Elija las funciones experimentales que desea probar

Este documento es un extracto de la web EUR-Lex

Documento 62022CJ0231

Sentencia del Tribunal de Justicia (Sala Tercera) de 11 de enero de 2024.
État belge contra Autorité de protection des données.
Procedimiento prejudicial — Aproximación de las legislaciones — Protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) — Reglamento (UE) 2016/679 — Artículo 4, punto 7 — Concepto de “responsable del tratamiento” — Diario oficial de un Estado miembro — Obligación de publicar tal como están los actos de sociedades preparados por estas últimas o sus representantes legales — Artículo 5, apartado 2 — Tratamiento sucesivo, por varias personas o entidades distintas, de los datos personales que figuran en tales actos — Determinación de las responsabilidades.
Asunto C-231/22.

Identificador Europeo de Jurisprudencia: ECLI:EU:C:2024:7

Asunto C‑231/22

État belge

contra

Autorité de protection des données

(Petición de decisión prejudicial planteada por la Cour d’appel de Bruxelles)

Sentencia del Tribunal de Justicia (Sala Tercera) de 11 de enero de 2024

«Procedimiento prejudicial — Aproximación de las legislaciones — Protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) — Reglamento (UE) 2016/679 — Artículo 4, punto 7 — Concepto de “responsable del tratamiento” — Diario oficial de un Estado miembro — Obligación de publicar tal como están los actos de sociedades preparados por estas últimas o sus representantes legales — Artículo 5, apartado 2 — Tratamiento sucesivo, por varias personas o entidades distintas, de los datos personales que figuran en tales actos — Determinación de las responsabilidades»

  1. Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Concepto de responsable del tratamiento — Diario oficial de un Estado miembro que se encarga de la publicación de actos y documentos oficiales preparados por terceros y que no tiene poder de control sobre su contenido — Inclusión — Requisito — Determinación de los fines y medios del tratamiento de datos personales por ese diario oficial en el Derecho nacional — Modalidades — Irrelevancia de la falta de personalidad jurídica

    [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, art. 4, punto 7]

    (véanse los apartados 28, 30, 34 a 39 y el punto 1 del fallo)

  2. Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Principios relativos al tratamiento — Determinación de los responsables del cumplimiento de esos principios en caso de tratamiento sucesivo de los mismos datos — Responsabilidad del diario oficial de un Estado miembro que se encarga de la publicación de actos y documentos oficiales preparados por terceros y que tiene la condición de responsable del tratamiento — Alcance — Responsabilidad individual del diario oficial — Corresponsabilidad con otras entidades — Requisito — Determinación de los fines y medios que unen las diferentes operaciones de tratamiento así como de las obligaciones respectivas de los corresponsables del tratamiento en el Derecho nacional — Modalidades

    [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, arts. 4, punto 7, 5, aps. 1 y 2, y 26, ap. 1]

    (véanse los apartados 42 a 45, 49, 50 y 52 y el punto 2 del fallo)

Resumen

El Tribunal de Justicia, que conoce de unas cuestiones prejudiciales planteadas por la cour d’appel de Bruxelles (Tribunal de Apelación de Bruselas, Bélgica), precisa, por una parte, el contorno del concepto de «responsable del tratamiento» y, por otra parte, los límites de las obligaciones de un responsable del tratamiento cuando el tratamiento de los mismos datos personales se efectúa por entidades sucesivas.

El 12 de febrero de 2019, el Moniteur belge, que se encarga en Bélgica de la producción y difusión de una amplia gama de publicaciones oficiales y públicas en papel y por vía electrónica, publicó un extracto de una decisión de una sociedad relativa a una reducción de su capital. Ese extracto, redactado por el notario de un socio de la sociedad y transmitido al tribunal competente, el cual, a su vez, lo remitió para su publicación a la Dirección de dicho diario oficial, contenía datos personales del referido socio.

Al darse cuenta de que el pasaje que contenía sus datos había sido incluido en el extracto como consecuencia de un error cometido por el notario, el interesado solicitó su supresión en virtud de su derecho de supresión. ( 1 ) No obstante, su solicitud fue denegada por el service public fédéral Justice (Servicio Público Federal de Justicia, Bélgica) (en lo sucesivo, «SPF Justice»), al que está adscrita la Dirección del Moniteur belge. A raíz de esta denegación, dicho interesado presentó una denuncia contra el SPF Justice ante la Autorité de protection des données (Autoridad de Protección de Datos, Bélgica) (en lo sucesivo, «APD»). Mediante resolución de 23 de marzo de 2021, la APD instó al SPF Justice a que estimara la solicitud de supresión lo antes posible. El Estado belga interpuso entonces un recurso ante la cour d’appel de Bruxelles (Tribunal de Apelación de Bruselas) con objeto de obtener la anulación de la resolución de la APD.

En este contexto, la cour d’appel de Bruxelles (Tribunal de Apelación de Bruselas) ha preguntado al Tribunal de Justicia si el Moniteur belge puede ser calificado de «responsable del tratamiento» ( 2 ) y si debe ser considerado como único responsable del respeto de los principios relativos al tratamiento de los datos ( 3 ) o si esta responsabilidad incumbe también de forma acumulativa a las entidades que trataron previamente los datos que figuran en el pasaje de que se trata.

