–

en nombre de CK, por el Sr. C. Wirthensohn, Rechtsanwalt;

–

en nombre de Dun & Bradstreet Austria GmbH, por el Sr. D. Cooper, Solicitor, la Sra. A.‑S. Oberschelp de Meneses, avocate, y los Sres. K. van Quathem y B. van Vooren, advocaten;

–

en nombre del Gobierno español, por el Sr. A. Ballesteros Panizo, en calidad de agente;

–

en nombre del Gobierno neerlandés, por las Sras. M. K. Bulterman y C. S. Schillemans, en calidad de agentes;

–

en nombre del Gobierno polaco, por el Sr. B. Majczyna, en calidad de agente;

–

en nombre de la Comisión Europea, por los Sres. A. Bouchagiar, F. Erlbacher y H. Kranenborg, en calidad de agentes;

1

La petición de decisión prejudicial tiene por objeto la interpretación, por una parte, de los artículos 15, apartado 1, letra h), y 22 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; corrección de errores en DO 2021, L 74, p. 35; en lo sucesivo, «RGPD»), y, por otra, del artículo 2, punto 1, de la Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo, de 8 de junio de 2016, relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas (DO 2016, L 157, p. 1).

2

Esta petición se ha presentado en el contexto de un litigio entre CK y el Magistrat der Stadt Wien (Administración Municipal de Viena, Austria) en relación con la ejecución forzosa de una resolución judicial por la que se ordena a Bisnode Austria GmbH, actualmente Dun & Bradstreet Austria GmbH (en lo sucesivo, «D & B»), empresa especializada en la realización de evaluaciones crediticias, que facilite a CK información significativa sobre la lógica aplicada a la elaboración de un perfil relativo a sus datos personales.

3

Los considerandos 4, 11, 58, 63 y 71 del RGPD enuncian:

[…]

[…]

[…]

[…]

4

El artículo 4, punto 4, de dicho Reglamento, titulado «Definiciones», establece:

«A efectos del presente Reglamento se entenderá por:

[…]

5

El artículo 12 del referido Reglamento, con el encabezado «Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado», dispone en su apartado 1:

«El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. […]»

6

El artículo 13 del mismo Reglamento, que se refiere a la información que debe facilitarse cuando los datos personales se obtengan del interesado, y el artículo 14 de este, que se refiere a la información que debe facilitarse cuando los datos personales no se hayan obtenido del interesado, establecen, respectivamente, en sus apartados 2, letra f), y 2, letra g), que el responsable del tratamiento está obligado a facilitar al interesado, para garantizar un tratamiento de datos leal y transparente respecto de este, en particular, la información sobre «la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado».

7

El artículo 15 del RGPD, rubricado «Derecho de acceso del interesado», tiene el siguiente tenor:

«1.   El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:

[…]

[…]

3.   El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.

4.   El derecho a obtener copia mencionado en el apartado 3 no afectará negativamente a los derechos y libertades de otros.»

8

El artículo 22 de este Reglamento, con el título «Decisiones individuales automatizadas, incluida la elaboración de perfiles», establece:

«1.   Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

2.   El apartado 1 no se aplicará si la decisión:

3.   En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.

4.   Las decisiones a que se refiere el apartado 2 no se basarán en las categorías especiales de datos personales contempladas en el artículo 9, apartado 1, salvo que se aplique el artículo 9, apartado 2, letras a) o g), y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.»

9

A tenor del artículo 23 del referido Reglamento, titulado «Limitaciones»:

«1.   El Derecho de la Unión o de los Estados miembros que se aplique al responsable o [al] encargado del tratamiento podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en los artículos 12 a 22 y el artículo 34, así como en el artículo 5 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 12 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:

[…]

i) la protección del interesado o de los derechos y libertades de otros;

[…]

2.   En particular, cualquier medida legislativa indicada en el apartado 1 contendrá como mínimo, en su caso, disposiciones específicas relativas a:

10

El artículo 54 del mismo Reglamento, bajo la rúbrica «Normas relativas al establecimiento de la autoridad de control», dispone en su apartado 2:

«El miembro o miembros y el personal de cada autoridad de control estarán sujetos, de conformidad con el Derecho de la Unión o de los Estados miembros, al deber de secreto profesional, tanto durante su mandato como después del mismo, con relación a las informaciones confidenciales de las que hayan tenido conocimiento en el cumplimiento de sus funciones o el ejercicio de sus poderes. Durante su mandato, dicho deber de secreto profesional se aplicará en particular a la información recibida de personas físicas en relación con infracciones del presente Reglamento.»

