Protección de Datos en una comunidad religiosa: Sentencia TJUE 10 de julio
Comentarios a la Sentencia del Tribunal de Justicia de la Unión Europea, de 10 de julio de 2018, sobre el asunto C 25/17, por la que se interpreta la normativa de protección de datos y la obligación de una comunidad religiosa en esta materia.
El pasado día 10 de julio, el Tribunal de Justicia de la Unión Europea (“TJUE”) dictó sentencia en relación con el asunto C 25/17, en la que interpreta la normativa europea sobre protección de datos y establece las obligaciones a las que se debe sujetar una comunidad religiosa al respecto.
El supuesto de hecho en cuestión se originó cuando la Comisión de protección de datos de Finlandia dictó una resolución en fecha 17 de septiembre de 2013, mediante la cual prohibía a la comunidad de los Testigos de Jehová recoger o tratar datos personales en relación con la actividad de predicación puerta a puerta llevada a cabo por sus miembros. Dicha prohibición se sustentaba en que no concurrían los requisitos legales para el tratamiento de tales datos previstos por la legislación aplicable (la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, por un lado, y la Ley 523/1999, de 22 de abril de 1999, que traspone dicha Directiva al derecho finlandés, por otro).
La mencionada resolución se fundamentaba en que, a juicio del órgano emisor, la recogida de datos que realizaban los miembros de dicha comunidad constituía un tratamiento de datos personales según la normativa aplicable y, por tanto, dicha comunidad y sus integrantes eran conjuntamente responsables del tratamiento que realizan.
En este contexto, la comunidad de Testigos de Jehová recurrió esta resolución ante el Tribunal de lo Contencioso Administrativo de Helsinki, que estimó su anulación. A continuación, el supervisor de protección de datos recurrió la sentencia dictada por este órgano ante el Tribunal Supremo de lo Contencioso Administrativo de Finlandia, que finalmente optó por presentar una cuestión prejudicial ante el TJUE, que se centra en tres asuntos fundamentales:
i) Si la recogida y posterior tratamiento de los datos, en el contexto de las actividades de predicación, se enmarca o no dentro de las materias excluidas del ámbito de aplicación de la Directiva.
En este sentido, el TJUE entiende que dicha actividad de predicación puerta a puerta sí queda comprendida dentro del ámbito de aplicación de la normativa en materia de protección de datos, dado que: i) las actividades expresamente excluidas son propias del Estado o de las autoridades estatales y, por tanto, ajenas a la esfera de actividades de los particulares y, ii) las exclusiones deben designarse expresamente como excepciones en la propia normativa. Por otro lado, el TJUE entiende que tampoco pueden tener la consideración de actividades personales o domésticas (lo cual sí conduciría a la exclusión de la aplicación de normativa de protección de datos), ya que la manifestación de fe del predicador no confiere a dicha actividad carácter exclusivamente personal, sino que, por el contrario, la actividad de predicación rebasa la esfera privada de un miembro de una comunidad religiosa.
ii) Si la recopilación de datos por parte de esta comunidad religiosa en el ejercicio de su actividad de predicación puede considerarse o no como un fichero a los efectos de la normativa de protección datos.
Ante esta cuestión, el TJUE afirma que no es preciso cumplir ningún requisito en cuanto a la forma para considerar un fichero como tal, sino que lo esencial es observar la finalidad para la que se recaban los datos. Por tanto, a estos efectos, no resulta relevante la técnica utilizada para tratar los datos, sino que debe realizarse una interpretación en sentido amplio del concepto de fichero, entendiéndolo como cualquier conjunto de datos personales que se encuentre estructurado conforme a criterios establecidos en función del objetivo de dicha recogida. Por ello, atendiendo a este criterio, el TJUE entiende que la recopilación de datos efectuada por la comunidad religiosa sí tiene la consideración de fichero a los efectos de la normativa de protección de datos.
iii) Si la comunidad de Testigos de Jehová y/o sus miembros pueden tener la consideración o no de responsables del tratamiento de los datos personales recabados en su labor de predicación, o si, por el contrario, únicamente pueden tener dicha condición si adoptan determinadas medidas específicas.
En cuanto a la comunidad religiosa (entendida como una entidad), el Tribunal señala que los objetivos que le son propios, no solo influyen en el tratamiento que se da a los datos personales, sino que, además, determinan los fines y los medios del tratamiento. Por otro lado, en cuanto a los miembros de la comunidad, el Tribunal señala que el concepto de responsable del tratamiento comprende tanto personas físicas como jurídicas que, de forma individual o conjuntamente con otros, determinen dichos fines y medios de tratamiento. Por todo ello, y dado que la actividad de predicación resulta esencial para los fines propios de esta comunidad religiosa, el TJUE considera que tanto esta como sus miembros son responsables de forma conjunta del tratamiento de los datos personales recabados en su labor de predicación, sin que sea preciso que se tomen medidas específicas de ningún tipo (tales como instrucciones por escrito y/o consignas en relación con esos tratamientos).
