CONCLUSIONES DE LA ABOGADA GENERAL

SRA. TAMARA ĆAPETA

presentadas el 6 de octubre de 2022 ( 1 )

Asunto C‑268/21

Norra Stockholm Bygg AB

contra

Per Nycander AB,

con intervención de:

Entral AB

[Petición de decisión prejudicial planteada por el Högsta domstolen (Tribunal Supremo, Suecia)]

«Procedimiento prejudicial — Reglamento (UE) 2016/679 — Protección de datos personales — Artículo 6, apartados 3 y 4 — Tratamiento de datos personales — Artículo 23, apartado 1, letra f) — Protección de la independencia judicial y de los procedimientos judiciales — Solicitud presentada por la parte recurrida en un procedimiento civil para que se inste a la parte recurrente a presentar información sobre las horas de trabajo prestadas por sus empleados»

I. Introducción

1.

«Su privacidad es importante para nosotros. Utilizamos cookies para mejorar la experiencia del usuario. Revise las preferencias de privacidad. Aceptar todas/Configuración. Consulte nuestra política de privacidad y de cookies». ( 2 )

2.

Cuando se visita un sitio web, aparece un mensaje similar.

3.

Este mensaje es el resultado del Reglamento general de protección de datos (en lo sucesivo «RGPD»), ( 3 ) que actualmente es el principal instrumento de protección de datos personales en la Unión.

4.

¿Aparece también el RGPD ante los órganos jurisdiccionales nacionales? Más concretamente, ¿es aplicable a las obligaciones de comunicación en un procedimiento civil ante un órgano jurisdiccional nacional? En caso afirmativo, ¿cuáles son las obligaciones que impone a dichos órganos jurisdiccionales? Estas son las cuestiones que se pide al Tribunal de Justicia que aclare en el presente asunto.

I. Hechos del litigio principal y cuestiones prejudiciales

5.

Dichas cuestiones se suscitaron en el asunto que está pendiente ante el órgano jurisdiccional remitente, el Högsta domstolen (Tribunal Supremo, Suecia). Los hechos del asunto pueden resumirse del modo siguiente. Norra Stockholm Bygg AB (en lo sucesivo, «Fastec»), parte recurrente en el litigio principal, realizó trabajos en el marco de un contrato celebrado con Per Nycander AB (en lo sucesivo, «Nycander»), parte recurrida en el litigio principal, para la construcción de un edificio de oficinas. Los empleados que realizaban los trabajos en virtud de dicho contrato dejaban constancia de su presencia en un registro electrónico de personal a efectos fiscales. Dicho registro de personal había sido facilitado por Entral AB, actuando en nombre de Fastec.

6.

El litigio principal se originó por una controversia relativa a la remuneración por el trabajo realizado. Nycander impugnó la solicitud de pago de Fastec [que asciende a algo más de 2 millones de coronas suecas (SEK), o aproximadamente 190133 euros], alegando que el tiempo que Fastec dedicó al trabajo fue inferior al período de tiempo respecto del cual exige el pago.

7.

Para probar esta afirmación, Nycander solicitó que se instara a Entral a presentar el registro de personal que mantenía en nombre de Fastec. Fastec se opone a esta solicitud de comunicación, alegando que dicha pretensión infringe el RGPD, ya que los datos solicitados se recogieron con otro fin y no se pueden aportar como prueba en el litigio principal.

8.

El Tingsrätt (Tribunal de Primera Instancia, Suecia) instó a Entral a presentar el registro, y el Svea hovrätt (Tribunal de Apelación con sede en Estocolmo, Suecia) confirmó, en apelación, esta resolución.

9.

Fastec recurrió la resolución del Svea hovrätt (Tribunal de Apelación con sede en Estocolmo) ante el Högsta domstolen (Tribunal Supremo) y solicitó a dicho órgano jurisdiccional que denegase la solicitud de comunicación de Nycander o, con carácter subsidiario, que instara a que se presentara una versión anonimizada del registro de personal. En el marco de este procedimiento, el Högsta domstolen (Tribunal Supremo) ha planteado al Tribunal de Justicia una petición de decisión prejudicial con las siguientes cuestiones prejudiciales:

«1)

¿Exige el artículo 6, apartados 3 y 4, del [RGPD] asimismo incorporar un requisito en la normativa procesal nacional en lo que respecta a las obligaciones de comunicación?

2)

En caso de respuesta afirmativa a la primera cuestión prejudicial, ¿debe interpretarse el [RGPD] en el sentido de que también debe prestarse atención a los intereses de los afectados cuando deba adoptarse una decisión en materia de comunicación que implique el tratamiento de datos personales? En estas circunstancias, ¿establece el Derecho de la Unión requisitos relativos a la forma concreta en que debe adoptarse dicha decisión?»

10.

Durante el procedimiento, Fastec, los Gobiernos checo, polaco y sueco y la Comisión Europea presentaron observaciones escritas ante el Tribunal de Justicia. Nycander, los Gobiernos polaco y sueco y la Comisión presentaron sus observaciones orales en la vista celebrada el 27 de junio de 2022.

II. Marco jurídico

A.   Derecho de la Unión

11.

El artículo 5 del RGPD establece los principios relativos al tratamiento de datos personales:

«1.   Los datos personales serán:

a)

tratados de manera lícita, leal y transparente en relación con el interesado (“licitud, lealtad y transparencia”);

b)

recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales (“limitación de la finalidad”);

c)

adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (“minimización de datos”);

d)

exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan (“exactitud”);

e)

mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado (“limitación del plazo de conservación”);

f)

tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (“integridad y confidencialidad”).

2.   El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva”).»

12.

El artículo 6 del RGPD, titulado «Licitud del tratamiento», dispone, en sus apartados 1, 3 y 4:

«1.   El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

[…]

c)

el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

[…]

e)

el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

[…]

3.   La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por:

a)

el Derecho de la Unión, o

b)

el Derecho de los Estados miembros que se aplique al responsable del tratamiento.

