1.

Un empleado y, simultáneamente, cliente de una entidad financiera solicitó a esta que le informase de la identidad de las personas que habían consultado sus datos personales en el ámbito de una investigación interna. Ante la negativa de la entidad a darle esa información, acudió a las vías de recurso correspondientes, hasta llegar al Itä-Suomen hallinto-oikeus (Tribunal de lo contencioso-administrativo de Finlandia Oriental, Finlandia).

2.

Este órgano judicial ha elevado al Tribunal de Justicia una petición de decisión prejudicial sobre la interpretación del Reglamento (UE) 2016/679. ( 2 ) Al responderla, el Tribunal de Justicia habrá de pronunciarse sobre el derecho del interesado a acceder a determinadas informaciones relacionadas con el tratamiento de sus datos personales.

3.

El considerando decimoprimero declara:

«La protección efectiva de los datos personales en la Unión exige que se refuercen y especifiquen los derechos de los interesados y las obligaciones de quienes tratan y determinan el tratamiento de los datos de carácter personal, y que en los Estados miembros se reconozcan poderes equivalentes para supervisar y garantizar el cumplimiento de las normas relativas a la protección de los datos de carácter personal y las infracciones se castiguen con sanciones equivalentes».

4.

El artículo 4 («Definiciones») proclama:

«A efectos de este Reglamento se entenderá por:

5.

En el artículo 15 («Derecho de acceso del interesado»), apartado 1, se lee:

«El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:

6.

Con arreglo al artículo 24 («Responsabilidad del responsable del tratamiento»), apartado 1:

«Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario».

7.

Conforme al artículo 25 («Protección de datos desde el diseño y por defecto»), apartado 2:

«El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas».

8.

El artículo 29 («Tratamiento bajo la autoridad del responsable o del encargado del tratamiento») recoge:

«El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable, a no ser que estén obligados a ello en virtud del derecho de la Unión o de los Estados miembros».

9.

El artículo 30 («Registro de las actividades de tratamiento») dispone:

«1.   Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:

[…]

2.   Cada encargado y, en su caso, el representante del encargado, llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga:

3.   Los registros a que se refieren los apartados 1 y 2 constarán por escrito, inclusive en formato electrónico.

4.   El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado pondrán el registro a disposición de la autoridad de control que lo solicite.

5.   Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales […] o datos personales relativos a condenas e infracciones penales […]».

10.

El artículo 58 («Poderes»), apartado 1, reza:

«Cada autoridad de control dispondrá de todos los poderes de investigación indicados a continuación:

[…]».

11.

De acuerdo con el artículo 30, las disposiciones relativas al tratamiento de los datos personales de los trabajadores, a las pruebas y a los controles que se efectúen a los trabajadores, a los requisitos que deben cumplirse a tal efecto, así como las relativas a la vigilancia técnica en el puesto de trabajo y al acceso y a la apertura de correos electrónicos de un trabajador se recogen en la Laki yksityisyyden suojasta työelämässä (759/2004). ( 4 )

12.

En virtud del artículo 34, apartado 1, el interesado no tendrá derecho a acceder a los datos recogidos relativos a él, en el sentido del artículo 15 del RGPD, en la medida en que:

13.

Con arreglo al apartado 2 del artículo 34, en el caso de que solo una parte de los datos a los que se refiere el apartado 1 no esté amparada por el derecho establecido en el artículo 15 del RGPD, el interesado tendrá derecho a acceder a todos los demás datos que le conciernan.

14.

Según el apartado 3 del artículo 34, los motivos de la restricción deberán comunicarse al interesado, en la medida en que no se ponga en peligro la finalidad de la restricción.

15.

De conformidad con el apartado 4 del artículo 34, a petición del interesado, los datos a los que se refiere el artículo 15, apartado 1, del RGPD deberán ponerse a disposición del supervisor de protección de datos, cuando el interesado no tenga derecho a acceder a los recogidos respecto a él.

16.

