1.

«Su privacidad es importante para nosotros. Utilizamos cookies para mejorar la experiencia del usuario. Revise las preferencias de privacidad. Aceptar todas/Configuración. Consulte nuestra política de privacidad y de cookies». ( 2 )

2.

Cuando se visita un sitio web, aparece un mensaje similar.

3.

Este mensaje es el resultado del Reglamento general de protección de datos (en lo sucesivo «RGPD»), ( 3 ) que actualmente es el principal instrumento de protección de datos personales en la Unión.

4.

¿Aparece también el RGPD ante los órganos jurisdiccionales nacionales? Más concretamente, ¿es aplicable a las obligaciones de comunicación en un procedimiento civil ante un órgano jurisdiccional nacional? En caso afirmativo, ¿cuáles son las obligaciones que impone a dichos órganos jurisdiccionales? Estas son las cuestiones que se pide al Tribunal de Justicia que aclare en el presente asunto.

5.

Dichas cuestiones se suscitaron en el asunto que está pendiente ante el órgano jurisdiccional remitente, el Högsta domstolen (Tribunal Supremo, Suecia). Los hechos del asunto pueden resumirse del modo siguiente. Norra Stockholm Bygg AB (en lo sucesivo, «Fastec»), parte recurrente en el litigio principal, realizó trabajos en el marco de un contrato celebrado con Per Nycander AB (en lo sucesivo, «Nycander»), parte recurrida en el litigio principal, para la construcción de un edificio de oficinas. Los empleados que realizaban los trabajos en virtud de dicho contrato dejaban constancia de su presencia en un registro electrónico de personal a efectos fiscales. Dicho registro de personal había sido facilitado por Entral AB, actuando en nombre de Fastec.

6.

El litigio principal se originó por una controversia relativa a la remuneración por el trabajo realizado. Nycander impugnó la solicitud de pago de Fastec [que asciende a algo más de 2 millones de coronas suecas (SEK), o aproximadamente 190133 euros], alegando que el tiempo que Fastec dedicó al trabajo fue inferior al período de tiempo respecto del cual exige el pago.

7.

Para probar esta afirmación, Nycander solicitó que se instara a Entral a presentar el registro de personal que mantenía en nombre de Fastec. Fastec se opone a esta solicitud de comunicación, alegando que dicha pretensión infringe el RGPD, ya que los datos solicitados se recogieron con otro fin y no se pueden aportar como prueba en el litigio principal.

8.

El Tingsrätt (Tribunal de Primera Instancia, Suecia) instó a Entral a presentar el registro, y el Svea hovrätt (Tribunal de Apelación con sede en Estocolmo, Suecia) confirmó, en apelación, esta resolución.

9.

Fastec recurrió la resolución del Svea hovrätt (Tribunal de Apelación con sede en Estocolmo) ante el Högsta domstolen (Tribunal Supremo) y solicitó a dicho órgano jurisdiccional que denegase la solicitud de comunicación de Nycander o, con carácter subsidiario, que instara a que se presentara una versión anonimizada del registro de personal. En el marco de este procedimiento, el Högsta domstolen (Tribunal Supremo) ha planteado al Tribunal de Justicia una petición de decisión prejudicial con las siguientes cuestiones prejudiciales:

10.

Durante el procedimiento, Fastec, los Gobiernos checo, polaco y sueco y la Comisión Europea presentaron observaciones escritas ante el Tribunal de Justicia. Nycander, los Gobiernos polaco y sueco y la Comisión presentaron sus observaciones orales en la vista celebrada el 27 de junio de 2022.

11.

El artículo 5 del RGPD establece los principios relativos al tratamiento de datos personales:

«1.   Los datos personales serán:

2.   El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva”).»

12.

El artículo 6 del RGPD, titulado «Licitud del tratamiento», dispone, en sus apartados 1, 3 y 4:

«1.   El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

[…]

[…]

[…]

3.   La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por:

La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Dicha base jurídica podrá contener disposiciones específicas para adaptar la aplicación de normas del presente Reglamento, entre otras: las condiciones generales que rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados afectados; las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación; la limitación de la finalidad; los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones específicas de tratamiento a tenor del capítulo IX. El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido.