La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Dicha base jurídica podrá contener disposiciones específicas para adaptar la aplicación de normas del presente Reglamento, entre otras: las condiciones generales que rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados afectados; las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación; la limitación de la finalidad; los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones específicas de tratamiento a tenor del capítulo IX. El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido.

4.   Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:

a)

cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;

b)

el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento;

c)

la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10;

d)

las posibles consecuencias para los interesados del tratamiento ulterior previsto;

e)

la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.»

13.

Además, el artículo 23, apartado 1, del RGPD regula las limitaciones de los derechos y obligaciones dimanantes del RGPD:

«1.   El Derecho de la Unión o de los Estados miembros que se aplique al responsable o el encargado del tratamiento podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en los artículos 12 a 22 y el artículo 34, así como en el artículo 5 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 12 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:

[…]

f)

la protección de la independencia judicial y de los procedimientos judiciales;

[…]».

B.   Derecho sueco

14.

Con arreglo al capítulo 38, apartado 2, párrafo primero, del rättegångsbalken (Código de Procedimiento Judicial; en lo sucesivo «RB»), toda persona que tenga en su poder un documento escrito al que quepa atribuir valor probatorio deberá presentar dicho documento. Las excepciones a la citada obligación figuran en el párrafo segundo de la misma disposición, y se aplican, en particular, a los abogados, médicos, psicólogos, sacerdotes y otros funcionarios a los que se haya confiado información en el marco del ejercicio de su profesión o equivalente. El capítulo 38, apartado 4, del RB confiere al órgano jurisdiccional la facultad de ordenar la presentación de un documento escrito como prueba.

15.

Según el órgano jurisdiccional remitente, a efectos de examinar si debe obligarse a una persona a presentar un documento, el órgano jurisdiccional ha de sopesar la importancia de la prueba y el interés de la parte contraria en no divulgar dicha información. Sin embargo, como explica el órgano jurisdiccional remitente, ello no implica que deba prestarse atención a si la información que se divulga tiene carácter confidencial.

III. Análisis

A.   Contexto

16.

El RGPD es el principal acto de la Unión que regula la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales. A diferencia de su predecesora, la Directiva 95/46/CE, ( 4 ) el RGPD se adoptó sobre la base del artículo 16 TFUE. ( 5 ) Esta base jurídica habilitaba al legislador de la Unión para salvaguardar el derecho fundamental a la protección de los datos de carácter personal, establecido en el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»). ( 6 )

17.

En el tratamiento de datos personales, el RGPD impone al «responsable del tratamiento» la responsabilidad del cumplimiento de sus disposiciones. ( 7 ) Por lo tanto, en todos los casos en que se traten datos personales, es preciso determinar quién es el responsable.

18.

De conformidad con el artículo 4, punto 7, del RGPD, el responsable del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que determine los fines y medios del tratamiento.

19.

En el presente asunto, han tenido lugar dos casos distintos de tratamiento de datos personales. El primer tratamiento se refiere al registro electrónico de personal mantenido por Entral en nombre de Fastec, que debe recoger datos sobre las horas de trabajo a efectos fiscales, de conformidad con el Derecho sueco. En este contexto, Fastec es el responsable del tratamiento y Entral es el encargado del tratamiento. ( 8 )

20.

No se discute que este primer tratamiento se ha efectuado de conformidad con el RGPD. En particular, su artículo 6, apartado 1, letra c), permite el tratamiento de datos personales necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, en este caso Fastec. ( 9 ) Ciertamente, si se constatara la ilicitud de este primer tratamiento con arreglo al RGPD, el tratamiento de esos datos para otro fin distinto de aquel para el que se recogieron sería también, por extensión, ilícito. ( 10 )

21.

Sin embargo, el interés del presente asunto es el segundo tratamiento (para otro fin distinto) de los mismos datos inicialmente recogidos a efectos fiscales. El nuevo fin es la comunicación, por parte de Entral, del registro de personal como prueba en el procedimiento civil entre Fastec y Nycander. La presentación de dicho registro para su utilización en el procedimiento civil implica necesariamente un tratamiento de datos personales.

22.

En este segundo tratamiento, las funciones previstas en el RGPD cambian en comparación con el primer tratamiento. Sobre todo, al dictar un requerimiento para que Entral presente el registro de personal (en lo sucesivo, «requerimiento de comunicación»), el órgano jurisdiccional nacional es el organismo que determina los fines y los medios del segundo tratamiento de datos. ( 11 ) Por lo tanto, el órgano jurisdiccional adquiere la condición de responsable del tratamiento. ( 12 )

23.

En el segundo tratamiento, podría considerarse que Fastec sigue siendo el responsable, o que ha cambiado su función: ahora es el destinatario de los datos, junto con Nycander. ( 13 ) Sin embargo, aunque Fastec siguiera siendo el responsable conjuntamente con el órgano jurisdiccional remitente, ( 14 ) este hecho no influiría en las obligaciones que incumben al órgano jurisdiccional nacional como responsable. ( 15 ) Por último, la función de Entral no cambia, ya que sigue siendo el encargado del tratamiento y continúa tratando los mismos datos personales, pero ahora en nombre del nuevo responsable, el órgano jurisdiccional nacional.

24.

Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el órgano jurisdiccional nacional puede efectivamente adquirir la condición de responsable del tratamiento con arreglo al RGPD y si, en ese caso, el Reglamento exige incorporar un requisito en la normativa procesal nacional en lo que respecta a las facultades y obligaciones de los órganos jurisdiccionales en el procedimiento civil. Si el RGPD resulta aplicable y el órgano jurisdiccional nacional es el responsable del tratamiento, el órgano jurisdiccional remitente pregunta, en su segunda cuestión prejudicial, la forma en que debe adoptarse una decisión en materia de comunicación de datos personales que se van a utilizar como prueba en un procedimiento civil.

25.

Para responder a las cuestiones prejudiciales planteadas por el órgano jurisdiccional remitente, procederé del siguiente modo. Explicaré, en primer lugar, las razones por las que considero que el RGPD es aplicable a los procedimientos civiles ante los órganos jurisdiccionales de los Estados miembros y la forma en que influye su aplicabilidad en la normativa procesal vigente de los Estados miembros (B). A continuación, examinaré la metodología que los órganos jurisdiccionales nacionales, como responsables del tratamiento, deben aplicar para cumplir los requisitos del RGPD (C).

