EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62021CJ0077

Sentencia del Tribunal de Justicia (Sala Primera) de 20 de octubre de 2022.
Digi Távközlési és Szolgáltató Kft. contra Nemzeti Adatvédelmi és Információszabadság Hatóság.
Petición de decisión prejudicial planteada por el Fővárosi Törvényszék.
Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 5, apartado 1, letras b) y e) — Principio de “limitación de la finalidad” — Principio de “limitación del plazo de conservación” — Creación, a partir de una base de datos existente, de una base de datos para realizar pruebas y corregir errores — Tratamiento ulterior de los datos — Compatibilidad del tratamiento ulterior de los datos con los fines de su recogida inicial — Plazo de conservación relativo a esos fines.
Asunto C-77/21.

Court reports – general – 'Information on unpublished decisions' section

ECLI identifier: ECLI:EU:C:2022:805

  The document is unavailable in your User interface language.

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Primera)

de 20 de octubre de 2022 (*)

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 5, apartado 1, letras b) y e) — Principio de “limitación de la finalidad” — Principio de “limitación del plazo de conservación” — Creación, a partir de una base de datos existente, de una base de datos para realizar pruebas y corregir errores — Tratamiento ulterior de los datos — Compatibilidad del tratamiento ulterior de los datos con los fines de su recogida inicial — Plazo de conservación relativo a esos fines»

En el asunto C‑77/21,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Fővárosi Törvényszék (Tribunal General de la Capital, Hungría), mediante resolución de 21 de enero de 2021, recibida en el Tribunal de Justicia el 8 de febrero de 2021, en el procedimiento entre

Digi Távközlési és Szolgáltató Kft.

y

Nemzeti Adatvédelmi és Információszabadság Hatóság,

EL TRIBUNAL DE JUSTICIA (Sala Primera),

integrado por el Sr. A. Arabadjiev, Presidente de Sala, el Sr. L. Bay Larsen, Vicepresidente del Tribunal de Justicia, en funciones de Juez de la Sala Primera, y los Sres. P. G. Xuereb y A. Kumin y la Sra. I. Ziemele (Ponente), Jueces;

Abogado General: Sr. P. Pikamäe;

Secretario: Sr. I. Illéssy, administrador;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 17 de enero de 2022;

consideradas las observaciones presentadas:

–        en nombre de Digi Távközlési és Szolgáltató Kft., por la Sra. R. Hatala y el Sr. A. D. László, ügyvédek;

–        en nombre de la Nemzeti Adatvédelmi és Információszabadság Hatóság, por el Sr. G. Barabás, asesor jurídico, asistido por los Sres. G. J. Dudás y Á. Hargita, ügyvédek;

–        en nombre del Gobierno húngaro, por la Sra. Zs. Biró-Tóth y el Sr. M. Z. Fehér, en calidad de agentes;

–        en nombre del Gobierno checo, por la Sra. T. Machovičová y los Sres. M. Smolek y J. Vláčil, en calidad de agentes;

–        en nombre del Gobierno portugués, por la Sra. P. Barros da Costa, el Sr. L. Inez Fernandes y las Sras. I. Oliveira, M. J. Ramos y C. Vieira Guerra, en calidad de agentes;

–        en nombre de la Comisión Europea, por los Sres. V. Bottka y H. Kranenborg, en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 31 de marzo de 2022;

dicta la siguiente

Sentencia

1        La petición de decisión prejudicial tiene por objeto la interpretación del artículo 5, apartado 1, letras b) y e), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1).

2        Esta petición se ha presentado en el marco de un litigio entre la mercantil Digi Távközlési és Szolgáltató Kft. (en lo sucesivo, «Digi»), uno de los principales proveedores de servicios de Internet y de televisión en Hungría, y la Nemzeti Adatvédelmi és Információszabadság Hatóság (Autoridad Nacional de Protección de Datos y Libertad de Información, Hungría; en lo sucesivo, «Autoridad Nacional»), relativo a una violación de la seguridad de los datos personales almacenados en una base de datos de Digi.