11

El artículo 58 del RGPD, titulado «Poderes», establece en su apartado 1, letra e):

«Cada autoridad de control dispondrá de todos los poderes de investigación indicados a continuación:

[…]

12

El considerando 35 de la Directiva 2016/943 enuncia:

«[…] La presente Directiva no debe afectar a los derechos y obligaciones previstos en la Directiva 95/46/CE [del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31)], en particular los derechos del interesado de acceder a aquellos de sus datos personales que sean objeto de tratamiento y de obtener la rectificación, supresión o bloqueo de los datos debido a su carácter incompleto o inexacto […]».

13

El artículo 2, punto 1, de esta Directiva establece:

«A los efectos de la presente Directiva se entenderá por:

14

El artículo 9 de la citada Directiva, bajo la rúbrica «Preservación de la confidencialidad de los secretos comerciales durante el proceso judicial», dispone:

«1.   Los Estados miembros garantizarán que las partes, sus abogados u otros representantes, los funcionarios judiciales, los testigos, los peritos y cualquier otra persona que intervenga en un proceso judicial relativo a la obtención, utilización o revelación ilícitas de un secreto comercial, o que tenga acceso a documentos que formen parte de dicho proceso, no estén autorizados a utilizar o revelar un secreto comercial o un supuesto secreto comercial que las autoridades judiciales competentes, en respuesta a una solicitud debidamente motivada de una parte interesada, hayan declarado confidencial y del que hayan tenido conocimiento a raíz de dicha intervención o de dicho acceso. A este respecto, los Estados miembros también podrán permitir que las autoridades judiciales actúen de oficio.

La obligación recogida en el párrafo primero seguirá vigente una vez concluido el proceso judicial. Sin embargo, dicha obligación se extinguirá en cualquiera de las circunstancias siguientes:

2.   Los Estados miembros velarán asimismo por que las autoridades judiciales competentes, previa solicitud debidamente motivada de una de las partes, puedan tomar las medidas específicas necesarias para preservar la confidencialidad de cualquier secreto comercial o supuesto secreto comercial utilizado o mencionado durante un proceso judicial relativo a la obtención, utilización o revelación ilícitas de un secreto comercial. Los Estados miembros también podrán permitir que las autoridades judiciales adopten tales medidas de oficio.

Las medidas a que se refiere el párrafo primero deberán incluir, como mínimo, la posibilidad de:

El número de personas al que se hace referencia en el párrafo segundo, letras a) y b), no será superior al que resulte necesario para garantizar el cumplimiento del derecho de las partes procesales a la tutela judicial efectiva y a un juez imparcial, e incluirá, al menos, una persona física de cada una de las partes y sus respectivos abogados u otros representantes.

3.   Al decidir sobre las medidas del apartado 2 y examinar su proporcionalidad, las autoridades judiciales competentes tendrán en cuenta la necesidad de garantizar el derecho a la tutela judicial efectiva y a un juez imparcial, los intereses legítimos de las partes y, en su caso, de terceros, así como el perjuicio que pudiera ocasionarse a cualquiera de las partes y, en su caso, a terceros, como consecuencia de que se acuerden o no dichas medidas.

4.   Todo tratamiento de datos personales que se lleve a cabo en virtud de los apartados 1, 2 o 3 se llevará a cabo de conformidad con la Directiva [95/46].»

15

El artículo 4, apartado 6, de la Datenschutzgesetz (Ley de Protección de Datos), de 17 de agosto de 1999 (BGBl. I, 165/1999), en su versión aplicable al litigio principal (en lo sucesivo, «DSG»), excluye, en principio, el acceso del interesado a sus datos personales, previsto en el artículo 15 del RGPD, cuando dicho acceso perjudique un secreto comercial o industrial del responsable del tratamiento o de un tercero.

16

Un operador de telefonía móvil denegó a CK la celebración o la prórroga de un contrato de telefonía móvil, que habría conllevado el pago mensual de un importe de 10 euros, debido a que, según una evaluación crediticia realizada de forma automatizada por D & B, CK carecía de solvencia financiera suficiente.

17

CK acudió a la autoridad austriaca de protección de datos, que ordenó a D & B que comunicara a CK información significativa sobre la lógica aplicada a la adopción de una decisión automatizada basada en datos personales relativos a CK.

18

D & B interpuso un recurso contra la resolución de dicha autoridad ante el Bundesverwaltungsgericht (Tribunal Federal de lo Contencioso-Administrativo, Austria), alegando, en esencia, que, debido a un secreto comercial protegido, no estaba obligada a comunicar a CK información adicional a la que ya le había proporcionado.

19

Mediante resolución de 23 de octubre de 2019 (en lo sucesivo, «resolución de 23 de octubre de 2019»), dicho órgano jurisdiccional declaró que D & B había infringido el artículo 15, apartado 1, letra h), del RGPD, al no facilitar a CK información significativa sobre la lógica aplicada a la adopción de una decisión automatizada basada en datos personales relativos a CK o, al menos, al no motivar suficientemente la imposibilidad de facilitar tal información.

