–

en nombre de UF y AB, por los Sres. R. Rohrmoser y S. Tintemann, Rechtsanwälte;

–

en nombre del Land Hessen, por los Sres. M. Kottmann y G. Ziegenhorn, Rechtsanwälte;

–

en nombre de SCHUFA Holding AG, por los Sres. G. Thüsing y U. Wuermeling, Rechtsanwalt;

–

en nombre del Gobierno alemán, por los Sres. J. Möller y P.‑L. Krüger, en calidad de agentes;

–

en nombre del Gobierno portugués, por las Sras. P. Barros da Costa, M. J. Ramos y C. Vieira Guerra, en calidad de agentes;

–

en nombre de la Comisión Europea, por los Sres. A. Bouchagiar, F. Erlbacher, H. Kranenborg y W. Wils, en calidad de agentes;

1

Las presentes peticiones de decisión prejudicial tienen por objeto la interpretación de los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»), así como de los artículos 6, apartado 1, párrafo primero, letra f), 17, apartado 1, letra d), 40, 77, apartado 1, y 78, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (DO 2016, L 119, p. 1; en lo sucesivo, «RGPD»).

2

Estas peticiones se han presentado en el contexto de sendos litigios entre UF (asunto C‑26/22) y AB (asunto C‑64/22), por un lado, y el Land Hessen (estado federado de Hesse, Alemania), por otro, en relación con la negativa del Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Delegado de Protección de Datos y de Libertad de Información del Estado Federado de Hesse, Alemania; en lo sucesivo, «HBDI») a instar a SCHUFA Holding AG (en lo sucesivo, «SCHUFA») a que suprimiera los datos conservados por esta en relación con la exoneración del pasivo insatisfecho concedida a UF y a AB.

3

Con arreglo a los considerandos 26 y 28 de la Directiva 2008/48/CE del Parlamento Europeo y del Consejo, de 23 de abril de 2008, relativa a los contratos de crédito al consumo y por la que se deroga la Directiva 87/102/CEE del Consejo (DO 2008, L 133, p. 66):

[…]

4

El artículo 8 de esta Directiva, titulado «Obligación de evaluar la solvencia del consumidor», establece en su apartado 1:

«Los Estados miembros velarán por que, antes de que se celebre el contrato de crédito, el prestamista evalúe la solvencia del consumidor, sobre la base de una información suficiente, facilitada en su caso por el consumidor y, cuando proceda, basándose en la consulta de la base de datos pertinente. Los Estados miembros cuya legislación exija que los prestamistas evalúen la solvencia del consumidor sobre la base de una consulta de la base de datos pertinente deben poder mantener esta obligación.»

5

A tenor de los considerandos 55 y 59, de la Directiva 2014/17/UE del Parlamento Europeo y del Consejo, de 4 de febrero de 2014, sobre los contratos de crédito celebrados con los consumidores para bienes inmuebles de uso residencial y por la que se modifican las Directivas 2008/48/CE y 2013/36/UE y el Reglamento (UE) n.o 1093/2010 (DO 2014, L 60, p. 34):

[…]

6

El artículo 18 de esta Directiva, titulado «Obligación de evaluar la solvencia del consumidor», establece en su apartado 1:

«Los Estados miembros velarán por que, antes de celebrar un contrato de crédito, el prestamista evalúe en profundidad la solvencia del consumidor. Dicha evaluación tendrá debidamente en cuenta los factores pertinentes para verificar las perspectivas de cumplimiento por el consumidor de sus obligaciones en virtud del contrato de crédito.»

7

El artículo 21 de dicha Directiva, que se titula «Acceso a bases de datos», dispone en sus apartados 1 y 2:

«1.   Cada Estado miembro garantizará que todos los prestamistas de todos los Estados miembros puedan acceder a las bases de datos utilizadas en ese Estado miembro, a efectos de evaluar la solvencia del consumidor y con el fin exclusivo de verificar que este cumple con las obligaciones crediticias durante toda la vigencia del contrato de crédito. Se garantizará que este acceso se haga en condiciones no discriminatorias.

2.   El apartado 1 se aplicará tanto a las bases de datos gestionadas por agencias de información crediticia o agencias de referencia de crédito privadas como a los registros públicos.»

8

A tenor del considerando 76 del Reglamento (UE) 2015/848 del Parlamento Europeo y del Consejo, de 20 de mayo de 2015, sobre procedimientos de insolvencia (DO 2015, L 141, p. 19):

«A fin de mejorar el suministro de información a los acreedores y órganos jurisdiccionales de que se trate y de impedir la apertura de procedimientos de insolvencia paralelos, debe exigirse a los Estados miembros que publiquen la información pertinente sobre los asuntos de insolvencia transfronteriza en un registro electrónico de acceso público. Para facilitar el acceso a esa información de los acreedores y órganos jurisdiccionales domiciliados o situados en otros Estados miembros, el presente Reglamento debe prever la interconexión de dichos registros de insolvencia a través del Portal Europeo de e‑Justicia. […]»

9

El artículo 79 de este Reglamento, titulado «Funciones de los Estados miembros respecto del tratamiento de datos personales en los registros nacionales de insolvencia», establece, en sus apartados 4 y 5:

«4.   Los Estados miembros se encargarán, de conformidad con la Directiva 95/46/CE [del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31)], de la recopilación y almacenamiento de los datos en las bases de datos nacionales y de las decisiones adoptadas para que tales datos estén disponibles en el registro interconectado que se puede consultar a través del Portal Europeo de e‑Justicia.

5.   Como parte de la información que debe facilitarse a los titulares de los datos para que puedan ejercer sus derechos, y en particular el derecho a la cancelación de datos, los Estados miembros informarán a dichos titulares acerca del período de accesibilidad establecido para los datos personales almacenados en los registros de insolvencia.»

10

A tenor de los considerandos 10, 11, 47, 50, 98, 141 y 143 del RGPD:

[…]

[…]

[…]

[…]

[…]

11

El artículo 5 de dicho Reglamento, titulado «Principios relativos al tratamiento», tiene el siguiente tenor:

«1.   Los datos personales serán:

[…]

[…]

2.   El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva”).»

12

El artículo 6 de dicho Reglamento, cuyo título es «Licitud del tratamiento», establece:

«1.   El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

[…]

[…]

4.   Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:

13

El artículo 17 del RGPD, que se titula «Derecho de supresión (“el derecho al olvido”), establece en su apartado 1:

«El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:

[…]

[…]».

