miércoles, 27 de diciembre de 2017

UE - TJUE - Examen profesional y datos personales.

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Segunda)
20 de diciembre de 2017




I - INTRODUCCIÓN


Una sentencia que merece mucho más análisis y una sentencia que merece estar enmarcada en más jurisprudencia . en general - para estudiarlo.
De todas maneras no quiero dejar de seleccionar este caso del TJUE.

La situación fáctica detonante, tal como lo relata la sentencia que transcribimos es esta:

"El señor Nowak, como contable en prácticas, superó la primera parte de los exámenes de contabilidad y tres de los exámenes de la segunda parte de las pruebas organizadas por el Institute of Chartered Accountants of Ireland (colegio de censores jurados de cuentas de Irlanda; en lo sucesivo: «Instituto de Auditores Públicos»). Sin embargo, suspendió el examen de «contabilidad de gestión y finanzas estratégicas», en el que se permitía a los aspirantes la consulta de documentos (examen con libros).

19 Después de su cuarto suspenso en dicho examen, en otoño de 2009, el Sr. Nowak, en un primer momento, presentó una reclamación en la que impugnaba el resultado. Desestimada esta reclamación en marzo de 2010, presentó en mayo de 2010, con arreglo al artículo 4 de la Ley de Protección de Datos, una solicitud de acceso a todos los datos de carácter personal que le concernían, que estaban en posesión del Instituto de Auditores de Públicos.

20 Mediante carta de 1 de junio de 2010, el Instituto de Auditores Públicos remitió al Sr. Nowak 17 documentos, pero rehusó enviarle su examen, basándose en que éste no contenía datos personales, a efectos de lo establecido en la Ley de Protección de Datos.

21 El Sr. Nowak se dirigió entonces al Comisario de Protección de Datos para impugnar los fundamentos legales de la denegación de envío de su examen. En junio de 2010, el Comisario le respondió mediante correo electrónico en el que señalaba, en particular, que «por regla general, los exámenes escritos no son revisados [a efectos de la protección de datos] [...] pues, normalmente, tales documentos no son datos de carácter personal».

22 Esta respuesta del Comisario de Protección de Datos fue seguida de un intercambio de correspondencia entre el Sr. Nowak y el propio Comisario que concluyó, el 1 de julio de 2010, mediante la presentación de una reclamación formal del Sr. Nowak.

23 Mediante correo electrónico de 21 de julio de 2010, el Comisario de Protección de Datos informó al Sr. Nowak que, una vez examinado su expediente, no había apreciado infracciones de fondo de la Ley de Protección de Datos y que, de conformidad con el artículo 10, apartado 1, letras b) e i), de dicha Ley, que contempla el supuesto de las reclamaciones insustanciales o temerarias, resolvió no tramitar su reclamación. Además, mediante dicho correo electrónico se comunicó al Sr. Nowak que el material respecto del que pretendía ejercitar «el derecho de rectificación» «no constituye un dato de carácter personal al que deba aplicarse el artículo 6 de la Ley de Protección de Datos».

24 El Sr. Nowak interpuso un recurso contra esa resolución ante el Circuit Court (Tribunal Regional, Irlanda). Dicho tribunal declaró la inadmisibilidad del recurso debido a que, al no haber tramitado la reclamación el Comisario de Protección de Datos, no había resolución alguna que pudiera ser objeto de recurso. Con carácter subsidiario, ese mismo tribunal declaró que el recurso era infundado, al no ser el examen escrito un dato de carácter personal.

25 El Sr. Nowak interpuso un recurso contra la sentencia del Circuit Court (Tribunal Regional) ante la High Court (Tribunal Superior, Irlanda), que no obstante la confirmó. La sentencia de la High Court (Tribunal Superior), a su vez, fue confirmada por la Court of Appeal (Tribunal de Apelación, Irlanda). La Supreme Court (Tribunal Supremo, Irlanda), que admitió a trámite el recurso de casación contra la sentencia de la Court of Appeal (Tribunal de Apelación), declaró la admisibilidad del recurso interpuesto por el Sr. Nowak contra la resolución del Comisario de protección de datos."

Trasladable a muchos aspectos.
Entiendo acertada la solución aplicada por el Derecho europeo y, también, trasladable, en cuanto concepto general a nuestro derecho nacional uruguayo sobre datos personales.


