Asunto: C-201/14

Partes:Smaranda Bara y otros vs Președintele Casei Naționale de Asigurări de Sănătate, Casa Naţională de Asigurări de Sănătate, Agenţia Naţională de

Administrare Fiscală (ANAF)

Síntesis:

Gestión tributaria – Colaboración social en la aplicación de los tributos – Intercambio automático o suministro de información tributaria – Tratamiento de datos personales: Transmisión por una administración pública de un Estado miembro de datos fiscales personales para su tratamiento por otra administración pública – Límite: Información a los interesados – Los artículos 10, 11 y 13 de la Directiva 95/46/CE (1) se oponen a medidas nacionales que permiten a una administración pública de un Estado miembro transmitir datos personales a otra administración pública y el subsiguiente tratamiento de estos, sin previa información a los interesados sobre dicha transmisión y tratamiento.

1. Antecedentes

La Sra. Smaranda Bara, de nacionalidad rumana, junto con otros ciudadanos son trabajadores por cuenta propia.

La Administración tributaria rumana (ANAF) transmite datos sobre sus ingresos declarados a la Caja Nacional de Seguro de Enfermedad (CNAS) y basándose en estos datos CNAS reclama el pago de atrasos de cotizaciones al régimen de tal seguro.

A tales efectos, el ordenamiento jurídico rumano permite a las entidades públicas transmitir datos personales a las cajas de seguro de enfermedad a efectos de determinar la condición de asegurados de los individuos. Los datos cuya transmisión está permitida conciernen la identificación de la persona – nombre, apellidos y dirección –, pero no incluyen información tributaria sobre los ingresos de las personas.

Debido a ello, los interesados recurren ante el Tribunal de apelación de Cluj (Rumanía) la legalidad de la transmisión de los datos fiscales relativos a sus ingresos desde el punto de vista de la Directiva 95/46 relativa a la protección de los datos personales y a su transmisión.

2. Cuestión prejudicial

El Tribunal de Apelación de Cluj decide suspender el procedimiento y preguntar al TJUE si el Derecho de la Unión se opone la transmisión entre administraciones públicas de datos personales con vista a su ulterior tratamiento sin que los interesados hayan sido informados de dicha transmisión y tratamiento.

3. Comentario

El Tribunal de Justicia considera que la exigencia de tratamiento leal de los datos personales que exige el artículo 6 de la Directiva 95/46/CE obliga a las administraciones públicas informar a los interesados respecto a la transmisión para el ulterior tratamiento de sus datos a otras administraciones en calidad de destinatarias de los mismos.

Además, el Tribunal precisa que cualquier limitación de la obligación de información ha de adoptarse mediante medidas legales.

Al respecto, el Tribunal de Justicia reconoce que la existencia previa de una ley que prevé la transmisión de datos personales podría dispensar la administración responsable del tratamiento de su obligación de informar a las personas afectadas; aunque, no obstante, en el presente asunto la ley rumana no cumple con el estándar previo de información exigido en el artículo 10 de la Directiva. Dicha norma no define los datos que puedan transmitirse, tampoco las condiciones de la transmisión que, de hecho, figuran en un protocolo interno celebrado bilateralmente entre la Administración tributaria y la Caja Nacional del Seguro de Enfermedad.

En continuación, el Tribunal de Justicia realiza una interpretación restrictiva del artículo 13 de la Directiva que establece las excepciones de la obligación de informar contenidas en el artículo 10. La omisión de información en la normativa rumana no podría ampararse en la necesidad de "salvaguardar un interés económico y financiero importante del Estado", incluidos los asuntos de naturaleza fiscal (art.13). Aun así, hubiera sido necesaria, por mandato expreso del citado artículo, que tales limitaciones a la obligación general de informar se adoptasen mediante medidas legales.

A juicio del TJUE, la norma rumana tampoco cumple con el mandato del artículo 11 de la Directiva que requiere al responsable del ulterior tratamiento de los datos, en este caso la Caja Nacional del Seguro de Enfermedad, que comunique a los interesados su propia identidad, los fines del tratamiento y la categoría de datos de que se trate; así como la posibilidad de acceso y de rectificación. Queda constatado que la Caja Nacional del Seguro de Enfermedad no facilitó dicha información.

La presente sentencia resulta de relevancia considerable en el actual contexto de intercambio automático de información en materia fiscal. Junto con la jurisprudencia del caso Schrems, C-362/14, por la que el TJUE determina que la normativa estadounidense no cumple el estándar europeo de protección de datos, ponen en manifiesto los límites al intercambio automático de información, sea interna o internacional (entre otros, en el seno de los acuerdos FATCA), que resultaría de dicha protección.

También resultaría interesante la implicación de esta doctrina sobre el "country by country reporting" introducido por el Common Reporting Standard de la Acción 13 del BEPS, aunque en este caso habrá que sopesar entre la protección brindada a los datos personales en las Directivas sobre el intercambio automático de información, generalmente más restrictiva (2) , y la otorgada por la Directiva 95/46/CE.

4. Fallo

Los artículos 10, 11 y 13 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, deben interpretarse en el sentido de que se oponen a medidas nacionales, como las que son objeto del procedimiento principal, que permiten a una administración pública de un Estado miembro transmitir datos personales a otra administración pública y el subsiguiente tratamiento de esos datos, sin que los interesados hayan sido informados de esa transmisión ni de ese tratamiento.

Comentario a la Sentencia del TJUE (Sala Tercera) de 1 de octubre de 2015