A tenor de la sección 2, artículo 4, apartado 2, el empleador está obligado a informar previamente al trabajador de la obtención de los datos que sirvan para evaluar su fiabilidad. Cuando verifique la solvencia financiera del trabajador, el empleador también deberá informarle del registro del que se obtuvo la información financiera. Cuando se hayan obtenido datos relativos al trabajador de una persona distinta del propio trabajador, el empleador deberá comunicar al trabajador los datos obtenidos antes de utilizarlos para tomar decisiones que afecten al trabajador. Las obligaciones del responsable del tratamiento de poner datos a disposición del interesado, así como el derecho de acceso del interesado a los datos, se regulan en el capítulo III del RGPD.

17.

En 2014, J. M. tuvo conocimiento de que sus datos personales como cliente de la entidad financiera Suur-Savon Osuuspankki (en lo sucesivo, «Pankki») habían sido consultados entre el 1 de noviembre y el 31 de diciembre de 2013. Durante ese período, además de cliente, J. M. era empleado de Pankki.

18.

El 29 de mayo de 2018, al sospechar que los motivos de la consulta no habían sido lícitos en su totalidad, J. M. solicitó a Pankki que le informara sobre la identidad de los empleados que habían accedido a sus datos en el período antedicho y de los fines del tratamiento.

19.

Entre tanto, Pankki había despedido a J. M., quien motivó su solicitud aduciendo, en particular, el deseo de esclarecer los motivos de su despido.

20.

El 30 de agosto de 2018, Pankki, en su condición de responsable del tratamiento, se negó a facilitar a J. M. los nombres de los empleados que habían tratado sus datos personales. Adujo que el derecho previsto en el artículo 15 del RGPD no se aplica a los registros diarios o protocolos internos en los que consta qué empleados y en qué momento han tenido acceso al sistema informático que incorpora los datos de los clientes. Además, la información solicitada se referiría a datos personales de esos empleados, no de J. M.

21.

Con el propósito de evitar malentendidos, Pankki proporcionó estas explicaciones adicionales a J. M.:

22.

J. M. acudió a la autoridad nacional de control (Oficina del supervisor de protección de datos, Finlandia), pidiendo que se ordenase a Pankki la entrega de la información interesada.

23.

El 4 de agosto de 2020, el supervisor adjunto de protección de datos rechazó la reclamación de J. M.

24.

J. M. interpuso un recurso ante el Itä-Suomen hallinto-oikeus (Tribunal de lo contencioso administrativo de Finlandia Oriental), sosteniendo que, con apoyo en el RGPD, tiene derecho a acceder a la información sobre la identidad y los cargos de las personas que consultaron sus datos en la entidad financiera.

25.

En esta tesitura, aquel órgano judicial ha elevado al Tribunal de Justicia las siguientes preguntas:

26.

La petición de decisión prejudicial se registró en el Tribunal de Justicia el 22 de septiembre de 2021.

27.

Han presentado observaciones escritas J. M., Pankki, los Gobiernos austríaco, checo y finlandés y la Comisión Europea.

28.

En la vista, celebrada el 12 de octubre de 2022, comparecieron J. M., la Oficina del supervisor de protección de datos, Pankki, el Gobierno finlandés y la Comisión.

29.

En la medida en que el tribunal de reenvío interesa la interpretación de varios preceptos del RGPD, hay que dilucidar ante todo si ese Reglamento es, ratione temporis, aplicable al litigio de origen. Sobre esta duda versa la cuarta pregunta prejudicial.

30.

A tenor de su artículo 99, apartado 1, el RGPD entró en vigor el 24 de mayo de 2016. Su aplicabilidad, sin embargo, fue pospuesta al 25 de mayo de 2018. ( 6 )

31.

El examen de los datos personales de J. M. tuvo lugar entre el 1 de noviembre y el 31 de diciembre de 2013, esto es, antes de la vigencia y la aplicabilidad del RGPD.

32.

Sin embargo, la fecha aquí relevante es la del 29 de mayo de 2018, día en el que J. M., amparándose en el artículo 15, apartado 1, del RGPD (aplicable desde el día 25 de mayo de 2018), solicitó la información controvertida.

33.