14

El artículo 21 de dicho Reglamento, titulado «Derecho de oposición», dispone, en sus apartados 1 y 2:

«1.   El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) o f), incluida la elaboración de perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.

2.   Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia.»

15

El artículo 40 del mencionado Reglamento, cuyo título es «Códigos de conducta», establece en sus apartados 1, 2 y 5:

«1.   Los Estados miembros, las autoridades de control, el Comité y la Comisión [Europea] promoverán la elaboración de códigos de conducta destinados a contribuir a la correcta aplicación del presente Reglamento, teniendo en cuenta las características específicas de los distintos sectores de tratamiento y las necesidades específicas de las microempresas y las pequeñas y medianas empresas.

2.   Las asociaciones y otros organismos representativos de categorías de responsables o encargados del tratamiento podrán elaborar códigos de conducta o modificar o ampliar dichos códigos con objeto de especificar la aplicación del presente Reglamento, como en lo que respecta a:

[…]

5.   Las asociaciones y otros organismos mencionados en el apartado 2 del presente artículo que proyecten elaborar un código de conducta o modificar o ampliar un código existente presentarán el proyecto de código o la modificación o ampliación a la autoridad de control que sea competente con arreglo al artículo 55. La autoridad de control dictaminará si el proyecto de código o la modificación o ampliación es conforme con el presente Reglamento y aprobará dicho proyecto de código, modificación o ampliación si considera suficientes las garantías adecuadas ofrecidas.»

16

El artículo 51 del RGPD, que se titula «Autoridad de control», dispone en su apartado 1:

«Cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes (en adelante “autoridad de control”) supervisar la aplicación del presente Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión.»

17

El artículo 52 de dicho Reglamento, titulado «Independencia», establece en sus apartados 1, 2 y 4:

«1.   Cada autoridad de control actuará con total independencia en el desempeño de sus funciones y en el ejercicio de sus poderes de conformidad con el presente Reglamento.

2.   El miembro o los miembros de cada autoridad de control serán ajenos, en el desempeño de sus funciones y en el ejercicio de sus poderes de conformidad con el presente Reglamento, a toda influencia externa, ya sea directa o indirecta, y no solicitarán ni admitirán ninguna instrucción.

[…]

4.   Cada Estado miembro garantizará que cada autoridad de control disponga en todo momento de los recursos humanos, técnicos y financieros, así como de los locales y las infraestructuras necesarios para el cumplimiento efectivo de sus funciones y el ejercicio de sus poderes, incluidos aquellos que haya de ejercer en el marco de la asistencia mutua, la cooperación y la participación en el Comité.»

18

El artículo 57 del mencionado Reglamento, titulado «Funciones», enuncia, en su apartado 1:

«Sin perjuicio de otras funciones en virtud del presente Reglamento, incumbirá a cada autoridad de control, en su territorio:

[…]

[…]».

19

El artículo 58 del RGPD, titulado «Poderes», enumera, en su apartado 1, los poderes de investigación de que dispone cada autoridad de control y, en su apartado 2, los poderes correctivos de que dispone.

20

El artículo 77 de dicho Reglamento, cuyo título es «Derecho a presentar una reclamación ante una autoridad de control», enuncia:

«1.   Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento.

2.   La autoridad de control ante la que se haya presentado la reclamación informará al reclamante sobre el curso y el resultado de la reclamación, inclusive sobre la posibilidad de acceder a la tutela judicial en virtud del artículo 78.»

21

El artículo 78 del mencionado Reglamento, que lleva por título «Derecho a la tutela judicial efectiva contra una autoridad de control», establece, en sus apartados 1 y 2:

«1.   Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica tendrá derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna.

2.   Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, todo interesado tendrá derecho a la tutela judicial efectiva en caso de que la autoridad de control que sea competente en virtud de los artículos 55 y 56 no dé curso a una reclamación o no informe al interesado en el plazo de tres meses sobre el curso o el resultado de la reclamación presentada en virtud del artículo 77.»

22

El artículo 79 del RGPD, titulado «Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento», dispone en su apartado 1:

«Sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77, todo interesado tendrá derecho a la tutela judicial efectiva cuando considere que sus derechos en virtud del presente Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales.»

23

A tenor del artículo 9, apartado 1, de la Insolvenzordnung (Ley Concursal), de 5 de octubre de 1994 (BGBl. 1994 I, p. 2866), en su versión aplicable a los hechos del litigio principal:

«La comunicación pública se efectuará mediante una publicación centralizada y suprarregional en Internet. Pueden publicarse extractos. A tal fin, deberá identificarse al deudor con precisión, indicando en particular su dirección y el sector de su actividad. La comunicación se considerará efectuada tan pronto como hayan transcurrido dos días adicionales desde la fecha de publicación.»

24

El artículo 3 del Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (Decreto sobre Comunicaciones Públicas en Internet en los Procedimientos de Insolvencia), de 12 de febrero de 2002 (BGBl. I, p. 677; en lo sucesivo, «InsoBekV»), establece, en sus apartados 1 y 2:

«(1)   Se suprimirá la publicación efectuada en un sistema de información o de comunicación electrónica de datos procedentes de un procedimiento de insolvencia, incluido el procedimiento de apertura, a más tardar seis meses después del levantamiento o desde la firmeza del archivo del procedimiento de insolvencia. Si no se produce la apertura del procedimiento, el plazo empieza a correr a partir del levantamiento de las medidas cautelares publicadas.

(2)   A las publicaciones en el marco del procedimiento de exoneración del pasivo insatisfecho, incluida la resolución a que se refiere el artículo 289 de la Ley Concursal, se les aplicará el apartado 1, primera frase, entendiéndose que el plazo comienza a correr a partir de la firmeza de la resolución relativa a la exoneración del pasivo insatisfecho.»

25

En el marco de sus respectivos procedimientos de insolvencia, se concedieron a UF y a AB sendas exoneraciones del pasivo insatisfecho mediante resoluciones judiciales dictadas el 17 de diciembre de 2020 y el 23 de marzo de 2021. De conformidad con el artículo 9, apartado 1, de la Ley Concursal y con el artículo 3, apartados 1 y 2, del InsoBekV, la publicación oficial hecha en Internet de estas resoluciones fue suprimida al cabo de seis meses.