4.   Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:

13.

Además, el artículo 23, apartado 1, del RGPD regula las limitaciones de los derechos y obligaciones dimanantes del RGPD:

«1.   El Derecho de la Unión o de los Estados miembros que se aplique al responsable o el encargado del tratamiento podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en los artículos 12 a 22 y el artículo 34, así como en el artículo 5 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 12 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:

[…]

[…]».

14.

Con arreglo al capítulo 38, apartado 2, párrafo primero, del rättegångsbalken (Código de Procedimiento Judicial; en lo sucesivo «RB»), toda persona que tenga en su poder un documento escrito al que quepa atribuir valor probatorio deberá presentar dicho documento. Las excepciones a la citada obligación figuran en el párrafo segundo de la misma disposición, y se aplican, en particular, a los abogados, médicos, psicólogos, sacerdotes y otros funcionarios a los que se haya confiado información en el marco del ejercicio de su profesión o equivalente. El capítulo 38, apartado 4, del RB confiere al órgano jurisdiccional la facultad de ordenar la presentación de un documento escrito como prueba.

15.

Según el órgano jurisdiccional remitente, a efectos de examinar si debe obligarse a una persona a presentar un documento, el órgano jurisdiccional ha de sopesar la importancia de la prueba y el interés de la parte contraria en no divulgar dicha información. Sin embargo, como explica el órgano jurisdiccional remitente, ello no implica que deba prestarse atención a si la información que se divulga tiene carácter confidencial.

16.

El RGPD es el principal acto de la Unión que regula la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales. A diferencia de su predecesora, la Directiva 95/46/CE, ( 4 ) el RGPD se adoptó sobre la base del artículo 16 TFUE. ( 5 ) Esta base jurídica habilitaba al legislador de la Unión para salvaguardar el derecho fundamental a la protección de los datos de carácter personal, establecido en el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»). ( 6 )

17.

En el tratamiento de datos personales, el RGPD impone al «responsable del tratamiento» la responsabilidad del cumplimiento de sus disposiciones. ( 7 ) Por lo tanto, en todos los casos en que se traten datos personales, es preciso determinar quién es el responsable.

18.

De conformidad con el artículo 4, punto 7, del RGPD, el responsable del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que determine los fines y medios del tratamiento.

19.

En el presente asunto, han tenido lugar dos casos distintos de tratamiento de datos personales. El primer tratamiento se refiere al registro electrónico de personal mantenido por Entral en nombre de Fastec, que debe recoger datos sobre las horas de trabajo a efectos fiscales, de conformidad con el Derecho sueco. En este contexto, Fastec es el responsable del tratamiento y Entral es el encargado del tratamiento. ( 8 )

20.

No se discute que este primer tratamiento se ha efectuado de conformidad con el RGPD. En particular, su artículo 6, apartado 1, letra c), permite el tratamiento de datos personales necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, en este caso Fastec. ( 9 ) Ciertamente, si se constatara la ilicitud de este primer tratamiento con arreglo al RGPD, el tratamiento de esos datos para otro fin distinto de aquel para el que se recogieron sería también, por extensión, ilícito. ( 10 )

21.

Sin embargo, el interés del presente asunto es el segundo tratamiento (para otro fin distinto) de los mismos datos inicialmente recogidos a efectos fiscales. El nuevo fin es la comunicación, por parte de Entral, del registro de personal como prueba en el procedimiento civil entre Fastec y Nycander. La presentación de dicho registro para su utilización en el procedimiento civil implica necesariamente un tratamiento de datos personales.

22.

En este segundo tratamiento, las funciones previstas en el RGPD cambian en comparación con el primer tratamiento. Sobre todo, al dictar un requerimiento para que Entral presente el registro de personal (en lo sucesivo, «requerimiento de comunicación»), el órgano jurisdiccional nacional es el organismo que determina los fines y los medios del segundo tratamiento de datos. ( 11 ) Por lo tanto, el órgano jurisdiccional adquiere la condición de responsable del tratamiento. ( 12 )

23.

