–

en nombre de RK, por la Sra. D. Sudolská, advokátka;

–

en nombre del Gobierno checo, por los Sres. M. Smolek, O. Serdula y J. Vláčil, en calidad de agentes;

–

en nombre del Gobierno neerlandés, por las Sras. M. K. Bulterman y A. Hanje, en calidad de agentes;

–

en nombre de la Comisión Europea, por los Sres. A. Bouchagiar, H. Kranenborg y P. Ondrůšek, en calidad de agentes;

1

La petición de decisión prejudicial tiene por objeto la interpretación de los artículos 2, apartado 1, y 4, punto 2, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; en lo sucesivo, «RGPD»).

2

Esta petición se ha presentado en el contexto de un litigio entre RK y el Ministerstvo zdravotnictví (Ministerio de Sanidad, República Checa; en lo sucesivo, «Ministerio») relativo a la adopción por este de una medida excepcional que regula el acceso de las personas a determinados lugares y eventos con el fin de proteger a la población de la propagación de la epidemia de COVID‑19.

3

Con arreglo al considerando 1 del RGPD, «la protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea […] y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE) establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan».

4

El artículo 2 de ese Reglamento, titulado «Ámbito de aplicación material», establece lo siguiente en su apartado 1:

«El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.»

5

El apartado 2 de ese artículo enumera cuatro supuestos en los que el RGPD «no se aplica al tratamiento de datos personales».

6

A tenor del artículo 4 de dicho Reglamento:

«A efectos del presente Reglamento se entenderá por:

[…]».

7

Los artículos 5 y 6 de ese mismo Reglamento tienen por objeto respectivamente los «principios relativos al tratamiento» y la «licitud del tratamiento».

8

El considerando 48 del Reglamento (UE) 2021/953 del Parlamento Europeo y del Consejo, de 14 de junio de 2021, relativo a un marco para la expedición, verificación y aceptación de certificados COVID‑19 interoperables de vacunación, de prueba diagnóstica y de recuperación (certificado COVID digital de la UE) a fin de facilitar la libre circulación durante la pandemia de COVID‑19 (DO 2021, L 211, p. 1), enuncia:

«El [RGPD] se aplica al tratamiento de datos personales efectuado al aplicar el presente Reglamento. El presente Reglamento establece la base jurídica para el tratamiento de los datos personales en el sentido del artículo 6, apartado 1, letra c), y el artículo 9, apartado 2, letra g), del [RGPD], necesarios para la expedición y verificación de los certificados interoperables establecidos en el presente Reglamento. […] Los Estados miembros pueden tratar datos personales con otros fines si la base jurídica para su tratamiento con otros fines, incluidos los plazos de conservación correspondientes, está establecida en el Derecho nacional, que debe cumplir con el Derecho de la Unión en materia de protección de datos y los principios de eficacia, necesidad y proporcionalidad, y debe incluir disposiciones específicas que determinen claramente el ámbito de aplicación y el alcance del tratamiento, la finalidad específica de que se trate, las categorías de entidades que puedan verificar el certificado, así como las salvaguardias pertinentes para evitar la discriminación y el abuso, teniendo en cuenta los riesgos para los derechos y las libertades de los interesados. […]»

9

Bajo la rúbrica «Objeto», el artículo 1 de dicho Reglamento dispone:

«El presente Reglamento establece un marco para la expedición, verificación y aceptación de certificados COVID‑19 interoperables de vacunación, de prueba diagnóstica y de recuperación (certificado COVID digital de la UE), a fin de facilitar el ejercicio, por sus titulares, de su derecho a la libre circulación durante la pandemia de COVID‑19. El presente Reglamento contribuirá asimismo a facilitar la supresión gradual de las restricciones a la libre circulación establecidas por los Estados miembros, de conformidad con el Derecho de la Unión, a fin de limitar la propagación del SARS-CoV‑2, de manera coordinada.

Establece la base jurídica para el tratamiento de los datos personales necesarios para expedir tales certificados y para el tratamiento de la información necesaria para verificar y confirmar la autenticidad y validez de dichos certificados con plena observancia del [RGPD].»