26

SCHUFA es una agencia privada de información comercial que almacena y conserva, en sus propias bases de datos, información procedente de registros públicos, en particular la relativa a exoneraciones del pasivo insatisfecho. Dicha agencia procede a la supresión de la mencionada información transcurrido un plazo de tres años desde el registro, de conformidad con el código de conducta elaborado, en Alemania, por la asociación que agrupa a las agencias de información comercial y aprobado por la autoridad de control competente.

27

UF y AB solicitaron a SCHUFA la supresión de las inscripciones relativas a las resoluciones de exoneración del pasivo insatisfecho de las que habían sido objeto. Esta agencia se negó a acceder a sus solicitudes, tras haber explicado que desarrollaba su actividad de conformidad con el RGPD y que el plazo de supresión de seis meses establecido en el artículo 3, apartado 1, del InsoBekV no le era aplicable.

28

UF y AB presentaron sendas reclamaciones ante el HBDI, que es la autoridad de control competente.

29

Mediante decisiones dictadas el 1 de marzo de 2021 y el 9 de julio de 2021, respectivamente, el HBDI consideró que el tratamiento de datos efectuado por SCHUFA era lícito.

30

UF y AB interpusieron, cada uno de ellos, un recurso contra las decisiones del HBDI ante el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso-Administrativo de Wiesbaden, Alemania), que es el órgano jurisdiccional remitente. En apoyo de estos recursos, alegaron que el HBDI estaba obligado, en el marco de sus funciones y de sus facultades, a adoptar medidas contra SCHUFA para exigirle la supresión de las inscripciones referidas a ellos.

31

En su escrito de contestación, el HBDI solicitó que se desestimaran los recursos.

32

Por un lado, el HBDI alegó que el derecho a presentar una reclamación, previsto en el artículo 77, apartado 1, del RGPD, se concibe únicamente como un derecho de petición, de modo que el control jurisdiccional se limita a comprobar que la autoridad de control ha tramitado la reclamación y ha informado a su autor sobre el curso y el resultado de esta. En cambio, a su juicio, no corresponde al juez que conoce del asunto entrar en el fondo de la resolución dictada sobre la reclamación.

33

Por otro lado, el HBDI señaló que los datos a los que tienen acceso las agencias de información comercial pueden conservarse durante tanto tiempo como sea necesario para la consecución de los fines para los que se han conservado. Según HBDI, a falta de una normativa establecida por el legislador nacional, las autoridades de control han adoptado códigos de conducta y el elaborado por la asociación que agrupa a las agencias de información comercial establece la supresión de dichos datos exactamente tres años después de la inscripción en el fichero.

34

A este respecto, en primer lugar, el órgano jurisdiccional remitente considera necesario aclarar cuál es la naturaleza jurídica de la decisión que adopta la autoridad de control cuando recibe una reclamación con arreglo al artículo 77, apartado 1, del RGPD.

35

En particular, dicho órgano jurisdiccional alberga dudas respecto de la alegación del HBDI, ya que, en su opinión, lleva a menoscabar la efectividad del recurso jurisdiccional contemplado en el artículo 78, apartado 1, del RGPD. Por otro lado, estima que, habida cuenta del objetivo de este Reglamento, consistente, en el marco de la aplicación de los artículos 7 y 8 de la Carta, en garantizar una protección eficaz de los derechos y libertades fundamentales de las personas físicas, no puede darse una interpretación restrictiva a los artículos 77 y 78 de dicho Reglamento.

36

El órgano jurisdiccional remitente se inclina por una interpretación según la cual la decisión sobre el fondo adoptada por la autoridad de control debe ser sometida al pleno control de los tribunales. No obstante, considera que dicha autoridad dispone tanto de una facultad de apreciación como de una potestad discrecional y solo está obligada a actuar cuando no se identifiquen alternativas legalmente admisibles.

37

En segundo lugar, el órgano jurisdiccional remitente se pregunta, desde un doble punto de vista, sobre la licitud de la conservación por las agencias de información comercial de datos relativos a la solvencia de una persona procedentes de registros públicos, como el registro de insolvencia.

38

En primer término, dicho órgano jurisdiccional alberga dudas en cuanto a la licitud de la conservación por una agencia privada como SCHUFA, en sus propias bases de datos, de datos transferidos desde registros públicos.

39

Observa, antes de nada, que dicha conservación se produce no en casos concretos, sino para poder proporcionar tal información en el supuesto de que sus socios contractuales la soliciten y que lleva, en definitiva, a una retención de dichos datos, sobre todo si estos ya han sido suprimidos del registro nacional debido a la expiración del plazo de conservación.

40

Por otro lado, el órgano jurisdiccional remitente afirma que el tratamiento y, por tanto, la conservación de los datos solo están autorizados si se cumple alguno de los requisitos establecidos en el artículo 6, apartado 1, del RGPD. Sostiene que en el presente asunto solo cabe considerar el requisito a que se refiere el artículo 6, apartado 1, párrafo primero, letra f), de este Reglamento. En su opinión, resulta dudoso que una agencia de información comercial como SCHUFA persiga un interés legítimo en el sentido de esa disposición.

41

Por último, dicho órgano jurisdiccional indica que SCHUFA es una agencia de información comercial entre otras tantas, de modo que los datos se conservan en Alemania de diversas formas, lo que implica una vulneración masiva del derecho fundamental consagrado en el artículo 7 de la Carta.

42

En segundo término, el órgano jurisdiccional remitente aduce que, aun suponiendo que la conservación por parte de las agencias privadas de datos procedentes de registros públicos sea en sí misma lícita, surge la cuestión de cuál es el período de conservación permitido.

43

A este respecto, considera que se debe exigir a estas agencias privadas que respeten el plazo de seis meses establecido en el artículo 3 del InsoBekV relativo a la conservación en el registro de insolvencia de las resoluciones de exoneración del pasivo insatisfecho. Así, en su opinión, los datos que deban suprimirse de un registro público deberían a su vez suprimirse al mismo tiempo en todas las agencias privadas de información comercial que los hayan conservado.

