Es un criterio
común a las normas de la Unión sobre acceso a datos -las ya existentes y las más
importantes que están por llegar- que sus disposiciones, que típicamente
abarcan conjuntos de datos entre los que se incluyen datos personales y no
personales, se entienden sin perjuicio del Derecho de la Unión en materia de
protección de datos personales (vid., v.gr., art. 1.3 de la Propuesta de
Reglamento de Datos, COM(2022) 68 final). Por consiguiente, en la medida en que
esté implicado el tratamiento de datos personales, los instrumentos en materia
de acceso a datos no pueden menoscabar lo dispuesto en el Reglamento (UE) 2016/679 General de Protección de Datos o RGPD (e instrumentos
conexos, como la Directiva 2002/58/CE). En el contexto de la recurrente
litigación entre fabricantes de vehículos y operadores independientes dedicados
a su reparación y mantenimiento en relación con el acceso por éstos a
información sobre los vehículos en poder de los fabricantes, la reciente sentencia
del TJUE en el asunto Gesamtverband Autoteile-Handel (Accès aux informations
sur les véhicules), C-319/22, EU:C:2023:837,
confirma su jurisprudencia previa sobre la delimitación del concepto de dato
personal, como presupuesto de la eventual aplicación del RGPD en ese tipo de
situaciones, e interpreta los requisitos que deben cumplirse para que un
tratamiento de datos personales se considere lícito por ser necesario para el
cumplimiento de una obligación legal aplicable al responsable,
precisamente en relación con obligaciones establecidas en instrumentos que imponen deberes de facilitar el acceso a datos.
Esas cuestiones son relevantes en el litigio principal en el asunto C-319/22, en la medida en que el fabricante no ponía los VIN -número de bastidor de cada vehículo- a disposición de los operadores independientes, a lo que éstos consideraban que estaba obligado por Reglamento (UE) 2018/858 sobre la homologación y la vigilancia del mercado de los vehículos de motor y sus remolques y de los sistemas, los componentes y las unidades técnicas independientes destinados a dichos vehículos. En ese contexto, para dar respuesta a la última de las cuestiones prejudiciales planteadas, el Tribunal de Justicia aborda en qué medida el VIN es un dato personal, así como si el dar acceso a los operadores independientes cumpliría los requisitos de licitud para semejante tratamiento exigidos por el RGPD.
Con respecto al primero de esos dos temas la nueva sentencia no incluye aportaciones significativas, limitándose básicamente a reiterar pronunciamientos previos acerca de en qué circunstancias secuencias de números o códigos alfanúmericos, como es el caso de los VIN, pueden ser datos personales en el sentido del artículo 4.1 del RGPD. Cabe recordar que ya en su sentencia Breyer, C-582/14, EU:C:2016:779, en relación con las direcciones IP dinámicas, el Tribunal de Justicia había establecido que una dirección IP dinámica registrada por un proveedor de servicios de Internet con ocasión de la consulta por una persona de un sitio de Internet de ese proveedor hace accesible al público constituye respecto a dicho proveedor un dato personal, “si dispone de medios legales que le permitan identificar a la persona interesada gracias a la información adicional de que dispone el proveedor de acceso a Internet de dicha persona” (apdo. 49). Para llegar esa conclusión el Tribunal puso de relieve que conforme al considerando 26 de la derogada Directiva 95/46 para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona para identificar a dicha persona (apdos. 42 y 23). Se trata de un criterio que aparece ahora sustancialmente reiterado en el considerando 26 del RGPD.
A partir de ese
precedente, la nueva sentencia, siguiendo el criterio de las conclusiones
del Abogado General, confirma que sin bien el VIN, en tanto que mero código
alfanumérico asignado a un vehículo, “como tal, carece de carácter «personal»—
adquiere ese carácter para quien dispone razonablemente de medios que permiten
asociarlo con una persona determinada”, destacando la importancia a estos
efectos de que el VIN debe figurar en el permiso de circulación de un vehículo
junto al nombre y la dirección de su titular y de quien disponga del vehículo,
de modo que cuando en el permiso se menciona una persona física constituye un
dato personal, en la medida en que quien tenga acceso al permiso podría
identificarla a partir del VIN (apdos. 46 a 48 de la sentencia). El Tribunal no
formula precisiones adicionales acerca de cuándo cabe entender que “los agentes
independientes pueden disponer razonablemente de medios que permitan vincular
un VIN a una persona física identificada o identificable”, remitiendo la
comprobación de esa circunstancia al órgano jurisdiccional remitente. En todo
caso, en la medida en que cuando concurra ese extremo el VIN constituye un dato
personal, la facilitación de esa información por el fabricante sólo sea
admisible en la medida en que tal tratamiento sea conforme con el RGPD.
Por
consiguiente, el Tribunal de Justicia analiza a continuación si lo dispuesto en
el Reglamento (UE) 2018/858 con respecto a la obligación de los fabricantes de
facilitar un acceso sin restricciones, normalizado y no discriminatorio a la
información sobre la reparación y el mantenimiento de los vehículos permite
considerar que el tratamiento consistente en facilitar el acceso al VIN debe
considerarse un tratamiento lícito por cumplir al menos una de las condiciones
que para la licitud del tratamiento establece el artículo 6.1 RGPD. En concreto,
la base de licitud relevante es la prevista en su apartado c), es decir, que el
tratamiento sea “necesario para el cumplimiento de una obligación legal
aplicable al responsable del tratamiento”. Conforme a lo dispuesto en el
artículo 6.3, esa base de licitud requiere: 1) que sea establecida por el Derecho
de la Unión o de los Estados miembros aplicable al responsable del tratamiento;
2) que la finalidad del tratamiento quede determinada en la base jurídica; y 3)
que el Derecho de la Unión o de los Estados miembros cumpla un objetivo de
interés público y sea proporcional al fin legítimo perseguido. Seguidamente, el
Tribunal valora el cumplimiento de esos tres requisitos con respecto al Reglamento
(UE) 2018/858.
El cumplimiento
del primer requisito resulta de que precisamente lo dispuesto en el Reglamento
(UE) 2018/858 permite establecer que el Derecho de la Unión impone a los
fabricantes de automóviles una «obligación legal», en el sentido del artículo 6.1.c)
RGPD, de poner a disposición de los agentes independientes los VIN (apdo. 58 de
la sentencia). El segundo de los requisitos también se considera satisfecho, en
la medida en que el propio artículo 61 del Reglamento 2018/858 en relación con
sus considerandos hace referencia a que la finalidad de esa obligación es garantizar
una competencia efectiva en el mercado de servicios de información para la
reparación y el mantenimiento de vehículos, que es necesaria para mejorar el
funcionamiento del mercado interior, lo que constituye un objetivo “de interés
general y, por ende, legítimo” (apdos. 59 y 60). También se considera
satisfecho el requisito de que la medida sea proporcional al fin legítimo
perseguido, habida cuenta de que “únicamente la búsqueda a partir del VIN
permite una identificación exacta de los datos correspondientes a un vehículo
en particular” y que no se ha acreditado que exista un medio de identificación
menos invasivo igual de eficaz y que permita satisfacer el objetivo de garantizar
una competencia efectiva en el mercado de servicios de información para la
reparación y el mantenimiento de vehículos (apdo. 62).