10

Con el título «Certificado COVID digital de la UE», el artículo 3 de ese Reglamento establece, en su apartado 1, que el marco del certificado COVID digital de la UE debe permitir la expedición, la verificación y aceptación transfronterizas de certificados de vacunación, de certificados de prueba diagnóstica y de certificados de recuperación. Además, según su apartado 2:

«Los Estados miembros, o los órganos designados que actúen en nombre de los Estados miembros, expedirán los certificados a que se refiere el apartado 1 del presente artículo en formato digital o en papel, o en ambos formatos. Los futuros titulares tendrán derecho a recibir los certificados en el formato de su elección. Dichos certificados serán fáciles de usar y contendrán un código de barras interoperable que permita verificar su autenticidad, validez e integridad. El código de barras se ajustará a las especificaciones técnicas establecidas de conformidad con el artículo 9. La información contenida en los certificados también se mostrará en formato legible por el ser humano y se proporcionará, como mínimo, en la lengua o lenguas oficiales del Estado miembro de expedición y en inglés.»

11

Los artículos 5, apartado 2, letra a), 6, apartado 2, letra a), y 7, apartado 2, letra a), del citado Reglamento disponen, respectivamente, que un certificado de vacunación, un certificado de prueba diagnóstica y un certificado de recuperación deben contener la identidad del titular.

12

El artículo 10 del mismo Reglamento, titulado «Protección de los datos personales», establece en sus cuatro primeros apartados:

«1.   El [RGPD] se aplicará al tratamiento de datos personales efectuado en aplicación del presente Reglamento.

2.   A efectos del presente Reglamento, los datos personales contenidos en los certificados expedidos de conformidad con el presente Reglamento serán tratados únicamente con el fin de acceder a la información incluida en el certificado y verificarla, con el fin de facilitar el ejercicio del derecho a la libre circulación dentro de la Unión durante la pandemia de COVID‑19. No se producirá ningún tratamiento ulterior una vez finalizado el período de aplicación del presente Reglamento.

3.   Los datos personales incluidos en los certificados a que se refiere el artículo 3, apartado 1, serán tratados por las autoridades competentes del Estado miembro de destino o tránsito, o por los operadores de servicios de transporte transfronterizo de viajeros obligados por la legislación nacional a aplicar determinadas medidas de salud pública durante la pandemia de COVID‑19, únicamente a fin de verificar y confirmar la vacunación, el resultado de la prueba o la recuperación del titular. A tal fin, los datos personales se limitarán a lo estrictamente necesario. No se conservarán los datos personales a los que se acceda con arreglo al presente apartado.

4.   El emisor no conservará los datos personales tratados a efectos de la expedición de los certificados a que se refiere el artículo 3, apartado 1, incluida la expedición de un nuevo certificado, más tiempo del estrictamente necesario para su finalidad y, en ningún caso, más allá del período durante el cual los certificados podrán utilizarse para ejercer el derecho a la libre circulación.»

13

En una medida excepcional de 29 de diciembre de 2021 (en lo sucesivo, «medida excepcional»), adoptada para proteger a la población ante la extensión de la propagación de la pandemia de COVID‑19, el Ministerio impuso diversas condiciones, con efectos a partir del 3 de enero de 2022, al acceso de las personas a determinados espacios interiores y exteriores y a su participación en eventos multitudinarios u otras actividades. De ese modo, en particular, se exigía en primer lugar una prueba RT-PCR para detectar la presencia del virus SARS-CoV‑2 con resultado negativo de menos de 72 horas a los menores de 18 años, a quienes no pudieran vacunarse contra la COVID‑19 debido a alguna contraindicación y a quienes no tuvieran el calendario de vacunación completo; en segundo lugar, la expiración de un período de al menos 14 días desde la obtención de un calendario de vacunación completo con un medicamento autorizado, o, en tercer lugar, la infección por COVID‑19, confirmada por un laboratorio, si ha finalizado el período de aislamiento y no han transcurrido más de 180 días desde la primera prueba diagnóstica positiva (en lo sucesivo, «condiciones de “ausencia de infección”»).

14

La medida excepcional exigía a los clientes (espectadores, participantes) que acreditaran el cumplimiento de estas condiciones y obligaba a los operadores (organizadores) a controlar su cumplimiento mediante la aplicación móvil denominada «čTečka» del Ministerio. Si el cliente no demostraba el cumplimiento de estas condiciones, se prohibía al operador prestarle el servicio y permitirle el acceso al espacio o al evento. Según la medida excepcional, esta aplicación garantizaba una verificación fiable de la autenticidad y validez del documento justificativo presentado que contenía el código QR.