44

Por otro lado, según el órgano jurisdiccional remitente, se plantea la cuestión de si un código de conducta aprobado con arreglo al artículo 40 del RGPD, que establece un plazo de supresión de tres años para la inscripción relativa a la exoneración del pasivo insatisfecho, debe tenerse en cuenta a efectos de la ponderación que debe realizarse en el marco de la apreciación exigida por el artículo 6, apartado 1, párrafo primero, letra f), del RGPD.

45

En estas circunstancias, el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso-Administrativo de Wiesbaden) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

46

Mediante decisión del Presidente del Tribunal de Justicia de 11 de febrero de 2022, se acordó la acumulación de los asuntos C‑26/22 y C‑64/22 a efectos de las fases escrita y oral del procedimiento y de la sentencia.

47

Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 78, apartado 1, del RGPD debe interpretarse en el sentido de que el control jurisdiccional ejercido sobre una decisión relativa a una reclamación adoptada por una autoridad de control se limita a determinar si dicha autoridad ha dado curso a la reclamación, ha examinado adecuadamente su objeto y ha informado al reclamante del resultado del examen, o bien si dicha decisión está sujeta a un control jurisdiccional pleno, que incluya la potestad del juez que conoce del asunto de obligar a la autoridad de control a que adopte una medida concreta.

48

Para responder a esta cuestión, procede recordar, con carácter preliminar, que la interpretación de una disposición del Derecho de la Unión requiere tener en cuenta no solo su tenor, sino también el contexto en el que se inscribe, así como los objetivos y la finalidad que persigue el acto del que forma parte (sentencia de 22 de junio de 2023, Pankki S, C‑579/21, EU:C:2023:501, apartado 38 y jurisprudencia citada).

49

Por lo que respecta al tenor del artículo 78, apartado 1, del RGPD, esta disposición establece que, sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica tiene derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna.

50

A este respecto, procede recordar antes de nada que, en el presente asunto, las decisiones adoptadas por el HBDI constituyen decisiones jurídicamente vinculantes, en el sentido del artículo 78, apartado 1. En efecto, tras examinar el fondo de las reclamaciones presentadas ante ella, esta autoridad consideró que el tratamiento de los datos personales impugnado por los demandantes en los procedimientos principales era lícito con arreglo al RGPD. Por lo demás, el carácter jurídicamente vinculante de estas decisiones se ve confirmado por el considerando 143 de dicho Reglamento, según el cual la desestimación o rechazo de una reclamación por una autoridad de control constituye una decisión que produce efectos jurídicos que afectan al reclamante.

51

Asimismo, procede señalar que, de esta disposición, interpretada a la luz del considerando 141 del mencionado Reglamento, se desprende expresamente que todo interesado tiene derecho a la tutela judicial «efectiva», de conformidad con el artículo 47 de la Carta.

52

De esta forma, el Tribunal de Justicia ya ha declarado que del artículo 78, apartado 1, del RGPD, interpretado a la luz del considerando 143 de dicho Reglamento, se desprende que los tribunales que conozcan de un recurso contra una decisión de una autoridad de control deben disponer de una competencia plena y, en particular, de la de examinar todas las cuestiones de hecho y de Derecho relativas al litigio del que conocen (sentencia de 12 de enero de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, apartado 41).

53

Por consiguiente, el artículo 78, apartado 1, del RGPD no puede interpretarse en el sentido de que el control jurisdiccional ejercido sobre una decisión relativa a una reclamación adoptada por una autoridad de control se limite a determinar si dicha autoridad ha dado curso a la reclamación, ha examinado adecuadamente su objeto y ha informado al reclamante del resultado del examen. Por el contrario, para que un recurso jurisdiccional sea «efectivo», tal como exige la citada disposición, esa decisión debe estar sujeta a un control jurisdiccional pleno.

54

Esta interpretación se ve corroborada por el contexto en el que se inscribe el artículo 78, apartado 1, del RGPD, así como por los objetivos y la finalidad que persigue dicho Reglamento.

55

Por lo que respecta al contexto en el que se enmarca esta disposición, es preciso señalar que, conforme al artículo 8, apartado 3, de la Carta y a los artículos 51, apartado 1, y 57, apartado 1, letra a), del RGPD, las autoridades nacionales de control están encargadas del control del cumplimiento de las reglas de la Unión para la protección de las personas físicas frente al tratamiento de datos personales (sentencia de 16 de julio de 2020, Facebook Ireland y Schrems, C‑311/18, EU:C:2020:559, apartado 107).

56

En particular, en virtud del artículo 57, apartado 1, letra f), del RGPD, incumbirá a cada autoridad de control, en su territorio, tratar las reclamaciones que cualquier persona, de conformidad con el artículo 77, apartado 1, del antedicho Reglamento, pueda presentar si considera que el tratamiento de datos personales que le conciernen infringe el referido Reglamento y examinar su objeto en la medida en que sea necesario. La autoridad de control debe proceder al tratamiento de esas reclamaciones con toda la diligencia exigible (sentencia de 16 de julio de 2020, Facebook Ireland y Schrems, C‑311/18, EU:C:2020:559, apartado 109).

57

Para permitirles tratar las reclamaciones presentadas, el artículo 58, apartado 1, del RGPD confiere a cada autoridad de control importantes poderes de investigación. Cuando una de esas autoridades, al finalizar su investigación, constata una infracción de las disposiciones de dicho Reglamento, está obligada a reaccionar de modo adecuado con el fin de subsanar la insuficiencia constatada. A tal efecto, el artículo 58, apartado 2, del referido Reglamento enumera los diferentes poderes correctivos de que dispone la autoridad de control (véase, en este sentido, la sentencia de 16 de julio de 2020, Facebook Ireland y Schrems, C‑311/18, EU:C:2020:559, apartado 111).

58

De ello se deduce, como ha señalado el Abogado General en el punto 42 de sus conclusiones, que el procedimiento de reclamación, que no se asemeja al de una petición, se concibe como un mecanismo capaz de proteger de manera eficaz los derechos y los intereses de los interesados.

59

Pues bien, habida cuenta de los amplios poderes conferidos a la autoridad de control en virtud del RGPD, no se cumpliría la exigencia de tutela judicial efectiva si las decisiones relativas al ejercicio de poderes de investigación o de adopción de medidas correctivas por parte de dicha autoridad de control no estuvieran sujetas sino a un control jurisdiccional limitado.