Como ha destacado el Gobierno austriaco, el artículo 15, apartado 1, del RGPD confiere a los interesados un derecho de carácter procedimental (derecho de acceso) para obtener información sobre el tratamiento de sus datos personales. ( 7 ) En tanto que regla de esa naturaleza, se aplica desde el momento de su entrada en vigor. ( 8 ) Por lo tanto, J. M. podía invocarla cuando solicitó la información a Pankki.

34.

Ciertamente, la licitud del tratamiento de los datos recabados antes de la entrada en vigor del RGPD deberá ponderarse a la luz de la normativa material que estaba vigente entonces, es decir, la Directiva 95/46/CE ( 9 ) y, en lo que resulte aplicable retroactivamente, del RGPD. ( 10 )

35.

Puesto que no se discute que la información solicitada estuviera en poder del responsable del tratamiento cuando J. M. pidió acceder a ella (que es el derecho garantizado por el artículo 15, apartado 1, del RGPD), se aplicaba este último Reglamento. ( 11 )

36.

Que los datos controvertidos fueran tratados antes de la entrada en vigor del RGPD resulta, en consecuencia, irrelevante para acceder o denegar la información requerida por el interesado a título del artículo 15, apartado 1, del RGPD.

37.

Las preguntas prejudiciales primera y segunda pueden examinarse conjuntamente. El interrogante que suscitan es, en esencia, si los datos personales de J. M., recogidos y tratados por Pankki, coinciden con la información que el interesado tiene derecho a obtener en virtud del artículo 15, apartado 1, del RGPD.

38.

Recuerdo que la información solicitada por J. M. se refería a la identidad de los empleados que habían consultado sus datos como cliente en el año 2013, así como al momento en el que se había producido el tratamiento y a la finalidad de este.

39.

Se corroboró en la vista que J. M. ha circunscrito su pretensión a conocer la identidad de esos empleados. En el litigio no se pone en duda, específicamente, que el tratamiento de sus datos por la entidad bancaria haya tenido una base lícita. ( 12 )

40.

Pues bien:

41.

El debate se centra, pues, únicamente en la información sobre la identidad de los empleados de Pankki que manejaron los datos personales de J. M.

42.

En realidad, esa información tiene por objeto un detalle de las operaciones de tratamiento y no, propiamente, los datos personales del interesado, en el sentido del artículo 4, punto 1, del RGPD. ( 14 )

43.

Es claro que la persona cuyos datos fueron objeto de la consulta era J. M. ( 15 ) Una vez que este obtuvo de Pankki la confirmación de que sus datos habían sido tratados, ( 16 ) la información a la que tenía derecho, con arreglo al artículo 15, apartado 1, del RGPD, es la que enumeran las letras a) a h) de ese precepto. ( 17 ) Al facilitarla, se propicia el ejercicio de los derechos que el interesado ostenta, ( 18 ) en el marco de los mecanismos que garantizan la licitud del tratamiento de datos.

44.

Del artículo 15, apartado 1, del RGPD se desprende que la información a la que alude concierne a las circunstancias concurrentes en el tratamiento de los datos.

45.

En efecto, el artículo 15, apartado 1, del RGPD atribuye al interesado el derecho a obtener del responsable del tratamiento:

46.

El precepto distingue entre los «datos personales», por un lado, y la «información» a la que se refieren las letras del apartado 1, por otro.

47.

La información que ha de proporcionarse al interesado en virtud de las letras a) a h) del artículo 15, apartado 1, del RGPD no puede confundirse, pues, con los datos personales de aquel, en el sentido del artículo 4, punto 1, del mismo Reglamento.

48.

No son datos, desde luego, sino informaciones, las relativas a:

49.

En todos estos supuestos la información versa o bien sobre determinados derechos del interesado, o bien, en particular, sobre elementos relativos al tratamiento realizado, como su finalidad (lo que es tanto como su causa) y su objeto (las categorías de datos tratados).

50.

La información sobre los destinatarios a quienes se comunicaron o serán comunicados los datos personales del interesado [artículo 15, apartado 1, letra c), del RGPD] presenta más problemas conceptuales, a los que me referiré inmediatamente.

51.

El artículo 15, apartado 1, del RGPD establece, en suma, un derecho a la información sobre el hecho en sí del tratamiento y sobre sus circunstancias. A esa información se añade la relativa a los derechos que asisten al interesado respecto de los datos objeto del tratamiento, como el de reclamar ante una autoridad de control.