20

En particular, en esta última resolución, el Bundesverwaltungsgericht (Tribunal Federal de lo Contencioso-Administrativo) indicó que D & B no había proporcionado a CK explicaciones suficientes que le permitieran comprender cómo se había determinado, respecto de ella, el pronóstico sobre la probabilidad de su comportamiento futuro («score»), que esa empresa le comunicó con la precisión de que, para obtener dicho «score», determinados datos sociodemográficos de CK habían sido «agregados de manera equivalente».

21

La resolución de 23 de octubre de 2019 ha adquirido firmeza y es ejecutiva con arreglo a la legislación austriaca. Sin embargo, la solicitud de ejecución forzosa de esta resolución, presentada por CK ante la Administración Municipal de Viena, que es la autoridad de ejecución, fue desestimada por cuanto esta consideró que D & B había cumplido suficientemente su obligación de información, a pesar de que esa sociedad no había aportado información adicional alguna tras la adopción de la referida resolución.

22

CK interpuso un recurso contra la resolución de la Administración Municipal de Viena ante el Verwaltungsgericht Wien (Tribunal Regional de lo Contencioso-Administrativo de Viena, Austria), que es el órgano jurisdiccional remitente, a fin de obtener la ejecución forzosa de la resolución de 23 de octubre de 2019.

23

El órgano jurisdiccional remitente considera que, en virtud del Derecho austriaco, está obligado a ejecutar esta última resolución, lo que implica determinar los actos concretos que D & B está obligada a realizar en virtud de la misma.

24

Por considerar que esta determinación solo puede ser efectuada por un perito que posea las competencias necesarias, el órgano jurisdiccional remitente designó a un perito, el cual dictaminó que D & B, para cumplir sus obligaciones con respecto a CK, estaba obligada a facilitar la siguiente información mínima:

25

Con el fin de garantizar que, una vez comunicada, CK pudiera verificar la exactitud de esta información mínima, D & B debía proporcionar asimismo una lista en la que detallara los «scores» de personas («scoring») obtenidos en base a la misma regla de cálculo durante el período que comprende los seis meses anteriores y los seis meses posteriores a la elaboración del «score» de CK.

26

En opinión del órgano jurisdiccional remitente, solo la comunicación de la información mínima identificada por el referido perito permite verificar la coherencia y la exactitud de la información facilitada por un responsable del tratamiento en virtud del artículo 15, apartado 1, letra h), del RGPD.

27

Según ese órgano jurisdiccional, en el presente asunto, varios indicios muestran claramente que la información facilitada por D & B es contraria a los hechos. En efecto, mientras que la información comunicada a CK, en particular el «score» obtenido, acreditaba una muy buena solvencia de esta, la elaboración del perfil real llevó a considerar que CK no era solvente, ni siquiera a efectos del pago de 10 euros mensuales en virtud de un contrato de telefonía móvil.

28

Por lo tanto, el órgano jurisdiccional remitente considera que se plantea la cuestión de si el artículo 15, apartado 1, letra h), del RGPD garantiza que el interesado pueda verificar la exactitud de la información comunicada por el responsable del tratamiento.

29

A su juicio, en el supuesto de que el artículo 15, apartado 1, letra h), del RGPD no garantice esta verificación, el derecho de acceso a los datos personales del interesado y a otra información que en él se prevé quedaría privado de efectos y resultaría insignificante, puesto que, en tal caso, todo responsable del tratamiento podría facilitar información errónea.

30

Asimismo, según el órgano jurisdiccional remitente, se plantea la cuestión de si, y, en su caso, en qué medida, la excepción basada en la existencia de un secreto comercial puede restringir ese derecho de acceso que garantiza el artículo 15, apartado 1, letra h), del RGPD, en relación con el artículo 22 de este.

31

Sostiene que, a la luz de las normas establecidas en el artículo 9 de la Directiva 2016/943, se debe apreciar si es posible comunicar únicamente a la autoridad o al órgano jurisdiccional que conoce del asunto la información calificada de «secreto comercial», en el sentido del artículo 2, punto 1, de dicha Directiva, para que esa autoridad o ese órgano jurisdiccional compruebe de manera autónoma si procede considerar que efectivamente existe tal secreto comercial y si la información facilitada por el responsable del tratamiento, en el sentido del artículo 15, apartado 1, del RGPD, es conforme con la realidad de la situación de que se trate.

32

Por último, es preciso examinar, en su opinión, si una disposición como el artículo 4, apartado 6, de la DSG, que excluye, en principio, el derecho de acceso del interesado, previsto en el artículo 15 del RGPD, cuando dicho acceso ponga en peligro un secreto comercial o empresarial del responsable del tratamiento o de un tercero, puede considerarse conforme con el artículo 15, apartado 1, del RGPD, en relación con el artículo 22, apartado 3, de este.