 Marco jurídico

3        Los considerandos 10 y 50 del Reglamento 2016/679 tienen el siguiente enunciado:

«(10)      Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión, el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. Debe garantizarse en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea. […]

[…]

(50)      El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. En tal caso, no se requiere una base jurídica aparte, distinta de la que permitió la obtención de los datos personales. […] Con objeto de determinar si el fin del tratamiento ulterior es compatible con el fin de la recogida inicial de los datos personales, el responsable del tratamiento, tras haber cumplido todos los requisitos para la licitud del tratamiento original, debe tener en cuenta, entre otras cosas, cualquier relación entre estos fines y los fines del tratamiento ulterior previsto, el contexto en el que se recogieron los datos, en particular las expectativas razonables del interesado basadas en su relación con el responsable en cuanto a su uso posterior, la naturaleza de los datos personales, las consecuencias para los interesados del tratamiento ulterior previsto y la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento ulterior prevista.

[…]»

4        El artículo 4 del Reglamento 2016/679, titulado «Definiciones», dispone:

«A efectos del presente Reglamento se entenderá por:

[…]

2)      “tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

[…]».

5        A tenor del artículo 5 de dicho Reglamento, titulado «Principios relativos al tratamiento»:

«1.      Los datos personales serán:

a)      tratados de manera lícita, leal y transparente en relación con el interesado (“licitud, lealtad y transparencia”);

b)      recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales (“limitación de la finalidad”);

c)      adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (“minimización de datos”);

d)      exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan (“exactitud”);

e)      mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado (“limitación del plazo de conservación”);

f)      tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (“integridad y confidencialidad”).

2.      El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva”).»

6        El artículo 6 del mismo Reglamento, titulado «Licitud del tratamiento», establece:

«1.      El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a)      el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b)      el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c)      el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d)      el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e)      el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f)      el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

[…]

4.      Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:

a)      cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;

b)      el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento;

c)      la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10;

d)      las posibles consecuencias para los interesados del tratamiento ulterior previsto;

e)      la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.»

 Litigio principal y cuestiones prejudiciales

7        Digi es uno de los principales proveedores de servicios de Internet y de televisión en Hungría.

8        En abril de 2018, tras un fallo técnico que afectó al funcionamiento de un servidor, Digi creó una base de datos denominada «test» (en lo sucesivo, «base de datos de prueba»), en la que copió los datos personales de aproximadamente la tercera parte de sus clientes particulares. Dichos datos se conservaban en otra base de datos, denominada «digihu», que podía vincularse al sitio de Internet www.digi.hu, en el cual figuraban los datos actualizados de los suscriptores al boletín informativo de Digi, con fines de marketing directo, así como los datos de administración de sistemas que daban acceso a la interfaz del sitio de Internet.

9        El 23 de septiembre de 2019, Digi tuvo conocimiento de que un «hacker ético» había tenido acceso a los datos personales de unas 322 000 personas, almacenados por dicha sociedad. Fue el propio «hacker ético» quien informó a Digi del ataque, remitiendo a esta, a modo de demostración, uno de los registros de la base de datos de prueba. Digi corrigió el fallo que había permitido el acceso y celebró un contrato de confidencialidad con esa persona, ofreciéndole una recompensa.

10      El 25 de septiembre de 2019, tras haber suprimido la base de datos de prueba, Digi notificó la violación de la seguridad de los datos personales a la Autoridad Nacional, la cual abrió una investigación.

11      Mediante resolución de 18 de mayo de 2020, la Autoridad Nacional declaró, entre otros extremos, que Digi había infringido el artículo 5, apartado 1, letras b) y e), del Reglamento 2016/679 al no haber suprimido la base de datos de prueba inmediatamente tras la realización de las pruebas necesarias y la corrección del fallo, de modo que había conservado en esa base de datos un gran número de datos personales durante casi 18 meses sin ninguna finalidad, en un fichero que permitía la identificación de los interesados. Por consiguiente, la Autoridad Nacional ordenó a Digi que revisara todas sus bases de datos y le impuso una multa por importe de 100 000 000 forintos (HUF) (aproximadamente 248 000 euros).

