1.

Acta Diurna eran los avisos oficiales romanos diarios tallados en piedra o metal y expuestos en lugares públicos como el Foro Romano. En la era digital, el problema al que pueden enfrentarse las autoridades nacionales es si los datos publicados por el diario oficial de un determinado país también están tallados en piedra, metafóricamente hablando, o si pueden suprimirse o modificarse.

2.

El litigio principal tiene su origen en la publicación de datos por el diario oficial belga, el Moniteur belge, que publica documentos oficiales en papel y en formato electrónico.

3.

El litigio principal enfrenta al État belge (Estado belga) con la Autorité de protection des données (Autoridad de Protección de Datos, Bélgica; en lo sucesivo, «APD»). Tras constatar que se había publicado por error un extracto de un acuerdo de empresa certificado por un notario y que contenía, además de los datos exigidos por el Derecho belga, datos personales de una persona física, el responsable de la protección de datos (en lo sucesivo, «RPD») del notario solicitó al Moniteur belge la supresión de esos datos. No obstante, el Service Public Fédéral Justice (Servicio Público Federal de Justicia, Bélgica; en lo sucesivo, «SPF de Justicia»), que es la autoridad de gestión del Moniteur belge, denegó tal solicitud.

4.

En estas circunstancias, las cuestiones prejudiciales planteadas por la cour d’appel de Bruxelles (Tribunal de Apelación de Bruselas, Bélgica) en su petición de decisión prejudicial tienen un alcance más bien limitado. El órgano jurisdiccional remitente pregunta, en esencia, si el Moniteur belge o el SPF de Justicia deben ser considerados «responsables del tratamiento» en el sentido del artículo 4, punto 7, del Reglamento (UE) 2016/679 (en lo sucesivo, «RGPD»). ( 2 ) En caso de respuesta afirmativa a esta cuestión, el órgano jurisdiccional remitente pregunta también sobre los límites de las obligaciones de un responsable del tratamiento cuando el tratamiento lo llevan a cabo entidades consecutivas.

5.

En el capítulo I del RGPD, titulado «Disposiciones generales», su artículo 4 define, entre otros, los siguientes términos: «datos personales», «tratamiento», «responsable del tratamiento» y «encargado del tratamiento».

6.

Los artículos 5, 6, 17 y 26 del RGPD también son pertinentes en el presente asunto.

7.

El artículo 67, apartados 1 y 2, de la Loi du 7 mai 1999 contenant le Code des sociétés ( 3 ) (Ley de 7 de mayo de 1999 por la que se aprueba el Código de Sociedades; en lo sucesivo, «Código de Sociedades») tenía el siguiente tenor:

«1.   Las copias auténticas de los documentos públicos, los duplicados u originales de los documentos privados y los extractos, en formato electrónico o no, cuya presentación o publicación se exija en los artículos siguientes se presentará en la secretaría del tribunal de empresas en cuya demarcación tenga su domicilio social la sociedad.

[…]

2.   Los documentos presentados se conservarán en la hoja registral llevada en dicha secretaría para cada sociedad y las sociedades en cuestión se inscribirán en el registro de personas jurídicas, el registro del Banque‑Carrefour des Entreprises [(registro mercantil central)].»

8.

El artículo 71 del Código establecía lo siguiente:

«El extracto de los documentos de la sociedad será firmado por los notarios, en el caso de los documentos públicos, y por todos los socios conjunta y solidariamente o por cualquiera de ellos que, mediante un mandato especial, hubiera recibido a tal efecto el encargo del resto, en el caso de los documentos privados.»

9.

El artículo 73 de dicho Código disponía:

«La publicación se efectuará en los anexos del Moniteur belge en un plazo de quince días a partir de la presentación, incurriendo en responsabilidad por daños y perjuicios aquellos funcionarios a los que pueda imputarse la omisión o el retraso en el cumplimiento de tal plazo.

[…]»

10.

A tenor de lo dispuesto en el artículo 74, apartado 1, del citado Código:

«Se depositarán y publicarán de conformidad con los artículos anteriores:

1.o los actos que modifican las disposiciones cuya publicación exige el presente Código.»

11.

El artículo 1 del Arrêté royal du 30 janvier 2001 portant exécution du Code des sociétés (Real Decreto de 30 de enero de 2001 de Desarrollo del Código de Sociedades) ( 4 ) establecía lo siguiente:

«[…] los secretarios judiciales de los tribunales [de empresas] recibirán el depósito de todos los títulos, extractos de títulos, actas y documentos cuya divulgación ordene el Código de Sociedades.»

12.

El artículo 11 de dicho Real Decreto disponía:

«1.   Los títulos, extractos de títulos y documentos cuya publicación sea obligatoria en los anexos del Moniteur belge se presentarán en Secretaría junto con una copia […]

2.   Todos los documentos en papel presentados deben cumplir los siguientes requisitos:

[…]

[…]

3.   Las copias de los títulos, extractos de títulos y documentos mencionados en los artículos 67, 68 y 74 […] del Código de Sociedades […] destinadas al Moniteur belge se presentarán sin correcciones ni tachaduras.

[…]»

13.

El artículo 14 del Real Decreto disponía lo siguiente:

«El secretario enviará a la entidad de gestión del Moniteur belge, a más tardar el segundo día laborable siguiente al de su presentación, copias de los títulos, extractos de títulos y documentos […] que haya recibido y que deban publicarse en los anexos del Moniteur belge.

[…]»

14.

El artículo 16 del citado Real Decreto establecía:

«Cuando la publicación sea necesaria, se efectuará por medio de los anexos del Moniteur belge en los plazos previstos por la ley.»

15.

El artículo 472 de la Loi‑programme du 24 décembre 2002 (Ley‑Programa de 24 de diciembre de 2002) ( 5 ) establece:

«El Moniteur belge es una publicación oficial editada por la entidad de gestión del Moniteur belge, que reúne todos los textos para los que se prescribe su publicación en el Moniteur belge.»

16.

El artículo 474 de dicha Ley‑Programa está redactado en los siguientes términos:

«La entidad de gestión del Moniteur belge publicará tres ejemplares en papel en el Moniteur belge.

[…]

Una copia se almacenará electrónicamente. El rey determinará las disposiciones de desarrollo del almacenamiento electrónico […]».

17.

El artículo 475 de la citada Ley‑Programa tiene el siguiente tenor:

«Cualquier otra puesta a disposición del público se hará a través del sitio de Internet de entidad de gestión del Moniteur belge.