En el segundo tratamiento, podría considerarse que Fastec sigue siendo el responsable, o que ha cambiado su función: ahora es el destinatario de los datos, junto con Nycander. ( 13 ) Sin embargo, aunque Fastec siguiera siendo el responsable conjuntamente con el órgano jurisdiccional remitente, ( 14 ) este hecho no influiría en las obligaciones que incumben al órgano jurisdiccional nacional como responsable. ( 15 ) Por último, la función de Entral no cambia, ya que sigue siendo el encargado del tratamiento y continúa tratando los mismos datos personales, pero ahora en nombre del nuevo responsable, el órgano jurisdiccional nacional.

24.

Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el órgano jurisdiccional nacional puede efectivamente adquirir la condición de responsable del tratamiento con arreglo al RGPD y si, en ese caso, el Reglamento exige incorporar un requisito en la normativa procesal nacional en lo que respecta a las facultades y obligaciones de los órganos jurisdiccionales en el procedimiento civil. Si el RGPD resulta aplicable y el órgano jurisdiccional nacional es el responsable del tratamiento, el órgano jurisdiccional remitente pregunta, en su segunda cuestión prejudicial, la forma en que debe adoptarse una decisión en materia de comunicación de datos personales que se van a utilizar como prueba en un procedimiento civil.

25.

Para responder a las cuestiones prejudiciales planteadas por el órgano jurisdiccional remitente, procederé del siguiente modo. Explicaré, en primer lugar, las razones por las que considero que el RGPD es aplicable a los procedimientos civiles ante los órganos jurisdiccionales de los Estados miembros y la forma en que influye su aplicabilidad en la normativa procesal vigente de los Estados miembros (B). A continuación, examinaré la metodología que los órganos jurisdiccionales nacionales, como responsables del tratamiento, deben aplicar para cumplir los requisitos del RGPD (C).

26.

Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el RGPD se aplica a los procedimientos judiciales de naturaleza civil y cómo influye en las normas procesales pertinentes. Más concretamente, pregunta si afecta a las normas nacionales que regulan las facultades y las obligaciones de los órganos jurisdiccionales en materia de presentación de pruebas documentales. Dividiré la respuesta a esta cuestión en tres partes.

27.

El ámbito de aplicación material del RGPD se define en su artículo 2, apartado 1, que adopta un enfoque funcional en lugar de institucional. El objeto (la actividad de tratamiento de datos personales) y no el sujeto, es el elemento que suscita la aplicabilidad del RGPD. ( 16 )

28.

Las situaciones excluidas del ámbito de aplicación del RGPD, enumeradas en su artículo 2, apartado 2, son también de carácter funcional. Habida cuenta de que constituyen una excepción a la aplicación del RGPD, según el Tribunal de Justicia, deben interpretarse de manera restrictiva. ( 17 )

29.

Por lo tanto, las actividades de las autoridades públicas no están excluidas del ámbito de aplicación del RGPD como tales, sino únicamente cuando guardan relación con las actividades enumeradas en el artículo 2, apartado 2, del RGPD. ( 18 ) A este respecto, esta disposición no excluye del ámbito de aplicación material del RGPD las actividades judiciales llevadas a cabo en los procedimientos civiles.

30.

La conclusión de que el RGPD es de aplicación a las actividades judiciales está corroborada por el considerando 20 del RGPD, ( 19 ) que establece que este acto se aplica a las actividades de los tribunales y otras autoridades judiciales. ( 20 )

31.

La exclusión de la competencia de las autoridades de control sobre los tribunales en el ejercicio de su función judicial, establecida en el artículo 55, apartado 3, del RGPD, no afecta a la conclusión anterior. Por el contrario, a mi juicio, esta disposición confirma que los tribunales en el ejercicio de su función judicial están sujetos a las obligaciones impuestas por el RGPD. Al prohibir que dichas autoridades controlen sus operaciones de tratamiento, garantiza su independencia e imparcialidad.