12      Digi ha impugnado la legalidad de esa resolución ante el órgano jurisdiccional remitente.

13      Este último observa que los datos personales copiados por Digi en la base de datos de prueba fueron recogidos para la conclusión y ejecución de contratos de abono, sin que la licitud de la recogida inicial de esos datos haya sido cuestionada por la Autoridad Nacional. No obstante, se pregunta si el hecho de copiar en una base de datos distinta los datos recogidos inicialmente ha dado lugar a una modificación en cuanto a la finalidad de la recogida inicial y del tratamiento de los datos. Añade que también tiene que dilucidar si la creación de una base de datos de prueba y la continuación del tratamiento de los datos de los clientes en esta otra base son compatibles con los fines de la recogida inicial. Considera que el principio de «limitación de la finalidad», tal como se enuncia en el artículo 5, apartado 1, letra b), del Reglamento 2016/679, no le permite determinar los sistemas internos en los que el responsable del tratamiento tiene derecho a tratar los datos recogidos legítimamente, ni si dicho responsable puede copiar los datos en una base de datos de prueba sin que se altere la finalidad de la recogida inicial de los datos.

14      En el supuesto de que la creación de una base de datos de prueba no fuera compatible con la finalidad de la recogida inicial, y en la medida en que la finalidad del tratamiento de los datos de abonados en otra base de datos no sea la corrección de errores, sino la conclusión de contratos, el órgano jurisdiccional remitente se pregunta asimismo si el plazo de conservación necesario debe ajustarse, en virtud del principio de «limitación del plazo de conservación» establecido en el artículo 5, apartado 1, letra e), del Reglamento 2016/679, al período necesario para la corrección de los errores o bien al período necesario para la ejecución de las obligaciones contractuales.

15      En estas circunstancias, el Fővárosi Törvényszék (Tribunal General de la Capital, Hungría) ha decidido suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1)      ¿Debe interpretarse el concepto de “limitación de la finalidad” definido en el artículo 5, apartado 1, letra b), del [Reglamento 2016/679] en el sentido de que es conforme con dicho concepto el hecho de que el responsable del tratamiento conserve paralelamente en otra base de datos unos datos personales que, por lo demás, fueron recogidos y conservados con una finalidad legítima limitada o, por el contrario, por lo que respecta a la base de datos paralela, ya no es válida la finalidad legítima limitada de la recogida de datos?

2)      En caso de que se responda a la primera cuestión prejudicial en el sentido de que la conservación paralela de datos resulta en sí misma incompatible con el principio de “limitación de la finalidad”, ¿es compatible con el principio de “limitación del plazo de conservación” establecido en el artículo 5, apartado 1, letra e), del [Reglamento 2016/679] el hecho de que el responsable del tratamiento conserve paralelamente en otra base de datos unos datos personales que, por lo demás, fueron recogidos y conservados con una finalidad legítima limitada?»

 Sobre las cuestiones prejudiciales

 Sobre la admisibilidad

16      La Autoridad Nacional y el Gobierno húngaro han manifestado sus dudas sobre la admisibilidad de las cuestiones prejudiciales, alegando que dichas cuestiones no reflejan los hechos del litigo principal y no son directamente pertinentes para la resolución del mismo.

17      A este respecto, en primer lugar, es preciso recordar que, según reiterada jurisprudencia del Tribunal de Justicia, corresponde exclusivamente al juez nacional que conoce del litigio y que debe asumir la responsabilidad de la decisión judicial que ha de adoptarse apreciar, a la luz de las particularidades del asunto, tanto la necesidad de una decisión prejudicial para poder dictar sentencia como la pertinencia de las cuestiones que plantea al Tribunal de Justicia. Por consiguiente, cuando las cuestiones planteadas se refieren a la interpretación o a la validez de una norma del Derecho de la Unión, el Tribunal de Justicia está, en principio, obligado a pronunciarse. De ello se deduce que las cuestiones planteadas por los órganos jurisdiccionales nacionales disfrutan de una presunción de pertinencia. El Tribunal de Justicia solo puede abstenerse de pronunciarse sobre una cuestión prejudicial planteada por un órgano jurisdiccional nacional cuando la interpretación solicitada no tenga relación alguna con la realidad o con el objeto del litigio principal, cuando el problema sea de naturaleza hipotética o cuando el Tribunal de Justicia no disponga de los elementos de hecho y de Derecho necesarios para dar una respuesta útil a las cuestiones que se le hayan planteado (sentencia de 16 de julio de 2020, Facebook Ireland y Schrems, C‑311/18, EU:C:2020:559, apartado 73 y jurisprudencia citada).