II - TEXTO DE LA SENTENCIA


SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Segunda)

de 20 de diciembre de 2017
Lengua de procedimiento: inglés

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Directiva 95/46/CE — Artículo 2, letra a) — Concepto de “datos personales” — Respuestas por escrito proporcionadas por el aspirante en un examen profesional — Anotaciones del examinador en relación con dichas respuestas — Artículo 12, letras a) y b) — Amplitud de los derechos de acceso y de rectificación de la persona interesada»

En el asunto C‑434/16,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por la Supreme Court (Tribunal Supremo, Irlanda), mediante resolución de 29 de julio de 2016, recibida en el Tribunal de Justicia el 4 de agosto de 2016, en el procedimiento entre

Peter Nowak

y

Data Protection Commissioner,

EL TRIBUNAL DE JUSTICIA (Sala Segunda),

integrado por el Sr. M. Ilešič (Ponente), Presidente de Sala, el Sr. A. Rosas, las Sras. C. Toader y A. Prechal, y el Sr. E. Jarašiūnas, Jueces;

Abogado General: Sra. J. Kokott,

Secretario: Sr. M. Aleksejev, administrador;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 22 de junio de 2017;

consideradas las observaciones presentadas:

– en nombre del Sr. Nowak, por el Sr. G. Rudden, Solicitor, y el Sr. N. Travers, SC;

– en nombre del Data Protection Commissioner, por el Sr. D. Young, Solicitor, y el Sr. P.A. McDermott, SC;

– en nombre de Irlanda, por las Sras. E. Creedon y L. Williams, y por el Sr. A. Joyce, en calidad de agentes, asistidos por la Sra. A. Caroll, Barrister;

– en nombre del Gobierno checo, por los Sres. M. Smolek y J. Vláčil, en calidad de agentes;

– en nombre del Gobierno helénico, por las Sras. G. Papadaki y S. Charitaki, en calidad de agentes;

– en nombre del Gobierno húngaro, por el Sr. M.Z. Fehér y la Sra. A. Pálfy, en calidad de agentes;

– en nombre del Gobierno austriaco, por el Sr. G. Eberhard, en calidad de agente;

– en nombre del Gobierno polaco, por el Sr. B. Majczyna, en calidad de agente;

– en nombre del Gobierno portugués, por los Sres. L. Inez Fernandes y M. Figueiredo y por la Sra. I. Oliveira, en calidad de agentes;

– en nombre de la Comisión Europea, por los Sres. D. Nardi y H. Kranenborg, en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 20 de julio de 2017;

dicta la siguiente

Sentencia

1 La petición de decisión prejudicial tiene por objeto la interpretación de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31).

2 Esta petición se ha presentado en el marco de un litigio entre el Sr. Peter Nowak y el Data Protection Commissioner (Comisario de Protección de Datos, Irlanda), en relación con la negativa de esa autoridad a permitir al Sr. Nowak el acceso al escrito corregido de un examen en el que éste participó como aspirante, basada en que los datos allí contenidos no eran de carácter personal.

Marco jurídico

Derecho de la Unión

Directiva 95/46

3 La Directiva 95/46, que, según su artículo 1, tiene por objeto la protección de las libertades y de los derechos fundamentales de las personas físicas y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales, y la eliminación de los obstáculos a la libre circulación de dichos datos, dispone en sus considerandos vigesimoquinto, vigesimosexto y cuadragésimo primero lo siguiente:

«(25) Considerando que los principios de la protección tienen su expresión, por una parte, en las distintas obligaciones que incumben a las personas [...] que efectúen tratamientos —obligaciones relativas, en particular, a la calidad de los datos, la seguridad técnica, la notificación a las autoridades de control y las circunstancias en las que se puede efectuar el tratamiento— y, por otra parte, en los derechos otorgados a las personas cuyos datos sean objeto de tratamiento de ser informadas acerca de dicho tratamiento, de poder acceder a los datos, de poder solicitar su rectificación o incluso de oponerse a su tratamiento en determinadas circunstancias;

(26) Considerando que los principios de la protección deberán aplicarse a cualquier información relativa a una persona identificada o identificable; que, para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona; que los principios de la protección no se aplicarán a aquellos datos hechos anónimos de manera tal que ya no sea posible identificar al interesado; [...]

[...]

(41) Considerando que cualquier persona debe disfrutar del derecho de acceso a los datos que le conciernan y sean objeto de tratamiento, para cerciorarse, en particular, de su exactitud y de la licitud de su tratamiento [...]».

4 El concepto de «datos personales» se define en el artículo 2, letra a), de esta Directiva como «toda información sobre una persona física identificada o identificable (el interesado). Se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos característicos de su identidad física, fisiológica, psíquica, económica, cultural o social».