15

Para pronunciarse sobre el recurso de anulación de la medida excepcional interpuesto por RK el 20 de enero de 2022, el Nejvyšší správní soud (Tribunal Supremo de lo Contencioso-Administrativo, República Checa), que es el órgano jurisdiccional remitente, considera necesario examinar en primer lugar si el control del cumplimiento de las condiciones de «ausencia de infección» mediante la aplicación «čTečka» constituye un «tratamiento» automatizado de datos personales, en el sentido del artículo 4, punto 2, del RGPD, dado que estima que la información contenida en los certificados digitales de la UE incluye datos que constituyen datos personales en el sentido del artículo 4, punto 1, de dicho Reglamento. De ser así, el citado Reglamento se aplicaría de conformidad con su artículo 2, apartado 1.

16

El órgano jurisdiccional remitente señala que la aplicación «čTečka» permite controlar y verificar la validez de los certificados COVID digitales de la UE expedidos en virtud del Reglamento 2021/953. Esta aplicación escanea el código QR del certificado con la cámara del teléfono móvil de la persona que realiza el control. Esa persona dispone acto seguido de una visión general de los datos básicos de identificación del titular del certificado (apellidos, nombre y fecha de nacimiento) y del estado del certificado (válido o no válido). Pulsando un botón determinado de la aplicación, la persona que realiza el control puede acceder a toda la información mencionada en dicho certificado, como la vacunación, el tipo de vacuna, el fabricante de la vacuna, el número de dosis recibidas, la fecha de la vacunación, la fecha del primer resultado positivo y el emisor del certificado. La aplicación «čTečka» se limita a mostrar durante un momento estos datos en la pantalla del teléfono móvil de la persona que realiza el control, de modo que dichos datos no se almacenan ni se transfieren.

17

El citado órgano jurisdiccional señala que, para verificar la validez de un certificado COVID digital de la UE, esta aplicación descarga, una vez cada veinticuatro horas o a petición, las claves públicas de los certificados de los Estados miembros y las normas de validación de los Estados miembros desde la interfaz del Ministerio. Este proceso también puede realizarse sin conexión. Cuando la aplicación se instala en el teléfono móvil de la persona que realiza el control, aparece un texto en el que se indica que «la aplicación čTečka funciona de conformidad con el Derecho de la Unión y el Derecho de la República Checa y facilita la libre circulación de personas y el acceso a servicios y eventos durante la pandemia de COVID‑19. La aplicación procesa los datos personales de los titulares de certificados COVID digitales de los Estados miembros de la Unión con vistas a su control por personas autorizadas con arreglo al Reglamento de la Unión, a medidas excepcionales del [Ministerio] o con carácter voluntario. La aplicación no almacena ni transmite los datos personales y sanitarios de las personas controladas. Las condiciones de uso contienen información detallada sobre el modo en que son tratados los datos personales».

18

El órgano jurisdiccional remitente indica asimismo que, en virtud del artículo 3, apartado 2, del Reglamento 2021/953, los certificados expedidos por un Estado miembro deben contener un código de barras interoperable que permita verificar su autenticidad, validez e integridad. Señala que la conversión de los datos personales mencionados en el apartado 16 de la presente sentencia, de un formato legible por una máquina a un formato legible por el ser humano, se realiza mediante un proceso automatizado, a saber, la aplicación «čTečka», lo que podría ser constitutivo de un tratamiento de datos personales, en el sentido del artículo 4, punto 2, del RGPD.

19

Sin embargo, el órgano jurisdiccional remitente alberga dudas acerca de si esta mera operación de conversión y la visualización de estos datos en un teléfono móvil constituyen un «tratamiento», en el sentido de dicha disposición, máxime cuando ninguna de las dos operaciones puede dar lugar a un uso o explotación indebidos de datos personales ni a una vulneración del derecho a la protección de estos datos, ya que la aplicación no transfiere los datos así obtenidos.

20

El órgano jurisdiccional remitente considera, además, que la verificación de la validez del certificado por la aplicación «čTečka» también podría constituir un tratamiento de datos personales, ya que tal operación conduce a la utilización de los datos personales contenidos en dicho certificado relativos a la salud de la persona controlada. En ese sentido, aduce que, para poder apreciar la validez o no del certificado y determinar si el interesado cumple las condiciones de «ausencia de infección» previstas por la medida excepcional, la aplicación tiene necesariamente que comparar la información relativa a la salud de esa persona, como la fecha de vacunación, con las normas de validación vigentes en ese momento.