18      En el caso de autos, el órgano jurisdiccional remitente conoce de un recurso que tiene por objeto la anulación de una resolución por la que se sanciona a Digi, en su condición de responsable del tratamiento, por haber vulnerado los principios de «limitación de la finalidad» y de «limitación del plazo de conservación», establecidos respectivamente en las letras b) y e) del artículo 5, apartado 1, del Reglamento 2016/679, dado que no suprimió una base de datos en la cual figuraban datos personales que permitían identificar a los interesados. Pues bien, las cuestiones prejudiciales versan precisamente sobre la interpretación de estas disposiciones, de modo que no puede considerarse que la interpretación solicitada del Derecho de la Unión no guarde relación con la realidad o con el objeto del litigio principal o sea de naturaleza hipotética. Además, la resolución de remisión contiene los suficientes elementos de hecho y de Derecho para dar una respuesta útil a las cuestiones planteadas por el órgano jurisdiccional remitente.

19      En segundo lugar, debe recordarse que, en el marco del procedimiento contemplado en el artículo 267 TFUE, basado en una clara separación de las funciones entre los órganos jurisdiccionales nacionales y el Tribunal de Justicia, el juez nacional es el único competente para interpretar y aplicar disposiciones de Derecho nacional, mientras que el Tribunal de Justicia solo es competente para pronunciarse sobre la interpretación o la validez de una norma de la Unión a partir de los hechos que le proporcione el órgano jurisdiccional nacional (sentencia de 5 de mayo de 2022, Zagrebačka banka, C‑567/20, EU:C:2022:352, apartado 45 y jurisprudencia citada).

20      Por lo tanto, procede desestimar la alegación relativa a la inadmisibilidad de las cuestiones prejudiciales, basada por la Autoridad Nacional y por el Gobierno húngaro esencialmente en la circunstancia de que las cuestiones prejudiciales no reflejan, en su opinión, los hechos del litigo principal.

21      De ello se deduce que las cuestiones prejudiciales son admisibles.

 Sobre el fondo

 Primera cuestión

22      Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 5, apartado 1, letra b), del Reglamento 2016/679 debe interpretarse en el sentido de que el principio de «limitación de la finalidad», definido en esa disposición, se opone a que el responsable del tratamiento registre y conserve, en una base de datos creada para realizar pruebas y corregir errores, datos personales previamente recogidos y conservados en otra base de datos.

23      Según reiterada jurisprudencia, la interpretación de una disposición del Derecho de la Unión requiere tener en cuenta no solo su tenor, sino también el contexto en el que se inscribe, así como los objetivos y la finalidad que persigue el acto del que forma parte (sentencia de 1 de agosto de 2022, HOLD Alapkezelő, C‑352/20, EU:C:2022:606, apartado 42 y jurisprudencia citada).

24      A este respecto procede señalar, en primer lugar, que el artículo 5, apartado 1, del Reglamento 2016/679 establece los principios relativos al tratamiento de datos personales que se imponen al responsable del tratamiento, quien debe ser asimismo capaz de demostrar su cumplimiento, de conformidad con el principio de responsabilidad proactiva enunciado en el apartado 2 de dicho artículo.

25      En particular, a tenor del artículo 5, apartado 1, letra b), de ese Reglamento, que establece el principio de «limitación de la finalidad», los datos personales, por un lado, serán recogidos con fines determinados, explícitos y legítimos, y, por otro, no serán tratados ulteriormente de manera incompatible con dichos fines.

26      Por lo tanto, de la redacción de la citada disposición se desprende que esta contiene dos requisitos, uno relativo a los fines de la recogida inicial de datos personales y otro relativo al tratamiento ulterior de esos datos.