5 El artículo 6 de la misma Directiva, incluido en la sección I —titulada «Principios relativos a la calidad de los datos»— del capítulo II, tiene el siguiente tenor:

«1. Los Estados miembros dispondrán que los datos personales sean:

a) tratados de manera leal y lícita;

b) recogidos con fines determinados, explícitos y legítimos, y no ser tratados posteriormente de manera incompatible con dichos fines; no se considerará incompatible el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando los Estados miembros establezcan las garantías oportunas;

c) adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente;

d) exactos y, cuando sea necesario, actualizados; deberán tomarse todas las medidas razonables para que los datos inexactos o incompletos, con respecto a los fines para los que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o rectificados;

e) conservados en una forma que permita la identificación de los interesados durante un período no superior al necesario para la consecución de los fines para los que fueron recogidos o para los que se traten posteriormente. Los Estados miembros establecerán las garantías apropiadas para los datos personales archivados por un período más largo del mencionado, con fines históricos, estadísticos o científicos.

2. Incumbirá al responsable del tratamiento garantizar el cumplimiento de lo dispuesto en el apartado 1.»

6 El artículo 7 de la Directiva 95/46, incluido en la sección II —titulada «Principios relativos a la legitimación del tratamiento de datos»— del capítulo II, establece lo siguiente:

«Los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si:

a) el interesado ha dado su consentimiento de forma inequívoca, o

[...]

c) es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o

[...]

e) es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos, o

f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca[n] el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.»

7 El artículo 12 de dicha Directiva, titulado «Derecho de acceso», dispone:

«Los Estados miembros garantizarán a todos los interesados el derecho de obtener del responsable del tratamiento:

a) libremente, sin restricciones y con una periodicidad razonable y sin retrasos ni gastos excesivos:

– la confirmación de la existencia o inexistencia del tratamiento de datos que le conciernen, así como información por lo menos de los fines de dichos tratamientos, las categorías de datos a que se refieran y los destinatarios o las categorías de destinatarios a quienes se comuniquen dichos datos;

– la comunicación, en forma inteligible, de los datos objeto de los tratamientos, así como toda la información disponible sobre el origen de los datos;

[...]

b) en su caso, la rectificación, la supresión o el bloqueo de los datos cuyo tratamiento no se ajuste a las disposiciones de la presente Directiva, en particular a causa del carácter incompleto o inexacto de los datos;

c) la notificación a los terceros a quienes se hayan comunicado los datos de toda rectificación, supresión o bloqueo efectuado de conformidad con la letra b), si no resulta imposible o supone un esfuerzo desproporcionado.»

8 El artículo 13 de la Directiva, que lleva como epígrafe «Excepciones y limitaciones», dispone lo siguiente:

«1. Los Estados miembros podrán adoptar medidas legales para limitar el alcance de las obligaciones y los derechos previstos en el apartado 1 del artículo 6, en el artículo 10, en el apartado 1 del artículo 11, y en los artículos 12 y 21 cuando tal limitación constituya una medida necesaria para la salvaguardia de:

[...]

g) la protección del interesado o de los derechos y libertades de otras personas.

[...]»

9 El artículo 14 de la Directiva 95/46, titulado «Derecho de oposición del interesado», dispone:

«Los Estados miembros reconocerán al interesado el derecho a:

a) oponerse, al menos en los casos contemplados en las letras e) y f) del artículo 7, en cualquier momento y por razones legítimas propias de su situación particular, a que los datos que le conciernan sean objeto de tratamiento, salvo cuando la legislación nacional disponga otra cosa. En caso de oposición justificada, el tratamiento que efectúe el responsable no podrá referirse ya a esos datos;

[...]»

10 El artículo 28 de la Directiva, titulado «Autoridad de control», establece:

«1. Los Estados miembros dispondrán que una o más autoridades públicas se encarguen de vigilar la aplicación en su territorio de las disposiciones adoptadas por ellos en aplicación de la presente Directiva.

[...]

3. La autoridad de control dispondrá, en particular, de:

– poderes de investigación, como el derecho de acceder a los datos que sean objeto de un tratamiento y el de recabar toda la información necesaria para el cumplimiento de su misión de control;

– poderes efectivos de intervención, como, por ejemplo, el de [...] ordenar el bloqueo, la supresión o la destrucción de datos, o incluso prohibir provisional o definitivamente un tratamiento [...]

[...]

Las decisiones de la autoridad de control lesivas de derechos podrán ser objeto de recurso jurisdiccional.

4. Toda autoridad de control entenderá de las solicitudes que cualquier persona, o cualquier asociación que la represente, le presente en relación con la protección de sus derechos y libertades respecto del tratamiento de datos personales. Esa persona será informada del curso dado a su solicitud.

[...]»