Apreciación del Tribunal de Justicia

En primer lugar, en cuanto a la cuestión de si el servicio o el organismo encargado del diario oficial de un Estado miembro como el Moniteur belge puede calificarse de «responsable del tratamiento» en el sentido del RGPD, el Tribunal de Justicia precisa que, habida cuenta de la definición amplia de este concepto, la determinación de los fines y medios del tratamiento y, en su caso, la designación del responsable del tratamiento por el Derecho nacional pueden ser no solo explícitas, sino también implícitas. No obstante, en este último supuesto se requiere que dicha determinación se desprenda con suficiente certeza del papel, de la misión y de las atribuciones encomendadas al servicio o al organismo de que se trate.

El Tribunal de Justicia observa que, en el caso de autos, el Derecho belga ha determinado, al menos implícitamente, los fines y medios del tratamiento de datos personales realizado por el Moniteur belge. De ello resulta que este puede ser considerado «responsable del tratamiento».

El Tribunal de Justicia subraya que esta conclusión no queda desvirtuada ni por la circunstancia de que el Moniteur belge no esté dotado de personalidad jurídica ni por el hecho de que, en virtud del Derecho nacional, no controle, antes de su publicación, los datos personales que figuran en los actos y documentos que recibe.

Si bien es cierto que dicho organismo debe publicar el documento en cuestión tal como está, solo él asume esta tarea y difunde a continuación el acto o el documento de que se trate. Por una parte, la publicación de tales actos y documentos sin posibilidad de control ni de modificación de su contenido está intrínsecamente vinculada con los fines y medios del tratamiento determinados por el Derecho nacional. En efecto, la función de ese diario oficial se limita a informar al público de la existencia de esos actos y documentos, tal como se le transmiten en forma de copia con arreglo al Derecho nacional aplicable, de modo que puedan oponerse a terceros. Por otra parte, sería contrario al objetivo del artículo 4, punto 7, del RGPD excluir del concepto de «responsable del tratamiento» al diario oficial de un Estado miembro debido a que no ejerce control alguno sobre los datos personales que figuran en sus publicaciones.

En segundo lugar, por lo que respecta a la cuestión de si un organismo como el encargado del Moniteur belge debe ser considerado el único responsable del cumplimiento de los principios relativos al tratamiento de los datos personales contemplados en el RGPD, ( 4 ) el Tribunal de Justicia observa que el tratamiento confiado al Moniteur belge es a la vez posterior al tratamiento efectuado por el notario y por la Secretaría del tribunal competente y técnicamente diferente del tratamiento efectuado por estas dos entidades en la medida en que viene a añadirse a él. En efecto, las operaciones efectuadas por el Moniteur belge le son confiadas por la legislación nacional e implican, en particular, la transformación digital de los datos que figuran en los actos o extractos de actos que se le presentan, la publicación de estos, su puesta a disposición para un público amplio y su conservación. Por consiguiente, debe ser considerado responsable del cumplimiento de todas las obligaciones impuestas al responsable del tratamiento por el RGPD.

Además, el Tribunal de Justicia recuerda que el artículo 4, punto 7, del RGPD establece no solo que los fines y medios del tratamiento de datos personales pueden ser determinados conjuntamente por varias personas como responsables del tratamiento, sino también que el Derecho nacional puede determinar dichos fines y medios y designar al responsable del tratamiento o los criterios específicos para su nombramiento. De este modo, en el marco de una cadena de tratamientos efectuados por distintas personas o entidades y relativos a los mismos datos personales, el Derecho nacional puede determinar los fines y medios del conjunto de los tratamientos llevados a cabo sucesivamente por esas diferentes personas o entidades, de forma que estas sean consideradas corresponsables del tratamiento.

El Tribunal de Justicia subraya que, en virtud del RGPD, ( 5 ) la corresponsabilidad de varios agentes de una cadena de tratamiento relativa a los mismos datos personales puede establecerse por el Derecho nacional siempre que las diferentes operaciones de tratamiento estén unidas por fines y medios determinados por ese Derecho y que este fije las obligaciones respectivas de cada uno de los corresponsables del tratamiento. Tal determinación de los fines y medios que unen los diferentes tratamientos efectuados por varios agentes de una cadena, así como de sus obligaciones respectivas, puede efectuarse no solo de manera directa, sino también indirecta por el Derecho nacional, siempre que, en este último supuesto, pueda deducirse de manera suficientemente explícita de las disposiciones legales que regulan las personas o entidades afectadas y el tratamiento de los datos personales que estas efectúan en el marco de la cadena de tratamiento impuesta por ese Derecho.

Así pues, el Tribunal de Justicia concluye que el servicio u organismo encargado del diario oficial de un Estado miembro, calificado de «responsable del tratamiento», es el único responsable del cumplimiento de los principios contemplados en el RGPD en lo que atañe a las operaciones de tratamiento de datos personales que debe realizar en virtud del Derecho nacional, a menos que de ese Derecho se derive la corresponsabilidad con otras entidades respecto de esas operaciones.


( 1 ) Previsto en el artículo 17 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; en lo sucesivo, «RGPD»).

( 2 ) En el sentido del artículo 4, punto 7, del RGPD.

( 3 ) En virtud del artículo 5, apartado 2, del RGPD.

( 4 ) Principios establecidos en forma de obligaciones en el artículo 5, apartado 1, del RGPD.

( 5 ) Según el artículo 26, apartado 1, en relación con el artículo 4, punto 7, del RGPD.

Arriba