Las publicaciones disponibles en dicho sitio de Internet serán reproducciones exactas en formato electrónico de los ejemplares en papel a que se refiere en el artículo 474.»

18.

Con arreglo al artículo 475 bis de la Ley‑Programa de 24 de diciembre de 2002:

«Cualquier ciudadano puede obtener del Moniteur belge a precio de coste, a través de una línea telefónica gratuita, una copia de los documentos y escritos publicados en el Moniteur belge. Este servicio también se encarga de poner a disposición de los ciudadanos un servicio de ayuda para la búsqueda de documentos.»

19.

A tenor de lo dispuesto en el artículo 475 ter de dicha Ley‑Programa:

«Se adoptarán otras medidas complementarias mediante real decreto adoptado en Consejo de Ministros con el fin de garantizar una difusión y un acceso lo más amplios posibles a la información contenida en el Moniteur belge.»

20.

LM es el accionista mayoritario de Bureau LM, sociedad belga de responsabilidad limitada.

21.

El 23 de enero de 2019, dicha sociedad celebró una junta general en la que acordó reducir su capital, modificando a tal efecto sus estatutos.

22.

De conformidad con las disposiciones legales en materia de publicidad, un notario preparó un texto parcial. El 12 de febrero de 2019, el notario lo presentó ante la Secretaría del tribunal de l’entreprise néerlandophone de Bruxelles (Tribunal de Empresas Neerlandófono de Bruselas, Bélgica) para su publicación oficial en el Moniteur belge.

23.

El 22 de febrero de 2019, dicho texto parcial se publicó en los anexos del Moniteur belge. En particular, contenía el acuerdo de reducir el capital de la sociedad, el importe inicial del capital, la cuantía de la reducción, el nuevo monto del capital social y el nuevo texto de los estatutos. Además de la información publicada en cumplimiento de una obligación legal, el texto parcial en cuestión contenía los nombres de los dos socios de la referida sociedad, los importes que se les habían reembolsado y sus números de cuenta bancaria (en lo sucesivo, «extracto objeto del litigio principal»), datos cuya publicación no exigía la ley.

24.

Tras constatar que el notario había cometido un error al incluir el extracto objeto del litigio principal en el texto parcial publicado, el RPD del notario, al amparo del artículo 17 del RGPD, solicitó al SPF de Justicia que suprimiera el extracto objeto del litigio principal y publicara de nuevo el texto parcial, esta vez sin dicho extracto.

25.

El 10 de abril de 2019, el SPF de Justicia denegó esta solicitud ( 6 ) y ofreció publicar de nuevo una versión del texto parcial en la que no figurase el extracto objeto del litigio principal, pero sin modificar la publicación inicial de 22 de febrero de 2019.

26.

El 21 de enero de 2020, LM, uno de los dos socios de la empresa afectada, presentó ante la APD una denuncia contra el Moniteur belge (SPF de Justicia) por infracción de los artículos 5 (en particular, el principio de minimización de los datos), 6 (tratamiento de datos personales) y 17 (derecho de supresión) del RGPD.

27.

Mediante resolución de 23 de marzo de 2021, la APD estimó la denuncia y ordenó, en esencia, suprimir el extracto objeto del litigio principal.

28.

El 22 de abril de 2021, el Estado belga interpuso recurso contra esta resolución ante la cour d’appel de Bruxelles (Tribunal de Apelación de Bruselas), órgano jurisdiccional remitente, solicitando la anulación de dicha resolución. LM actuó como coadyuvante en el procedimiento.

29.

El órgano jurisdiccional remitente señala que las partes discrepan sobre cómo debe interpretarse el concepto de «responsable del tratamiento» contemplado en el artículo 4, punto 7, del RGPD. Señala que, tras recibir el texto parcial del tribunal de l’entreprise néerlandophone de Bruxelles (Tribunal de Empresas Neerlandófono de Bruselas), el Moniteur belge, de conformidad con las disposiciones legales que regulan su estatuto y sus funciones, publicó dicho texto en el mismo estado en el que estaba, es decir, sin ninguna facultad de revisión o de modificación. En particular, el órgano jurisdiccional remitente se pregunta si procede calificar de «responsable del tratamiento» en el sentido de dicho artículo y, por lo tanto, con arreglo al artículo 5, apartado 2, del RGPD, responsable del cumplimiento de lo dispuesto en el artículo 5, apartado 1, de dicho Reglamento a cada una de las entidades sucesivas potenciales o solo a una de ellas.

30.

A este respecto, el referido órgano jurisdiccional pregunta si dicho concepto de responsabilidad sucesiva o subsidiaria está consagrado en el citado Reglamento. Si se considera que el Moniteur belge es el destinatario de los datos en el sentido del artículo 4, punto 9, del RGPD, se pregunta si, a su vez, dicho diario actuó como responsable «subsidiario» del tratamiento. Sin embargo, no parece que sea así, ya que, con arreglo al Derecho belga aplicable, el Moniteur belge no está en condiciones de definir los medios y fines de su propio tratamiento en el sentido del artículo 4, punto 7, del RGPD.

31.

En estas circunstancias, la cour d’appel de Bruxelles (Tribunal de Apelación de Bruselas) planteó al Tribunal de Justicia las siguientes cuestiones prejudiciales:

32.

Han presentado observaciones escritas la APD, los Gobiernos belga y húngaro y la Comisión Europea.

33.

En la vista de 23 de marzo de 2023, comparecieron ante el Tribunal de Justicia la APD, el Gobierno belga y la Comisión.

34.

Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 4, punto 7, del RGPD debe interpretarse en el sentido de que un diario oficial de un Estado miembro tiene la condición de responsable del tratamiento. Antes de nada, debo hacer dos observaciones que atañen a la formulación de esta cuestión prejudicial.

35.

En primer lugar, de la resolución del órgano jurisdiccional remitente se desprende que el Código de Sociedades establece que las sociedades tienen la obligación legal de publicar diversos documentos y decisiones en los anexos del Moniteur belge. Dicho órgano jurisdiccional señala asimismo que el Moniteur belge es un organismo dependiente del SPF de Justicia, sin que este extremo se explique con mayor detalle. Habida cuenta de que la división de competencias de las autoridades nacionales dentro de un Estado miembro es una cuestión que depende de la normativa nacional, en las presentes conclusiones solo haré referencia al Moniteur belge.

36.

En segundo lugar, debo observar que el órgano jurisdiccional remitente inserta en su cuestión prejudicial un extracto entrecomillado que parece ser una explicación de las facultades conferidas al Moniteur belge por el legislador belga.