27      Por lo que respecta, en primer término, al requisito de que los datos personales se recojan con fines determinados, explícitos y legítimos, de la jurisprudencia del Tribunal de Justicia se desprende que este requisito implica, primero, que los fines del tratamiento deben determinarse, a más tardar, en el momento de la recogida de los datos personales; segundo, que los fines del tratamiento deben indicarse claramente; y, por último, que los fines del tratamiento deben garantizar, en particular, el tratamiento lícito de esos datos, en el sentido del artículo 6, apartado 1, del Reglamento 2016/679 [véase, en este sentido, la sentencia de 24 de febrero de 2022, Valsts ieņēmumu dienests (Tratamiento de datos personales con fines fiscales), C‑175/20, EU:C:2022:124, apartados 64 a 66].

28      En el caso de autos, del tenor de la primera cuestión prejudicial y de la motivación de la resolución de remisión se desprende que los datos personales de que se trata en el litigio principal fueron recogidos con fines determinados, explícitos y legítimos, precisando asimismo el órgano jurisdiccional remitente que la recogida de los datos se realizó para la celebración y ejecución de contratos de abono por parte de Digi con sus clientes, de conformidad con el artículo 6, apartado 1, letra b), del Reglamento 2016/679.

29      Por cuanto se refiere, en segundo término, al requisito de que los datos personales no sean objeto de un tratamiento ulterior que resulte incompatible con dichos fines, procede señalar, por un lado, que el hecho de que el responsable del tratamiento registre y conserve, en una base de datos de nueva creación, datos personales que conservaba en otra base de datos constituye un «tratamiento ulterior» de esos datos.

30      En efecto, el concepto de «tratamiento» se define en sentido amplio en el artículo 4, punto 2, del Reglamento 2016/679 como cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como, entre otros, la recogida, el registro y la conservación de esos datos.

31      Además, conforme al sentido habitual del término «ulterior» en el lenguaje corriente, todo tratamiento de datos personales que sea posterior al tratamiento inicial consistente en la recogida inicial de los datos constituye un tratamiento «ulterior» de estos, con independencia de la finalidad del tratamiento ulterior.

32      Por otro lado, ha de señalarse que el artículo 5, apartado 1, letra b), del Reglamento 2016/679 no contiene ninguna indicación acerca de las condiciones en que un tratamiento ulterior de datos personales puede considerarse compatible con los fines de su recogida inicial.

33      No obstante, el contexto en el que se inscribe esta disposición proporciona, en segundo lugar, precisiones útiles a este respecto.

34      En efecto, de una lectura conjunta de los artículos 5, apartado 1, letra b), y 6, apartados 1, letra a), y 4, del Reglamento 2016/679 se desprende que la cuestión relativa a la compatibilidad del tratamiento ulterior de datos personales con los fines para los que estos se hayan recogido inicialmente solo se plantea en el supuesto de que los fines del tratamiento ulterior no sean idénticos a los fines de la recogida inicial.

35      Además, del citado artículo 6, apartado 4, interpretado a la luz del considerando 50 del mismo Reglamento, se desprende que, cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros, será preciso, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos, tener en cuenta, entre otras cosas, primero, cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto; segundo, el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento; tercero, la naturaleza de los datos personales; cuarto, las posibles consecuencias para los interesados del tratamiento ulterior previsto; y, quinto y último, la existencia de garantías adecuadas, tanto en el marco del tratamiento inicial como en el del tratamiento ulterior previsto.

36      Como señala el Abogado General, en esencia, en los puntos 28, 59 y 60 de sus conclusiones, estos criterios reflejan la necesidad de que exista una relación concreta, lógica y suficientemente estrecha entre los fines de la recogida inicial de los datos personales y su tratamiento ulterior, y permiten asegurarse de que el tratamiento ulterior no se aparte de las expectativas legítimas de los abonados en cuanto a la utilización ulterior de sus datos.

37      Los referidos criterios permiten asimismo, en tercer lugar, tal y como subraya, en esencia, el Abogado General en el punto 27 de sus conclusiones, delimitar la reutilización de datos personales recogidos previamente, garantizando un equilibrio entre, por un lado, la necesidad de previsibilidad y de seguridad jurídica respecto de los fines del tratamiento de datos personales recogidos previamente y, por otro, el reconocimiento de cierta flexibilidad al responsable del tratamiento para gestionar esos datos, y contribuyen de este modo a la realización del objetivo de garantizar un nivel uniforme y elevado de protección de las personas físicas, enunciado en el considerando 10 del Reglamento 2016/679.