21

Por último, dicho órgano jurisdiccional afirma que el tratamiento de datos personales puede estar constituido por la combinación de los procesos que tienen lugar durante el control de los certificados por la aplicación «čTečka», a saber, la conversión de los datos personales contenidos en el código QR a un formato legible por el ser humano, su visualización en un teléfono móvil, su consulta por la persona que realiza el control y la evaluación de la validez del certificado por dicha aplicación mediante la comparación de los datos personales relativos a la salud con las normas de validación. Añade que, aunque, consideradas individualmente, estas operaciones pueden no constituir un tratamiento en el sentido del artículo 4, punto 2, del RGPD, su yuxtaposición puede dar lugar a esta calificación.

22

A este respecto, el citado órgano jurisdiccional señala que el artículo 10, apartados 1 y 3, del Reglamento 2021/953 establece expresamente que, a efectos del ejercicio del derecho a la libre circulación dentro de la Unión, el RGPD se aplica al tratamiento de los datos personales incluidos en los certificados COVID digitales de la UE. Añade que, según el considerando 48 del Reglamento 2021/953, el tratamiento de los datos personales contenidos en los certificados debe tener un régimen jurídico uniforme.

23

En estas circunstancias, el Nejvyšší správní soud (Tribunal Supremo de lo Contencioso-Administrativo) decidió suspender el procedimiento y plantear al Tribunal de Justicia la siguiente cuestión prejudicial:

«La verificación, mediante la aplicación nacional “čTečka”, de la validez de los certificados COVID‑19 interoperables de vacunación, de pruebas diagnósticas y de recuperación expedidos de conformidad con el Reglamento [2021/953], que la República Checa usa con fines nacionales, ¿constituye un tratamiento automatizado de datos personales en el sentido del artículo 4, punto 2, del [RGPD], de modo que esta actividad entra en el ámbito de aplicación material de este Reglamento con arreglo a su artículo 2, apartado 1?»

24

Mediante su cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el concepto de «tratamiento» de datos personales al que se refiere el artículo 4, punto 2, del RGPD debe interpretarse en el sentido de que incluye la verificación, mediante una aplicación móvil nacional, de la validez de los certificados COVID‑19 interoperables de vacunación, de prueba diagnóstica y de recuperación expedidos en virtud del Reglamento 2021/953 y utilizados por un Estado miembro para fines nacionales.

25

Ha quedado acreditado que una parte de la información a la que tiene acceso la persona que realiza el control al comprobar la validez de un certificado COVID digital de la UE, tal como se expone en el apartado 16 de la presente sentencia, constituye «datos personales» en el sentido del artículo 4, punto 1, del RGPD. De dicha disposición se desprende que el concepto de «datos personales» significa «toda información sobre una persona física identificada o identificable» y que tal identificación puede resultar, en particular, de la utilización del nombre del interesado.

26

A este último respecto, basta con indicar que los artículos 5, apartado 2, letra a), 6, apartado 2, letra a), y 7, apartado 2, letra a), del Reglamento 2021/953 establecen, respectivamente, que un certificado de vacunación, un certificado de prueba diagnóstica y un certificado de recuperación deben incluir la identidad del titular.

27

Sentado lo anterior, cabe señalar que el artículo 4, punto 2, del RGPD define el concepto de «tratamiento» como «cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no». En una lista no exhaustiva introducida por la palabra «como», esta disposición menciona la consulta y la utilización de datos personales como ejemplos de tratamiento. De la redacción de esta disposición, en particular de la expresión «cualquier operación», se desprende que el legislador de la Unión quiso dar un alcance amplio al concepto de «tratamiento» [véase, en ese sentido, la sentencia de 24 de febrero de 2022, Valsts ieņēmumu dienests (Tratamiento de datos personales con fines fiscales),C‑175/20, EU:C:2022:124, apartado 35].

28

Esta interpretación amplia de los conceptos de «datos personales» y de «tratamiento» es coherente con el objetivo de garantizar la efectividad del derecho fundamental a la protección de las personas físicas en relación con el tratamiento de datos personales al que se refiere el considerando 1 del RGPD, que preside la aplicación de dicho Reglamento.