37.

En consecuencia, dicha cuestión prejudicial podría formularse de nuevo en el sentido de preguntar, en esencia, si un diario oficial de un Estado miembro, como el Moniteur belge, encargado, en virtud de la normativa nacional aplicable, del servicio de publicar y archivar documentos oficiales, puede considerarse responsable del tratamiento, en el sentido del artículo 4, punto 7, del RGPD, en circunstancias en las que la publicación de dichos documentos, en el mismo estado en el que están, es ordenada por entidades terceras, cuando dichas entidades han tratado ellas mismas los datos personales contenidos en esos documentos y cuando dicho diario oficial no goza de ninguna facultad de apreciación sobre el contenido de los documentos que se publican o sobre los fines y medios de dicha publicación.

38.

Para responder a esta cuestión prejudicial, debo señalar, antes de nada, que el término «responsable del tratamiento» se define en el artículo 4, punto 7, del RGPD como «la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros». De esta disposición, leída en relación con el artículo 5, apartado 1, del RGPD, que establece los principios relativos al tratamiento de datos personales, se desprende claramente que cada etapa del tratamiento de datos requiere la existencia de un responsable del tratamiento. ( 7 ) Así pues, cuando se tratan datos personales, siempre debe haber un responsable del tratamiento que es el agente clave en la aplicación de la normativa en materia de protección de datos, ( 8 ) por lo que es importante identificar a ese responsable en cada fase del tratamiento. ( 9 ) El concepto de «responsable del tratamiento» engloba tanto a las personas físicas y jurídicas como a las autoridades públicas, servicios u otros organismos. Sin embargo, es evidente que la calificación del tipo de entidad no plantea dificultades en el presente asunto.

39.

Antes de pasar al núcleo de la cuestión prejudicial, es decir, la determinación del concepto de «responsable del tratamiento» en el sentido del artículo 4, punto 7, del RGPD, creo importante aclarar si las operaciones controvertidas en el presente asunto constituyen un «tratamiento» de datos personales en el sentido del artículo 4, puntos 2 y 1, respectivamente, del RGPD.

40.

En primer lugar, debe recordarse que por «datos personales», en el sentido del artículo 4, punto 1, del RGPD, se entiende «toda información sobre una persona física identificada o identificable», siendo evidente que, según la jurisprudencia, esta definición es aplicable cuando, debido a su contenido, finalidad o efectos, la información en cuestión está relacionada con una persona concreta. ( 10 ) En el presente asunto, es pacífico entre las partes que los datos incluidos en el extracto objeto del litigio principal, como los nombres de los dos socios de la sociedad y sus números de cuenta bancaria, constituyen datos personales. En mi opinión, los importes que les fueron reembolsados a dichos socios no son necesariamente datos personales por sí mismos. Sin embargo, cuando se combinan con el nombre de las personas que los han recibido, dichos importes deben efectivamente considerarse datos personales.

41.

En segundo lugar, en virtud del artículo 4, punto 2, del RGPD, el concepto de «tratamiento» se define como «cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales», como, entre otras, la «consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso» de datos personales. Estas definiciones reflejan el hecho de que el legislador de la Unión ha querido dar un alcance amplio a estos dos conceptos. ( 11 )

42.

Por ejemplo, en su sentencia Google Spain, el Tribunal de Justicia declaró que la actividad de un motor de búsqueda, que consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según un orden de preferencia determinado, debe calificarse de «tratamiento de datos personales», en el sentido del artículo 2, letra b), de la Directiva 95/46/CE ( 12 ) —precepto que se corresponde, en esencia, con el artículo 4, punto 2, del RGPD—, cuando esa información contiene «datos personales». ( 13 ) Además, en la sentencia Fashion ID, ( 14 ) el Tribunal de Justicia consideró que un tratamiento de datos personales puede estar constituido por una o varias operaciones, cada una de ellas referida a una de las distintas fases que puede contener un tratamiento de datos personales.

43.

En mi opinión, en el presente asunto se produjeron tres instancias sucesivas de tratamiento de datos personales. El primer tratamiento se refiere al notario que redactó el documento que debía publicarse en el Moniteur belge (y que, al hacerlo, cometió el error de incluir los datos personales en cuestión) y lo presentó ante la secretaría del tribunal de empresas. El segundo tratamiento se refiere a la citada secretaría, que añadió dicho documento a la hoja registral de la sociedad y lo envió para su publicación al Moniteur belge. El tercer tratamiento afectaba al Moniteur belge, que no solo transformaba el documento en papel en un documento electrónico, sino que también lo recogía, registraba, almacenaba, divulgaba y difundía. En mi opinión, no cabe duda de que las tres instancias y, en particular, las operaciones realizadas por el Moniteur belge constituyen un «tratamiento» en el sentido del artículo 4, punto 2, del RGPD.

44.

Sin embargo, el hecho de que el tratamiento haya tenido lugar en esas tres instancias no implica necesariamente que el Moniteur belge haya actuado como responsable del tratamiento. Ello se debe a que el RGPD establece una distinción, recogida en su artículo 4, puntos 7 y 8, entre, por una parte, los responsables del tratamiento y, por otra, los encargados del tratamiento. Mientras que el responsable del tratamiento define los fines y los medios del tratamiento, ( 15 ) el encargado del tratamiento trata los datos personales por cuenta del responsable del tratamiento. ( 16 ) Por lo tanto, si bien es evidente que las tres instancias constituyen un «tratamiento», en el sentido del artículo 4, punto 2, del RGPD, esta conclusión no determina si el Moniteur belge —u otra entidad implicada en esa cadena de tres etapas— tiene la condición de responsable del tratamiento en el presente asunto.

45.

En mi opinión, determinar si el Moniteur belge actuó como «responsable del tratamiento» equivale a examinar si «determin[a] los fines y medios del tratamiento» en el sentido del artículo 4, punto 7, del RGPD.

46.

Antes de nada, debo señalar que, según la jurisprudencia pertinente del Tribunal de Justicia, el concepto de «responsable del tratamiento» debe definirse en sentido amplio. En efecto, el Tribunal de Justicia ya ha declarado que el objetivo del artículo 4, punto 7, del RGPD consiste en garantizar, mediante una definición amplia del concepto de «responsable del tratamiento», una protección eficaz y completa de los interesados. ( 17 ) Además, «los conceptos de “responsable del tratamiento” y “encargado del tratamiento” son conceptos funcionales: su objetivo es asignar responsabilidades en función del papel real de cada parte». ( 18 ) Dicho de otro modo, el«responsable del tratamiento de datos personales es la persona que decide con qué fin y de qué modo se tratarán estos datos». ( 19 ) Por lo tanto, la determinación de las responsabilidades del responsable del tratamiento «está [basada] en un análisis de hecho más que formal». ( 20 )

47.