38      Por consiguiente, teniendo en cuenta los criterios mencionados en el apartado 35 de la presente sentencia y habida cuenta del conjunto de circunstancias que caracterizan el caso de autos, corresponde al órgano jurisdiccional nacional determinar tanto los fines de la recogida inicial de los datos personales como los de su tratamiento ulterior y, en el supuesto de que los fines del tratamiento ulterior difieran de los fines de la recogida inicial, le incumbe comprobar que el tratamiento ulterior de los datos es compatible con los fines de su recogida inicial.

39      Ahora bien, el Tribunal de Justicia, al pronunciarse sobre la cuestión prejudicial, puede aportar precisiones destinadas a orientar al órgano jurisdiccional nacional a efectos de proceder a esa determinación (véase, en este sentido, la sentencia de 7 de abril de 2022, Fuhrmann-2, C‑249/21, EU:C:2022:269, apartado 32).

40      En el caso de autos, en primer lugar, como se ha recordado en el apartado 13 de la presente sentencia, de la resolución de remisión se desprende que Digi, responsable del tratamiento, recogió inicialmente los datos personales para la celebración y ejecución de contratos de abono con sus clientes particulares.

41      En segundo lugar, las partes en el litigio principal no están de acuerdo sobre la finalidad específica del registro y conservación por Digi de los datos personales en cuestión en la base de datos de prueba. En efecto, mientras que Digi alega que la creación de la base de datos de prueba tenía la finalidad específica de garantizar el acceso a los datos de los abonados hasta que se corrigieran los errores, por lo que afirma que esta finalidad era idéntica a los fines de la recogida inicial de los datos, la Autoridad Nacional sostiene que la finalidad específica del tratamiento ulterior era distinta de estos fines, ya que consistía en la realización de pruebas y en la corrección de errores.

42      A este respecto, procede recordar que, según se desprende de la jurisprudencia citada en el apartado 19 de la presente sentencia, en el marco del procedimiento contemplado en el artículo 267 TFUE, basado en una clara separación de las funciones entre los órganos jurisdiccionales nacionales y el Tribunal de Justicia, el juez nacional es el único competente para interpretar y aplicar disposiciones de Derecho nacional, mientras que el Tribunal de Justicia solo es competente para pronunciarse sobre la interpretación o la validez de una norma de la Unión a partir de los hechos que le proporcione el órgano jurisdiccional nacional.

43      Pues bien, de la resolución de remisión se desprende que Digi creó la base de datos de prueba para poder realizar pruebas y corregir errores, de modo que corresponde al órgano jurisdiccional remitente apreciar a la luz de estos fines la compatibilidad del tratamiento ulterior con los fines de la recogida inicial, consistentes en la celebración y ejecución de contratos de abono.

44      En tercer lugar, en lo referente a dicha apreciación, debe observarse que la realización de pruebas y la corrección de errores que afectan a la base de datos de los abonados guardan una relación concreta con la ejecución de los contratos de abono de clientes particulares, en la medida en que tales errores pueden resultar perjudiciales para la prestación del servicio previsto contractualmente y a cuyo fin se recogieron inicialmente los datos. En efecto, como señala el Abogado General en el punto 60 de sus conclusiones, un tratamiento de este tipo no se aparta de las expectativas legítimas de los clientes en cuanto a la utilización ulterior de sus datos personales. Asimismo, de la resolución de remisión no se desprende que todos o parte de esos datos fueran sensibles ni que el tratamiento ulterior controvertido de los mismos, como tal, haya tenido consecuencias perjudiciales para los abonados o no se haya dotado de las garantías adecuadas, extremo que, en todo caso, corresponde comprobar al órgano jurisdiccional remitente.

45      Habida cuenta de todas las consideraciones anteriores, procede responder a la primera cuestión prejudicial que el artículo 5, apartado 1, letra b), del Reglamento 2016/679 debe interpretarse en el sentido de que el principio de «limitación de la finalidad», definido en esa disposición, no se opone a que el responsable del tratamiento registre y conserve, en una base de datos creada para realizar pruebas y corregir errores, datos personales previamente recogidos y conservados en otra base de datos, siempre y cuando el tratamiento ulterior sea compatible con los fines específicos para los que se recogieron inicialmente los datos personales, extremo que ha de determinarse a la luz de los criterios establecidos en el artículo 6, apartado 4, del mismo Reglamento.