60

Lo mismo sucede con las decisiones por las que se desestima una reclamación, ya que el artículo 78, apartado 1, del RGPD no hace ninguna distinción en función de la naturaleza de la decisión adoptada por la autoridad de control.

61

En cuanto concierne a los objetivos perseguidos por el RGPD, de su considerando 10 se desprende que este tiene por objeto garantizar un nivel elevado de protección de las personas físicas por lo que se refiere al tratamiento de datos personales en la Unión. El considerando 11 del mismo Reglamento señala, además, que la protección efectiva de estos datos exige que se refuercen los derechos de los interesados.

62

Pues bien, si el artículo 78, apartado 1, de dicho Reglamento debiera interpretarse en el sentido de que el control jurisdiccional a que se refiere se limita a comprobar si la autoridad de control ha dado curso a la reclamación, ha examinado adecuadamente su objeto y ha informado al reclamante del resultado del examen, la realización de los objetivos y la consecución de la finalidad del mencionado Reglamento necesariamente se verían comprometidas.

63

Por otro lado, la interpretación de esta disposición según la cual una decisión relativa a una reclamación adoptada por una autoridad de control está sujeta a un control jurisdiccional pleno no desvirtúa las garantías de independencia de que gozan las autoridades de control ni el derecho a la tutela judicial efectiva frente a un responsable o encargado del tratamiento.

64

En primer lugar, es cierto que, con arreglo al artículo 8, apartado 3, de la Carta, el respeto de las normas en materia de protección de los datos de carácter personal está sujeto al control de una autoridad independiente. En este contexto, el artículo 52 del RGPD precisa, en particular, que cada autoridad de control actuará con total independencia en el desempeño de sus funciones y en el ejercicio de sus poderes de conformidad con dicho Reglamento (apartado 1), que el miembro o los miembros de cada autoridad de control serán ajenos, en el desempeño de sus funciones y en el ejercicio de sus poderes, a toda influencia externa (apartado 2), y que cada Estado miembro garantizará que cada autoridad de control disponga de los recursos necesarios para el cumplimiento efectivo de sus funciones y el ejercicio de sus poderes (apartado 4).

65

No obstante, estas garantías de independencia no se ven comprometidas en modo alguno por el hecho de que las decisiones jurídicamente vinculantes de una autoridad de control estén sujetas a un control jurisdiccional pleno.

66

En segundo lugar, en lo que se refiere al derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento, establecido en el artículo 79, apartado 1, del RGPD, procede señalar que, según la jurisprudencia del Tribunal de Justicia, los recursos previstos en los artículos 78, apartado 1, y 79, apartado 1, respectivamente, del citado Reglamento, pueden ejercerse de manera concurrente e independiente (sentencia de 12 de enero de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, apartado 35 y fallo). En este contexto, el Tribunal de Justicia ha considerado, en particular, que la puesta a disposición de varias vías de recurso refuerza el objetivo enunciado en el considerando 141 del mencionado Reglamento de garantizar a cualquier interesado que estime que se han vulnerado sus derechos con arreglo a ese Reglamento el derecho a la tutela judicial efectiva de conformidad con el artículo 47 de la Carta (sentencia de 12 de enero de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, apartado 44).

67

Por consiguiente, aun cuando corresponde a los Estados miembros, de conformidad con el principio de autonomía procesal, establecer la forma de articular esas vías de recurso (sentencia de 12 de enero de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, apartado 45 y fallo), la existencia del derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento, establecido en el artículo 79, apartado 1, del RGPD, no afecta al alcance del control jurisdiccional ejercido, en el marco de un recurso interpuesto en virtud del artículo 78, apartado 1, de dicho Reglamento, contra una decisión relativa a una reclamación adoptada por una autoridad de control.

68

No obstante, debe añadirse que, si bien, como se señala en el apartado 56 de la presente sentencia, la autoridad de control debe dar curso a una reclamación con toda la diligencia exigible, dicha autoridad dispone, por lo que respecta a las medidas correctivas enumeradas en el artículo 58, apartado 2, del RGPD, de un margen de apreciación en cuanto a la elección de los medios adecuados y necesarios (véase, en este sentido, la sentencia de 16 de julio de 2020, Facebook Ireland y Schrems, C‑311/18, EU:C:2020:559, apartado 112).

69

Pues bien, aun cuando el juez nacional que conoce de un recurso en virtud del artículo 78, apartado 1, del RGPD debe disponer, como se ha señalado en el apartado 52 de la presente sentencia, de plena competencia para examinar todas las cuestiones de hecho y de Derecho relativas al litigio de que se trate, la garantía de la tutela judicial efectiva no implica que esté facultado para sustituir la apreciación realizada por la autoridad de control acerca de cuáles son las medidas correctivas adecuadas y necesarias por la suya propia, sino que exige que dicho juez examine si la autoridad de control ha respetado los límites de su poder de apreciación.

70

Habida cuenta de todas las consideraciones anteriores, procede responder a la primera cuestión prejudicial que el artículo 78, apartado 1, del RGPD debe interpretarse en el sentido de que una decisión relativa a una reclamación adoptada por una autoridad de control está sujeta a un control jurisdiccional pleno.

71

Mediante sus cuestiones prejudiciales segunda a quinta, que procede examinar conjuntamente, el órgano jurisdiccional remitente pregunta, en esencia,

72

Con arreglo al artículo 5, apartado 1, letra a), del RGPD, los datos personales han de ser tratados de manera lícita, leal y transparente en relación con el interesado.

73

En este contexto, el artículo 6, apartado 1, párrafo primero, de dicho Reglamento prevé una lista exhaustiva y taxativa de los casos en los que un tratamiento de datos personales puede considerarse lícito. Así pues, para poder ser considerado legítimo, el tratamiento de datos personales debe estar comprendido en alguno de los casos contemplados en esa disposición [sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C‑252/21, EU:C:2023:537, apartado 90 y jurisprudencia citada].

74

En el presente asunto, es pacífico que la licitud del tratamiento de datos personales controvertido en los litigios principales debe apreciarse únicamente a la luz del artículo 6, apartado 1, párrafo primero, letra f), del RGPD. A tenor de esta disposición, el tratamiento de datos personales solo será lícito si es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

75

Así pues, esta disposición establece tres requisitos acumulativos para que el tratamiento de datos personales resulte lícito, a saber, en primer lugar, que el responsable del tratamiento o el tercero persigan un interés legítimo; en segundo lugar, que el tratamiento de los datos personales sea necesario para la satisfacción de ese interés legítimo, y, en tercer lugar, que no prevalezcan los intereses o los derechos y libertades fundamentales del interesado en la protección de los datos [sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C‑252/21, EU:C:2023:537, apartado 106 y jurisprudencia citada].