32.

El caso de autos versa sobre el tratamiento de datos personales comprendido en el ámbito de aplicación material del RGPD. La creación y el mantenimiento del registro electrónico de personal están relacionados con el tratamiento de datos personales. ( 21 ) Asimismo, el requerimiento de comunicación de dichos datos personales en el contexto de un procedimiento civil es un ejemplo del tratamiento de esos datos. ( 22 ) Así pues, la situación analizada en el litigio principal está comprendida en el ámbito de aplicación material del RGPD.

33.

¿Qué consecuencias se derivan de todo lo anterior para la aplicación de normas procesales nacionales, como el RB?

34.

La base jurídica para adoptar el requerimiento de comunicación controvertido en el presente asunto es el RB.

35.

En efecto, el RGPD exige que, en una situación como la del caso de autos, el tratamiento de datos tenga como base jurídica el Derecho de los Estados miembros (o de la Unión). ( 23 )

36.

En virtud del requerimiento de comunicación dictado en el presente asunto, los datos controvertidos, inicialmente recogidos y tratados a efectos fiscales, han de ser objeto de tratamiento a efectos probatorios en el marco de un procedimiento judicial.

37.

El artículo 6, apartado 4, del RGPD permite el tratamiento para otro fin distinto de aquel para el que se recogieron los datos si está basado en Derecho de los Estados miembros que constituya una medida necesaria en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, del RGPD. Entre estos objetivos, en el artículo 23, apartado 1, letra f), se menciona «la protección de la independencia judicial y de los procedimientos judiciales».

38.

Todos los participantes en este procedimiento prejudicial coinciden en que el artículo 23, apartado 1, letra f), del RGPD es la disposición adecuada para justificar el tratamiento para otro fin distinto de aquel para el que se recogieron los datos sobre la base del RB. ( 24 )

39.

El RB habilita a los órganos jurisdiccionales nacionales para ordenar la presentación de documentos si tienen valor probatorio en un procedimiento civil. Como se ha explicado, si un documento que ha de presentarse contiene datos personales, el órgano jurisdiccional que ordena su presentación adquiere la condición de responsable del tratamiento en virtud del RGPD.

40.

Como señaló la Comisión en la vista, el órgano jurisdiccional nacional solo es, en cierta medida, un responsable ordinario. Es decir, los órganos jurisdiccionales nacionales únicamente pueden tratar datos en el ejercicio de sus poderes públicos.

41.

Cuando el tratamiento de datos tiene lugar en el ejercicio de poderes públicos, ( 25 ) el artículo 6, apartado 3, del RGPD exige que se base en el Derecho de la Unión o de los Estados miembros.

42.

Por consiguiente, tanto el artículo 6, apartado 4, del RGPD (que permite el tratamiento para otro fin distinto) como su artículo 6, apartado 3 (que permite el tratamiento de datos en el ejercicio de poderes públicos), exigen que el tratamiento tenga su base jurídica en el Derecho nacional (o de la Unión). ( 26 )

43.

Así pues, que el RB habilite al órgano jurisdiccional para adoptar el requerimiento de comunicación es una condición necesaria para la licitud del tratamiento controvertido.

44.

Si existe la base jurídica exigida por el RGPD y el requerimiento que implica el tratamiento de datos personales se adopta con arreglo a dicho Derecho de los Estados miembros, ¿se cumplen los requisitos para la licitud del tratamiento establecidos en el RGPD?

45.

En mi opinión, aunque sea necesaria la existencia de una base jurídica en el Derecho nacional, esta no basta para que el requerimiento de comunicación sea conforme con el RGPD.

46.

El órgano jurisdiccional remitente ha explicado que, en virtud del RB, en la adopción de decisiones en materia de presentación de pruebas no se tiene en cuenta, en principio, el carácter confidencial de la información. Los órganos jurisdiccionales deben tomar en consideración los intereses de las dos partes contrarias, pero la legislación no menciona que los intereses de los afectados sean relevantes.

47.