52.

La mera existencia del tratamiento y sus circunstancias no constituyen, a mi juicio, «datos personales» en el sentido del artículo 4, punto 1, del RGPD.

53.

Es cierto que del tratamiento podrán resultar decisiones que afecten al interesado, como ha señalado el tribunal de reenvío. ( 21 ) Pero ese resultado no dependerá de qué persona o personas físicas, en concreto, hayan examinado los datos por cuenta y bajo la responsabilidad de Pankki, que es la información controvertida en el procedimiento principal.

54.

Así, J. M. tendría derecho a que Pankki, en tanto que responsable del tratamiento, le informara sobre los datos personales en su poder, bien obtenidos del propio J. M. (artículo 13 RGPD), bien por otros medios (artículo 14 RGPD). Tendría también derecho —ahora en virtud del artículo 15 del RGPD— a la información sobre la existencia y las circunstancias de cada tratamiento del que hayan sido objeto aquellos datos, pero no porque esto último constituya en sí mismo un «dato personal», sino por mandato expreso del artículo 15 del RGPD. ( 22 )

55.

Avanzando lo que después expondré con mayor extensión, lo relevante para este asunto es que la identidad de los empleados que consultaron los datos de J. M. no constituye un «dato personal» de este.

56.

Otra cosa es que en los protocolos o registros a los que aludiré más tarde figuren, directa o indirectamente, datos personales del interesado, distintos de la mención de qué empleados accedieron a ellos. Si eso es así, o no, dependerá en gran medida del contenido de los correspondientes protocolos o registros. Pero, repito, circunscrito el litigio de origen a conocer la identidad de los empleados de Pankki, ese no es un dato personal de J. M., sino de esos mismos empleados.

57.

El tribunal de remisión quiere saber si, aun no constituyendo datos personales de J. M., este último tendría derecho, a la luz de las letras a) y c) del artículo 15, apartado 1, del RGPD, a que Pankki le facilite información sobre los empleados que habían tratado sus datos personales.

58.

Con arreglo a la letra a), el interesado tiene derecho a que el responsable le confirme cuáles son los fines del tratamiento. Pero tal letra (que, en este asunto, fue respetada, pues Pankki informó a J. M. sobre el objetivo del tratamiento) no proporciona criterios para discernir quiénes son destinatarios de los datos personales de aquel.

59.

Por el contrario, la pregunta tiene todo el sentido cuando requiere la interpretación de la letra c) del artículo 15, apartado 1, del RGPD. Recuerdo que, con arreglo a ella, el interesado tendrá derecho a obtener la información sobre los «destinatarios o categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales […]».

60.

El artículo 4, punto 9, del RGPD, a su vez, entiende por «destinatario»«la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero».

61.

Este último inciso («se trate o no de un tercero») podría dar lugar a equívocos sobre el ámbito subjetivo del precepto, como se advirtió en la vista. Una lectura superficial y, a mi entender, errónea, podría abonar la idea de que «destinatario» no sería únicamente cualquier tercero al que Pankki hubiera comunicado datos personales de J. M., sino también cada uno de los empleados que, en concreto, consultan esos datos en nombre y por reconducción a la persona jurídica que es Pankki.

62.

El artículo 4, punto 10, del RGPD define al «tercero» como la «persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado». ( 23 )

63.

Pues bien, a la luz de esas premisas, considero que la noción de destinatario no comprende a los empleados de una persona jurídica que, al utilizar el sistema informático de esta, consultan los datos personales de un cliente por encargo de sus órganos directivos. Cuando tales empleados actúan bajo la autoridad directa del responsable del tratamiento no adquieren, por ese solo hecho, el carácter de «destinatarios» de los datos. ( 24 )

64.

Puede darse, no obstante, el caso de que un empleado no se atenga a los procedimientos establecidos por el responsable del tratamiento y, por su propia iniciativa, acceda a los datos de clientes o de otros empleados de manera ilícita. En tal supuesto, el empleado desleal no habría actuado por cuenta y en nombre del responsable del tratamiento.

65.