29

Pues bien, en el caso de autos, una aplicación móvil nacional, como es la aplicación «čTečka», escanea el código QR del certificado COVID digital de la UE para convertir los datos personales contenidos en dicho código en un formato legible por la persona que realiza el control de la validez de tal certificado. De este modo, esa aplicación permite a la persona que realiza el control consultar, tras un proceso automatizado —a saber, el escaneado—, los datos personales y utilizarlos para evaluar si la situación del interesado se ajusta a las normas de validación, es decir, a los requisitos sanitarios aplicables. El resultado de esta evaluación también está automatizado, de forma que aparece una señal verde en el teléfono móvil de la persona que realiza el control cuando se cumplen los requisitos sanitarios y una cruz roja cuando no.

30

Por lo tanto, debe considerarse que la verificación, mediante la aplicación «čTečka», de la validez de los certificados COVID‑19 interoperables de vacunación, de prueba diagnóstica y de recuperación expedidos en virtud del Reglamento 2021/953 constituye un «tratamiento» en el sentido del artículo 4, punto 2, del RGPD y entra, de conformidad con el artículo 2, apartado 1, de dicho Reglamento, en el ámbito de aplicación material de este.

31

La interpretación a que se refiere el apartado 30 de la presente sentencia se ve corroborada por el Reglamento 2021/953, que establece que la aplicación del certificado COVID digital de la UE constituye un tratamiento en el sentido del artículo 4, punto 2, del RGPD. El artículo 1, párrafo segundo, del Reglamento 2021/953 dispone, en efecto, que ese Reglamento «establece la base jurídica para el tratamiento de los datos personales necesarios para expedir tales certificados y para el tratamiento de la información necesaria para verificar y confirmar la autenticidad y validez de dichos certificados con plena observancia del [RGPD]». Además, del considerando 48 del Reglamento 2021/953 se desprende, por una parte, que el RGPD se aplica al tratamiento de datos personales efectuado al aplicar el Reglamento 2021/953 y, por otra, que este último establece la base jurídica para el tratamiento de datos personales, en el sentido del artículo 6, apartado 1, letra c), y del artículo 9, apartado 2, letra g), del RGPD, necesario para la expedición y verificación de los certificados interoperables establecidos en el Reglamento 2021/953. El artículo 10, apartado 1, de dicho Reglamento confirma asimismo que el RGPD se aplica al tratamiento de datos personales efectuado en aplicación del Reglamento 2021/953.

32

Por tanto, corresponderá al órgano jurisdiccional remitente verificar si el tratamiento introducido por la medida excepcional, por una parte, es conforme con los principios relativos al tratamiento de datos enunciados en el artículo 5 del RGPD y, por otra parte, responde a alguno de los principios relativos a la licitud del tratamiento enumerados en el artículo 6 de dicho Reglamento [véanse, en particular, las sentencias de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico),C‑439/19, EU:C:2021:504, apartado 96, y de 4 de mayo de 2023, Bundesrepublik Deutschland (Buzón electrónico judicial),C‑60/22, EU:C:2023:373, apartado 57].

33

Habida cuenta de las consideraciones anteriores, el concepto de «tratamiento» de datos personales al que se refiere el artículo 4, punto 2, del RGPD debe interpretarse en el sentido de que incluye la verificación, mediante una aplicación móvil nacional, de la validez de los certificados COVID‑19 interoperables de vacunación, de prueba diagnóstica y de recuperación expedidos en virtud del Reglamento 2021/953 y utilizados por un Estado miembro para fines nacionales.

34

Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Octava) declara:

El concepto de «tratamiento» de datos personales al que se refiere el artículo 4, punto 2, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),

debe interpretarse en el sentido de que

incluye la verificación, mediante una aplicación móvil nacional, de la validez de los certificados COVID‑19 interoperables de vacunación, de prueba diagnóstica y de recuperación expedidos en virtud del Reglamento (UE) 2021/953 del Parlamento Europeo y del Consejo, de 14 de junio de 2021, relativo a un marco para la expedición, verificación y aceptación de certificados COVID‑19 interoperables de vacunación, de prueba diagnóstica y de recuperación (certificado COVID digital de la UE) a fin de facilitar la libre circulación durante la pandemia de COVID‑19, y utilizados por un Estado miembro para fines nacionales.