¿Es incompatible el RB con el RGPD en la medida en que no obliga expresamente a los órganos jurisdiccionales, cuando adquieren la condición de responsables del tratamiento, a tomar en consideración los intereses de los afectados al adoptar decisiones que puedan influir en sus datos personales?

48.

Considero que no es así. Ha de tenerse en cuenta que varios actos nacionales que sirven de base jurídica para el tratamiento de datos no se han adoptado de manera específica en el marco de la aplicación del RGPD, sino que tienen su propia finalidad. Además, el RGPD es directamente aplicable en los ordenamientos jurídicos de los Estados miembros y no es necesaria su transposición. Por lo tanto, lo importante es que las normas procesales nacionales prevean la aplicación simultánea del RGPD en caso de convergencia.

49.

En la vista, el Gobierno sueco confirmó que el RB no exige, pero tampoco prohíbe, a los órganos jurisdiccionales tomar en consideración los intereses de los afectados. Por lo tanto, no se opone a la aplicación directa del RGPD al procedimiento judicial regulado por el RB.

50.

Así pues, los órganos jurisdiccionales nacionales están sujetos al mismo tiempo a las normas procesales internas y al RGPD, que completa las normas nacionales si las actividades procesales de los órganos jurisdiccionales implican el tratamiento de datos personales.

51.

Para concluir, no es necesario que la normativa nacional haga referencia expresa al RGPD ni que obligue a los órganos jurisdiccionales a tomar en consideración los intereses de los afectados. Basta con que permita la aplicación complementaria del RGPD. Únicamente si no fuera así, el acto nacional sería contrario al RGPD. No obstante, parece que el RB posibilita la aplicación complementaria del RGPD. ( 27 )

52.

Por consiguiente, para responder a la primera cuestión prejudicial planteada por el órgano jurisdiccional remitente, concluyo que el artículo 6, apartados 3 y 4, del RGPD exige incorporar requisitos en la normativa procesal nacional en lo que respecta a las obligaciones de comunicación cuando dicha comunicación implique el tratamiento de datos personales. La normativa procesal nacional no puede impedir, en ese caso, que se tomen en consideración los intereses de los afectados. Se asegurará la protección de estos intereses si los órganos jurisdiccionales nacionales respetan las normas del RGPD al adoptar una decisión sobre la presentación de pruebas documentales en un asunto concreto.

53.

Habida cuenta de que se les aplica el RGPD, los órganos jurisdiccionales nacionales que adquieran la condición de responsables del tratamiento de datos deberán tomar en consideración los intereses de los afectados. ¿De qué forma deben tomarse en consideración dichos intereses al adoptar una decisión concreta en materia de comunicación? Tal es, en esencia, el objeto de la segunda cuestión prejudicial planteada por el órgano jurisdiccional remitente.

54.

Los intereses de los afectados estarán protegidos cuando el tratamiento de sus datos personales sea conforme con los artículos 5 y 6 del RGPD. ( 28 ) Como afirma el Abogado General Pikamäe, el cumplimiento de los artículos 5 y 6 del RGPD garantiza la salvaguardia de los derechos al respeto de la vida privada y familiar y a la protección de datos de carácter personal, consagrados en los artículos 7 y 8 de la Carta, respectivamente. ( 29 )

55.

Los fines legítimos del tratamiento se enumeran en el artículo 6 del RGPD. ( 30 ) Como se ha explicado en la sección anterior de las presentes conclusiones, el tratamiento de que se trata persigue una finalidad lícita, habida cuenta de que el órgano jurisdiccional ejerció sus poderes públicos cuando ordenó la comunicación sobre la base del Derecho nacional que permite garantizar el buen desarrollo del procedimiento judicial. Sin embargo, tanto el artículo 6 como el artículo 5 del RGPD exigen no solo un fin legítimo, sino también que el tratamiento específico sea necesario para alcanzar dicho fin.

56.

Por lo tanto, el RGPD exige que el órgano jurisdiccional lleve a cabo un análisis de la proporcionalidad para apreciar si la comunicación de datos personales en una situación concreta es necesaria a efectos probatorios en el marco de un procedimiento judicial. ( 31 )

57.