33

En estas circunstancias, el Verwaltungsgericht Wien (Tribunal Regional de lo Contencioso-Administrativo de Viena) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

34

Mediante decisión de 8 de diciembre de 2022, el Presidente del Tribunal de Justicia suspendió el presente procedimiento a la espera de la resolución que pusiera fin al procedimiento en el asunto C‑634/21, SCHUFA Holding y otros (Scoring).

35

De conformidad con la decisión del Presidente del Tribunal de Justicia de 13 de diciembre de 2023, la Secretaría del Tribunal de Justicia notificó al órgano jurisdiccional remitente la sentencia de 7 de diciembre de 2023, SCHUFA Holding y otros (Scoring) (C‑634/21, EU:C:2023:957), instándole a que le indicara si, habida cuenta de dicha sentencia, deseaba mantener su petición de decisión prejudicial.

36

Mediante escrito recibido en la Secretaría del Tribunal de Justicia el 29 de enero de 2024, dicho órgano jurisdiccional indicó que mantenía su petición de decisión prejudicial, dado que la sentencia de 7 de diciembre de 2023, SCHUFA Holding y otros (Scoring) (C‑634/21, EU:C:2023:957), no permitía responder a las cuestiones prejudiciales que había planteado en el presente asunto.

37

Por consiguiente, mediante decisión de 14 de febrero de 2024, el Presidente del Tribunal de Justicia ordenó la reanudación del procedimiento en el presente asunto.

38

Mediante las cuestiones prejudiciales primera, segunda y tercera, letra a), que procede examinar conjuntamente, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 15, apartado 1, letra h), del RGPD debe interpretarse en el sentido de que, en caso de decisiones automatizadas, incluida la elaboración de perfiles, en el sentido del artículo 22, apartado 1, de ese Reglamento, el interesado puede exigir al responsable del tratamiento, en concepto de «información significativa sobre la lógica aplicada», una explicación exhaustiva del procedimiento y de los principios concretamente aplicados para explotar, de forma automatizada, los datos personales relativos al interesado con el fin de obtener un resultado determinado, como un perfil de solvencia.

39

Según reiterada jurisprudencia del Tribunal de Justicia, para interpretar una disposición del Derecho de la Unión, han de tenerse en cuenta no solo el tenor de esta, sino también su contexto y los objetivos que pretende alcanzar la normativa de la que forma parte (sentencia de 4 de mayo de 2023, Österreichische Datenschutzbehörde y CRIF, C‑487/21, EU:C:2023:369, apartado 19 y jurisprudencia citada).

40

Por lo que respecta, en primer lugar, al tenor del artículo 15, apartado 1, letra h), del RGPD, es preciso señalar, por una parte, que las acepciones del concepto de «informations utiles», en el sentido de esta disposición, divergen en las diferentes versiones lingüísticas de esta, ya que algunas de ellas privilegian, al igual que la versión en lengua francesa, la funcionalidad («nuttige» en neerlandés, «úteis» en portugués) o la pertinencia («pertinente» en rumano) de la información que debe facilitarse, mientras que otras insisten sobre todo en la importancia de esta («significativa» en lengua española e «istotne» en polaco). Por último, tanto en las versiones alemana como inglesa de dicha disposición, el término adoptado («aussagekräftig» y «meaningful», respectivamente) puede entenderse tanto en el sentido de que hace referencia a la buena inteligibilidad de la citada información como en el sentido de que se refiere a una determinada calidad de esta.

41

Pues bien, la diversidad de las acepciones adoptadas en las diferentes versiones lingüísticas debe entenderse en el sentido de que los significados expuestos en el apartado anterior son complementarios, lo que ha de tenerse en cuenta al interpretar el concepto de «información significativa sobre la lógica aplicada», a efectos del artículo 15, apartado 1, letra h), del RGPD, como ha señalado el Abogado General, en esencia, en el punto 65 de sus conclusiones.

42

Por otra parte, habida cuenta de su formulación general, la referencia, en esta disposición, a la «lógica aplicada» a las decisiones automatizadas, que constituye el objeto de la referida «información significativa», puede comprender un amplio abanico de «lógicas» de explotación de datos personales y de otros datos con el fin de obtener, de forma automatizada, un resultado determinado. Esta interpretación se ve corroborada por algunas versiones lingüísticas de dicha disposición que emplean términos que se refieren, de manera complementaria, a diferentes aspectos de la acepción común del concepto de «lógica». Así, por ejemplo, en las versiones checa y polaca, se hace referencia, respectivamente, a los términos «postupu» y «zasady», que pueden traducirse como «procedimiento» y «principios».

43

Por lo tanto, procede considerar que el tenor del artículo 15, apartado 1, letra h), del RGPD se refiere a toda información pertinente relativa al procedimiento y a los principios de explotación, automatizada, de datos personales con el fin de obtener un resultado determinado.