En segundo lugar, al especificar «solo o junto» con otros, el artículo 4, punto 7, del RGPD reconoce que «los fines y medios» del tratamiento de datos pueden ser determinados por más de una entidad. Sin embargo, la medida en que dos o más agentes ejercen junto con otros el control puede adoptar diferentes formas, ( 21 ) que se examinarán en mi análisis de la segunda cuestión prejudicial.

48.

En tercer lugar, debo observar que, al adoptar el Real Decreto de 25 de junio de 2020, el Reino de Bélgica designa al SPF de Justicia como responsable del tratamiento en el sentido del artículo 4, punto 7, del RGPD. ( 22 ) Sin embargo, los hechos del litigio principal tuvieron lugar antes de la entrada en vigor de dicho Decreto. Por lo tanto, este no es aplicable ratione temporis al presente asunto. De ello se deduce, por consiguiente, que el Tribunal de Justicia debe examinar el reparto de competencias y responsabilidades entre las entidades nacionales antes de la entrada en vigor de dicho Decreto.

49.

Hechas estas observaciones preliminares, examinaré a continuación las condiciones establecidas en el artículo 4, punto 7, del RGPD, es decir, cuál de las entidades en cuestión «determin[a] los fines y medios del tratamiento» de los datos personales de que se trata.

50.

La responsabilidad del tratamiento puede establecerse en la normativa pertinente o deducirse de un análisis de los hechos o las circunstancias del caso. ( 23 ) El artículo 4, punto 7, del RGPD establece que, si el Derecho de un Estado miembro determina en particular los fines y medios del tratamiento, ese Derecho podrá nombrar al responsable del tratamiento o establecer los criterios específicos para su nombramiento. De ello se deduce que, cuando una entidad se haya identificado expresamente en la normativa como responsable del tratamiento, tal designación se considerará determinante. ( 24 ) Sin embargo, en el presente asunto no existe ninguna disposición específica que nombre explícitamente a un responsable del tratamiento.

51.

También es posible que la ley, aunque implícitamente, nombre a una entidad como responsable del tratamiento. ( 25 ) Por ejemplo, cuando el Derecho nacional impone a una entidad determinada la obligación de conservar o facilitar determinados datos, dicha entidad sería considerada responsable del tratamiento en lo que respecta al tratamiento necesario para cumplir tal obligación. Esta designación implícita por el Derecho nacional se produce cuando de la función, las tareas y las competencias atribuidas a dicha autoridad se desprende que esta determina los fines y los medios del tratamiento en cuestión. En la sentencia Manni, el Tribunal de Justicia se basó en la apreciación de los hechos, afirmando que «al transcribir y conservar esta información en el registro y al comunicarla, en su caso, a terceros previa petición, la autoridad encargada de este lleva a cabo un “tratamiento de datos personales” del que es “responsable”», según se define en el artículo 2, letras b) y d), de la Directiva 95/46. ( 26 )

52.

En el presente asunto, pese a que el Derecho nacional no ha designado explícitamente a un responsable del tratamiento, establece que las empresas tienen la obligación legal de publicar determinados documentos en el Moniteur belge. ( 27 ) De este modo, ha creado una obligación legal de tratar los datos, que deben ser gestionados por un responsable del tratamiento. El legislador nacional ha diseñado un esquema en el que hay tres entidades que tratan los datos sucesivamente; sin embargo, las partes discrepan sobre cuál de esas tres entidades es realmente el responsable del tratamiento. ( 28 ) Por lo tanto, es preciso establecer las competencias específicas atribuidas a dichas entidades para determinar cuál de ellas ha sido designada implícitamente por el legislador como responsable de la tercera fase del tratamiento, es decir, de las operaciones efectuadas por el Moniteur belge.

53.

El artículo 4, punto 7, del RGPD, mediante el uso del verbo «determinar», exige que un responsable del tratamiento influya en el tratamiento en virtud del ejercicio de un poder de decisión. ( 29 ) Por ejemplo, en el asunto del módulo «me gusta» de Facebook, ( 30 ) la cuestión era si Fashion ID, una empresa de comercio electrónico que se dedicaba a la venta de prendas de vestir y que había insertado en su sitio de Internet el módulo social «me gusta» de la red social Facebook, había determinado o no conjuntamente con Facebook los medios de recogida y de comunicación por transmisión de datos personales de los visitantes del sitio de Internet de Fashion ID. En ese asunto, el Tribunal de Justicia declaró explícitamente que, al insertar tal módulo social en su sitio de Internet, Fashion ID influye de manera decisiva en la recogida y transmisión de datos personales de los visitantes de ese sitio a favor del proveedor de dicho módulo —en el caso de autos, Facebook Ireland—, que, de no haberse insertado ese módulo, no habrían tenido lugar. ( 31 ) De ello se desprende que el hecho de ejercer una influencia decisiva en el tratamiento de datos personales implica que la entidad que ejerce dicha influencia es un responsable del tratamiento. Sin embargo, el hecho de no ejercer una influencia decisiva no basta para excluir que una entidad pueda seguir teniendo la condición de responsable del tratamiento.

54.

Como consecuencia de las modalidades mediante las que se presenta la información y se distribuye en línea, la difusión de datos en Internet aumenta de modo exponencial los riesgos de vulneración de los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales. ( 32 ) Consciente de ese riesgo, el Tribunal de Justicia ha adoptado una definición amplia del concepto de «responsable del tratamiento» ( 33 ) para que el RGPD garantice la protección eficaz y completa de los interesados, en particular de su derecho a la intimidad. ( 34 ) A tal efecto, en la sentencia Google Spain, el Tribunal de Justicia declaró que sería contrario no solo al claro tenor del artículo 2, letra d), de la Directiva 95/46, que corresponde, en esencia, al artículo 4, punto 7, del RGPD, sino también a su objetivo de excluir de esta disposición al gestor de un motor de búsqueda debido a que no ejerce control sobre los datos personales publicados en las páginas web de terceros. ( 35 ) Al adoptar una definición tan amplia, es evidente que el Tribunal de Justicia ha optado por una interpretación teleológica de dicha disposición: la definición de «responsable del tratamiento» debe garantizar una protección eficaz y completa de los interesados. Además, debo señalar que tal interpretación solo puede verse reforzada por el RGPD, que se adoptó sobre la base del artículo 16 TFUE, apartado 1, que faculta al legislador de la Unión para salvaguardar el derecho fundamental a la protección de datos de carácter personal, contemplado en el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»). ( 36 )

55.