A este respecto, el artículo 6, apartado 4, del RGPD exige que el Derecho nacional en el que se basa el tratamiento para otro fin distinto constituya una medida necesaria y proporcional para salvaguardar los objetivos indicados en su artículo 23, apartado 1, en el caso de autos, la protección de la independencia judicial y de los procedimientos judiciales. Además, el artículo 6, apartado 3, del RGPD exige que el tratamiento efectuado en el ejercicio de poderes públicos sea necesario para el ejercicio de tales poderes públicos conferidos al responsable del tratamiento.

58.

El Derecho nacional que constituye la base del tratamiento puede cumplir, en abstracto, los requisitos del artículo 6, apartados 3 y 4, del RGPD. No obstante, la licitud de cada tratamiento individual (en particular, un requerimiento judicial de comunicación específico) depende de la ponderación concreta de todos los intereses en juego, habida cuenta del fin legítimo con el que se solicita la comunicación. ( 32 ) Solo así el órgano jurisdiccional nacional podrá decidir si la comunicación es necesaria y, en su caso, en qué medida.

59.

Por consiguiente, es evidente que el RGPD exige efectuar un análisis de la proporcionalidad. ¿Ayuda el RGPD a responder a la cuestión de las diligencias concretas que el órgano jurisdiccional debe llevar a cabo para realizar dicho análisis?

60.

Como se ha explicado, el análisis de la proporcionalidad debe realizarse en cada caso concreto, tomando en consideración todos los intereses en juego. En situaciones como las del caso de autos, deben sopesarse, por un lado, los intereses que subyacen a la comunicación y, por otro, la lesión del derecho a la protección de los datos de carácter personal. ( 33 )

61.

Los intereses que subyacen a la comunicación reflejan el derecho a la tutela judicial efectiva (artículo 47 de la Carta). Los intereses de los afectados, con los que entra en conflicto dicho derecho, reflejan el derecho al respeto de la vida privada y familiar (artículo 7 de la Carta) y el derecho a la protección de los datos de carácter personal (artículo 8 de la Carta). Estos son los derechos que deben ponderarse para decidir si es necesaria la comunicación de datos personales.

62.

A continuación, ofreceré algunas sugerencias relativas a las diligencias concretas que puede esperarse que el órgano jurisdiccional nacional lleve a cabo.

63.

Para empezar, siempre cabe presumir que los intereses de los afectados que no han dado su consentimiento al tratamiento tienen que ver con el deseo de limitar el tratamiento de sus datos personales. Así pues, ese es el punto de partida por defecto del órgano jurisdiccional: justificar por qué es necesaria la injerencia en este interés.

64.

Tras un examen más minucioso, pueden encontrarse indicaciones para realizar esta evaluación en el artículo 5 del RGPD, que contiene los principios que el responsable del tratamiento debe respetar cuando trate datos personales.

65.

A este respecto, el principio de minimización de datos, que figura en el artículo 5, apartado 1, letra c), del RGPD, reviste una importancia capital. Como señala el Tribunal de Justicia, ( 34 ) este requisito refleja el principio de proporcionalidad. Exige que los datos personales sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

66.

Por lo tanto, cabe preguntarse, en primer lugar, si los datos que figuran en el registro de personal mantenido por Entral son adecuados. Serán adecuados para el fin para el que se han de comunicar si revelan efectivamente el número de horas de trabajo prestadas por los empleados de Fastec en la obra en construcción.

67.

En segundo lugar, cabe preguntarse si los datos que figuran en el registro de personal mantenido por Entral son pertinentes para el fin para el que se solicitan. Al parecer, el fin es el interés de Nycander en probar su argumento de que los empleados de Fastec trabajaron menos horas que lo indicado en la factura. En tales circunstancias, el registro de personal es pertinente si puede efectivamente probar o refutar dicha afirmación. El órgano jurisdiccional nacional debe apreciar su pertinencia a la luz de otros hechos del litigio (por ejemplo, la afirmación de Fastec de que el registro de personal solo contiene una parte de las horas de trabajo pertinentes y que otras se prestaron fuera de la obra).