 Segunda cuestión prejudicial

46      Con carácter preliminar, es preciso observar que la segunda cuestión prejudicial, que trata de si la conservación por Digi de datos personales de sus clientes en la base de datos de prueba es conforme con el principio de «limitación del plazo de conservación» establecido el artículo 5, apartado 1, letra e), del Reglamento 2016/679, se plantea por el órgano jurisdiccional remitente únicamente en caso de respuesta afirmativa a la primera cuestión prejudicial, tal como ha sido reformulada, es decir, en el supuesto de que la referida conservación no sea compatible con el principio de «limitación de la finalidad» definido en el artículo 5, apartado 1, letra b), de ese Reglamento.

47      No obstante, por un lado, como indica el Abogado General en el punto 24 de sus conclusiones, los principios relativos al tratamiento de datos personales enunciados en el artículo 5 del Reglamento 2016/679 son aplicables de forma acumulativa. Por lo tanto, la conservación de datos personales no solo debe respetar el principio de «limitación de la finalidad», sino también el de «limitación del plazo de conservación».

48      Por otro lado, debe recordarse que, como se desprende del considerando 10 del Reglamento 2016/679, este Reglamento tiene por objeto, en particular, garantizar un nivel elevado de protección de las personas físicas dentro de la Unión y, a estos efectos, garantizar en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de esas personas en relación con el tratamiento de datos personales sea coherente y homogénea.

49      Con este fin, los capítulos II y III del referido Reglamento enuncian, respectivamente, los principios que regulan el tratamiento de datos personales y los derechos del interesado que todo tratamiento de esos datos debe respetar. En particular, todo tratamiento de datos personales debe, por un lado, adecuarse a los principios relativos al tratamiento, establecidos en el artículo 5 de ese Reglamento, y, por otro, atendiendo concretamente al principio de licitud previsto en el apartado 1, letra a), de dicho artículo, debe cumplir con alguno de los requisitos de licitud del tratamiento enumerados en el artículo 6 del mismo Reglamento [véanse, en este sentido, las sentencias de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartado 96, y de 24 de febrero de 2022, Valsts ieņēmumu dienests (Tratamiento de datos personales con fines fiscales), C‑175/20, EU:C:2022:124, apartado 50].

50      Habida cuenta de estas consideraciones, aun cuando, desde el punto de vista formal, el órgano jurisdiccional remitente únicamente haya planteado la segunda cuestión prejudicial en caso de respuesta afirmativa a la primera, tal como ha sido reformulada, esta circunstancia no obsta para que el Tribunal de Justicia le proporcione todos los elementos de interpretación del Derecho de la Unión que puedan serle útiles para enjuiciar el asunto de que conoce (véase, en este sentido, la sentencia de 17 de marzo de 2022, Daimler, C‑232/20, EU:C:2022:196, apartado 49) y no impide, por tanto, al Tribunal de Justicia responder a la segunda cuestión prejudicial.

51      En estas circunstancias, procede considerar que, mediante la segunda cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 5, apartado 1, letra e), del Reglamento 2016/679 debe interpretarse en el sentido de que el principio de «limitación del plazo de conservación», establecido en esa disposición, se opone a que el responsable del tratamiento conserve, en una base de datos creada para realizar pruebas y corregir errores, datos personales recogidos previamente para otros fines, durante un período superior al necesario para la realización de las pruebas y la corrección de los errores.

52      En primer lugar, procede señalar que, a tenor del artículo 5, apartado 1, letra e), del Reglamento 2016/679, los datos personales deben conservarse de forma que se permita la identificación de los interesados durante no más tiempo del necesario para realizar los fines del tratamiento de los datos.

53      Así pues, como se desprende sin ambigüedad de los términos en que está redactado dicho precepto, el principio de «limitación del plazo de conservación» exige que el responsable del tratamiento sea capaz de demostrar, en virtud del principio de responsabilidad proactiva recordado en el apartado 24 de la presente sentencia, que los datos personales se conservan únicamente durante el tiempo necesario para la consecución de los fines para los cuales fueron recogidos o para los que han sido tratados ulteriormente.