En esa medida, al empleado desleal podría calificársele de «destinatario» a quien se le habrían «comunicado» (en sentido figurado), bien que por su propia mano y, en consecuencia, ilegalmente, datos personales del interesado, ( 25 ) o incluso de responsable (autónomo) del tratamiento. ( 26 )

66.

De la descripción de hechos que figura en el auto de reenvío y de las alegaciones expuestas en la vista por Pankki se infiere que esta entidad autorizó, bajo su responsabilidad, a sus empleados a consultar los datos personales de J. M. Esos empleados siguieron, pues, las instrucciones del responsable del tratamiento y actuaron por cuenta de este. De ahí que no se les pueda calificar de destinatarios en el sentido de la letra c) del artículo 15, apartado 1, del RGPD. ( 27 )

67.

Distinto es que la identificación de esos empleados y del momento en el que cualquiera de ellos accedió a los datos personales del cliente (esto es, el contenido a esas menciones de los ficheros o registros a los que inmediatamente dedicaré atención) se haya de poner a disposición de las autoridades de control para comprobar la regularidad de su actuación.

68.

Así lo corrobora el artículo 29 del RGPD al aludir a las personas que actúen «bajo la autoridad del responsable o del encargado y tenga[n] acceso a datos personales». Esas personas solo podrán tratar dichos datos siguiendo instrucciones de su empleador, que es el verdadero responsable (o encargado) del tratamiento.

69.

El propósito del artículo 15, apartado 1, del RGPD es propiciar que el interesado ejercite (defienda) eficazmente los derechos que le corresponden en cuanto a sus datos personales. De ahí que se le haya de indicar quién es el responsable del tratamiento y, en su caso, a qué destinatarios se han comunicado esos datos. Con tal información, el interesado podrá dirigirse, además de al responsable, a los destinatarios que tuvieron conocimiento de sus datos.

70.

Ciertamente, el interesado puede abrigar dudas sobre la regularidad de la intervención de determinadas personas en la gestión del tratamiento de sus datos por cuenta del responsable o del encargado, y bajo la dependencia de estos.

71.

En esa tesitura, como apunta el Gobierno checo y señaló la Comisión durante la vista, puede dirigirse al delegado de protección de datos (artículo 38, apartado 4, del RGPD) o a la autoridad de control para presentar una reclamación [artículo 15, apartado 1, letra f), y artículo 77, ambos del RGPD]. Lo que no se le reconoce es el derecho a recabar directamente un dato personal (la identidad) del empleado que, subordinado al responsable o al encargado del tratamiento, actúa en principio conforme a las instrucciones de este.

72.

En la vista se debatió si la posibilidad de dirigirse al delegado de protección de datos o a la autoridad de control constituía una garantía suficiente, desde el punto de vista de la defensa de los derechos de la persona cuyos datos han sido objeto de tratamiento.

73.

Al zanjar ese debate se puede adoptar una postura maximalista, de modo que cualquier interesado tendría derecho a conocer la identidad de los empleados del responsable del tratamiento que hayan accedido a sus datos, aun cuando sea por encargo y bajo la dirección de ese responsable.

74.

Creo que el RGPD no presta apoyo para defender esa tesis, sin perjuicio de que un Estado miembro pueda asumirla en su legislación interna, para uno o varios sectores específicos. ( 28 )

75.

No sería prudente, a mi modo de ver, que el Tribunal de Justicia, asumiendo funciones casi legislativas, enmendara el RGPD para introducir una nueva obligación de información, superpuesta a las de su artículo 15, apartado 1. Así sucedería si se obligara, indiscriminadamente, al responsable del tratamiento a facilitar al interesado la identidad no ya del destinatario a quien se comunicaron los datos, sino de cualquier empleado, o persona del círculo interno de la empresa, que tuvo acceso legítimo a ellos. ( 29 )

76.

Como ha señalado Pankki durante la vista, la identidad de los empleados singulares que han gestionado el tratamiento de datos de un cliente constituye una información particularmente sensible desde el punto de vista de su seguridad, al menos en ciertos sectores económicos.

77.