B.   El RGPD es aplicable a los procedimientos civiles ante los órganos jurisdiccionales nacionales y completa las normas procesales de los Estados miembros

26.

Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el RGPD se aplica a los procedimientos judiciales de naturaleza civil y cómo influye en las normas procesales pertinentes. Más concretamente, pregunta si afecta a las normas nacionales que regulan las facultades y las obligaciones de los órganos jurisdiccionales en materia de presentación de pruebas documentales. Dividiré la respuesta a esta cuestión en tres partes.

1. El RGPD no excluye las actividades llevadas a cabo por los órganos jurisdiccionales nacionales en los procedimientos civiles

27.

El ámbito de aplicación material del RGPD se define en su artículo 2, apartado 1, que adopta un enfoque funcional en lugar de institucional. El objeto (la actividad de tratamiento de datos personales) y no el sujeto, es el elemento que suscita la aplicabilidad del RGPD. ( 16 )

28.

Las situaciones excluidas del ámbito de aplicación del RGPD, enumeradas en su artículo 2, apartado 2, son también de carácter funcional. Habida cuenta de que constituyen una excepción a la aplicación del RGPD, según el Tribunal de Justicia, deben interpretarse de manera restrictiva. ( 17 )

29.

Por lo tanto, las actividades de las autoridades públicas no están excluidas del ámbito de aplicación del RGPD como tales, sino únicamente cuando guardan relación con las actividades enumeradas en el artículo 2, apartado 2, del RGPD. ( 18 ) A este respecto, esta disposición no excluye del ámbito de aplicación material del RGPD las actividades judiciales llevadas a cabo en los procedimientos civiles.

30.

La conclusión de que el RGPD es de aplicación a las actividades judiciales está corroborada por el considerando 20 del RGPD, ( 19 ) que establece que este acto se aplica a las actividades de los tribunales y otras autoridades judiciales. ( 20 )

31.

La exclusión de la competencia de las autoridades de control sobre los tribunales en el ejercicio de su función judicial, establecida en el artículo 55, apartado 3, del RGPD, no afecta a la conclusión anterior. Por el contrario, a mi juicio, esta disposición confirma que los tribunales en el ejercicio de su función judicial están sujetos a las obligaciones impuestas por el RGPD. Al prohibir que dichas autoridades controlen sus operaciones de tratamiento, garantiza su independencia e imparcialidad.

32.

El caso de autos versa sobre el tratamiento de datos personales comprendido en el ámbito de aplicación material del RGPD. La creación y el mantenimiento del registro electrónico de personal están relacionados con el tratamiento de datos personales. ( 21 ) Asimismo, el requerimiento de comunicación de dichos datos personales en el contexto de un procedimiento civil es un ejemplo del tratamiento de esos datos. ( 22 ) Así pues, la situación analizada en el litigio principal está comprendida en el ámbito de aplicación material del RGPD.

33.

¿Qué consecuencias se derivan de todo lo anterior para la aplicación de normas procesales nacionales, como el RB?

2. El Derecho nacional constituye la condición necesaria para la licitud del tratamiento de datos por los órganos jurisdiccionales nacionales

34.

La base jurídica para adoptar el requerimiento de comunicación controvertido en el presente asunto es el RB.

35.

En efecto, el RGPD exige que, en una situación como la del caso de autos, el tratamiento de datos tenga como base jurídica el Derecho de los Estados miembros (o de la Unión). ( 23 )

36.

En virtud del requerimiento de comunicación dictado en el presente asunto, los datos controvertidos, inicialmente recogidos y tratados a efectos fiscales, han de ser objeto de tratamiento a efectos probatorios en el marco de un procedimiento judicial.

37.

El artículo 6, apartado 4, del RGPD permite el tratamiento para otro fin distinto de aquel para el que se recogieron los datos si está basado en Derecho de los Estados miembros que constituya una medida necesaria en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, del RGPD. Entre estos objetivos, en el artículo 23, apartado 1, letra f), se menciona «la protección de la independencia judicial y de los procedimientos judiciales».

38.

Todos los participantes en este procedimiento prejudicial coinciden en que el artículo 23, apartado 1, letra f), del RGPD es la disposición adecuada para justificar el tratamiento para otro fin distinto de aquel para el que se recogieron los datos sobre la base del RB. ( 24 )

39.

El RB habilita a los órganos jurisdiccionales nacionales para ordenar la presentación de documentos si tienen valor probatorio en un procedimiento civil. Como se ha explicado, si un documento que ha de presentarse contiene datos personales, el órgano jurisdiccional que ordena su presentación adquiere la condición de responsable del tratamiento en virtud del RGPD.

40.

Como señaló la Comisión en la vista, el órgano jurisdiccional nacional solo es, en cierta medida, un responsable ordinario. Es decir, los órganos jurisdiccionales nacionales únicamente pueden tratar datos en el ejercicio de sus poderes públicos.

41.

Cuando el tratamiento de datos tiene lugar en el ejercicio de poderes públicos, ( 25 ) el artículo 6, apartado 3, del RGPD exige que se base en el Derecho de la Unión o de los Estados miembros.

42.

Por consiguiente, tanto el artículo 6, apartado 4, del RGPD (que permite el tratamiento para otro fin distinto) como su artículo 6, apartado 3 (que permite el tratamiento de datos en el ejercicio de poderes públicos), exigen que el tratamiento tenga su base jurídica en el Derecho nacional (o de la Unión). ( 26 )

43.

Así pues, que el RB habilite al órgano jurisdiccional para adoptar el requerimiento de comunicación es una condición necesaria para la licitud del tratamiento controvertido.

3. El RGPD completa las normas procesales nacionales

44.

Si existe la base jurídica exigida por el RGPD y el requerimiento que implica el tratamiento de datos personales se adopta con arreglo a dicho Derecho de los Estados miembros, ¿se cumplen los requisitos para la licitud del tratamiento establecidos en el RGPD?

45.