44

A continuación, por lo que respecta al contexto en el que se inscribe el concepto de «información significativa sobre la lógica aplicada», que figura en el artículo 15, apartado 1, letra h), del RGPD, es preciso subrayar, en primer lugar, que esta información constituye solo una parte de la información a la que atañe el derecho de acceso previsto por dicho artículo, ya que este también se refiere a la información sobre la importancia y las consecuencias previstas del tratamiento en cuestión para el interesado.

45

Si bien esta última información, que, según las Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento (UE) 2016/679, adoptadas el 3 de octubre de 2017 por el grupo de trabajo creado en virtud del artículo 29 de la Directiva 95/46, en su versión revisada y adoptada el 6 de febrero de 2018, a fin de ser significativa y comprensible, debe ir acompañada de «ejemplos reales y tangibles», no es objeto de las cuestiones prejudiciales planteadas por el órgano jurisdiccional remitente, debe no obstante tenerse en cuenta como elemento del contexto en el que se inscribe el concepto de «información significativa sobre la lógica aplicada».

46

En segundo lugar, habida cuenta de que el concepto de «información significativa sobre la lógica aplicada» figura también en los artículos 13, apartado 2, letra f), y 14, apartado 2, letra g), del RGPD, el Tribunal de Justicia ya ha declarado que, en el caso de que se adopte una decisión automatizada, en el sentido del artículo 22, apartado 1, de dicho Reglamento, el derecho de acceso a tal información consagrado en el artículo 15, apartado 1, letra h), del mismo Reglamento forma un conjunto con las obligaciones adicionales de información que se imponen al responsable del tratamiento en virtud de los artículos 13, apartado 2, letra f), y 14, apartado 2, letra g), del RGPD [véase, en este sentido, la sentencia de 7 de diciembre de 2023, SCHUFA Holding y otros (Scoring), C‑634/21, EU:C:2023:957, apartado 56].

47

En tercer lugar, como ha expuesto, en esencia, el Abogado General en los puntos 58 a 60 de sus conclusiones, es preciso tener en cuenta, en el marco de la interpretación contextual de los derechos de acceso previstos en caso de adopción de decisiones automatizadas, la jurisprudencia del Tribunal de Justicia relativa a los requisitos que debe cumplir el responsable del tratamiento en virtud del artículo 15, apartado 3, del RGPD.

48

Así pues, procede tener en cuenta, en particular, el hecho de que la exigencia de transparencia de la información comunicada, establecida en el artículo 12, apartado 1, del RGPD, se aplica a todos los datos e información a que se refiere dicho artículo 15, incluida la relativa a la adopción de decisiones automatizadas.

49

Con el fin de garantizar que el interesado esté en condiciones de comprender plenamente la información que le envíe el responsable del tratamiento, el referido artículo 12, apartado 1, obliga a este último a tomar las medidas oportunas, en particular, para facilitar al interesado los datos y la información en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo (véase, en este sentido, la sentencia de 4 de mayo de 2023, Österreichische Datenschutzbehörde y CRIF, C‑487/21, EU:C:2023:369, apartado 38).

50

El examen del contexto en el que se inscribe el artículo 15, apartado 1, letra h), del RGPD corrobora así la interpretación que se desprende del análisis del tenor de esta disposición, según la cual la «información significativa sobre la lógica aplicada» a las decisiones automatizadas, en el sentido de dicha disposición, se refiere a toda información pertinente relativa al procedimiento y a los principios de explotación de datos personales para obtener, de forma automatizada, un determinado resultado. Además, la obligación de transparencia exige que esa información se facilite en forma concisa, transparente, inteligible y de fácil acceso.

51

Por último, por lo que respecta a las finalidades del RGPD, es necesario recordar que el objetivo de este Reglamento consiste, en particular, en garantizar un nivel elevado de protección de los derechos y libertades fundamentales de las personas físicas, sobre todo de su derecho a la protección de los datos personales, consagrado en el artículo 16 TFUE y garantizado como derecho fundamental en el artículo 8 de la Carta, que completa el derecho a la vida privada garantizado en el artículo 7 de esta [véase, en este sentido, la sentencia de 4 de octubre de 2024, Schrems (Comunicación de datos al público en general), C‑446/21, EU:C:2024:834, apartado 45 y jurisprudencia citada].

52

Así, como precisa asimismo su considerando 11, el RGPD tiene como finalidad reforzar y especificar los derechos de los interesados (sentencia de 4 de mayo de 2023, Österreichische Datenschutzbehörde y CRIF, C‑487/21, EU:C:2023:369, apartado 33 y jurisprudencia citada).

53

Por lo que se refiere, más concretamente, al derecho de acceso previsto en el artículo 15 del RGPD, de la jurisprudencia del Tribunal de Justicia se desprende que este derecho debe permitir al interesado cerciorarse de que los datos personales que le conciernen son exactos y de que son tratados lícitamente [sentencias de 4 de mayo de 2023, Österreichische Datenschutzbehörde y CRIF, C‑487/21, EU:C:2023:369, apartado 34, y de 26 de octubre de 2023, FT (Copias de la historia clínica), C‑307/22, EU:C:2023:811, apartado 73].