En el presente asunto, es evidente que el legislador nacional ha diseñado un esquema con tres instancias distintas de tratamiento, una cadena que comienza con el notario, que redacta y firma los documentos de que se trata, sigue con la secretaría del tribunal de empresas, que añade el documento a la hoja registral de la sociedad y lo almacena, y termina con el Moniteur belge, que transforma digitalmente y publica esos documentos. Si bien es cierto que el Moniteur belge debe publicar el documento en cuestión en el mismo estado en el que está, no lo es menos que, a efectos de su publicación, no son ni el notario ni la secretaría del tribunal de empresas quienes lo transforman en un documento electrónico; el Moniteur belge es el único que lo hace y difunde a continuación el documento en cuestión en Internet.

56.

En particular, debo señalar que, al adoptar los artículos 474 a 475 ter de la Ley‑Programa de 24 de diciembre de 2002, el legislador nacional confirió determinadas competencias al Moniteur belge. De estas disposiciones se desprende que el Moniteur belge no solo publica la versión en papel de los documentos de que se trata, sino que también los pone a disposición a través de su sitio de Internet en formato electrónico, los almacena electrónicamente, los pone al alcance de los ciudadanos facilitándoles una línea telefónica de ayuda y un servicio de ayuda a la búsqueda de documentos y, por último, garantiza una difusión y un acceso lo más amplios posibles a la información contenida en el Moniteur belge. Por consiguiente, a mi juicio, de estas disposiciones se desprende que el legislador nacional, al atribuir al Moniteur belge competencias en materia de transformación digital, publicación, difusión y almacenamiento de los documentos controvertidos, ha conferido a dicho diario competencias comprendidas en el concepto de «responsable del tratamiento» en el sentido del artículo 4, punto 7, del RGPD. ( 37 )

57.

Al llevar a cabo las operaciones antes mencionadas que le encomienda el legislador, a saber, la transformación digital, la publicación y la difusión, el Moniteur belge aumenta exponencialmente el riesgo de vulneración de los derechos fundamentales del interesado (en comparación con la mera publicación del documento en su versión en papel). El tratamiento de dicho diario oficial es lo que realmente amenaza la protección eficaz y completa del interesado en cuestión. En consecuencia, no veo otra alternativa que considerar que, en razón del objetivo de garantizar la protección eficaz y completa de los interesados y debido al perjuicio potencial que la transformación y la difusión digitales pueden causar a dichos interesados, el Moniteur belge no puede ser excluido de la definición de «responsable del tratamiento» de datos en el sentido del artículo 4, punto 7, del RGPD.

58.

Por último, en cuanto a la aplicabilidad de la jurisprudencia relativa a los motores de búsqueda privados a entidades públicas, como el Moniteur belge, debe señalarse que, en una sentencia reciente, el Tribunal de Justicia aplicó dicha jurisprudencia a efectos de confirmar que el Ministerio Fiscal debe ser considerado «responsable del tratamiento». ( 38 ) En mi opinión, la justificación de dicha aplicación se basa en la interpretación amplia del concepto de «responsable del tratamiento», en el sentido del artículo 4, punto 7, del RGPD, con el fin de garantizar una protección eficaz y completa de los derechos y libertades fundamentales de los interesados consagrados en el Derecho primario, ( 39 ) con independencia de que el responsable del tratamiento sea una entidad pública o privada. ( 40 ) Para garantizar esa protección eficaz y completa, los principios de protección de datos impuestos a los motores de búsqueda privados son pertinentes para las entidades privadas y para las públicas, que están sujetas a los mismos principios generales relativos a los datos y a las obligaciones en virtud del RGPD, que constituyen una expresión concreta del Derecho primario.

59.

En la vista, el Gobierno belga sostuvo que debía considerarse que el notario es responsable del tratamiento de datos, puesto que determina los medios y fines del tratamiento de datos.

60.

En mi opinión, si debiera considerarse que el notario es el único responsable del tratamiento, en la práctica, ello significaría que nadie sería el responsable de la tercera fase del tratamiento, es decir, de las operaciones efectuadas por el Moniteur belge, ya que el legislador no ha facultado al notario —como ilustran los hechos del presente asunto— para influir decisivamente en esa tercera fase del tratamiento. Dicho esto, las tres entidades en cuestión pueden estar implicadas en distintas instancias del tratamiento de datos personales y en distintos grados, de modo que cada una de ellas puede ser considerada responsable del tratamiento, si bien con un alcance y un nivel de responsabilidad diferentes derivados de la responsabilidad del tratamiento. ( 41 ) Por otra parte, es preciso observar que, como señaló la Comisión en la vista, la ley podría, en teoría, designar al Moniteur belge como encargado del tratamiento, siempre que la legislación nacional haya impuesto a varias entidades la obligación de redactar, almacenar y difundir digitalmente el documento en cuestión. Sin embargo, para que el Moniteur belge pueda considerarse encargado del tratamiento deben cumplirse las condiciones previstas en el artículo 28 del RGPD, lo que claramente no ocurre en las circunstancias expuestas ante el Tribunal de Justicia, ya que cada entidad afectada es responsable de su propia parte del tratamiento. ( 42 ) Por lo tanto, el Moniteur belge no puede considerarse «encargado del tratamiento» en el sentido de dicha disposición.

61.

Además, el Gobierno belga adujo que el legislador nacional actúa por sí mismo como responsable del tratamiento o define a una entidad como responsable del tratamiento, mientras que el Moniteur belge únicamente estaba ejerciendo las competencias que se le habían conferido. Según dicho Gobierno, la jurisprudencia relativa a los motores de búsqueda privados no puede aplicarse a las entidades públicas, ya que el Moniteur belge, como autoridad pública creada por el legislador, no puede por sí sola determinar sus propias misiones y tareas.

62.

Como ya he señalado, ( 43 ) en el presente asunto el legislador nacional ha designado implícitamente al Moniteur belge como responsable del tratamiento de datos al conferirle la facultad de llevar a cabo una serie de tareas específicas.

63.