54      De ello se deduce que incluso un tratamiento de datos inicialmente lícito puede devenir, con el tiempo, incompatible con el Reglamento 2016/679 cuando los datos ya no sean necesarios para la consecución de tales fines [sentencia de 24 de septiembre de 2019, GC y otros (Retirada de enlaces a datos sensibles), C‑136/17, EU:C:2019:773, apartado 74] y que los datos deben suprimirse cuando se cumplan dichos fines (véase, en este sentido, la sentencia de 7 de mayo de 2009, Rijkeboer, C‑553/07, EU:C:2009:293, apartado 33).

55      En segundo lugar, esta interpretación está en consonancia con el contexto en que se inscribe el artículo 5, apartado 1, letra e), del Reglamento 2016/679.

56      A este respecto, en el apartado 49 de la presente sentencia se ha recordado que todo tratamiento de datos personales debe adecuarse a los principios relativos al tratamiento establecidos en el artículo 5 de ese Reglamento y debe cumplir con alguno de los requisitos de licitud del tratamiento enumerados en el artículo 6 del mismo Reglamento.

57      Pues bien, por un lado, como se desprende del citado artículo 6, en caso de que el interesado no haya dado su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos con arreglo al apartado 1, letra a), de dicho artículo, las letras b) a f) del mismo apartado imponen como requisito que el tratamiento resulte necesario.

58      Por otro lado, ese requisito de necesidad se deduce igualmente del principio de «minimización de datos» previsto en el artículo 5, apartado 1, letra c), de dicho Reglamento, a tenor del cual los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

59      En tercer lugar, esta interpretación es conforme con el objetivo del artículo 5, apartado 1, letra e), del Reglamento 2016/679, que, como se ha recordado en el apartado 48 de la presente sentencia, consiste, en particular, en garantizar un nivel elevado de protección de las personas físicas dentro de la Unión en relación con el tratamiento de datos personales.

60      En el caso de autos, Digi alega que, tras la realización de las pruebas y la corrección de los errores, los datos personales de una parte de sus clientes particulares conservados en la base de datos de prueba no fueron borrados debido a un descuido.

61      A este respecto, basta con señalar que esta alegación carece de pertinencia a efectos de apreciar si unos datos han sido conservados durante un período superior al necesario para la consecución de los fines de su tratamiento ulterior, vulnerando el principio de «limitación del plazo de conservación» sentado en el artículo 5, apartado 1, letra e), del Reglamento 2016/679.

62      Habida cuenta de todas las consideraciones anteriores, procede responder a la segunda cuestión prejudicial que el artículo 5, apartado 1, letra e), del Reglamento 2016/679 debe interpretarse en el sentido de que el principio de «limitación del plazo de conservación», establecido en esa disposición, se opone a que el responsable del tratamiento conserve, en una base de datos creada para realizar pruebas y corregir errores, datos personales recogidos previamente para otros fines, durante un período superior al necesario para la realización de las pruebas y la corrección de los errores.

 Costas

63      Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional nacional, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Primera) declara:

1)      El artículo 5, apartado 1, letra b), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),

debe interpretarse en el sentido de que

el principio de «limitación de la finalidad», definido en esa disposición, no se opone a que el responsable del tratamiento registre y conserve, en una base de datos creada para realizar pruebas y corregir errores, datos personales previamente recogidos y conservados en otra base de datos, siempre y cuando el tratamiento ulterior sea compatible con los fines específicos para los que se recogieron inicialmente los datos personales, extremo que ha de determinarse a la luz de los criterios establecidos en el artículo 6, apartado 4, del mismo Reglamento.

2)      El artículo 5, apartado 1, letra e), del Reglamento 2016/679

debe interpretarse en el sentido de que

el principio de «limitación del plazo de conservación», establecido en esa disposición, se opone a que el responsable del tratamiento conserve, en una base de datos creada para realizar pruebas y corregir errores, datos personales recogidos previamente para otros fines, durante un período superior al necesario para la realización de las pruebas y la corrección de los errores.

Firmas


*      Lengua de procedimiento: húngaro.

Top