En mi opinión, aunque sea necesaria la existencia de una base jurídica en el Derecho nacional, esta no basta para que el requerimiento de comunicación sea conforme con el RGPD.

46.

El órgano jurisdiccional remitente ha explicado que, en virtud del RB, en la adopción de decisiones en materia de presentación de pruebas no se tiene en cuenta, en principio, el carácter confidencial de la información. Los órganos jurisdiccionales deben tomar en consideración los intereses de las dos partes contrarias, pero la legislación no menciona que los intereses de los afectados sean relevantes.

47.

¿Es incompatible el RB con el RGPD en la medida en que no obliga expresamente a los órganos jurisdiccionales, cuando adquieren la condición de responsables del tratamiento, a tomar en consideración los intereses de los afectados al adoptar decisiones que puedan influir en sus datos personales?

48.

Considero que no es así. Ha de tenerse en cuenta que varios actos nacionales que sirven de base jurídica para el tratamiento de datos no se han adoptado de manera específica en el marco de la aplicación del RGPD, sino que tienen su propia finalidad. Además, el RGPD es directamente aplicable en los ordenamientos jurídicos de los Estados miembros y no es necesaria su transposición. Por lo tanto, lo importante es que las normas procesales nacionales prevean la aplicación simultánea del RGPD en caso de convergencia.

49.

En la vista, el Gobierno sueco confirmó que el RB no exige, pero tampoco prohíbe, a los órganos jurisdiccionales tomar en consideración los intereses de los afectados. Por lo tanto, no se opone a la aplicación directa del RGPD al procedimiento judicial regulado por el RB.

50.

Así pues, los órganos jurisdiccionales nacionales están sujetos al mismo tiempo a las normas procesales internas y al RGPD, que completa las normas nacionales si las actividades procesales de los órganos jurisdiccionales implican el tratamiento de datos personales.

51.

Para concluir, no es necesario que la normativa nacional haga referencia expresa al RGPD ni que obligue a los órganos jurisdiccionales a tomar en consideración los intereses de los afectados. Basta con que permita la aplicación complementaria del RGPD. Únicamente si no fuera así, el acto nacional sería contrario al RGPD. No obstante, parece que el RB posibilita la aplicación complementaria del RGPD. ( 27 )

52.

Por consiguiente, para responder a la primera cuestión prejudicial planteada por el órgano jurisdiccional remitente, concluyo que el artículo 6, apartados 3 y 4, del RGPD exige incorporar requisitos en la normativa procesal nacional en lo que respecta a las obligaciones de comunicación cuando dicha comunicación implique el tratamiento de datos personales. La normativa procesal nacional no puede impedir, en ese caso, que se tomen en consideración los intereses de los afectados. Se asegurará la protección de estos intereses si los órganos jurisdiccionales nacionales respetan las normas del RGPD al adoptar una decisión sobre la presentación de pruebas documentales en un asunto concreto.

C.   Obligaciones del órgano jurisdiccional nacional relativas a los intereses de los afectados

53.

Habida cuenta de que se les aplica el RGPD, los órganos jurisdiccionales nacionales que adquieran la condición de responsables del tratamiento de datos deberán tomar en consideración los intereses de los afectados. ¿De qué forma deben tomarse en consideración dichos intereses al adoptar una decisión concreta en materia de comunicación? Tal es, en esencia, el objeto de la segunda cuestión prejudicial planteada por el órgano jurisdiccional remitente.

1. Proporcionalidad

54.

Los intereses de los afectados estarán protegidos cuando el tratamiento de sus datos personales sea conforme con los artículos 5 y 6 del RGPD. ( 28 ) Como afirma el Abogado General Pikamäe, el cumplimiento de los artículos 5 y 6 del RGPD garantiza la salvaguardia de los derechos al respeto de la vida privada y familiar y a la protección de datos de carácter personal, consagrados en los artículos 7 y 8 de la Carta, respectivamente. ( 29 )

55.

Los fines legítimos del tratamiento se enumeran en el artículo 6 del RGPD. ( 30 ) Como se ha explicado en la sección anterior de las presentes conclusiones, el tratamiento de que se trata persigue una finalidad lícita, habida cuenta de que el órgano jurisdiccional ejerció sus poderes públicos cuando ordenó la comunicación sobre la base del Derecho nacional que permite garantizar el buen desarrollo del procedimiento judicial. Sin embargo, tanto el artículo 6 como el artículo 5 del RGPD exigen no solo un fin legítimo, sino también que el tratamiento específico sea necesario para alcanzar dicho fin.

56.

Por lo tanto, el RGPD exige que el órgano jurisdiccional lleve a cabo un análisis de la proporcionalidad para apreciar si la comunicación de datos personales en una situación concreta es necesaria a efectos probatorios en el marco de un procedimiento judicial. ( 31 )

57.

A este respecto, el artículo 6, apartado 4, del RGPD exige que el Derecho nacional en el que se basa el tratamiento para otro fin distinto constituya una medida necesaria y proporcional para salvaguardar los objetivos indicados en su artículo 23, apartado 1, en el caso de autos, la protección de la independencia judicial y de los procedimientos judiciales. Además, el artículo 6, apartado 3, del RGPD exige que el tratamiento efectuado en el ejercicio de poderes públicos sea necesario para el ejercicio de tales poderes públicos conferidos al responsable del tratamiento.

58.

El Derecho nacional que constituye la base del tratamiento puede cumplir, en abstracto, los requisitos del artículo 6, apartados 3 y 4, del RGPD. No obstante, la licitud de cada tratamiento individual (en particular, un requerimiento judicial de comunicación específico) depende de la ponderación concreta de todos los intereses en juego, habida cuenta del fin legítimo con el que se solicita la comunicación. ( 32 ) Solo así el órgano jurisdiccional nacional podrá decidir si la comunicación es necesaria y, en su caso, en qué medida.

59.

Por consiguiente, es evidente que el RGPD exige efectuar un análisis de la proporcionalidad. ¿Ayuda el RGPD a responder a la cuestión de las diligencias concretas que el órgano jurisdiccional debe llevar a cabo para realizar dicho análisis?