Esos empleados podrían quedar expuestos a tentativas de presión y de influencia por parte de quienes, como clientes de la entidad bancaria, pueden tener interés en personalizar su interlocutor, que no sería ya tanto la propia entidad financiera, sino alguno o algunos de sus trabajadores, como eslabón más débil de la cadena empresarial. Así podría suceder, por ejemplo, cuando el seguimiento de las transacciones, a través de la consulta de los datos del cliente, se realizase con el fin de cumplir con las obligaciones a las que están sometidos los bancos en materia de prevención y lucha contra el delito en el ámbito financiero.

78.

Es verdad que el cliente puede dudar de la probidad o de la imparcialidad de la persona física que ha intervenido por cuenta del responsable en el tratamiento de sus datos. Esa duda, si fuera razonable, podría justificar su interés en conocer la identidad del empleado, con vistas al ejercicio de su derecho a dirigirse contra él.

79.

En atención a la sensibilidad de esa información, el interés en conocer la identidad del empleado se enfrenta al no menos indiscutible interés de los gestores del tratamiento en preservar la discreción sobre la identidad de sus empleados, y al derecho de estos últimos a la protección de sus propios datos. El punto de equilibrio, en mi opinión, se logra con la intermediación de la autoridad de control, como árbitro entre esos dos intereses enfrentados.

80.

En un supuesto como el de autos, pues, habrá de ser la autoridad de control la que, desde su posición de imparcialidad, valore si las dudas sobre la actuación de los empleados al servicio de la entidad bancaria son fundadas y consistentes como para justificar el sacrificio de la reserva sobre su identidad.

81.

La respuesta a la primera y segunda preguntas prejudiciales podría detenerse aquí, una vez declarado que los empleados de la entidad que actúan por cuenta de esta y siguiendo sus instrucciones no son, propiamente, los destinatarios que menciona la letra c) del artículo 15, apartado 1, del RGPD.

82.

Sin embargo, es oportuno completar la respuesta con el análisis del supuesto derecho del interesado a conocer la identidad de los empleados, cuando conste en los ficheros o registros de operaciones de una entidad. Aunque, como ya he avanzado, no todos esos ficheros o registros tendrán necesariamente un contenido idéntico, se acepta en general que reflejan quién (de entre los empleados del responsable del tratamiento), cómo y cuándo consultó los datos de los clientes.

83.

Este tipo de registros permiten al responsable del tratamiento conformarse a su obligación de cumplir con los principios establecidos en el artículo 5, apartado 1, del RGPD y de aplicar las medidas técnicas y organizativas apropiadas para garantizar y acreditar la conformidad del tratamiento con los mandatos de aquel reglamento (artículos 24, apartado 1, y 25, apartado 2, del propio RGPD).

84.

En el ámbito específico de la Directiva (UE) 2016/680, ( 30 ) traída a colación por la Comisión como ejemplo ( 31 ) de un régimen particular de protección de datos en el ámbito de las infracciones penales:

85.

Ahora bien, de conformidad con el artículo 14 de la Directiva 2016/680, la información relativa, en particular, a la identidad del empleado que haya tratado los datos personales no figura entre aquella a la que tiene derecho de acceso la persona afectada.

86.

En esa misma línea, el artículo 30 del RGPD prescribe la existencia de lo que denomina «registro de actividades de tratamiento», cuyo contenido coincide —con un menor grado de concreción en cuanto a la definición de las operaciones— con el del artículo 25 de la Directiva 2016/680. ( 33 ) Y, al igual que sucede con esta última, tampoco la información registrada sobre la identidad del empleado se cuenta entre la que es accesible al interesado a título del artículo 15 del RGPD.

87.

La razón de esta asimetría entre la información registrada, por un lado, y el derecho de acceso a ella, por otro, radica en la diferencia de las finalidades a las que sirven los preceptos que disciplinan, respectivamente, los registros de las actividades de tratamiento y la accesibilidad de su contenido.

88.

Con los registros de los que se ocupa el artículo 30 del RGPD se pretende, repito, asegurar la legalidad del tratamiento y de garantizar la integridad y la seguridad de los datos. La responsabilidad de que así sea atañe, con carácter general, a la autoridad de control, a cuya disposición deben poner los registros de operaciones el responsable y el encargado del tratamiento (artículo 30, apartado 4, del RGPD).