54

Este derecho de acceso es necesario para permitir al interesado ejercer, en su caso, su derecho de rectificación, su derecho de supresión («derecho al olvido») y su derecho a la limitación del tratamiento, reconocidos, respectivamente, en los artículos 16, 17 y 18 del RGPD, su derecho de oposición al tratamiento de sus datos personales, contemplado en el artículo 21 del RGPD, así como su derecho a recurrir y su derecho a indemnización, previstos respectivamente en los artículos 79 y 82 del RGPD (véase, en este sentido, la sentencia de 4 de mayo de 2023, Österreichische Datenschutzbehörde y CRIF, C‑487/21, EU:C:2023:369, apartado 35).

55

En particular, en el contexto específico de la adopción de una decisión basada exclusivamente en un tratamiento automatizado, la finalidad principal del derecho del interesado a obtener la información prevista en el artículo 15, apartado 1, letra h), del RGPD consiste en permitirle ejercer de manera eficaz los derechos que le reconoce el artículo 22, apartado 3, de dicho Reglamento, a saber, el de expresar su punto de vista sobre esa decisión y el de impugnarla.

56

En efecto, si las personas afectadas por una decisión automatizada, incluida la elaboración de perfiles, no pudieran comprender las razones que llevaron a tal decisión antes de expresar su punto de vista o de impugnarla, esos derechos no podrían, por tanto, cumplir plenamente su finalidad de proteger a esas personas contra los riesgos específicos para sus derechos y libertades que supone el tratamiento automatizado de sus datos personales [véase, en este sentido, la sentencia de 7 de diciembre de 2023, SCHUFA Holding y otros (Scoring), C‑634/21, EU:C:2023:957, apartado 57].

57

A este respecto, del considerando 71 del RGPD resulta que, cuando el interesado es objeto de una decisión que se basa únicamente en el tratamiento automatizado y que lo afecta significativamente, el interesado debe tener derecho a recibir una explicación en relación con esta decisión. Por ello, como ha señalado el Abogado General en el punto 67 de sus conclusiones, procede considerar que el artículo 15, apartado 1, letra h), del RGPD ofrece al interesado un genuino derecho a una explicación sobre el funcionamiento del mecanismo aplicado en la adopción de una decisión automatizada de la que ha sido objeto y sobre el resultado al que ha llevado dicha decisión.

58

Del examen de las finalidades del RGPD y, en particular, de las de su artículo 15, apartado 1, letra h), se deriva que el derecho a obtener «información significativa sobre la lógica aplicada» a decisiones automatizadas, en el sentido de esta disposición, debe entenderse como un derecho a la explicación del procedimiento y de los principios concretamente aplicados para explotar, de forma automatizada, los datos personales del interesado con el fin de obtener un resultado determinado, como un perfil de solvencia. Para permitir al interesado ejercer de manera eficaz los derechos que le reconoce el RGPD y, en particular, su artículo 22, apartado 3, esta explicación debe facilitarse por medio de información pertinente y en forma concisa, transparente, inteligible y de fácil acceso.

59

Ni la mera comunicación de una fórmula matemática compleja, como un algoritmo, ni la descripción detallada de todas las etapas de la adopción de una decisión automatizada cumple tales requisitos, en la medida en que ninguna de estas modalidades puede considerarse una explicación suficientemente concisa e inteligible.

60

En efecto, como se desprende de la página 28 de las Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento (UE) 2016/679, mencionadas en el apartado 45 de la presente sentencia, por una parte, el responsable del tratamiento debe hallar formas sencillas de informar al interesado acerca de la lógica subyacente o los criterios utilizados para llegar a la decisión automatizada. Por otra parte, el RGPD exige que el responsable del tratamiento ofrezca información significativa sobre la lógica aplicada a esta decisión, «no necesariamente una compleja explicación de los algoritmos utilizados o la revelación de todo el algoritmo».

61

Así pues, la «información significativa sobre la lógica aplicada» a decisiones automatizadas, en el sentido del artículo 15, apartado 1, letra h), del RGPD, debe describir el procedimiento y los principios concretamente aplicados de tal manera que el interesado pueda comprender cuáles de sus datos personales se han utilizado y cómo se han utilizado en la adopción de la decisión automatizada en cuestión, sin que la complejidad de las operaciones que deban realizarse para la adopción de una decisión automatizada pueda exonerar al responsable del tratamiento de su deber de explicación.

62

Por lo que respecta específicamente a una elaboración de perfiles como la controvertida en el litigio principal, el órgano jurisdiccional remitente podría estimar, en particular, suficientemente transparente y comprensible el hecho de informar al interesado de la medida en que una variación a nivel de los datos personales tenidos en cuenta habría conducido a un resultado diferente.

