reutilización.
124 Como subraya el órgano jurisdiccional remitente, esta cuestión tiene su origen en el hecho de que la CSDD celebra con operadores económicos contratos en virtud de los cuales la primera transmite a los segundos los datos personales relativos a puntos inscritos en el registro nacional de vehículos y conductores, de tal manera que cualquier persona que desee informarse sobre los puntos impuestos a un conductor determinado puede obtener dichos datos no solo de la CSDD, sino también de esos operadores económicos.
125 De la respuesta a la segunda cuestión prejudicial resulta que las disposiciones del RGPD, en particular sus artículos 5, apartado 1, 6, apartado 1, letra e), y 10, deben interpretarse en el sentido de que se oponen a una normativa nacional que obliga al organismo público encargado del registro en el que se inscriben los puntos impuestos a conductores por infracciones de tráfico a establecer que dichos datos sean accesibles al público sin que la persona que solicite ese acceso tenga que justificar un interés específico en obtenerlos.
126 Estas mismas disposiciones deben interpretarse, por razones idénticas a las expuestas en la respuesta a la segunda cuestión prejudicial, en el sentido de que se oponen asimismo a una normativa nacional que autoriza a un organismo público a comunicar datos de esa naturaleza a operadores económicos para que estos puedan reutilizarlos y comunicarlos al público.
127 Por último, por lo que respecta al artículo 1, apartado 2, letra c quater), de la Directiva 2003/98, al que se refiere asimismo la tercera cuestión prejudicial planteada, procede observar que, como ha señalado el Abogado General en los puntos 128 y 129 de sus conclusiones, esta disposición no es pertinente para determinar si las normas del Derecho de la Unión en materia de protección de datos personales se oponen a una normativa como la controvertida en el litigio principal.
128 En efecto, con independencia de si los datos relativos a puntos impuestos a conductores por infracciones de tráfico están o no comprendidos en el ámbito de aplicación de la Directiva 2003/98, el alcance de la protección de esos datos debe determinarse, en cualquier caso, sobre la base del RGPD, tal como se deriva, por una parte, del considerando 154 de dicho Reglamento y, por otra parte, del considerando 21 y del artículo 1, apartado 4, de dicha Directiva, en relación con el artículo 94, apartado 2, del RGPD, ya que el artículo 1, apartado 4, de la Directiva establece, en esencia, que esta no menoscaba ni afecta en modo alguno el nivel de protección de las personas físicas en lo que respecta al tratamiento de datos personales con arreglo a las disposiciones del Derecho de la Unión y, en particular, no altera las obligaciones ni los derechos establecidos en el RGPD.
129 Habida cuenta de lo anterior, procede responder a la tercera cuestión prejudicial que las disposiciones del RGPD, en particular sus artículos 5, apartado 1, 6, apartado 1, letra e), y 10, deben interpretarse en el sentido de que se oponen a una normativa nacional que autoriza al organismo público encargado del registro en el que se inscriben los puntos impuestos por infracciones de tráfico a los conductores a comunicar dichos datos a operadores económicos a efectos de su reutilización.
Cuarta cuestión
130 Mediante su cuarta cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el principio de primacía del Derecho de la Unión debe interpretarse en el sentido de que se opone a que el tribunal constitucional de un Estado miembro que conoce de un recurso interpuesto contra una normativa nacional que, a la luz de una resolución del Tribunal de Justicia dictada tras la remisión prejudicial correspondiente, resulta ser incompatible con el Derecho de la Unión decida, con arreglo al principio de seguridad jurídica, que se mantienen los efectos jurídicos de dicha normativa hasta la fecha en que ese tribunal constitucional dicte una sentencia que resuelva definitivamente sobre tal recurso de inconstitucionalidad.
131 Como se desprende de la resolución de remisión, esta cuestión se plantea debido al elevado número de relaciones jurídicas afectadas por la normativa nacional controvertida en el litigio principal y al hecho de que, en virtud del artículo 32, apartado 3, de la Ley del Tribunal Constitucional y de la jurisprudencia dictada al respecto, el órgano jurisdiccional remitente, en ejercicio de su misión de garantizar un equilibrio entre el principio de seguridad jurídica y los derechos fundamentales de las personas afectadas, puede limitar el efecto retroactivo de sus sentencias para evitar que estas vulneren gravemente los derechos de terceros.
132 A este respecto, procede recordar que la interpretación que el Tribunal de Justicia, en el ejercicio de la competencia que le confiere el artículo 267 TFUE, hace de las normas del Derecho de la Unión aclara y precisa el significado y el alcance de dichas normas, tal como deben o habrían debido ser entendidas y aplicadas desde el momento de su entrada en vigor. En consecuencia, solo con carácter excepcional puede el Tribunal de Justicia, aplicando el principio general de seguridad jurídica inherente al ordenamiento jurídico de la Unión, limitar la posibilidad de que los interesados invoquen una disposición por él interpretada con el fin de cuestionar relaciones jurídicas establecidas de buena fe. Para poder decidir dicha limitación, es necesario que concurran dos criterios esenciales, a saber, la buena fe de los círculos interesados y el riesgo de trastornos graves (sentencias de 6 de marzo de 2007, Meilicke y otros, C-292/04, EU:C:2007:132, apartados 34 y 35; de 22 de enero de 2015, Balazs, C-401/13 y C-432/13, EU:C:2015:26, apartados 49 y 50, y de 29 de septiembre de 2015, Gmina Wrocław, C-276/14, EU:C:2015:635, apartados 44 y 45).