Reglamento (UE) 2016/679

11 El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1), será aplicable, en virtud de su artículo 99, apartado 2, a partir del 25 de mayo de 2018. El artículo 94, apartado 1, de dicho Reglamento dispone que la Directiva 95/46/CE queda derogada con efecto a partir de esa misma fecha.

12 El citado Reglamento dispone lo siguiente en su artículo 15, cuyo epígrafe es «Derecho de acceso del interesado»:

«1. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales [...]

[...]

3. El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. [...]

4. El derecho a obtener copia mencionado en el apartado 3 no afectará negativamente a los derechos y libertades de otros.»

13 El artículo 23 del Reglamento n.º 2016/679, que lleva como epígrafe «Limitaciones», dispone lo siguiente:

«1. El Derecho de la Unión o de los Estados miembros que se aplique al responsable o el encargado del tratamiento podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en los artículos 12 a 22 [...], cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:

[...]

«e) otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un interés económico o financiero importante de la Unión o de un Estado miembro, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social;

[...]

i) la protección del interesado o de los derechos y libertades de otros.

[...]».

Derecho irlandés

14 La Data Protection Act 1988 (Ley de Protección de Datos de 1988), modificada por la Data Protection (Amendment) Act 2003 (Ley de modificaciones en materia de protección de datos de 2003) (en lo sucesivo, «Ley de Protección de Datos»), tiene por objeto incorporar al ordenamiento jurídico irlandés lo dispuesto en la Directiva 95/46. El artículo 1, apartado 1, de dicha Ley define en los siguientes términos el concepto de «datos de carácter personal»:

«Los datos relativos a una persona física viva identificada o identificable a partir de dichos datos o bien a partir de ellos en relación con otra información que obre, o pueda obrar, en poder del responsable del tratamiento de datos.»

15 El derecho de acceso se regula en el artículo 4 de la Ley de Protección de Datos, cuyo apartado 6, que se refiere expresamente a las solicitudes de acceso a los resultados de los exámenes, tiene el siguiente tenor:

«a) A los efectos del presente artículo, la solicitud de un particular presentada con arreglo al apartado 1 del mismo artículo y relativa a los resultados de un examen al que se presentó, se considerará efectuada en la última de estas dos fechas:

i) La fecha de la primera publicación de los resultados del examen.

ii) La fecha de la solicitud.

[...]

b) A efectos del presente apartado, se entenderá por «examen» todo procedimiento que tenga por objeto determinar los conocimientos, la inteligencia, la capacidad o las aptitudes de una persona atendiendo a sus resultados en una prueba, trabajo o cualquier otra actividad.»

16 El artículo 6 de la Ley de Protección de Datos establece el derecho de rectificación y supresión de los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en ella.

17 El artículo 10, apartado 1, letra b), inciso i), de la Ley de Protección de Datos obliga al Comisario de protección de datos a investigar las reclamaciones «salvo que las considere insustanciales o temerarias».

Litigio principal y cuestiones prejudiciales

18 El señor Nowak, como contable en prácticas, superó la primera parte de los exámenes de contabilidad y tres de los exámenes de la segunda parte de las pruebas organizadas por el Institute of Chartered Accountants of Ireland (colegio de censores jurados de cuentas de Irlanda; en lo sucesivo: «Instituto de Auditores Públicos»). Sin embargo, suspendió el examen de «contabilidad de gestión y finanzas estratégicas», en el que se permitía a los aspirantes la consulta de documentos (examen con libros).

19 Después de su cuarto suspenso en dicho examen, en otoño de 2009, el Sr. Nowak, en un primer momento, presentó una reclamación en la que impugnaba el resultado. Desestimada esta reclamación en marzo de 2010, presentó en mayo de 2010, con arreglo al artículo 4 de la Ley de Protección de Datos, una solicitud de acceso a todos los datos de carácter personal que le concernían, que estaban en posesión del Instituto de Auditores de Públicos.

20 Mediante carta de 1 de junio de 2010, el Instituto de Auditores Públicos remitió al Sr. Nowak 17 documentos, pero rehusó enviarle su examen, basándose en que éste no contenía datos personales, a efectos de lo establecido en la Ley de Protección de Datos.

21 El Sr. Nowak se dirigió entonces al Comisario de Protección de Datos para impugnar los fundamentos legales de la denegación de envío de su examen. En junio de 2010, el Comisario le respondió mediante correo electrónico en el que señalaba, en particular, que «por regla general, los exámenes escritos no son revisados [a efectos de la protección de datos] [...] pues, normalmente, tales documentos no son datos de carácter personal».