2. Diligencias concretas que ha de llevar a cabo el órgano jurisdiccional nacional

60.

Como se ha explicado, el análisis de la proporcionalidad debe realizarse en cada caso concreto, tomando en consideración todos los intereses en juego. En situaciones como las del caso de autos, deben sopesarse, por un lado, los intereses que subyacen a la comunicación y, por otro, la lesión del derecho a la protección de los datos de carácter personal. ( 33 )

61.

Los intereses que subyacen a la comunicación reflejan el derecho a la tutela judicial efectiva (artículo 47 de la Carta). Los intereses de los afectados, con los que entra en conflicto dicho derecho, reflejan el derecho al respeto de la vida privada y familiar (artículo 7 de la Carta) y el derecho a la protección de los datos de carácter personal (artículo 8 de la Carta). Estos son los derechos que deben ponderarse para decidir si es necesaria la comunicación de datos personales.

62.

A continuación, ofreceré algunas sugerencias relativas a las diligencias concretas que puede esperarse que el órgano jurisdiccional nacional lleve a cabo.

63.

Para empezar, siempre cabe presumir que los intereses de los afectados que no han dado su consentimiento al tratamiento tienen que ver con el deseo de limitar el tratamiento de sus datos personales. Así pues, ese es el punto de partida por defecto del órgano jurisdiccional: justificar por qué es necesaria la injerencia en este interés.

64.

Tras un examen más minucioso, pueden encontrarse indicaciones para realizar esta evaluación en el artículo 5 del RGPD, que contiene los principios que el responsable del tratamiento debe respetar cuando trate datos personales.

65.

A este respecto, el principio de minimización de datos, que figura en el artículo 5, apartado 1, letra c), del RGPD, reviste una importancia capital. Como señala el Tribunal de Justicia, ( 34 ) este requisito refleja el principio de proporcionalidad. Exige que los datos personales sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

66.

Por lo tanto, cabe preguntarse, en primer lugar, si los datos que figuran en el registro de personal mantenido por Entral son adecuados. Serán adecuados para el fin para el que se han de comunicar si revelan efectivamente el número de horas de trabajo prestadas por los empleados de Fastec en la obra en construcción.

67.

En segundo lugar, cabe preguntarse si los datos que figuran en el registro de personal mantenido por Entral son pertinentes para el fin para el que se solicitan. Al parecer, el fin es el interés de Nycander en probar su argumento de que los empleados de Fastec trabajaron menos horas que lo indicado en la factura. En tales circunstancias, el registro de personal es pertinente si puede efectivamente probar o refutar dicha afirmación. El órgano jurisdiccional nacional debe apreciar su pertinencia a la luz de otros hechos del litigio (por ejemplo, la afirmación de Fastec de que el registro de personal solo contiene una parte de las horas de trabajo pertinentes y que otras se prestaron fuera de la obra).

68.

Para cumplir el tercer requisito del principio de minimización de datos, el órgano jurisdiccional nacional debe determinar si todos los datos contenidos en el registro, o solo algunos, son suficientes a efectos probatorios. Además, si existen otros medios para demostrar el mismo hecho, el principio de minimización de datos exige que se utilicen. Por ejemplo, el órgano jurisdiccional nacional podría tener que apreciar la afirmación de Fastec de que las horas efectivas trabajadas pueden comprobarse mediante documentos que ya forman parte de los autos que obran en poder del órgano jurisdiccional remitente. Si considera que esta afirmación es cierta, el órgano jurisdiccional nacional no puede ordenar la comunicación de datos personales que figuran en el registro de personal.

69.

El órgano jurisdiccional nacional tiene que determinar qué tipos de datos personales del registro son suficientes para probar o refutar los hechos pertinentes. A este respecto, el principio de minimización de datos exige que solo se comuniquen los datos estrictamente necesarios para el fin del que se trate. Por lo tanto, podría resultar necesario que Entral, como encargado del tratamiento, modificara de alguna manera el registro de personal para limitar los datos personales al mínimo necesario y permitir al mismo tiempo averiguar las horas efectivamente trabajadas.

70.

A este respecto, el órgano jurisdiccional nacional debe determinar si es necesario que las personas cuyos datos figuran en el registro sean identificables para que la comunicación tenga valor probatorio (por ejemplo, si es necesario nombrar a trabajadores individuales para invitarlos a comparecer en calidad de testigos). En caso contrario, puede ser suficiente disponer de información sobre el número total de horas dedicadas a la obra en construcción o sobre el número de personas que trabajaron esas horas.

71.

En función de las respuestas que se den a las cuestiones anteriores, el órgano jurisdiccional puede decidir solicitar la comunicación de datos seudonimizados o anonimizados. ( 35 )

72.

En virtud del considerando 26 del RGPD, los datos seudonimizados también están comprendidos en el ámbito de aplicación material del RGPD, porque sigue siendo posible identificar a la persona que se oculta tras el seudónimo. Por el contrario, los datos anonimizados no están comprendidos en su ámbito de aplicación. Así pues, la forma de comunicación finalmente ordenada por el órgano jurisdiccional nacional también influirá en la posterior aplicabilidad del RGPD. ( 36 )

73.

En definitiva, corresponde al órgano jurisdiccional nacional determinar el valor probatorio de las diferentes versiones del registro de personal para decidir qué tipo de minimización de datos es necesaria, en su caso, para la adecuada conclusión del procedimiento judicial sustanciado ante él.

74.

Además del principio de minimización de datos que figura en el artículo 5, apartado 1, letra c), del RGPD, los otros principios establecidos en el artículo 5 del RGPD también vinculan al órgano jurisdiccional nacional y son pertinentes por lo que respecta al método de adopción del requerimiento de comunicación.

75.

Por ejemplo, el artículo 5, apartado 1, letra a), del RGPD, además de hacer referencia al principio de licitud (que se desarrolla en su artículo 6), menciona, asimismo, el principio de transparencia. A mi juicio, este principio exige que el órgano jurisdiccional nacional explique claramente su decisión de ordenar la comunicación de datos personales, indicando, en particular, cómo ponderó los diferentes intereses y alegaciones de las partes con relación a la comunicación.

76.

