La Abogada General Medina ha dictado sus conclusiones, de fecha 15 de junio de 2023, en el Asunto C-333/22, donde el órgano jurisdiccional remitente solicita la interpretación de la Directiva (UE) 2016/680 (LA LEY 6638/2016), conocida como «Directiva sobre protección de datos en el ámbito penal». Las cuestiones prejudiciales versan, en esencia, sobre el control jurisdiccional de la actuación de una autoridad de control y sobre su alcance y eficacia en el supuesto de que dicha autoridad ejerza los derechos del interesado por cuenta de este, es decir, cuando los derechos se ejercen de forma indirecta.
Antecedentes
La Autoridad Nacional de Seguridad belga denegó la expedición de una «certificación de seguridad» a un particular porque este había participado en varias manifestaciones en el pasado. A raíz de esta denegación, el interesado solicitó al Órgano de Control de Información Policial belga («OCIP») que identificase a los responsables del tratamiento en cuestión y que los instase a concederle acceso a todos sus datos. El OCIP contestó, sin más indicaciones, que había hecho todas las comprobaciones necesarias. Insatisfecho con esta respuesta, el particular y la Ligue des droits humains interpusieron un recurso contra el OCIP ante los órganos jurisdiccionales belgas.
En este contexto, el Tribunal de Apelación de Bruselas presentó al Tribunal de Justicia una petición de decisión prejudicial relativa a la Directiva 2016/680 (LA LEY 6638/2016), conocida como «Directiva sobre protección de datos en el ámbito penal». Dicha Directiva establece normas sobre protección de datos personales y tratamiento de estos datos en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial, al tiempo que refleja la «naturaleza específica de dichos ámbitos».
El Tribunal de Apelación señala que, con arreglo al Derecho belga, todas las solicitudes basadas en derechos relativos al tratamiento de datos personales por los servicios de la policía deben dirigirse al OCIP. Este órgano se limita a informar al interesado de que ha «hecho las comprobaciones necesarias». Por otro lado, el tribunal nacional duda de si el Derecho belga prevé la posibilidad de interponer recurso judicial contra el OCIP y solicita, esencialmente, que se dilucide si el artículo 17 de la Directiva es conforme con los artículos 8, apartado 3, y 47 de la Carta de los Derechos Fundamentales de la Unión Europea (LA LEY 12415/2007).
Conclusiones de la Abogada General
En sus conclusiones, la Abogada General Laila Medina considera que, con arreglo a la Directiva sobre protección de datos en el ámbito penal, el acceso directo a los datos personales que están en poder de las autoridades es la norma, mientras que el acceso indirecto a esos datos es la excepción. El ejercicio indirecto de los derechos a través de una autoridad de control constituye una garantía adicional y una salvaguardia para el interesado en circunstancias en las que existe una limitación al derecho de acceso. Cuando el interesado ejerce sus derechos de forma indirecta a través de la autoridad de control, debe disponer de un recurso judicial contra esta en lo tocante a la función que le incumbe de verificar la licitud del tratamiento. En este contexto, es posible que el nivel de información que comunique la autoridad de control al interesado sobre el resultado del control no siempre se limite a la información mínima de que se han hecho todas las comprobaciones necesarias, sino que puede variar en función de las circunstancias de cada caso a la luz del principio de proporcionalidad.
La Abogada General Medina señala que la normativa belga por la que se transpone la Directiva sobre protección de datos en el ámbito penal establece un régimen que se aparta del principio de ejercicio directo de los derechos de los interesados respecto de todos los datos tratados por los servicios de la policía. En efecto, habida cuenta del amplísimo alcance de los datos a los que se aplica, este régimen establece una excepción general al derecho de acceso directo. Un régimen semejante es incompatible con la Directiva.
Por lo que respecta a las vías de recurso disponibles para el interesado, la Abogada General opina que, en los supuestos en que la autoridad de control considere que no puede sino comunicar la información mínima, esto es, que se han hecho todas las comprobaciones necesarias, sería imposible ejercer el control jurisdiccional a menos que el órgano jurisdiccional encargado de revisar la resolución adoptada por la autoridad de control pueda examinar, por una parte, todas las razones en que se sustenta dicha resolución y, por otra, la resolución del responsable del tratamiento de limitar el acceso. En tal caso, debe facilitarse a dicho órgano jurisdiccional la información pertinente.
Por último, la Abogada General Medina considera que el artículo 17 de la Directiva, que regula el ejercicio indirecto de los derechos a través de la autoridad de control, es compatible con los derechos fundamentales a la protección de datos de carácter personal y a la tutela judicial efectiva consagrados en la Carta de los Derechos Fundamentales de la Unión Europea (LA LEY 12415/2007) en la medida en que (i) la autoridad de control pueda, en función de las circunstancias, hacer algo más que declarar que se han hecho todas las comprobaciones necesarias y (ii) el interesado disponga de un cauce para que se lleve a cabo un control judicial de la actuación y de la apreciación de la autoridad de control con respecto a dicho interesado a la luz de las obligaciones que incumben al responsable del tratamiento.