22 Esta respuesta del Comisario de Protección de Datos fue seguida de un intercambio de correspondencia entre el Sr. Nowak y el propio Comisario que concluyó, el 1 de julio de 2010, mediante la presentación de una reclamación formal del Sr. Nowak.

23 Mediante correo electrónico de 21 de julio de 2010, el Comisario de Protección de Datos informó al Sr. Nowak que, una vez examinado su expediente, no había apreciado infracciones de fondo de la Ley de Protección de Datos y que, de conformidad con el artículo 10, apartado 1, letras b) e i), de dicha Ley, que contempla el supuesto de las reclamaciones insustanciales o temerarias, resolvió no tramitar su reclamación. Además, mediante dicho correo electrónico se comunicó al Sr. Nowak que el material respecto del que pretendía ejercitar «el derecho de rectificación» «no constituye un dato de carácter personal al que deba aplicarse el artículo 6 de la Ley de Protección de Datos».

24 El Sr. Nowak interpuso un recurso contra esa resolución ante el Circuit Court (Tribunal Regional, Irlanda). Dicho tribunal declaró la inadmisibilidad del recurso debido a que, al no haber tramitado la reclamación el Comisario de Protección de Datos, no había resolución alguna que pudiera ser objeto de recurso. Con carácter subsidiario, ese mismo tribunal declaró que el recurso era infundado, al no ser el examen escrito un dato de carácter personal.

25 El Sr. Nowak interpuso un recurso contra la sentencia del Circuit Court (Tribunal Regional) ante la High Court (Tribunal Superior, Irlanda), que no obstante la confirmó. La sentencia de la High Court (Tribunal Superior), a su vez, fue confirmada por la Court of Appeal (Tribunal de Apelación, Irlanda). La Supreme Court (Tribunal Supremo, Irlanda), que admitió a trámite el recurso de casación contra la sentencia de la Court of Appeal (Tribunal de Apelación), declaró la admisibilidad del recurso interpuesto por el Sr. Nowak contra la resolución del Comisario de protección de datos.

26 No obstante, al considerar que existen dudas sobre la cuestión de si un examen escrito puede ser un dato de carácter personal a efectos de la Directiva 95/46, la Supreme Court (Tribunal Supremo) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1) ¿La información contenida en las respuestas dadas por un candidato durante un examen profesional constituye un dato personal en el sentido de la Directiva 95/46?

2) Si la respuesta a la primera cuestión es que dicha información puede constituir, en todo o en parte, un dato personal en el sentido de la Directiva 95/46, ¿qué factores han de tenerse en cuenta para determinar si, en un caso concreto, un examen escrito constituye un dato personal y qué importancia debe atribuirse a esos factores?»

Sobre las cuestiones prejudiciales

27 Mediante las cuestiones planteadas, que procede examinar conjuntamente, el tribunal remitente pide sustancialmente que se dilucide si el artículo 2, letra a), de la Directiva 95/46 debe interpretarse en el sentido de que, en circunstancias como las del litigio principal, las respuestas escritas de un aspirante en un examen profesional y las eventuales anotaciones del examinador en relación con aquellas son datos personales, a efectos del citado precepto.

28 Procede recordar a este respecto que el artículo 2, letra a), de la Directiva 95/46 define los datos personales como «toda información sobre una persona física identificada o identificable». Según la misma disposición, «se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos característicos de su identidad física, fisiológica, psíquica, económica, cultural o social».

29 Es pacífico que un aspirante a un examen profesional es una persona física que puede ser identificada, o bien directamente, por su nombre, o bien indirectamente, mediante un número de identificación, colocados en el escrito del examen o en su cubierta delantera.

30 Contrariamente a lo que parece aducir el Comisario de protección de datos, no es relevante en este contexto la cuestión de si el examinador puede o no identificar al candidato en el momento de corregir y calificar el examen.

31 En efecto, para que un dato pueda ser calificado de «dato personal», en el sentido del artículo 2, letra a), de la Directiva 95/46, no es necesario que toda la información que permita identificar al interesado deba encontrarse en poder de una sola persona (sentencia de 19 de octubre de 2016, Breyer, C‑582/14, EU:C:2016:779, apartado 43). Por otra parte, consta que, en el supuesto de que el examinador no conozca la identidad del aspirante al evaluar las respuestas dadas por éste en el examen de que se trate, la entidad que organice el examen —en el presente caso, la Institución de Auditores de Públicos— puede disponer, en cambio, de los datos necesarios que le permitan identificar sin dificultades o dudas al aspirante mediante su número de identificación, colocado en el examen o en su cubierta delantera, lo cual le permitirá atribuir al aspirante sus respuestas.

32 No obstante, debe comprobarse si las respuestas escritas proporcionadas por el aspirante con ocasión de un examen profesional y las eventuales anotaciones del examinador en relación con ellas son datos sobre ese aspirante, en el sentido del artículo 2, letra a), de la Directiva 95/46.

33 Como ya ha señalado el Tribunal de Justicia, el ámbito de aplicación de la Directiva 95/46 es muy amplio, y los datos de carácter personal a los que se refiere son heterogéneos (sentencia de 7 de mayo de 2009, Rijkeboer, C‑553/07, EU:C:2009:293, apartado 59, y jurisprudencia citada).

34 En efecto, el empleo de la expresión «toda información» en la definición del concepto de «datos personales», que figura en el artículo 2, letra a), de la Directiva 95/46, evidencia el objetivo del legislador de la Unión de atribuir a este concepto un significado muy amplio, que no se ciñe a los datos confidenciales o relacionados con la intimidad, sino que puede abarcar todo género de información, tanto objetiva como subjetiva, en forma de opiniones o apreciaciones, siempre que sean «sobre» la persona en cuestión.

35 Este último requisito se cumple cuando, debido a su contenido, finalidad o efectos, la información está relacionada con una persona concreta.

36 Pues bien, como han alegado sustancialmente el Sr. Nowak y los Gobiernos checo, helénico, húngaro, austríaco y portugués, así como la Comisión Europea, las respuestas escritas proporcionadas por un aspirante en un examen profesional son datos relacionados con su persona.

37 En efecto, en primer lugar, el contenido de tales respuestas revela el nivel de conocimientos y el grado de competencia del aspirante en un área determinada, así como, en su caso, el proceso de reflexión, el discernimiento y la capacidad de análisis del propio aspirante. Si el examen está escrito a mano, las respuestas contienen, además, información caligráfica.

38 En segundo lugar, mediante la obtención de las respuestas se pretende valorar la capacidad profesional del aspirante y su aptitud para ejercer el oficio de que se trate.

39 Finalmente, la utilización de los referidos datos, que se manifiesta, en particular, en el éxito o el fracaso del aspirante en el examen en cuestión, puede tener efectos en sus derechos e intereses, ya que, por ejemplo, puede condicionar sus oportunidades de acceder a la profesión o empleo al que aspira o influir en esas oportunidades.

40 La observación de que las respuestas escritas de un aspirante en un examen profesional son datos que le conciernen debido a su contenido, finalidad y efectos también es válida, por lo demás, cuando se trata, como en este caso, de un examen con libros.

41 En efecto, como ha señalado la Abogado General Kokott en el punto 24 de sus conclusiones, la finalidad de todo examen es determinar y documentar el nivel de una persona concreta, el aspirante, y no obtener una información independiente de dicha persona, a diferencia, por ejemplo, de una encuesta representativa.

42 En cuanto a las anotaciones del examinador sobre las respuestas del aspirante, debe señalarse que, al igual que las respuestas proporcionadas durante el examen por el citado aspirante, son datos que se refieren a este último.

43 Por lo tanto, el contenido de esas anotaciones expresa la opinión o valoración del examinador sobre los resultados individuales del aspirante en el examen y, en particular, sobre sus conocimientos y competencias en el área de que se trate. Dichas anotaciones, por lo demás, tienen precisamente la finalidad de documentar la evaluación de los resultados del aspirante por parte del examinador, y pueden tener efectos para ese aspirante, como se indica en el apartado 39 de la presente sentencia.

44 La comprobación de que las anotaciones del examinador sobre las respuestas dadas por el aspirante durante el examen son datos que, debido a su contenido, finalidad y efectos, están relacionadas con ese aspirante no queda desvirtuada por el hecho de que tales anotaciones también son datos que conciernen al examinador.

45 En efecto, unos mismos datos pueden concernir a varias personas físicas y, por lo tanto, ser datos personales de cada una de éstas, en el sentido del artículo 2, letra a), de la Directiva 95/46, siempre que tales personas sean identificadas o identificables.

46 Por otra parte, la calificación como datos de carácter personal de las respuestas escritas del aspirante durante un examen profesional y de las eventuales anotaciones del examinador respecto a esas respuestas no puede ser alterada —contrariamente a lo que alegan el Comisario de Protección de Datos y el Gobierno irlandés— por el hecho de que esa calificación permita a dicho aspirante, en principio, ejercitar los derechos de acceso y rectificación, con arreglo a lo dispuesto en el artículo 12, letras a) y b), de la Directiva 95/46.