133 Por otra parte, según la jurisprudencia constante del Tribunal de Justicia, tal limitación únicamente puede admitirse en la misma sentencia que resuelve sobre la interpretación solicitada. En efecto, es necesario un momento único de determinación de los efectos en el tiempo de la interpretación solicitada que realiza el Tribunal de Justicia de una disposición del Derecho de la Unión. El principio de que una limitación solo puede admitirse en la misma sentencia que resuelve sobre la interpretación solicitada garantiza la igualdad de trato de los Estados miembros y de los demás justiciables frente a este derecho y cumple, de esa manera, las exigencias que impone el principio de seguridad jurídica (sentencia de 6 de marzo de 2007, Meilicke y otros, C-292/04, EU:C:2007:132, apartados 36 y 37; véanse, en este sentido, las sentencias de 23 de octubre de 2012, Nelson y otros, C-581/10 y C-629/10, EU:C:2012:657, apartado 91, y de 7 de noviembre de 2018, O’Brien, C-432/17, EU:C:2018:879, apartado 34).
134 Por consiguiente, los efectos en el tiempo de una resolución del Tribunal de Justicia tras la remisión prejudicial correspondiente no pueden depender de la fecha en que se dicte la sentencia mediante la cual el órgano jurisdiccional remitente resuelva definitivamente sobre el litigio principal, ni siquiera de la apreciación por este de la necesidad de preservar los efectos jurídicos de la normativa nacional controvertida.
135 En efecto, en virtud del principio de primacía del Derecho de la Unión, no puede admitirse que normas de Derecho nacional, aun si son de rango constitucional, menoscaben la unidad y la eficacia del Derecho de la Unión (véanse, en este sentido, las sentencias de 26 de febrero de 2013, Melloni, C-399/11, EU:C:2013:107, apartado 59, y de 29 de julio de 2019, Pelham y otros, C-476/17, EU:C:2019:624, apartado 78). Aun suponiendo que consideraciones imperiosas de seguridad jurídica puedan conducir, con carácter excepcional, a suspender provisionalmente el efecto de exclusión que ejerce una norma de la Unión directamente aplicable sobre el Derecho nacional contrario a ella, los requisitos de tal suspensión solo los puede establecer el Tribunal de Justicia (véase, en este sentido, la sentencia de 8 de septiembre de 2010, Winner Wetten, C-409/06, EU:C:2010:503, apartados 61 y 67).
136 En el caso de autos, al no haberse demostrado un riesgo de trastornos graves derivado de la interpretación adoptada por el Tribunal de Justicia en la presente sentencia, no procede limitar en el tiempo los efectos de esta, ya que los criterios mencionados en el apartado 132 de la presente sentencia son acumulativos.
137 Habida cuenta de lo anterior, procede responder a la cuarta cuestión prejudicial que el principio de primacía del Derecho de la Unión debe interpretarse en el sentido de que se opone a que el tribunal constitucional de un Estado miembro que conoce de un recurso interpuesto contra una normativa nacional que, a la luz de una resolución del Tribunal de Justicia dictada tras la remisión prejudicial correspondiente, resulta ser incompatible con el Derecho de la Unión decida, con arreglo al principio de seguridad jurídica, que se mantienen los efectos jurídicos de dicha normativa hasta la fecha en que ese tribunal constitucional dicte una sentencia que resuelva definitivamente sobre tal recurso de inconstitucionalidad.
Costas
138 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.
En virtud de todo lo expuesto, el Tribunal de Justicia (Gran Sala) declara:
1) El artículo 10 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), debe interpretarse en el sentido de que se aplica al tratamiento de datos personales relativos a puntos impuestos a conductores por infracciones de tráfico.
2) Las disposiciones del Reglamento 2016/679, en particular sus artículos 5, apartado 1, 6, apartado 1, letra e), y 10, deben interpretarse en el sentido de que se oponen a una normativa nacional que obliga al organismo público encargado del registro en el que se inscriben los puntos impuestos a conductores por infracciones de tráfico a establecer que dichos datos sean accesibles al público sin que la persona que solicite ese acceso tenga que justificar un interés específico en obtenerlos.
3) Las disposiciones del Reglamento 2016/679, en particular sus artículos 5, apartado 1, 6, apartado 1, letra e), y 10, deben interpretarse en el sentido de que se oponen a una normativa nacional que autoriza al organismo público encargado del registro en el que se inscriben los puntos impuestos por infracciones de tráfico a los conductores a comunicar dichos datos a operadores económicos a efectos de su reutilización.
4) El principio de primacía del Derecho de la Unión debe interpretarse en el sentido de que se opone a que el tribunal constitucional de un Estado miembro que conoce de un recurso interpuesto contra una normativa nacional que, a la luz de una resolución del Tribunal de Justicia dictada tras la remisión prejudicial correspondiente, resulta ser incompatible con el Derecho de la Unión decida, con arreglo al principio de seguridad jurídica, que se mantienen los efectos jurídicos de dicha normativa hasta la fecha en que ese tribunal constitucional dicte una sentencia que resuelva definitivamente sobre tal recurso de inconstitucionalidad.