63

Dicho esto, en cuanto a la cuestión de si la información facilitada debe permitir al interesado verificar la exactitud de los datos personales que le conciernen en los que se basa la adopción de la decisión automatizada, debe precisarse además que el derecho de acceso a dichos datos no resulta de la letra h) del apartado 1 del artículo 15 del RGPD, sino de la frase introductoria del mismo apartado, que garantiza que el interesado pueda cerciorarse de la exactitud de esos datos, como se desprende de la jurisprudencia citada en el apartado 53 de la presente sentencia.

64

Por último, en relación con la afirmación del órgano jurisdiccional remitente según la cual la información facilitada por D & B a CK, con arreglo al artículo 15, apartado 1, letra h), del RGPD, es contraria a los hechos, dado que la elaboración del perfil «real» llevó a considerar que CK no era solvente a pesar de que la referida información sugería lo contrario, procede señalar que, si, como sostiene dicho órgano jurisdiccional, la falta de conformidad así constatada se deriva de la ausencia de comunicación por parte de D & B a CK de la elaboración de su perfil por cuenta de la empresa de telefonía móvil que, sobre esta base, rechazó celebrar o renovar un contrato con CK, esta falta de conformidad debe subsanarse mediante el derecho de acceso al perfil de solvencia que se haya establecido de ese modo. A este respecto, de la jurisprudencia del Tribunal de Justicia se desprende que los datos personales generados por el propio responsable del tratamiento están comprendidos en el ámbito de aplicación del artículo 14 del RGPD (véase, en este sentido, la sentencia de 28 de noviembre de 2024, Másdi,C‑169/23, EU:C:2024:988, apartado 48).

65

En cambio, una explicación de las diferencias existentes entre el resultado de tal elaboración de un perfil «real», suponiéndolo acreditado, y el resultado comunicado por D & B a CK, obtenido, según dicha sociedad, mediante una «agregación equivalente» de los datos relativos a CK, estaría efectivamente comprendida en la «información significativa sobre la lógica aplicada» a la elaboración de perfiles así realizada. Por lo tanto, de conformidad con lo que se ha señalado en el apartado 58 de la presente sentencia, D & B estaría obligada a explicar en forma concisa, transparente, inteligible y de fácil acceso el procedimiento y los principios en virtud de los cuales se obtuvo el resultado de la elaboración del perfil «real».

66

De todo lo anterior se desprende que procede responder a las cuestiones prejudiciales primera, segunda y tercera, letra a), que el artículo 15, apartado 1, letra h), del RGPD debe interpretarse en el sentido de que, en caso de que se adopte una decisión automatizada, incluida la elaboración de perfiles, en el sentido del artículo 22, apartado 1, de dicho Reglamento, el interesado puede exigir al responsable del tratamiento, como «información significativa sobre la lógica aplicada», que este le explique, mediante información pertinente y en forma concisa, transparente, inteligible y de fácil acceso, el procedimiento y los principios aplicados concretamente para explotar, de forma automatizada, los datos personales relativos al interesado con el fin de obtener un resultado determinado, como un perfil de solvencia.

67

Mediante la tercera cuestión prejudicial, letras b) y c), la cuarta cuestión prejudicial, letras a) y b), y las cuestiones prejudiciales quinta y sexta, que procede examinar conjuntamente, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 15, apartado 1, letra h), del RGPD debe interpretarse en el sentido de que, en el supuesto de que el responsable del tratamiento considere que la información que ha de facilitarse al interesado con arreglo a esa disposición incluye datos de terceros protegidos por dicho Reglamento o secretos comerciales, en el sentido del artículo 2, punto 1, de la Directiva 2016/943, ese responsable debe comunicar tal información supuestamente protegida a la autoridad de control o al órgano jurisdiccional competente, a los que corresponde ponderar los derechos e intereses en cuestión a efectos de determinar el alcance del derecho de acceso del interesado previsto en el artículo 15 del RGPD.

68

A este respecto, es menester recordar que, en virtud del considerando 4 del RGPD, el derecho a la protección de los datos personales no es un derecho absoluto, sino que debe mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad. Por ello, el RGPD respeta todos los derechos fundamentales y observa las libertades y los principios reconocidos por la Carta, consagrados en los Tratados [sentencia de 26 de octubre de 2023, FT (Copias de la historia clínica), C‑307/22, EU:C:2023:811, apartado 59 y jurisprudencia citada].

69

Asimismo, el considerando 63 de dicho Reglamento enuncia que el derecho de todo interesado a acceder a los datos personales recogidos que le conciernan no debe afectar negativamente a los derechos y libertades de terceros, incluidos los secretos comerciales o la propiedad intelectual y, en particular, los derechos de propiedad intelectual que protegen programas informáticos.