68.

Para cumplir el tercer requisito del principio de minimización de datos, el órgano jurisdiccional nacional debe determinar si todos los datos contenidos en el registro, o solo algunos, son suficientes a efectos probatorios. Además, si existen otros medios para demostrar el mismo hecho, el principio de minimización de datos exige que se utilicen. Por ejemplo, el órgano jurisdiccional nacional podría tener que apreciar la afirmación de Fastec de que las horas efectivas trabajadas pueden comprobarse mediante documentos que ya forman parte de los autos que obran en poder del órgano jurisdiccional remitente. Si considera que esta afirmación es cierta, el órgano jurisdiccional nacional no puede ordenar la comunicación de datos personales que figuran en el registro de personal.

69.

El órgano jurisdiccional nacional tiene que determinar qué tipos de datos personales del registro son suficientes para probar o refutar los hechos pertinentes. A este respecto, el principio de minimización de datos exige que solo se comuniquen los datos estrictamente necesarios para el fin del que se trate. Por lo tanto, podría resultar necesario que Entral, como encargado del tratamiento, modificara de alguna manera el registro de personal para limitar los datos personales al mínimo necesario y permitir al mismo tiempo averiguar las horas efectivamente trabajadas.

70.

A este respecto, el órgano jurisdiccional nacional debe determinar si es necesario que las personas cuyos datos figuran en el registro sean identificables para que la comunicación tenga valor probatorio (por ejemplo, si es necesario nombrar a trabajadores individuales para invitarlos a comparecer en calidad de testigos). En caso contrario, puede ser suficiente disponer de información sobre el número total de horas dedicadas a la obra en construcción o sobre el número de personas que trabajaron esas horas.

71.

En función de las respuestas que se den a las cuestiones anteriores, el órgano jurisdiccional puede decidir solicitar la comunicación de datos seudonimizados o anonimizados. ( 35 )

72.

En virtud del considerando 26 del RGPD, los datos seudonimizados también están comprendidos en el ámbito de aplicación material del RGPD, porque sigue siendo posible identificar a la persona que se oculta tras el seudónimo. Por el contrario, los datos anonimizados no están comprendidos en su ámbito de aplicación. Así pues, la forma de comunicación finalmente ordenada por el órgano jurisdiccional nacional también influirá en la posterior aplicabilidad del RGPD. ( 36 )

73.

En definitiva, corresponde al órgano jurisdiccional nacional determinar el valor probatorio de las diferentes versiones del registro de personal para decidir qué tipo de minimización de datos es necesaria, en su caso, para la adecuada conclusión del procedimiento judicial sustanciado ante él.

74.

Además del principio de minimización de datos que figura en el artículo 5, apartado 1, letra c), del RGPD, los otros principios establecidos en el artículo 5 del RGPD también vinculan al órgano jurisdiccional nacional y son pertinentes por lo que respecta al método de adopción del requerimiento de comunicación.

75.

Por ejemplo, el artículo 5, apartado 1, letra a), del RGPD, además de hacer referencia al principio de licitud (que se desarrolla en su artículo 6), menciona, asimismo, el principio de transparencia. A mi juicio, este principio exige que el órgano jurisdiccional nacional explique claramente su decisión de ordenar la comunicación de datos personales, indicando, en particular, cómo ponderó los diferentes intereses y alegaciones de las partes con relación a la comunicación.

76.

La adecuada motivación del requerimiento de comunicación satisface también la exigencia prevista en el artículo 5, apartado 2, del RGPD, con arreglo al cual el responsable del tratamiento deberá ser capaz de demostrar el cumplimiento de los principios enunciados en su artículo 5, apartado 1.

77.

Asimismo, el modo de cumplimiento de los principios establecidos en el artículo 5 del RGPD puede interpretarse a la luz del considerando 31 del RGPD, que dispone que «las solicitudes de comunicación de las autoridades públicas siempre deben presentarse por escrito, de forma motivada y con carácter ocasional, y no deben referirse a la totalidad de un fichero ni dar lugar a la interconexión de varios ficheros».