76

Por lo que respecta, en primer término, al requisito relativo a la persecución de un «interés legítimo», a falta de definición de este concepto por el RGPD, procede subrayar, como señaló el Abogado General en el punto 61 de sus conclusiones, que, en principio, existe una amplia gama de intereses considerados legítimos.

77

Por lo que respecta, en segundo término, al requisito relativo a la necesidad del tratamiento de datos personales para la satisfacción del interés legítimo perseguido, este exige que el órgano jurisdiccional remitente compruebe que el interés legítimo perseguido con el tratamiento de los datos no puede alcanzarse razonablemente de manera tan eficaz por otros medios menos atentatorios respecto de las libertades y los derechos fundamentales de los interesados, en particular respecto de los derechos al respeto de la vida privada y de protección de los datos personales, garantizados por los artículos 7 y 8 de la Carta [sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C‑252/21, EU:C:2023:537, apartado 108 y jurisprudencia citada].

78

En este contexto, procede recordar igualmente que el requisito relativo a la necesidad del tratamiento debe examinarse en relación con el llamado principio de «minimización de los datos», consagrado en el artículo 5, apartado 1, letra c), del RGPD, conforme al cual los datos personales deben ser «adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados» [sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C‑252/21, EU:C:2023:537, apartado 109 y jurisprudencia citada].

79

En tercer término, por lo que respecta al requisito de que los intereses o las libertades y los derechos fundamentales del interesado en la protección de los datos no prevalezcan sobre el interés legítimo del responsable del tratamiento o de un tercero, el Tribunal de Justicia ya ha declarado que dicho requisito implica la ponderación de los derechos e intereses en conflicto, que dependerá, en principio, de las circunstancias concretas del caso particular y que, en consecuencia, corresponde al órgano jurisdiccional remitente efectuar esa ponderación teniendo en cuenta estas circunstancias particulares [sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C‑252/21, EU:C:2023:537, apartado 110 y jurisprudencia citada].

80

Además, como resulta del considerando 47 del RGPD, los intereses y los derechos fundamentales del interesado pueden, en particular, prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de datos personales en circunstancias en las que el interesado no espera razonablemente que se realice tal tratamiento [sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C‑252/21, EU:C:2023:537, apartado 112].

81

Si bien corresponde en definitiva al órgano jurisdiccional remitente apreciar si, en relación con el tratamiento de datos personales controvertido en los litigios principales, se cumplen los tres requisitos mencionados en el apartado 75 de la presente sentencia, el Tribunal de Justicia, al pronunciarse sobre la cuestión prejudicial, puede aportar precisiones destinadas a orientar a dicho órgano jurisdiccional a efectos de proceder a esa determinación (véase, en este sentido, la sentencia de 20 de octubre de 2022, Digi, C‑77/21, EU:C:2022:805, apartado 39 y jurisprudencia citada).

82

En el presente asunto, en lo que se refiere a la persecución de un interés legítimo, SCHUFA alega que las agencias de información comercial tratan datos que son necesarios para la evaluación de la solvencia de personas o empresas, con el fin de poder poner tal información a disposición de sus socios contractuales. En su opinión, además de que esta actividad protege los intereses económicos de las empresas que desean celebrar contratos vinculados a un crédito, la determinación de la solvencia y la aportación de información sobre la solvencia constituyen el fundamento del crédito y de la capacidad de funcionamiento de la economía. SCHUFA sostiene que la actividad de dichas agencias contribuye asimismo a concretar las expectativas comerciales de los interesados en operaciones vinculadas al crédito, dado que la información permite un examen rápido y no burocrático de dichas operaciones.

83

A este respecto, si bien un tratamiento de datos personales como el controvertido en los litigios principales satisface los intereses económicos de SCHUFA, también satisface el interés legítimo de sus socios contractuales, que pretenden celebrar contratos vinculados a un crédito con personas físicas, en poder evaluar la solvencia de estas últimas y, en consecuencia, satisface asimismo los intereses del sector crediticio desde un punto de vista socioeconómico.

84

En efecto, en cuanto atañe a los contratos de crédito al consumo, del artículo 8 de la Directiva 2008/48, interpretado a la luz de su considerando 28, se desprende que, antes de que se celebre el contrato de crédito, el prestamista debe evaluar la solvencia del consumidor sobre la base de una información suficiente, incluida, en su caso, la información procedente de bases de datos públicas y privadas.

85

Además, por lo que respecta a los contratos de crédito celebrados con los consumidores relativos a bienes inmuebles de uso residencial, de los artículos 18, apartado 1, y 21, apartado 1, de la Directiva 2014/17, en relación con sus considerandos 55 y 59, se desprende que el prestamista debe evaluar en profundidad la solvencia del consumidor y que puede acceder a las bases de datos de crédito, ya que a la hora de evaluar la solvencia resulta de utilidad la consulta de dichas bases de datos.

86

Es preciso añadir que la obligación de evaluar la solvencia de los consumidores, tal como se establece en las Directivas 2008/48 y 2014/17, no solo tiene por objeto proteger al solicitante del crédito, sino también, como se señala en el considerando 26 de la Directiva 2008/48, garantizar el buen funcionamiento del sistema crediticio en su conjunto.

87

Tal tratamiento tiene además que ser necesario para la satisfacción de los intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, sin que los intereses o las libertades y los derechos fundamentales del interesado puedan prevalecer sobre dichos intereses. En esta ponderación de los derechos e intereses en conflicto de que se trata, a saber, los del responsable del tratamiento y de los terceros implicados, por una parte, y los del interesado, por otra, es preciso tener en cuenta, tal como se ha señalado en el apartado 80 de la presente sentencia, en particular, las expectativas razonables del interesado, así como el alcance del tratamiento en cuestión y el impacto de este sobre ese interesado [véase la sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C‑252/21, EU:C:2023:537, apartado 116].

