1)

El artículo 21, apartado 2, de la Directiva (UE) 2017/1132, del Parlamento Europeo y del Consejo, de 14 de junio de 2017, sobre determinados aspectos del Derecho de sociedades,

debe interpretarse en el sentido de que

no impone a un Estado miembro la obligación de permitir la publicidad, en el Registro Mercantil, de un contrato de sociedad sujeto a la publicidad obligatoria prevista en dicha Directiva y que contenga datos personales distintos de los datos personales mínimos exigidos, cuya publicación no venga impuesta por el Derecho de dicho Estado miembro.

2)

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), en particular su artículo 4, apartados 7 y 9,

debe interpretarse en el sentido de que

la autoridad encargada de llevar el Registro Mercantil de un Estado miembro que publica, en dicho Registro, los datos personales que figuran en un contrato de sociedad sujeto a la publicidad obligatoria prevista en la Directiva 2017/1132, que se le ha transmitido en el marco de una solicitud de inscripción de la sociedad en cuestión en dicho Registro, es tanto «destinataria» de esos datos como, en particular, en la medida en que los pone a disposición del público, «responsable del tratamiento» de dichos datos, en el sentido de la citada disposición, aun cuando ese contrato contenga datos personales no exigidos por dicha Directiva o por el Derecho de ese Estado miembro.

3)

La Directiva 2017/1132, en particular, su artículo 16, y el artículo 17 del Reglamento 2016/679

deben interpretarse en el sentido de que

se oponen a una normativa o a una práctica de un Estado miembro que lleve a la autoridad encargada de llevar el Registro Mercantil de ese Estado miembro a denegar toda solicitud de supresión de los datos personales, no exigidos por esta Directiva ni por el Derecho de ese Estado miembro, que figuren en un contrato de sociedad publicado en ese Registro, cuando no se haya facilitado a dicha autoridad una copia de ese contrato en la que se oculten los referidos datos, contrariamente a las normas de procedimiento establecidas en dicha normativa.

4)

El artículo 4, punto 1, del Reglamento 2016/679

debe interpretarse en el sentido de que

la firma manuscrita de una persona física está comprendida en el concepto de «datos personales» a efectos de dicha disposición.

5)

El artículo 82, apartado 1, del Reglamento 2016/679

debe interpretarse en el sentido de que

una pérdida de control, por parte del interesado, sobre sus datos personales, durante un tiempo limitado, debido a la puesta a disposición del público de dichos datos, en línea, en el Registro Mercantil de un Estado miembro, puede bastar para causar «daños y perjuicios inmateriales», siempre que ese interesado demuestre que ha sufrido efectivamente tales daños y perjuicios, por mínimos que sean, sin que ese concepto de «daños y perjuicios inmateriales» requiera la demostración de la existencia de consecuencias negativas tangibles adicionales.

6)

El artículo 82, apartado 3, del Reglamento 2016/679

debe interpretarse en el sentido de que

un dictamen de la autoridad de control de un Estado miembro, emitido sobre la base del artículo 58, apartado 3, letra b), de dicho Reglamento, no basta para eximir de responsabilidad, con arreglo al artículo 82, apartado 2, de ese Reglamento, a la autoridad encargada de llevar el Registro Mercantil de ese Estado miembro que tenga la condición de «responsable del tratamiento» en el sentido del artículo 4, punto 7, de ese mismo Reglamento.