La adecuada motivación del requerimiento de comunicación satisface también la exigencia prevista en el artículo 5, apartado 2, del RGPD, con arreglo al cual el responsable del tratamiento deberá ser capaz de demostrar el cumplimiento de los principios enunciados en su artículo 5, apartado 1.

77.

Asimismo, el modo de cumplimiento de los principios establecidos en el artículo 5 del RGPD puede interpretarse a la luz del considerando 31 del RGPD, que dispone que «las solicitudes de comunicación de las autoridades públicas siempre deben presentarse por escrito, de forma motivada y con carácter ocasional, y no deben referirse a la totalidad de un fichero ni dar lugar a la interconexión de varios ficheros».

78.

El Gobierno polaco ha expresado su preocupación con respecto al examen de la proporcionalidad llevado a cabo por el órgano jurisdiccional nacional: si el órgano jurisdiccional nacional ha de apreciar el valor probatorio del registro de personal o de otra prueba en el procedimiento sustanciado ante él, ¿no se estaría implicando demasiado en el que debería seguir siendo el papel de las partes, esto es, intentar que se acepte su argumento sobre el valor probatorio de dicha prueba?

79.

En mi opinión, la apreciación del valor probatorio, que toma en consideración los intereses de los afectados, no entraña una mayor injerencia en el caso que la apreciación del valor probatorio de cualquier otra prueba en el marco de un procedimiento civil. ( 37 )

80.

El grado de injerencia del órgano jurisdiccional nacional dependerá de la obviedad del valor probatorio de las pruebas cuya presentación se solicita en las circunstancias del asunto concreto. Siempre habrá que determinar en cada asunto concreto el alcance de la posible injerencia de la comunicación en los intereses de los afectados.

81.

Por ejemplo, algunos asuntos pueden estar relacionados con datos sensibles sujetos al régimen especial de protección previsto en el artículo 9 del RGPD, o con sanciones penales sujetas al régimen de su artículo 10. En esas situaciones, se concederá necesariamente más importancia a los intereses de los afectados en el ejercicio de ponderación. ( 38 ) Asimismo, el interés en la comunicación puede diferir en cada asunto concreto. Si bien, en ocasiones, no habrá ninguna duda de que la importancia de las pruebas solicitadas es marginal, en otros casos serán esenciales para determinar la resolución del litigio. A este respecto, resulta útil la observación de la Comisión en el sentido de que el órgano jurisdiccional nacional debería gozar de una gran flexibilidad cuando lleva a cabo tales apreciaciones. No obstante, nunca se le debería eximir de la obligación de tener en cuenta los intereses de los afectados.

82.

El Gobierno checo ha expresado otra preocupación: la imposición a los órganos jurisdiccionales nacionales de la obligación de tomar en consideración los intereses de los afectados cuando ordenen la presentación de pruebas documentales impide el normal funcionamiento del procedimiento judicial. En efecto, el RGPD impone a los órganos jurisdiccionales la obligación adicional ( 39 ) de realizar un examen de la proporcionalidad antes de ordenar la presentación de pruebas documentales que contengan datos personales. No obstante, ni la ponderación de los intereses constituye un ejercicio intelectual inusual para los órganos jurisdiccionales nacionales, ni la carga que recae sobre ellos difiere de la impuesta por el RGPD a cualquier responsable del tratamiento.

83.

Para que los ciudadanos de la Unión disfruten de un nivel elevado de protección de sus datos personales de conformidad con la decisión del legislador de la Unión expresada en el RGPD, no se puede entender que la toma en consideración de los intereses de los afectados constituye una carga excesiva que recae sobre los órganos jurisdiccionales de los Estados miembros.

84.

Por consiguiente, propongo al Tribunal de Justicia que responda del siguiente modo a la segunda cuestión prejudicial planteada por el órgano jurisdiccional remitente: cuando deba adoptar una decisión sobre el requerimiento de comunicación en un procedimiento civil que implique el tratamiento de datos personales, el órgano jurisdiccional nacional realizará un análisis de la proporcionalidad que tenga en cuenta los intereses de los afectados cuyos datos personales serán tratados y ponderará dichos intereses y el interés de los litigantes en la obtención de pruebas. Este examen de la proporcionalidad se rige por los principios enunciados en el artículo 5 del RGPD y, en particular, el principio de minimización de datos.

IV. Conclusión

85.

En virtud de las consideraciones anteriores, propongo al Tribunal de Justicia que responda del siguiente modo a las dos cuestiones prejudiciales planteadas por el Högsta domstolen (Tribunal Supremo, Suecia):

«1)

El artículo 6, apartados 3 y 4, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) exige incorporar requisitos en la normativa procesal nacional en lo que respecta a las obligaciones de comunicación cuando dicha comunicación implique el tratamiento de datos personales. La normativa procesal nacional debe permitir, en ese caso, que se tomen en consideración los intereses de los afectados. Se asegurará la protección de estos intereses si los órganos jurisdiccionales nacionales respetan las normas del Reglamento 2016/679 al adoptar una decisión sobre la presentación de pruebas documentales en un asunto concreto.

2)

Cuando deba adoptar una decisión sobre el requerimiento de comunicación en un procedimiento civil que implique el tratamiento de datos personales, el órgano jurisdiccional nacional realizará un análisis de la proporcionalidad que tenga en cuenta los intereses de los afectados cuyos datos personales serán tratados y ponderará dichos intereses y el interés de los litigantes en la obtención de pruebas. Este examen de la proporcionalidad se rige por los principios enunciados en el artículo 5 del Reglamento 2016/679 y, en particular, el principio de minimización de datos.»


( 1 ) Lengua original: inglés.

( 2 ) Este mensaje concreto aparece en el sitio web https://eulawlive.com/.

( 3 ) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1).

( 4 ) Directiva del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31). La Directiva 95/46 se adoptó sobre la base jurídica del mercado interior. En relación con el análisis inicial de las modificaciones introducidas por el RGPD, véase Van Alsenoy, B.: «Liability under EU Data Protection Law. From Directive 95/46 to the General Data Protection Regulation», Journal of Intellectual Property, Information Technology and Electronic Commerce Law, vol. 7, 2016, pp. 271 a 288.

