La protección de datos personales en las comisiones parlamentarias de investigación
Comisión de investigación creada por el Parlamento de un Estado miembro. Aplicabilidad del Reglamento de Protección de Datos. Competencia de la autoridad de control responsable de la protección de datos. Derecho a presentar una reclamación.
El artículo 2.2 a) del Reglamento (UE) 2016/679 -RGPD-, interpretado a la luz de su considerando 16, tiene como único objeto excluir del ámbito de aplicación de este los tratamientos de datos personales efectuados por autoridades estatales en el marco de una actividad dirigida a preservar la seguridad nacional o una actividad que pueda incluirse en la misma categoría, de modo que el mero hecho de que una actividad sea propia del Estado o de una autoridad pública no basta para que dicha excepción sea automáticamente aplicable a tal actividad. La excepción al ámbito de aplicación del RGPD prevista en el mencionado artículo se refiere únicamente a categorías de actividades que, por su naturaleza, no están comprendidas en el ámbito de aplicación del Derecho de la Unión, y no a categorías de personas, dependiendo de si tienen carácter privado o público, ni, cuando el responsable del tratamiento sea una autoridad pública, al hecho de que las misiones y funciones de esta formen parte directa y exclusivamente de una prerrogativa determinada de poder público sin que dicha prerrogativa se vincule a una actividad que, en cualquier caso, quede fuera del ámbito de aplicación del Derecho de la Unión. Por lo tanto, el hecho de que el tratamiento de datos personales sea efectuado por una comisión de investigación creada por el Parlamento de un Estado miembro en el ejercicio de su facultad de control del poder ejecutivo no permite, como tal, apreciar que dicho tratamiento se efectúa en el marco de una actividad que no está comprendida en el ámbito de aplicación del Derecho de la Unión.
La exigencia de salvaguardia de la seguridad nacional puede justificar limitaciones, a través de medidas legislativas, a las obligaciones y a los derechos derivados del RGPD, en particular en lo que respecta a la recogida de datos personales, a la información de los interesados y a su acceso a dichos datos o a la divulgación de estos, sin el consentimiento de los interesados, a personas distintas del responsable del tratamiento, siempre que tales limitaciones respeten en lo esencial los derechos y libertades fundamentales de los interesados y constituyan una medida necesaria y proporcionada en una sociedad democrática. En el presente asunto, sin embargo, la comisión de investigación no ha alegado que la divulgación de los datos personales que tuvo lugar con ocasión de la publicación en el sitio de Internet del Parlamento del acta de la audiencia ante dicha comisión, y sin el consentimiento del compareciente, fuera necesaria para proteger la seguridad nacional y estuviera basada en una medida legislativa nacional prevista a tal efecto. No obstante, corresponde al órgano jurisdiccional remitente, en su caso, hacer las comprobaciones necesarias a este respecto.
Todo interesado tiene derecho a presentar una reclamación ante una autoridad de control, si considera que el tratamiento de datos personales que le conciernen infringe el RGPD; por su parte, cada autoridad de control será competente para desempeñar las funciones que se le asignen y ejercer los poderes que se le confieran de conformidad con el RGPD en el territorio de su Estado miembro. Así, los artículos 77.1 y 55.1 del RGPD no requieren, para su ejecución, la adopción de medidas nacionales de aplicación y son lo suficientemente claros, precisos e incondicionales como para tener efecto directo. De ello se deduce que, si bien el RGPD reconoció un margen de apreciación a los Estados miembros en cuanto al número de autoridades de control que deben establecerse, fijó el alcance de la competencia que, con independencia de su número, deben tener esas autoridades para vigilar la aplicación de dicho Reglamento. En esencia, en el supuesto de que un Estado miembro opte por crear una única autoridad de control, esta estará necesariamente dotada de todas las competencias que el RGPD confiere a las autoridades de control y no puede invocar disposiciones de Derecho nacional, aunque sean de rango constitucional, para excluir los tratamientos de datos personales comprendidos en el ámbito de aplicación del RGPD de la vigilancia de dicha autoridad.
En virtud de lo expuesto, el Tribunal de Justicia declara que:
1) El artículo 16 TFUE, apartado 2, primera frase, y el artículo 2, apartado 2, letra a), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), deben interpretarse en el sentido de que no cabe considerar que una actividad se encuentra fuera del ámbito de aplicación del Derecho de la Unión y, por tanto, no le resulta aplicable dicho Reglamento por la única razón de que la ejerza una comisión de investigación creada por el Parlamento de un Estado miembro en el ejercicio de su facultad de control del poder ejecutivo.
2) El artículo 2, apartado 2, letra a), del Reglamento 2016/679, en relación con el considerando 16 de este, deben interpretarse en el sentido de que las actividades de una comisión de investigación creada por el Parlamento de un Estado miembro en el ejercicio de su facultad de control del poder ejecutivo que tiene por objeto investigar las actividades de una autoridad policial de protección del Estado, debido a una sospecha de influencia política sobre dicha autoridad, no pueden considerarse, como tales, actividades relativas a la seguridad nacional excluidas del ámbito de aplicación del Derecho de la Unión, en el sentido de esa disposición.
3) Los artículos 77, apartado 1, y 55, apartado 1, del Reglamento 2016/679 deben interpretarse en el sentido de que cuando un Estado miembro ha optado, de conformidad con el artículo 51, apartado 1, de dicho Reglamento, por crear una única autoridad de control, sin atribuirle, no obstante, la competencia para supervisar la aplicación de dicho Reglamento por una comisión de investigación creada por el Parlamento de ese Estado miembro en el ejercicio de su facultad de control del poder ejecutivo, estas disposiciones confieren directamente a esa autoridad la competencia para conocer de las reclamaciones relativas a tratamientos de datos personales efectuados por dicha comisión de investigación.