78.

El Gobierno polaco ha expresado su preocupación con respecto al examen de la proporcionalidad llevado a cabo por el órgano jurisdiccional nacional: si el órgano jurisdiccional nacional ha de apreciar el valor probatorio del registro de personal o de otra prueba en el procedimiento sustanciado ante él, ¿no se estaría implicando demasiado en el que debería seguir siendo el papel de las partes, esto es, intentar que se acepte su argumento sobre el valor probatorio de dicha prueba?

79.

En mi opinión, la apreciación del valor probatorio, que toma en consideración los intereses de los afectados, no entraña una mayor injerencia en el caso que la apreciación del valor probatorio de cualquier otra prueba en el marco de un procedimiento civil. ( 37 )

80.

El grado de injerencia del órgano jurisdiccional nacional dependerá de la obviedad del valor probatorio de las pruebas cuya presentación se solicita en las circunstancias del asunto concreto. Siempre habrá que determinar en cada asunto concreto el alcance de la posible injerencia de la comunicación en los intereses de los afectados.

81.

Por ejemplo, algunos asuntos pueden estar relacionados con datos sensibles sujetos al régimen especial de protección previsto en el artículo 9 del RGPD, o con sanciones penales sujetas al régimen de su artículo 10. En esas situaciones, se concederá necesariamente más importancia a los intereses de los afectados en el ejercicio de ponderación. ( 38 ) Asimismo, el interés en la comunicación puede diferir en cada asunto concreto. Si bien, en ocasiones, no habrá ninguna duda de que la importancia de las pruebas solicitadas es marginal, en otros casos serán esenciales para determinar la resolución del litigio. A este respecto, resulta útil la observación de la Comisión en el sentido de que el órgano jurisdiccional nacional debería gozar de una gran flexibilidad cuando lleva a cabo tales apreciaciones. No obstante, nunca se le debería eximir de la obligación de tener en cuenta los intereses de los afectados.

82.

El Gobierno checo ha expresado otra preocupación: la imposición a los órganos jurisdiccionales nacionales de la obligación de tomar en consideración los intereses de los afectados cuando ordenen la presentación de pruebas documentales impide el normal funcionamiento del procedimiento judicial. En efecto, el RGPD impone a los órganos jurisdiccionales la obligación adicional ( 39 ) de realizar un examen de la proporcionalidad antes de ordenar la presentación de pruebas documentales que contengan datos personales. No obstante, ni la ponderación de los intereses constituye un ejercicio intelectual inusual para los órganos jurisdiccionales nacionales, ni la carga que recae sobre ellos difiere de la impuesta por el RGPD a cualquier responsable del tratamiento.

83.

Para que los ciudadanos de la Unión disfruten de un nivel elevado de protección de sus datos personales de conformidad con la decisión del legislador de la Unión expresada en el RGPD, no se puede entender que la toma en consideración de los intereses de los afectados constituye una carga excesiva que recae sobre los órganos jurisdiccionales de los Estados miembros.

84.

Por consiguiente, propongo al Tribunal de Justicia que responda del siguiente modo a la segunda cuestión prejudicial planteada por el órgano jurisdiccional remitente: cuando deba adoptar una decisión sobre el requerimiento de comunicación en un procedimiento civil que implique el tratamiento de datos personales, el órgano jurisdiccional nacional realizará un análisis de la proporcionalidad que tenga en cuenta los intereses de los afectados cuyos datos personales serán tratados y ponderará dichos intereses y el interés de los litigantes en la obtención de pruebas. Este examen de la proporcionalidad se rige por los principios enunciados en el artículo 5 del RGPD y, en particular, el principio de minimización de datos.

85.

En virtud de las consideraciones anteriores, propongo al Tribunal de Justicia que responda del siguiente modo a las dos cuestiones prejudiciales planteadas por el Högsta domstolen (Tribunal Supremo, Suecia):