( 5 ) A pesar de que no tienen la misma base jurídica, la jurisprudencia relativa a la Directiva 95/46 resulta pertinente para interpretar el RGPD. Véase, a este respecto, la sentencia de 17 de junio de 2021, M. I. C. M. (C‑597/19, EU:C:2021:492), apartado 107. Así pues, me referiré a la jurisprudencia del Tribunal de Justicia relativa a la Directiva 95/46, cuando proceda. Asimismo, en la medida en que aporta soluciones similares con respecto a las limitaciones del alcance del derecho a la protección de datos, me referiré también a la jurisprudencia del Tribunal de Justicia relativa a la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO 2002, L 201, p. 37). Según el Tribunal de Justicia, la interpretación de las limitaciones del alcance de los derechos dimanantes de la Directiva 2002/58 se aplica mutatis mutandis a la interpretación del RGPD. Véase, en este sentido, la sentencia de 6 de octubre de 2020, La Quadrature du Net y otros (C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791), apartados 209211.

( 6 ) Véase el considerando 1 del RGPD.

( 7 ) Véase el artículo 5, apartado 2, del RGPD.

( 8 ) Con arreglo al artículo 4, punto 8, del RGPD, se entenderá por «encargado del tratamiento»: «la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento».

( 9 ) Con arreglo al artículo 6, apartado 3, del RGPD, cuando el tratamiento se lleve a cabo para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, su base se establecerá por el Derecho de la Unión o por el Derecho de los Estados miembros que cumpla un objetivo de interés público y sea proporcional al fin legítimo perseguido. El cumplimiento de la normativa nacional en materia tributaria se consideró un fin legítimo en la sentencia de 16 de enero de 2019, Deutsche Post (C‑496/17, EU:C:2019:26), apartados 60 a 63.

( 10 ) Véase, por analogía, la sentencia de 2 de marzo de 2021, Prokuratuur (Condiciones de acceso a los datos relativos a las comunicaciones electrónicas) (C‑746/18, EU:C:2021:152), apartado 44.

( 11 ) La determinación de los fines y los medios del tratamiento de los datos personales es la principal actividad que indica quién es el responsable del tratamiento. Véase la sentencia de 10 de julio de 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551), apartado 68. Véase, asimismo, Bygrave, L. A., y Tossoni, L.: «Article 4(7). Controller», en Kuner, C., Bygrave, L. A., Docksey, C., y Drechsler, L. (eds): The EU General Data Protection Regulation (GDPR): A Commentary, OUP, Oxford, 2021, p. 150.

( 12 ) En la vista, los Gobiernos polaco y sueco y la Comisión Europea admitieron que esta función corresponde ahora al órgano jurisdiccional nacional. Nycander sostuvo que Fastec sigue siendo el único responsable en el segundo tratamiento y que el órgano jurisdiccional nacional actúa de intermediario. Procede señalar que en el RGPD no se utiliza el término «intermediario».

( 13 ) El artículo 4, punto 9, del RGPD define el término «destinatario» como la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. Como partes en un procedimiento civil, tanto Fastec como Nycander adquirirán la condición de destinatarios de los datos tratados sobre la base del requerimiento de comunicación dictado por el órgano jurisdiccional. La Comisión sostuvo en la vista que Fastec sigue siendo el responsable del tratamiento y que no ha adquirido la condición de destinatario.

( 14 ) El artículo 26, apartado 1, del RGPD dispone lo siguiente: «Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento. Los corresponsables determinarán de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el presente Reglamento, en particular en cuanto al ejercicio de los derechos del interesado y a sus respectivas obligaciones de suministro de información a que se refieren los artículos 13 y 14, salvo, y en la medida en que, sus responsabilidades respectivas se rijan por el Derecho de la Unión o de los Estados miembros que se les aplique a ellos. Dicho acuerdo podrá designar un punto de contacto para los interesados.» Véase, asimismo, la sentencia de 29 de julio de 2019, Fashion ID (C‑40/17, EU:C:2019:629), apartado 67.

( 15 ) El Tribunal de Justicia ha precisado que el concepto de «responsable» es amplio y que diferentes agentes pueden estar implicados en distintas etapas del tratamiento. Sentencia de 29 de julio de 2019, Fashion ID (C‑40/17, EU:C:2019:629), apartado 70.

( 16 ) Este último solo es pertinente de manera excepcional. Por ejemplo, en virtud de su artículo 2, apartado 3, el RGPD no es de aplicación a las instituciones, órganos y organismos de la Unión, sino que se les aplica el Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO 2001, L 8, p. 1).

( 17 ) Sentencia de 9 de julio de 2020, Land Hessen (C‑272/19, EU:C:2020:535), apartado 68.

( 18 ) El artículo 2, apartado 2, del RGPD dispone lo siguiente: «El presente Reglamento no se aplica al tratamiento de datos personales: a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión; b) por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE; c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas; d) por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.»

( 19 ) El considerando 20 del RGPD está redactado en los siguientes términos: «Aunque el presente Reglamento se aplica, entre otras, a las actividades de los tribunales y otras autoridades judiciales, en virtud del Derecho de la Unión o de los Estados miembros pueden especificarse las operaciones de tratamiento y los procedimientos de tratamiento en relación con el tratamiento de datos personales por los tribunales y otras autoridades judiciales. A fin de preservar la independencia del poder judicial en el desempeño de sus funciones, incluida la toma de decisiones, la competencia de las autoridades de control no debe abarcar el tratamiento de datos personales cuando los tribunales actúen en ejercicio de su función judicial. El control de esas operaciones de tratamiento de datos ha de poder encomendarse a organismos específicos establecidos dentro del sistema judicial del Estado miembro, los cuales deben, en particular, garantizar el cumplimiento de las normas del presente Reglamento, concienciar más a los miembros del poder judicial acerca de sus obligaciones en virtud de este y atender las reclamaciones en relación con tales operaciones de tratamiento de datos.»

( 20 ) Véase, en este sentido, la sentencia de 24 de marzo de 2022, Autoriteit Persoonsgegevens (C‑245/20, EU:C:2022:216), apartados 25 y 26.

( 21 ) En la sentencia de 30 de mayo de 2013, Worten (C‑342/12, EU:C:2013:355), apartado 19, el Tribunal de Justicia confirmó que los registros del tiempo de trabajo constituyen, en particular, datos personales.

( 22 ) En las conclusiones del Abogado General Campos Sánchez-Bordona presentadas en el asunto Inspektor v Inspektorata kam Visshia sadeben savet (Fines del tratamiento de los datos personales — Investigación penal) (C‑180/21, EU:C:2022:406), puntos 8283, se consideró que la transmisión de documentos al órgano jurisdiccional en el contexto de un procedimiento civil constituye un tratamiento de datos. En el momento de la publicación de las presentes conclusiones, este asunto se halla todavía pendiente ante el Tribunal de Justicia.

( 23 ) En el contexto de la Directiva 2002/58, el Tribunal de Justicia consideró que dicha Directiva no excluye la posibilidad de que los Estados miembros impongan el deber de divulgar datos personales en un procedimiento civil. Véase, en este sentido, la sentencia de 29 de enero de 2008, Promusicae (C‑275/06, EU:C:2008:54), apartado 54. A mi juicio, esta conclusión también se aplica al RGPD.

( 24 ) Asimismo, según la Comisión, en el caso de autos, se puede encontrar otro motivo para justificar el tratamiento para otro fin distinto de aquel para el que se recogieron los datos en el artículo 23, apartado 1, letra i), del RGPD («la protección del interesado o de los derechos y libertades de otros»). El Gobierno polaco señaló el artículo 23, apartado 1, letra j), del RGPD («la ejecución de demandas civiles»).

( 25 ) El tratamiento efectuado en el ejercicio de poderes públicos está previsto en el artículo 6, apartado 1, letra e), del RGPD.

( 26 ) El tratamiento también puede estar basado en el consentimiento del interesado. Sin embargo, no sucede así en el caso de autos.

( 27 ) En el reparto de competencias entre el Tribunal de Justicia y los órganos jurisdiccionales de los Estados miembros en el procedimiento prejudicial, corresponde al órgano jurisdiccional nacional decidir sobre esta cuestión.

( 28 ) Sentencias de 16 de enero de 2019, Deutsche Post (C‑496/17, EU:C:2019:26), apartado 57, y de 6 de octubre de 2020, La Quadrature du Net y otros (C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791), apartado 208. Anteriormente, el Tribunal de Justicia llegó a la misma conclusión en relación con la Directiva 95/46. Véanse, por ejemplo, las sentencias de 20 de mayo de 2003, Österreichischer Rundfunk y otros (C‑465/00, C‑138/01 y C‑139/01, EU:C:2003:294), apartado 65, y de 13 de mayo de 2014, Google Spain y Google (C‑131/12, EU:C:2014:317), apartado 71.

( 29 ) Conclusiones del Abogado General Pikamäe presentadas en el asunto Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2021:991), punto 36.

( 30 ) Según el Tribunal de Justicia, la lista de situaciones de tratamiento lícito de datos que figura en el artículo 6 del RGPD es exhaustiva y taxativa. Véase la sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico) (C‑439/19, EU:C:2021:504), apartado 99. En el contexto de la Directiva 95/46, el Tribunal de Justicia adoptó el mismo enfoque de la licitud del tratamiento en las sentencias de 4 de mayo de 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336), apartado 25, y de 11 de diciembre de 2019, Asociaţia de Proprietari bloc M5A-ScaraA (C‑708/18, EU:C:2019:1064), apartados 37 y 38.

( 31 ) Véase, asimismo, el considerando 39 del RGPD, según el cual: «[…] Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. […] Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios.»

( 32 ) El Tribunal de Justicia ha precisado que la ponderación depende de las circunstancias concretas del caso particular de que se trate. Véase, a este respecto, la sentencia de 4 de mayo de 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336), apartado 31. Véase, asimismo, la sentencia de 19 de diciembre de 2020, Asociaţia de Proprietari bloc M5A-ScaraA (C‑708/18, EU:C:2020:104), apartado 32.

( 33 ) Véase, por analogía, la sentencia de 9 de noviembre de 2010, Volker und Markus Schecke y Eifert (C‑92/09 y C‑93/09, EU:C:2010:662), apartado 77.

( 34 ) Sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico) (C‑439/19, EU:C:2021:504), apartado 98.

( 35 ) De hecho, Fastec solicita al órgano jurisdiccional remitente que deniegue la solicitud de Nycander de que se presente el registro de personal o, con carácter subsidiario, que se presente una versión anonimizada. La Comisión, basándose en el principio de minimización de datos y haciendo referencia al artículo 25, apartado 1, del RGPD, propuso, como posible solución, la presentación de una versión seudonimizada del registro de personal.

( 36 ) Por ejemplo, la anonimización del registro exime al responsable de la obligación que, en principio, le incumbe en virtud del artículo 14 del RGPD de facilitar a los interesados información sobre el tratamiento.

( 37 ) Como ha explicado el órgano jurisdiccional remitente, de conformidad con el RB, los órganos jurisdiccionales ya están obligados a sopesar la importancia de la prueba y el interés de la parte contraria en no divulgar dicha información.

( 38 ) En el contexto de la Directiva 2002/58, según reiterada jurisprudencia del Tribunal de Justicia, cuanto más grave sea la injerencia en el derecho a la protección de datos, más importante deberá ser el objetivo de interés público perseguido. Sentencias de 21 de diciembre de 2016, Tele2 Sverige y Watson y otros (C‑203/15 y C‑698/15, EU:C:2016:970), apartado 115; de 2 de octubre de 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788), apartado 55; de 6 de octubre de 2020, La Quadrature du Net y otros (C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791), apartado 131, y de 2 de marzo de 2021, Prokuratuur (Condiciones de acceso a los datos relativos a las comunicaciones electrónicas) (C‑746/18, EU:C:2021:152), apartado 32.

( 39 ) En aquellos ordenamientos jurídicos cuyas normas procesales no hayan exigido previamente dicho examen.