En cualquier caso, soy de la opinión de que, si el Tribunal de Justicia considerara que el legislador nacional tiene la condición de responsable del tratamiento siempre que ejerza su facultad de determinar los fines y los medios de una determinada operación de tratamiento, tal planteamiento tendría como consecuencia que las personas físicas dejarían de gozar de una protección eficaz, de modo que se privaría de efectividad al concepto de responsable del tratamiento. En efecto, la protección eficaz de los interesados no podría garantizarse si las numerosas responsabilidades del responsable del tratamiento fueran asumidas, respecto de cada tratamiento de datos personales prescrito por la legislación de un Estado miembro, por el propio legislador. Así pues, en mi opinión, cuando se han conferido a una autoridad pública competencias para tratar datos personales, no es el legislador el responsable del tratamiento, sino la autoridad que desempeña las funciones públicas, es decir, la entidad que controla los fines y los medios de dicho tratamiento. ( 44 ) En el presente asunto, de las circunstancias se desprende claramente que el tratamiento en cuestión, como se explica en el punto 43 de las presentes conclusiones, tiene lugar como aplicación de la legislación nacional, lo que excluye la hipótesis de que el propio legislador —al aprobar las leyes— sea el responsable del tratamiento de los datos personales.

64.

En el presente asunto, de la legislación nacional presentada al Tribunal de Justicia se desprende que el Moniteur belge carece de poder de decisión en cuanto a los textos que debe publicar. ( 45 ) En efecto, como subrayó el Gobierno belga en sus escritos y en la vista, el Moniteur belge dispone de quince días ( 46 ) para publicar el documento, que debe ser una copia exacta del que fue redactado por el notario. En caso de omisión o retraso, el funcionario del Moniteur belge se expone a que se ejercite contra él una acción de daños y perjuicios. ( 47 ) Para evitar tal eventualidad, la referida autoridad no comprueba que la información que está obligada a publicar sea completa, válida o exacta. Por lo tanto, según alega el Gobierno belga, resulta que el Moniteur belge no está facultado para revisar el contenido de dichos documentos, incluidos los datos personales que puedan contener.

65.

No obstante, dado que el propio legislador, al aprobar las leyes, no actúa como responsable del tratamiento y que ninguna otra entidad influye en la determinación de los fines y medios del tratamiento en cuestión —es decir, la transformación digital y la difusión digital de los documentos de que se trata—, el Moniteur belge debe ser designado responsable del tratamiento para evitar una laguna en la designación. El notario y la secretaría del tribunal de empresas carecen sencillamente de competencia para intervenir en esa fase. Por lo tanto, la falta de discrecionalidad del Moniteur belge no puede servir de excepción a la protección eficaz de los interesados. Debe considerarse, por consiguiente, que el Moniteur belge es responsable del tratamiento en el sentido del artículo 4, punto 7, del RGPD, aunque designado implícitamente, para el tratamiento de datos personales al publicar documentos, como exige la legislación nacional.

66.

De los hechos del presente asunto se desprende que el RPD del notario solicitó al SPF de Justicia (actuando en nombre del Moniteur belge) que suprimiera —eliminara de Internet— el extracto objeto del litigio principal y publicara el texto parcial sin dicho extracto. El SPF de Justicia se negó a dar curso a esta solicitud y propuso publicar un nuevo texto parcial. En estas circunstancias, parece que el notario en cuestión no está facultado para ordenar la modificación o la retirada del extracto objeto del litigio principal. Sin embargo, debo subrayar que ninguna otra entidad parece tener tampoco esa facultad.

67.

El Gobierno belga señala que la intención del legislador nacional era que los documentos publicados en el Moniteur belge se mantuvieran inalterables en el tiempo a efectos de archivo y que la versión electrónica de las publicaciones siguiera siendo en todo momento la copia exacta de la versión en papel, lo que excluye cualquier modificación retroactiva. Dicho Gobierno añade que, para corregir un documento de una persona jurídica publicado en el Moniteur belge, el notario debe presentar un documento rectificativo en la secretaría del tribunal de empresas, que a su vez debe pedir a la entidad de gestión del Moniteur belge que publique dicho acto rectificativo. Por otra parte, el Derecho belga no permite suprimir totalmente el acto original. De lo contrario, podría violarse el principio de inalterabilidad del Moniteur belge.

68.

En mi opinión, la negativa de la autoridad pública a suprimir el extracto que contiene los datos personales en cuestión y la publicación del documento de que se trata sin dicho extracto tienen como efecto mantener esos datos a disposición del público. Esto significa, en mi opinión, que dicha autoridad, al aplicar la legislación nacional, actúa como «responsable del tratamiento» en el sentido del artículo 4, punto 7, del RGPD, ya que, al no retirar el extracto objeto del litigio principal y mantenerlo público, determina los fines y los medios del tratamiento de datos personales. Si no se reconociera al Moniteur belge la condición de responsable del tratamiento, parece que ninguna autoridad tendría esa condición. ( 48 )

69.

En mi opinión, la condición de «responsable del tratamiento» no puede depender del hecho de que una autoridad como el Moniteur belge no pueda, en virtud del Derecho nacional, dar curso a una solicitud de supresión de datos. Por lo tanto, cuando existe una laguna en la legislación nacional, corresponde a las autoridades nacionales y, en esta fase, al órgano jurisdiccional nacional designar, mediante la aplicación del RGPD, la entidad que debe cumplir las obligaciones derivadas de dicho Reglamento. En el presente asunto, puesto que los datos están siendo tratados, siguen estando a disposición del público, pero el Derecho nacional no ha designado a una autoridad competente como responsable para esa parte del tratamiento.

70.

En tal supuesto, dado que el legislador nacional ha dejado una laguna al no designar a un responsable del tratamiento, el Tribunal de Justicia debe indicar que corresponde al órgano jurisdiccional remitente designar, sobre la base de las circunstancias tal como se han descrito al Tribunal de Justicia, al Moniteur belge (o al SPF de Justicia, según la apreciación de dicho órgano jurisdiccional) como responsable del tratamiento. Solo tal interpretación sería coherente, en mi opinión, con el objetivo del artículo 4, punto 7, del RGPD de garantizar, mediante una definición amplia del concepto de «responsable del tratamiento», una protección eficaz y completa de los interesados. ( 49 ) Esto también evitaría lagunas e impediría una posible elusión de las normas del RGPD.

71.

En cuanto a los argumentos prácticos derivados del principio de inalterabilidad de la información difundida por el Moniteur belge, corresponde al legislador nacional, a la luz de las obligaciones resultantes, entre otros, de los artículos 5 y 17 del RGPD, promulgar un marco legislativo que tenga en cuenta la protección de los interesados y dicho principio. Puesto que la publicación de datos personales aumenta exponencialmente el riesgo de perjuicio para los interesados, es necesario que el Derecho nacional proporcione soluciones innovadoras. ( 50 )

72.