70

No obstante, estas consideraciones no deben tener como resultado la negativa a facilitar toda información al interesado. Así, el artículo 23, apartado 1, letra i), de ese Reglamento prevé, en esencia, que el alcance de las obligaciones y derechos establecidos, en particular, en el artículo 15 del RGPD puede limitarse cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar la protección de los derechos y libertades de otros.

71

En relación con el derecho conexo a obtener copia, consagrado en el artículo 15, apartado 4, del RGPD, el Tribunal de Justicia ya ha declarado que su aplicación no debe afectar negativamente a los derechos y libertades de terceros, incluidos los secretos comerciales o la propiedad intelectual y, en particular, los derechos de propiedad intelectual que protegen programas informáticos (véase, en este sentido, la sentencia de 4 de mayo de 2023, Österreichische Datenschutzbehörde y CRIF, C‑487/21, EU:C:2023:369, apartado 43).

72

En este contexto, el Tribunal de Justicia ha señalado que, en caso de conflicto entre, por un lado, el ejercicio del derecho de acceso pleno y completo a los datos personales y, por otro, los derechos o libertades de otros, procede efectuar una ponderación entre los derechos y las libertades en cuestión. Siempre que sea posible, ha de optarse por modalidades de comunicación de datos personales que no vulneren los derechos o libertades de otros, teniendo en cuenta que, como se desprende del considerando 63 del RGPD, esas consideraciones no deben «tener como resultado la negativa a prestar toda la información al interesado» (sentencia de 4 de mayo de 2023, Österreichische Datenschutzbehörde y CRIF, C‑487/21, EU:C:2023:369, apartado 44).

73

Por lo que respecta a la cuestión de cómo puede ejercerse el derecho de acceso consagrado en el artículo 15, apartado 1, letra h), del RGPD de forma que se respeten los derechos y libertades de terceros, procede recordar que, según la jurisprudencia, un órgano jurisdiccional nacional puede considerar que se le deben comunicar datos personales de las partes o de terceros para poder ponderar los intereses en juego con pleno conocimiento de causa y respetando el principio de proporcionalidad. Esta apreciación puede llevarle, en su caso, a autorizar la divulgación total o parcial a la parte contraria de los datos personales que le hayan sido comunicados, si considera que tal divulgación no va más allá de lo necesario para garantizar el disfrute efectivo de los derechos que el artículo 47 de la Carta confiere a los justiciables (sentencia de 2 de marzo de 2023, Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, apartado 58).

74

Como ha señalado el Abogado General en el punto 94 de sus conclusiones, esta jurisprudencia es plenamente extrapolable al supuesto en el que la información que debe facilitarse al interesado en virtud del derecho de acceso garantizado por el artículo 15, apartado 1, letra h), del RGPD pueda dar lugar a una vulneración de los derechos y libertades de otros, en particular por contener datos personales de terceros protegidos por el RGPD o bien un secreto comercial, en el sentido del artículo 2, punto 1, de la Directiva 2016/943. En este supuesto también, la referida información debe comunicarse a la autoridad de control o al órgano jurisdiccional competente, a los que corresponde ponderar los derechos e intereses en cuestión para determinar el alcance del derecho de acceso del interesado a los datos personales que le conciernen.

75

Habida cuenta de la necesidad de realizar tal determinación atendiendo a las circunstancias de cada caso, el artículo 15, apartado 1, letra h), del RGPD se opone, en particular, a la aplicación de una disposición como el artículo 4, apartado 6, de la DSG, que excluye, en principio, el derecho de acceso del interesado, previsto en el artículo 15 del RGPD, cuando dicho acceso comprometa un secreto comercial o un secreto empresarial del responsable del tratamiento o de un tercero. A este respecto, procede recordar que un Estado miembro no puede establecer con carácter definitivo el resultado de la ponderación que debe hacerse en cada caso de los derechos e intereses en conflicto exigida por el Derecho de la Unión [véase, en este sentido, la sentencia de 7 de diciembre de 2023, SCHUFA Holding y otros (Scoring), C‑634/21, EU:C:2023:957, apartado 70 y jurisprudencia citada].

76

A la vista de todas las consideraciones anteriores, procede responder a las cuestiones prejudiciales tercera, letras b) y c), cuarta, letras a) y b), quinta y sexta que el artículo 15, apartado 1, letra h), del RGPD debe interpretarse en el sentido de que, en el supuesto de que el responsable del tratamiento considere que la información que ha de facilitarse al interesado con arreglo a esa disposición incluye datos de terceros protegidos por dicho Reglamento o secretos comerciales, en el sentido del artículo 2, punto 1, de la Directiva 2016/943, ese responsable debe comunicar tal información supuestamente protegida a la autoridad de control o al órgano jurisdiccional competente, a los que corresponde ponderar los derechos e intereses en cuestión a efectos de determinar el alcance del derecho de acceso del interesado previsto en el artículo 15 del RGPD.

77

Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Primera) declara: