Se da cuenta de la Sentencia de la Gran Sala del Tribunal de Justicia de 10 de julio del 2018, en el asunto C–25/17.

1. El artículo 3, apartado 2, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, preceptúa lo siguiente:

1. Las disposiciones de la presente directiva se aplicarán al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

2. Las disposiciones de la presente directiva no se aplicarán al tratamiento de datos personales:

— efectuado en el ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho comunitario, como las previstas por las disposiciones de los títulos V y VI del Tratado de la Unión Europea y, en cualquier caso, al tratamiento de datos que tenga por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal; 

— efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.

2. Pues bien, el Tribunal de Justicia, en su Sentencia de la Gran Sala de 10 de julio del 2018, en el asunto C-25/17, Tietosuojavaltuutettu con intervención de Jehovan todistajat — uskonnollinen yhdyskunta, ha declarado que «el artículo 3, apartado 2, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en relación con el artículo 10, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea, debe interpretarse en el sentido de que la recogida de datos personales llevada a cabo por miembros de una comunidad religiosa en relación con una actividad de predicación puerta a puerta y eltratamiento posterior de esos datos no constituyen nitratamientos de datos personales efectuados en el ejercicio de actividades contempladas en el artículo 3, apartado 2, primer guion, de dicha directiva ni tratamientos de datos personales efectuados por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas a efectos del artículo 3, apartado 2, segundo guion, de dicha directiva».

3. Asimismo,según el Tribunal de Justicia, cuando el artículo 2, letra c, de laDirectiva 95/46 define el concepto de ‘fichero de datos personales’ como todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica; este precepto «debe interpretarse en el sentido de que el concepto de ‘fichero’, definido en esa disposición, comprende un conjunto de datos personalesrecogidos en relación con una actividad de predicación puerta a puerta, consistentes en nombres, direcciones y otra información relativa a las personas contactadas, siempre que los datos estén estructurados según criterios determinados que permitan, en la práctica, recuperarlos fácilmente para su utilización posterior. Para que dicho conjunto de datos esté comprendido en ese concepto no es preciso que incluya fichas, catálogos específicos u otros sistemas de búsqueda».

4. Finalmente, eltribunaltambién interpreta el artículo 2, letra d, de la Directiva 95/46, en el que se considera «responsable del tratamiento» a la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario.

Pues bien, según el Tribunal de Justicia, este precepto «en relación con el artículo 10, apartado 1, de la Carta de los Derechos Fundamentales, debe interpretarse en el sentido de que permite considerar que una comunidad religiosa es responsable, junto con sus miembros predicadores, de los tratamientos de datos personales efectuados por estos últimos en relación con una actividad de predicación puerta a puerta organizada, coordinada y fomentada por dicha comunidad, sin que sea necesario que la comunidad tenga acceso a los datos ni haga falta demostrar que ha impartido a sus miembros instrucciones por escrito o consignas en relación con esos tratamientos».