47 A este respecto, en primer lugar, procede recordar que, como expuso la Comisión en la vista, numerosos principios y garantías establecidos por la Directiva 95/46 están ligados a esta calificación y dependen de ella.

48 En efecto, del vigesimoquinto considerando de la Directiva 95/46 se desprende que los principios de la protección que ésta contempla tienen su expresión, por una parte, en las distintas obligaciones que incumben a las personas que efectúen tratamientos —obligaciones relativas, en particular, a la calidad de los datos, la seguridad técnica, la notificación a las autoridades de control y las circunstancias en las que se puede efectuar el tratamiento— y, por otra parte, en los derechos otorgados a las personas cuyos datos sean objeto de tratamiento de ser informadas acerca de dicho tratamiento, de poder acceder a los datos, de poder solicitar su rectificación o incluso de oponerse a su tratamiento en determinadas circunstancias.

49 Por lo tanto, negar la calificación de «datos personales» a la información referente a un aspirante contenida en sus respuestas proporcionadas con ocasión de un examen profesional, y en las anotaciones del examinador en relación con aquellas, supondría —en lo que se refiere a ese tipo de información— eludir por completo la observancia de los principios y garantías en materia de protección de datos personales y, en particular, de los principios relativos a la calidad de los datos y a la legitimación para su tratamiento, establecidos en los artículo 6 y 7 de la Directiva 95/46, así como eludir el respeto a los derechos de acceso, rectificación y oposición de la persona concernida, establecidos en los artículos 12 y 14 de esta Directiva, y a las funciones de la autoridad de control de acuerdo con el artículo 28 de la Directiva.

50 Sin embargo, como pone de relieve la Abogado General en el punto 26 de sus conclusiones, es un hecho acreditado que un aspirante que participa en el examen tiene un interés legítimo, basado en la protección de su intimidad, en poder oponerse a que sus respuestas al examen y las correspondientes anotaciones del examinador sean utilizadas fuera del procedimiento de examen y a que, en particular, se comuniquen a terceros —o incluso sean publicadas— sin su consentimiento. Asimismo, la entidad que organiza el examen, como responsable del tratamiento de los datos, debe garantizar que esas respuestas y anotaciones sean almacenadas de tal forma que se impida a terceros acceder a ellas de manera ilícita.

51 En segundo lugar, es preciso señalar que los derechos de acceso y rectificación, establecidos en el artículo 12, letras a) y b), de la Directiva 95/46, también pueden justificarse en relación con las respuestas por escrito proporcionadas por el aspirante durante un examen profesional y con las eventuales anotaciones del examinador al respecto.

52 Por supuesto, el derecho de rectificación, reconocido en el artículo 12, letra b), de la Directiva 95/46, no permite obviamente a un aspirante ampararse en él para «rectificar» a posteriori las respuestas «incorrectas».

53 En efecto, del artículo 6, apartado 1, letra d), de la Directiva 95/46 se desprende que el carácter exacto y completo de los datos personales debe ser apreciado atendiendo a los fines para los que fueron recabados. En lo que se refiere a las respuestas de un aspirante en un examen, tales fines consisten en poder valorar la amplitud de sus conocimientos y competencias en la fecha del examen. Pues bien, tal amplitud se revela precisamente por los posibles errores en las respuestas. De ello se deriva que tales errores no son en modo alguno una inexactitud, a efectos de la Directiva 95/46, que legitime un derecho de rectificación con arreglo a su artículo 12, letra b).

54 En cambio, es posible que se den situaciones en las que las respuestas de un aspirante en un examen y las correspondientes anotaciones del examinador sean inexactas, en el sentido del artículo 6, apartado 1, letra d), de la Directiva 95/46; por ejemplo, cuando por error las hojas de los exámenes se hayan entremezclado de tal modo que las respuestas de otro aspirante se hayan atribuido al aspirante afectado, o cuando se haya perdido una parte de los folios que contienen las respuestas de ese aspirante, dando lugar a que esas respuestas queden incompletas, o incluso cuando las eventuales anotaciones del examinador no documenten correctamente la valoración que éste ha dado a las respuestas del aspirante de que se trate.

55 Por otra parte, como ha señalado la Abogado General en el punto 37 de sus conclusiones, no puede descartarse que un aspirante, con arreglo al artículo 12, letra b), de la Directiva 95/46, tenga derecho a solicitar al responsable del tratamiento de datos que, transcurrido un determinado período de tiempo, se supriman sus respuestas al examen y las correspondientes anotaciones del examinador, es decir, que se destruyan. En efecto, en virtud del artículo 6, apartado 1, letra e), de dicha Directiva, los datos personales pueden, en principio, ser conservados en una forma que permita la identificación de los interesados durante un período no superior al necesario para la consecución de los fines para los que fueron recogidos o para los que se traten ulteriormente. Ahora bien, habida cuenta de la finalidad de las respuestas del aspirante en un examen y de las correspondientes anotaciones del examinador, su conservación en una forma que permita la identificación del aspirante ya no parece necesaria a priori, una vez que el procedimiento de examen está definitivamente concluido y no puede ser objeto de recurso, de tal modo que tales respuestas y anotaciones han perdido cualquier valor probatorio.