89.

En el RGPD, el derecho a reclamar ante las autoridades de control [artículo 15, apartado 1, letra f)], a las que compete velar por su debida aplicación, tiende a proteger los derechos de las personas físicas en lo que respecta al tratamiento de sus datos. Así lo afirma el artículo 51, apartado 1, del RGPD y se desprende de la enumeración de las funciones que les atribuye el artículo 57 del propio Reglamento.

90.

La función general de supervisar la aplicación del RGPD y proteger los derechos de las personas físicas justifica las prerrogativas de la autoridad de control. Entre ellas, la de conocer las circunstancias en las que se han desarrollado los tratamientos de datos a cargo de un encargado o de un responsable. Precisamente una de esas circunstancias es la que aquí importa: la identidad de las personas que consulten datos personales de los clientes en nombre del responsable o del encargado.

91.

En ningún lugar del RGPD se exige, sin embargo, que esas menciones a la identidad de los empleados que figuran en los registros internos de las entidades, con las que estas pueden saber (y, en su caso, poner a disposición de la autoridad de control) quién ha examinado, y cuándo, datos personales de un cliente, hayan de estar abiertas al conocimiento de este último.

92.

Por el contrario, a la persona afectada por un tratamiento concreto se le habrá de facilitar la información necesaria para conocer las circunstancias relevantes, a los efectos de apreciar la licitud del tratamiento y cuestionarla, en su caso, ante la autoridad de control o, en último término, ante la autoridad judicial.

93.

No obsta a lo anterior que, si en esos registros de operaciones constasen efectivamente datos personales del interesado (es decir, distintos de la mera identidad de los empleados), este tendrá, lógicamente, un derecho a obtener del responsable del tratamiento la confirmación de que se están tratando sus datos personales. A tales efectos, es indiferente que estos últimos se encuentren en un registro de operaciones o en cualquier otro fichero o base de datos interna de la entidad.

94.

El tribunal de reenvío quiere saber si «es relevante para el procedimiento el hecho de que se trate de un banco que ejerce una actividad reglada o que J. M. haya trabajado para el banco a la vez que era su cliente».

95.

A mi entender, cuanto hasta ahora se ha dicho no cambia porque el responsable del tratamiento de los datos ejercite una actividad reglada. Que ese responsable sea un banco sujeto a la regulación específica propia de este género de entidades ( 34 ) puede, sin embargo, tener incidencia para discernir la legitimidad (la base jurídica) del tratamiento, cuando este derive del cumplimiento de las obligaciones legales a las que está sujeto. ( 35 )

96.

En principio, tampoco es relevante que la persona cuyos datos se han consultado haya sido trabajador y, al tiempo, cliente de aquel banco. El artículo 15, apartado 1, del RGPD no establece diferencias en función de la actividad profesional del interesado, superpuesta a su condición de cliente de la entidad financiera. ( 36 )

97.

Cierto es, como ha apuntado la Comisión, que el artículo 23 del RGPD permite a los Estados miembros limitar legislativamente el alcance de las obligaciones y de los derechos establecidos, entre otros, en su artículo 15, mediante disposiciones sectoriales para una categoría específica de personas afectadas. Sin embargo, el tribunal de reenvío no menciona ninguna limitación nacional de esta especie.

98.

A tenor de lo expuesto, sugiero al Tribunal de Justicia responder al Itä-Suomen hallinto-oikeus (Tribunal de lo contencioso-administrativo de Finlandia Oriental, Finlandia) en los términos siguientes:

«El artículo 15, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), en relación con el artículo 4, punto 1, de dicho Reglamento,

debe interpretarse en el sentido de que:

Es aplicable cuando la solicitud de acceso a la información que el interesado haya dirigido al responsable del tratamiento de sus datos se hubiera presentado después del 25 de mayo de 2018.

No otorga al interesado el derecho a conocer, de entre la información de la que dispone el responsable del tratamiento (en su caso, a través de registros o ficheros de las operaciones), la identidad del empleado o empleados que, bajo la autoridad y siguiendo las instrucciones de aquel, hayan consultado sus datos personales».