El pasado día 10 de julio, el Tribunal de Justicia de la Unión Europea (“TJUE”) dictó sentencia en relación con el asunto C 25/17, en la que interpreta la normativa europea sobre protección de datos y establece las obligaciones a las que se debe sujetar una comunidad religiosa al respecto.
El supuesto de hecho en cuestión se originó cuando la Comisión de protección de datos de Finlandia dictó una resolución en fecha 17 de septiembre de 2013, mediante la cual prohibía a la comunidad de los Testigos de Jehová recoger o tratar datos personales en relación con la actividad de predicación puerta a puerta llevada a cabo por sus miembros. Dicha prohibición se sustentaba en que no concurrían los requisitos legales para el tratamiento de tales datos previstos por la legislación aplicable (la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, por un lado, y la Ley 523/1999, de 22 de abril de 1999, que traspone dicha Directiva al derecho finlandés, por otro).
La mencionada resolución se fundamentaba en que, a juicio del órgano emisor, la recogida de datos que realizaban los miembros de dicha comunidad constituía un tratamiento de datos personales según la normativa aplicable y, por tanto, dicha comunidad y sus integrantes eran conjuntamente responsables del tratamiento que realizan.
En este contexto, la comunidad de Testigos de Jehová recurrió esta resolución ante el Tribunal de lo Contencioso Administrativo de Helsinki, que estimó su anulación. A continuación, el supervisor de protección de datos recurrió la sentencia dictada por este órgano ante el Tribunal Supremo de lo Contencioso Administrativo de Finlandia, que finalmente optó por presentar una cuestión prejudicial ante el TJUE, que se centra en tres asuntos fundamentales:
i) Si la recogida y posterior tratamiento de los datos, en el contexto de las actividades de predicación, se enmarca o no dentro de las materias excluidas del ámbito de aplicación de la Directiva.
En este sentido, el TJUE entiende que dicha actividad de predicación puerta a puerta sí queda comprendida dentro del ámbito de aplicación de la normativa en materia de protección de datos, dado que: i) las actividades expresamente excluidas son propias del Estado o de las autoridades estatales y, por tanto, ajenas a la esfera de actividades de los particulares y, ii) las exclusiones deben designarse expresamente como excepciones en la propia normativa. Por otro lado, el TJUE entiende que tampoco pueden tener la consideración de actividades personales o domésticas (lo cual sí conduciría a la exclusión de la aplicación de normativa de protección de datos), ya que la manifestación de fe del predicador no confiere a dicha actividad carácter exclusivamente personal, sino que, por el contrario, la actividad de predicación rebasa la esfera privada de un miembro de una comunidad religiosa.
ii) Si la recopilación de datos por parte de esta comunidad religiosa en el ejercicio de su actividad de predicación puede considerarse o no como un fichero a los efectos de la normativa de protección datos.
Ante esta cuestión, el TJUE afirma que no es preciso cumplir ningún requisito en cuanto a la forma para considerar un fichero como tal, sino que lo esencial es observar la finalidad para la que se recaban los datos. Por tanto, a estos efectos, no resulta relevante la técnica utilizada para tratar los datos, sino que debe realizarse una interpretación en sentido amplio del concepto de fichero, entendiéndolo como cualquier conjunto de datos personales que se encuentre estructurado conforme a criterios establecidos en función del objetivo de dicha recogida. Por ello, atendiendo a este criterio, el TJUE entiende que la recopilación de datos efectuada por la comunidad religiosa sí tiene la consideración de fichero a los efectos de la normativa de protección de datos.
iii) Si la comunidad de Testigos de Jehová y/o sus miembros pueden tener la consideración o no de responsables del tratamiento de los datos personales recabados en su labor de predicación, o si, por el contrario, únicamente pueden tener dicha condición si adoptan determinadas medidas específicas.
En cuanto a la comunidad religiosa (entendida como una entidad), el Tribunal señala que los objetivos que le son propios, no solo influyen en el tratamiento que se da a los datos personales, sino que, además, determinan los fines y los medios del tratamiento. Por otro lado, en cuanto a los miembros de la comunidad, el Tribunal señala que el concepto de responsable del tratamiento comprende tanto personas físicas como jurídicas que, de forma individual o conjuntamente con otros, determinen dichos fines y medios de tratamiento. Por todo ello, y dado que la actividad de predicación resulta esencial para los fines propios de esta comunidad religiosa, el TJUE considera que tanto esta como sus miembros son responsables de forma conjunta del tratamiento de los datos personales recabados en su labor de predicación, sin que sea preciso que se tomen medidas específicas de ningún tipo (tales como instrucciones por escrito y/o consignas en relación con esos tratamientos).