En conclusión, en el presente asunto, sugiero al Tribunal de Justicia que declare que el Moniteur belge actúa como «responsable del tratamiento» en el sentido del artículo 4, punto 7, del RGPD al decidir negarse a retirar del acceso público el extracto objeto del litigio principal, esto es, al mantener dicho extracto a disposición del público.

73.

En el presente asunto, la legislación nacional ha creado la obligación de designar a un responsable del tratamiento para cumplir las obligaciones derivadas del RGPD. En primer lugar, por lo que respecta a la transformación digital, la publicación y la difusión de los datos en cuestión, el Moniteur belge debe ser identificado como «responsable del tratamiento» de los datos en el sentido del artículo 4, punto 7, del RGPD, a efectos de garantizar los derechos fundamentales del interesado. En segundo lugar, en cuanto a la imposibilidad de retirar los datos controvertidos, existe una laguna en la legislación nacional, en la medida en que no se permite a ninguna de las entidades afectadas retirar esos datos. En tal caso, corresponde al órgano jurisdiccional nacional, aplicando el RGPD para garantizar la protección de los derechos fundamentales de los interesados, designar a un responsable del tratamiento, que, en el presente caso, parece ser el Moniteur belge.

74.

En consecuencia, propongo que se responda a la primera cuestión prejudicial que el artículo 4, punto 7, del RGPD debe interpretarse en el sentido de que un diario oficial de un Estado miembro, como el Moniteur belge, encargado, en virtud de la normativa nacional aplicable, del servicio de publicar y archivar documentos oficiales, con el fin de garantizar una protección eficaz y completa de los interesados, puede considerarse responsable del tratamiento, en el sentido del artículo 4, punto 7, del RGPD, en circunstancias en las que la publicación de dichos documentos, en el mismo estado en el que están, es ordenada por entidades terceras, puesto que el legislador nacional ha conferido a dicho diario la facultad de determinar los medios de transformación digital, publicación, difusión y almacenamiento de los documentos en cuestión y ha establecido fines amplios de publicación y difusión. No obstante, en cuanto a la falta de designación del responsable del tratamiento en relación con la retirada o supresión de datos y dado que los datos en cuestión siguen estando a disposición del público, corresponde al órgano jurisdiccional nacional designar a la entidad que debe cumplir las obligaciones derivadas del RGPD.

75.

Solo en caso de que el Tribunal de Justicia adopte esta respuesta a la primera cuestión prejudicial, deberá responder a la segunda cuestión prejudicial, a saber, si el Moniteur belge o la autoridad que lo gestiona deben ser los únicos responsables del cumplimiento de las obligaciones impuestas al responsable del tratamiento por el RGPD.

76.

Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 5, apartado 2, del RGPD debe interpretarse en el sentido de que únicamente el diario oficial en cuestión está obligado a cumplir las obligaciones que incumben al responsable del tratamiento con arreglo a esta disposición, con exclusión de las entidades terceras que han tratado previamente los datos contenidos en los actos y documentos oficiales cuya publicación solicitan, o en el sentido de que dichas obligaciones recaen de forma acumulativa sobre cada uno de los sucesivos responsables del tratamiento.

77.

En virtud del artículo 5, apartado 2, del RGPD, el responsable del tratamiento es responsable del cumplimiento de los principios establecidos en el apartado 1 de dicho artículo, como el principio de minimización y exactitud de los datos, ( 51 ) y debe poder demostrar que se han cumplido dichos principios. Dado que una persona física pretende obtener la supresión de los datos personales cuya publicación no exige la normativa nacional, el órgano jurisdiccional remitente explica que debe decidir si el Moniteur belge o la autoridad que lo gestiona deben ser los únicos responsables de la observancia de los principios de minimización y exactitud de los datos o si las otras dos entidades también son responsables del cumplimiento de dichos principios.

78.

En particular, el órgano jurisdiccional remitente, al tiempo que señala que las partes del litigio principal no invocan la existencia de corresponsables del tratamiento, tal como establece el artículo 26 del RGPD, se pregunta si cada uno de los posibles responsables sucesivos o solo uno de ellos debe ser calificado de «responsable del tratamiento» en el sentido del artículo 4, punto 7, de dicho Reglamento y, por lo tanto, ser considerado responsable, en virtud del artículo 5, apartado 2, del citado Reglamento, del respeto de los principios antes mencionados.

79.

Como ya he señalado, ( 52 ) los datos personales en cuestión que figuran en el extracto objeto del litigio principal publicado en el Moniteur belge fueron tratados sucesivamente por varias entidades, a saber, por el notario, que redactó el extracto, por la Secretaría del tribunal de l’entreprise néerlandophone de Bruxelles (Tribunal de Empresas Neerlandófono de Bruselas), que lo incorporó a la hoja registral de la sociedad, y, por último, por el Moniteur belge, que lo publicó en el mismo estado en el que se encontraba.

80.

Por lo que respecta a esta cadena de acontecimientos, debe observarse que el tratamiento de los datos personales en cuestión encargado al Moniteur belge no solo es posterior al tratamiento efectuado por el notario y la secretaría del tribunal de empresas, sino que es también técnicamente distinto y adicional al tratamiento efectuado por estas dos entidades. Es importante señalar que, en la medida en que las operaciones efectuadas por el Moniteur belge implican, en particular, la transformación digital de los datos contenidos en extractos de documentos que se le presentan, la publicación, la amplia puesta a disposición del público y el almacenamiento de dichos datos, las operaciones legalmente encomendadas al Moniteur belge tienen —en comparación con los tratamientos efectuados anteriormente por las otras dos entidades— un efecto significativo y adicional y entrañan un riesgo para los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales. ( 53 )

81.

Por lo tanto, corresponde al Moniteur belge cumplir todas las obligaciones que el RGPD impone al responsable del tratamiento en relación con las operaciones de tratamiento que le exige el Derecho nacional.

82.

El artículo 4, punto 7, del RGPD reconoce que «los fines y medios del tratamiento» pueden ser determinados por más de un agente. Precisa que el concepto de «responsable del tratamiento» se refiere al organismo que, «solo o junto con otros», determina los fines y los medios del tratamiento. Esta situación está prevista en el artículo 26 del RGPD, según el cual varias entidades diferentes pueden actuar como responsables en la misma operación de tratamiento, estando cada una de ellas sujeta a las disposiciones aplicables en materia de protección de datos. ( 54 )

83.

Es preciso recordar que el artículo 26, apartado 1, del RGPD establece que, cuando dos o más responsables determinan conjuntamente los objetivos y los medios del tratamiento, son considerados corresponsables del tratamiento. El mismo apartado añade que los corresponsables deben definir de modo transparente y de mutuo acuerdo sus responsabilidades respectivas a efectos de garantizar el cumplimiento de todas las obligaciones impuestas por el RGPD, salvo que, y en la medida en que, sus obligaciones respectivas se rijan, entre otros, por el Derecho de los Estados miembros que se les aplique a ellos. Por lo tanto, la responsabilidad conjunta de varios corresponsables del tratamiento no depende necesariamente de la existencia de un acuerdo entre los distintos responsables del tratamiento, ni siquiera de su intención, sino que puede derivarse del Derecho nacional siempre que la designación de varios responsables del tratamiento y las obligaciones respectivas de cada uno de ellos a la luz de las exigencias del RGPD puedan deducirse de ese Derecho.

84.

Sin embargo, el hecho de que varios agentes participen en la misma cadena de tratamiento no significa que actúen necesariamente como corresponsables del tratamiento. ( 55 ) Por otra parte, el Tribunal de Justicia ha declarado que no puede considerarse que una persona física o jurídica sea responsable de operaciones anteriores o posteriores de la cadena de tratamiento para las que no determine ni los fines ni los medios. ( 56 ) Así pues, en el presente asunto no parece que el Derecho nacional haya designado corresponsables del tratamiento, ya que el notario no tiene ningún control sobre las operaciones efectuadas por el Moniteur belge.

85.

Por consiguiente, considero que en el presente asunto la responsabilidad conjunta de las tres entidades no está establecida por el Derecho nacional ni puede deducirse de los hechos, según la exposición que hace de ellos el órgano jurisdiccional remitente. Por lo que respecta a los hechos del litigio principal, debo señalar, en particular, que las tres entidades de la cadena no están sujetas a los mismos medios de tratamiento, ya que el Moniteur belge realiza la transformación digital, la publicación y la difusión de los documentos de que se trata. Además, a la vista de los hechos del litigio principal, la persona física afectada que pretenda hacer uso de su derecho de supresión con arreglo al artículo 17 del RGPD tendría que ejercitar los derechos que le confiere el RGPD frente a, y en contra de, cada uno de los corresponsables del tratamiento. Desde esta perspectiva, cada uno de los agentes sería, por lo tanto, responsable por separado del respeto de los principios contemplados en el artículo 5, apartado 1, del RGPD. ( 57 )

86.

De ello se deduce que, en mi opinión, no puede establecerse una responsabilidad «acumulativa» de los distintos responsables del tratamiento con arreglo al artículo 5, apartado 2, del RGPD. En efecto, cada uno de los agentes que intervienen en la cadena de tratamiento solo puede ser responsable individualmente del respeto de los principios contemplados en el artículo 5, apartado 1, del citado Reglamento en relación con las operaciones de tratamiento que haya efectuado con arreglo a los fines y medios del tratamiento de datos. En el presente asunto, dado que los datos no fueron incorrectamente publicados por el notario, sino por el Moniteur belge, me parece que dicha autoridad, pese a no haberlos incluido ella misma en el extracto objeto del litigio principal, también debe ser considerada individualmente responsable del respeto de los principios contemplados en el artículo 5, apartado 1, del RGPD.

87.

Por último, me gustaría señalar que corresponde al órgano jurisdiccional remitente comprobar la compatibilidad con el RGPD del Derecho nacional que prevé la posibilidad de rectificación, pero no de supresión, de los datos publicados en el Moniteur belge. En efecto, no parece que la legislación nacional permita al Moniteur belge suprimir con carácter retroactivo datos ya publicados (incluso en formato electrónico). En este contexto, es cierto que los derechos de rectificación y de supresión, previstos respectivamente en los artículos 16 y 17 del RGPD, pueden, como se indica en el artículo 23 del RGPD, limitarse en virtud del Derecho nacional. No obstante, tal restricción debe, de conformidad con el artículo 52, apartado 1, de la Carta, ser establecida por la ley, respetar el contenido esencial de los derechos fundamentales de las personas físicas y observar el principio de proporcionalidad. ( 58 )

88.

Por consiguiente, propongo que la respuesta a la segunda cuestión prejudicial sea que el artículo 5, apartado 2, del RGPD debe interpretarse en el sentido de que el diario oficial en cuestión está obligado a cumplir las obligaciones que incumben al responsable del tratamiento con arreglo a dicha disposición por las operaciones que ha realizado. El tratamiento en cuestión no da lugar a una corresponsabilidad del tratamiento y el Moniteur belge es el único responsable de las operaciones de tratamiento que le impone la legislación nacional.

89.

A la luz de las consideraciones anteriores, propongo al Tribunal de Justicia que responda a las cuestiones prejudiciales planteadas por la cour d’appel de Bruxelles (Tribunal de Apelación de Bruselas, Bélgica) del siguiente modo:

«El artículo 4, punto 7, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),

debe interpretarse en el sentido de que un diario oficial de un Estado miembro, como el Moniteur belge, encargado, en virtud de la normativa nacional aplicable, del servicio de publicar y archivar documentos oficiales, con el fin de garantizar una protección eficaz y completa de los interesados, puede considerarse responsable del tratamiento en el sentido del artículo 4, punto 7, del Reglamento 2016/679, en circunstancias en las que la publicación de dichos documentos, en el mismo estado en el que están, es ordenada por entidades terceras, puesto que el legislador nacional ha conferido a dicho diario la facultad de determinar los medios de transformación digital, publicación, difusión y almacenamiento de los documentos en cuestión y ha establecido fines amplios de publicación y difusión. No obstante, en cuanto a la falta de designación del responsable del tratamiento en relación con la retirada o supresión de datos y dado que los datos en cuestión siguen estando a disposición del público, corresponde al órgano jurisdiccional nacional designar a la entidad que debe cumplir las obligaciones derivadas del Reglamento 2016/679.

El artículo 5, apartado 2, del Reglamento 2016/679 debe interpretarse en el sentido de que el diario oficial en cuestión está obligado a cumplir las obligaciones que incumben al responsable del tratamiento con arreglo a dicha disposición por las operaciones que ha realizado. El tratamiento en cuestión no da lugar a una corresponsabilidad del tratamiento y el Moniteur belge es el único responsable de las operaciones de tratamiento que le impone la legislación nacional.»