56 Puesto que las respuestas escritas de un aspirante en un examen profesional y las eventuales anotaciones al respecto del examinador pueden someterse a una comprobación, en particular, de su exactitud y de la necesidad de su conservación, a efectos del artículo 6, apartado 1, letras d) y e), de la Directiva 95/46, y pueden ser objeto de rectificación o de supresión, con arreglo a su artículo 12, letra b), procede considerar que el hecho de conferir al aspirante un derecho de acceso a esas respuestas y anotaciones de acuerdo con el artículo 12, letra a), de dicha Directiva, sirve al objetivo de ésta, consistente en garantizar la protección del derecho a la intimidad del aspirante en lo que respecta al tratamiento de sus datos (véase, a contrario, la sentencia de 17 de julio de 2014, YS y otros, C‑141/12 y C‑372/12, EU:C:2014:2081, apartados 45 y 46), y ello con independencia de si el aspirante tiene o no ese derecho de acceso también en virtud de la normativa nacional aplicable al procedimiento de examen.

57 En este contexto, ha de recordarse que la protección del derecho fundamental al respeto de la intimidad implica, en especial, que toda persona física pueda cerciorarse de que los datos personales que le conciernen son exactos y se utilizan de manera lícita. Como se desprende del cuadragésimo primer considerando de la Directiva 95/46, para poder efectuar las comprobaciones necesarias, cualquier persona disfruta, en virtud de su artículo 12, letra a), del derecho de acceso a los datos que le conciernan y sean objeto de tratamiento. El citado derecho de acceso es indispensable, en particular, para permitir al interesado obtener, en su caso, del responsable del tratamiento de los datos, la rectificación, la supresión o el bloqueo de esos datos y, en consecuencia, ejercer el derecho que se contempla en el artículo 12, letra b), de dicha Directiva (sentencia de 17 de julio de 2014, YS y otros, C‑141/12 y C‑372/12, EU:C:2014:2081, apartado 44 y jurisprudencia citada).

58 Finalmente, procede señalar, por una parte, que los derechos de acceso y rectificación, con arreglo al artículo 12, letras a) y b), de la Directiva 95/46, no incluyen las preguntas del examen, que por su propia naturaleza no son datos personales del candidato.

59 Por otra parte, tanto la Directiva 95/46 como el Reglamento 2016/679, que sustituyó a dicha Directiva, establecen determinadas limitaciones a esos derechos.

60 Así, de acuerdo con el artículo 13, apartado 1, letra g), de la Directiva 95/46, los Estados miembros pueden adoptar medidas legales para limitar el alcance de las obligaciones y los derechos establecidos, entre otros preceptos, en el artículo 6, apartado 1, y en el artículo 12, de dicha Directiva, cuando tal limitación constituya una medida necesaria para salvaguardar los derechos y libertades de otras personas.

61 El artículo 23, apartado 1, letra e), del Reglamento 2016/679 amplía la lista de los motivos de limitación, actualmente establecida en el artículo 13, apartado 1, de la Directiva 95/46 a «otros objetivos importantes de interés público general de la Unión o de un Estado miembro». Además, el artículo 15 del Reglamento 2016/679, que trata del derecho de acceso del interesado, establece en su apartado 4 que el derecho a obtener copia de los datos personales no afectará negativamente a los derechos y libertades de otros.

62 Habida cuenta de las consideraciones anteriores, procede responder a las cuestiones planteadas que el artículo 2, letra a), de la Directiva 95/46 debe interpretarse en el sentido de que, en circunstancias como las del litigio principal, las respuestas por escrito dadas por un aspirante en un examen profesional y las eventuales anotaciones del examinador referentes a esas respuestas son datos personales, a efectos del citado precepto.

Costas

63 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional nacional, corresponde a éste resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Segunda) declara:

El artículo 2, letra a), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse en el sentido de que, en circunstancias como las del litigio principal, las respuestas por escrito proporcionadas por un aspirante durante un examen profesional y las eventuales anotaciones del examinador referentes a dichas respuestas son datos personales, a efectos del citado precepto.

Firmas

No hay comentarios:

Publicar un comentario