88

En lo concerniente al artículo 6, apartado 1, párrafo primero, letra f), del RGPD, el Tribunal de Justicia ha declarado que esta disposición debe interpretarse en el sentido de que tal tratamiento solo puede considerarse necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, con arreglo a esa disposición, si el referido tratamiento se lleva a cabo dentro de los límites de lo estrictamente necesario para la satisfacción de ese interés legítimo y si de una ponderación de los intereses en conflicto se desprende, habida cuenta de todas las circunstancias pertinentes, que los intereses o las libertades y los derechos fundamentales de los interesados por el tratamiento de que se trate no prevalecen sobre el citado interés legítimo del responsable del tratamiento o de un tercero [véanse, en este sentido, las sentencias de 4 de mayo de 2017, Rīgas satiksme, C‑13/16, EU:C:2017:336, apartado 30, y de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C‑252/21, EU:C:2023:537, apartado 126].

89

En este contexto, el órgano jurisdiccional remitente hace referencia a dos aspectos del tratamiento de datos personales controvertido en los litigios principales. En primer lugar, afirma que este tratamiento implica una conservación multiforme de los datos, a saber, no solo en un registro público, sino también en las bases de datos de las agencias de información comercial, y señala que dichas agencias proceden a dicha conservación no por un motivo concreto, sino para poder proporcionar tal información en el supuesto de que sus socios contractuales la soliciten. En segundo lugar, el órgano jurisdiccional remitente afirma que estas agencias conservan esos datos durante tres años, sobre la base de un código de conducta en el sentido del artículo 40 del RGPD, cuando la legislación nacional establece, para el registro público, un período de conservación de solo seis meses.

90

En lo tocante al primero de estos aspectos, SCHUFA alega que sería imposible facilitar información a su debido tiempo si una agencia de información comercial estuviera obligada a esperar una solicitud concreta antes de poder comenzar a recabar datos.

91

A este respecto, corresponde al órgano jurisdiccional remitente comprobar si la conservación de los datos de que se trata por SCHUFA en sus propias bases de datos se limita a lo estrictamente necesario en relación con la satisfacción del interés legítimamente perseguido, cuando los datos de que se trata pueden consultarse en el registro público y sin que una empresa comercial haya solicitado información en un caso concreto. De no ser así, la conservación de esos datos por SCHUFA no podría considerarse necesaria durante el período en el que dichos datos están a disposición del público.

92

Por lo que respecta al período de conservación de los datos, es preciso considerar que el examen de los requisitos segundo y tercero recordados en el apartado 75 de la presente sentencia se confunde en la medida en que la apreciación de si, en el presente asunto, los intereses legítimos perseguidos por el tratamiento de datos personales de que se trata en los litigios principales pueden alcanzarse razonablemente con un período de conservación de los datos más corto requiere una ponderación de los derechos e intereses en conflicto.

93

En lo que se refiere a la ponderación de los intereses legítimos perseguidos, procede señalar que, en la medida en que el análisis aportado por una agencia de información comercial hace posible la evaluación objetiva y fiable de la solvencia de los potenciales clientes de los socios contractuales de la agencia de información comercial, dicha ponderación permite compensar las disparidades en la información y, por tanto, reducir los riesgos de fraude y otras incertidumbres.

94

Sin embargo, en lo que se refiere a los derechos e intereses del interesado, el tratamiento de datos relativos a la concesión de una exoneración del pasivo insatisfecho por una agencia de información comercial, como la conservación, el análisis y la comunicación de dichos datos a un tercero, constituye una injerencia grave en los derechos fundamentales del interesado, consagrados en los artículos 7 y 8 de la Carta. En efecto, tales datos se configuran como un factor negativo a la hora de evaluar la solvencia del interesado y, por tanto, constituyen información sensible sobre su vida privada (véase, en este sentido, la sentencia de 13 de mayo de 2014, Google Spain y Google, C‑131/12, EU:C:2014:317, apartado 98). Su tratamiento puede perjudicar considerablemente los intereses del interesado, ya que la comunicación de dicha información puede dificultar sensiblemente el ejercicio de sus libertades, en particular cuando se trata de cubrir necesidades básicas.

95

Asimismo, como ha puesto de relieve la Comisión, cuanto más tiempo conservan las agencias de información comercial los datos de que se trate, más importantes son las consecuencias sobre los intereses y sobre la vida privada del interesado y mayores las exigencias relativas a la licitud de la conservación de esta información.

96

Es preciso asimismo señalar que, como se desprende del considerando 76 del Reglamento 2015/848, el objetivo de un registro público de insolvencia es mejorar el suministro de información a los acreedores y órganos jurisdiccionales de que se trate. En este contexto, el artículo 79, apartado 5, de dicho Reglamento se limita a preceptuar que los Estados miembros deben informar a los interesados acerca del período de accesibilidad establecido para los datos personales almacenados en los registros de insolvencia, sin determinar un plazo para la conservación de dichos datos. Sin embargo, del artículo 79, apartado 4, del mismo Reglamento se desprende que los Estados miembros se encargan, de conformidad con este, de la recopilación y almacenamiento de los datos en las bases de datos nacionales. El plazo de conservación de estos datos debe fijarse en consecuencia de conformidad con el citado Reglamento.

97

En cuanto atañe al presente asunto, el legislador alemán dispone que la información relativa a la concesión de una exoneración del pasivo insatisfecho solo se conserva en el registro de insolvencia durante seis meses. Por lo tanto, dicho legislador considera que, una vez transcurrido un plazo de seis meses, los derechos y los intereses del interesado prevalecen sobre los intereses del público en disponer de esa información.

98

Además, como ha señalado el Abogado General en el punto 75 de sus conclusiones, la exoneración del pasivo insatisfecho debe permitir al beneficiario volver a participar en la vida económica y, por lo tanto, generalmente reviste una importancia vital para esa persona. Pues bien, la consecución de este objetivo se vería comprometida si las agencias de información comercial, para evaluar la situación económica de una persona, pudieran conservar datos relativos a una exoneración del pasivo insatisfecho y utilizarlos una vez que han sido suprimidos del registro público de insolvencia, puesto que dichos datos siempre se emplean como un factor negativo a la hora de evaluar la solvencia de una persona.

99

En estas circunstancias, los intereses del sector crediticio en disponer de información sobre una exoneración del pasivo insatisfecho no pueden justificar un tratamiento de datos personales como el controvertido en los litigios principales más allá del plazo de conservación de los datos en el registro público de insolvencia, de forma que la conservación de esos datos por una agencia de información comercial con posterioridad a la supresión de dichos datos de un registro público de insolvencia no puede basarse en el artículo 6, apartado 1, párrafo primero, letra f), del RGPD.

100

Por lo que respecta al período de seis meses durante el cual los datos de que se trate están también disponibles en dicho registro público, procede señalar que, si bien las repercusiones de una conservación paralela de esos datos en las bases de datos de las mencionadas agencias pueden considerarse menos graves que una vez transcurridos los seis meses, tal conservación constituye, no obstante, una injerencia en los derechos consagrados en los artículos 7 y 8 de la Carta. A este respecto, el Tribunal de Justicia ya ha declarado que la presencia de los mismos datos personales en varias fuentes refuerza la injerencia en el derecho del individuo a la vida privada (véase la sentencia de 13 de mayo de 2014, Google Spain y Google, C‑131/12, EU:C:2014:317, apartados 86 y 87). Corresponde al órgano jurisdiccional remitente ponderar los intereses en juego y las repercusiones en el interesado, con el fin de determinar si puede considerarse que la conservación paralela de esos datos por agencias de información comercial se limita a lo estrictamente necesario, como exige la jurisprudencia del Tribunal de Justicia citada en el apartado 88 de la presente sentencia.

101

Por último, en lo que se refiere a la existencia, como en el presente asunto, de un código de conducta que establece que las agencias de información comercial deben suprimir los datos relativos a la exoneración del pasivo insatisfecho transcurrido un plazo de tres años, procede recordar que, de conformidad con el artículo 40, apartados 1 y 2, del RGPD, los códigos de conducta están destinados a contribuir a la correcta aplicación de dicho Reglamento, teniendo en cuenta las características específicas de los distintos sectores de tratamiento y las necesidades específicas de las microempresas y las pequeñas y medianas empresas. Así, las asociaciones y otros organismos representativos de categorías de responsables o encargados del tratamiento pueden elaborar códigos de conducta o modificar o ampliar tales códigos con objeto de especificar la aplicación de dicho Reglamento, como el tratamiento leal y transparente, los intereses legítimos perseguidos por los responsables del tratamiento en contextos específicos y la recogida de datos personales.

102

Además, en virtud del artículo 40, apartado 5, del RGPD, se presenta un proyecto de código a la autoridad de control competente, que lo aprueba si considera suficientes las garantías adecuadas ofrecidas.

103

En el presente asunto, el código de conducta controvertido en los litigios principales fue elaborado por la asociación que agrupa a las agencias alemanas de información comercial y aprobado por la autoridad de control competente.

104

Dicho esto, si bien es cierto que, de conformidad con el artículo 40, apartados 1 y 2, del RGPD, los códigos de conducta están destinados a contribuir a la correcta aplicación de dicho Reglamento y a especificar su aplicación, no es menos cierto que, como ha señalado el Abogado General en los puntos 103 y 104 de sus conclusiones, las condiciones de licitud de un tratamiento de datos personales establecidas por tal código no pueden diferir de las previstas en el artículo 6, apartado 1, del RGPD.

105

De esta forma, un código de conducta que dé lugar a una apreciación diferente de la obtenida aplicando el artículo 6, apartado 1, párrafo primero, letra f), del RGPD no puede tomarse en consideración en la ponderación efectuada en virtud de esta disposición.

106

Por último, el órgano jurisdiccional remitente se pregunta, en esencia, sobre las obligaciones que incumben a una agencia de información comercial en virtud del artículo 17 del RGPD.

107

A este respecto, procede recordar que, de conformidad con el artículo 17, apartado 1, letra d), del RGPD, al que se refiere el órgano jurisdiccional remitente, el interesado tiene derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual está obligado a suprimir sin dilación indebida los datos personales cuando hayan sido tratados ilícitamente.

108

Por consiguiente, según el claro tenor de esta disposición, en el supuesto de que el órgano jurisdiccional remitente debiera concluir, al término de su apreciación acerca de la licitud del tratamiento de datos personales controvertido en los litigios principales, que dicho tratamiento no es lícito, incumbiría al responsable del tratamiento, en este caso SCHUFA, suprimir los datos de que se trata sin dilación. Tal sería el caso, como se ha señalado en el apartado 99 de la presente sentencia, de un tratamiento de datos personales efectuado más allá del plazo de conservación de datos de seis meses en el registro público de insolvencia.

109

Por lo que respecta al tratamiento de datos personales que tiene lugar durante el período de seis meses en el que los datos están disponibles en el registro público de insolvencia, en el supuesto de que el órgano jurisdiccional remitente debiera concluir que es conforme con el artículo 6, apartado 1, párrafo primero, letra f), del RGPD, el artículo 17, apartado 1, letra c), de dicho Reglamento sería aplicable.

110

La referida disposición establece el derecho a la supresión de los datos personales cuando el interesado se oponga a su tratamiento con arreglo al artículo 21, apartado 1, del RGPD y no prevalezcan otros «motivos legítimos imperiosos para el tratamiento». En virtud de esta última disposición, el interesado tiene derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, párrafo primero, letras e) o f), del RGPD. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite que existen motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.

111

De la lectura conjunta de estas disposiciones se desprende, como ha señalado el Abogado General en el punto 93 de sus conclusiones, que el interesado dispone de un derecho a oponerse al tratamiento y de un derecho a la supresión a menos que existan motivos legítimos imperiosos que prevalezcan sobre los intereses y sobre los derechos y las libertades del interesado en el sentido del artículo 21, apartado 1, del RGPD, lo cual corresponde demostrar al responsable del tratamiento.

112

Por consiguiente, si el responsable del tratamiento no aporta prueba de ello, el interesado tendrá derecho a solicitar la supresión de los datos en virtud del artículo 17, apartado 1, letra c), del RGPD, cuando se oponga al tratamiento de conformidad con el artículo 21, apartado 1, de dicho Reglamento. Corresponde al órgano jurisdiccional remitente examinar si existen, con carácter excepcional, motivos legítimos imperiosos que justifiquen el tratamiento en cuestión.

113

Habida cuenta de todas las consideraciones anteriores, procede responder a las cuestiones prejudiciales planteadas como sigue a continuación:

114

Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Primera) declara: