Edición provisional
SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Primera)
de 4 de septiembre de 2025 (*)
« Recurso de casación — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Procedimiento de compensación a los accionistas y acreedores a raíz de la resolución de una entidad de crédito — Decisión del Supervisor Europeo de Protección de Datos por la que se constata el incumplimiento por la Junta Única de Resolución de sus obligaciones en materia de tratamiento de datos personales — Reglamento (UE) 2018/1725 — Artículo 15, apartado 1, letra d) — Obligación de información al interesado — Transmisión de datos seudonimizados a un tercero — Artículo 3, punto 1 — Concepto de “datos personales” — Artículo 3, punto 6 — Concepto de “seudonimización” »
En el asunto C‑413/23 P,
que tiene por objeto un recurso de casación interpuesto, con arreglo al artículo 56 del Estatuto del Tribunal de Justicia de la Unión Europea, el 5 de julio de 2023,
Supervisor Europeo de Protección de Datos (SEPD), representado inicialmente por la Sra. P. Candellier y los Sres. G. Devin, X. Lareo, D. Nardi y T. Zerdick y posteriormente por la Sra. P. Candellier y los Sres. X. Lareo, D. Nardi, N. Stolić y T. Zerdick, en calidad de agentes,
parte recurrente,
apoyado por
Comité Europeo de Protección de Datos, representado por las Sras. C. Foglia y M. Gufflet, el Sr. G. Le Grand y la Sra. I. Vereecken, en calidad de agentes, asistidos por el Sr. E. de Lophem, avocat, el Sr. G. Ryelandt, advocaat, y el Sr. P. Vernet, avocat,
parte coadyuvante en casación,
en el que la otra parte en el procedimiento es:
Junta Única de Resolución (JUR), representada por las Sras. H. Ehlers, M. Fernández Rupérez y A. Lapresta Bienz, en calidad de agentes, asistidas por los Sres. M. Braun y H.‑G. Kamann, Rechtsanwälte, y el por Sr. F. Louis, avocat,
parte demandante en primera instancia,
apoyada por
Comisión Europea, representada por los Sres. A. Bouchagiar y H. Kranenborg, en calidad de agentes,
parte coadyuvante en casación,
EL TRIBUNAL DE JUSTICIA (Sala Primera),
integrado por el Sr. F. Biltgen, Presidente de Sala, el Sr. T. von Danwitz (Ponente), Vicepresidente del Tribunal de Justicia, en funciones de Juez de la Sala Primera, y el Sr. A. Kumin, la Sra. I. Ziemele y el Sr. S. Gervasoni, Jueces;
Abogado General: Sr. D. Spielmann;
Secretario: Sr. M. Longar, administrador;
habiendo considerado los escritos obrantes en autos y celebrada la vista el 7 de noviembre de 2024;
oídas las conclusiones del Abogado General, presentadas en audiencia pública el 6 de febrero de 2025;
dicta la siguiente
Sentencia
1 Mediante su recurso de casación, el Supervisor Europeo de Protección de Datos (SEPD) solicita la anulación de la sentencia del Tribunal General de 26 de abril de 2023, JUR/SEPD (T‑557/20, en lo sucesivo, «sentencia recurrida», EU:T:2023:219), mediante la que este Tribunal anuló la decisión revisada del SEPD, de 24 de noviembre de 2020, adoptada a raíz de la solicitud de revisión presentada por la Junta Única de Resolución (JUR) de la decisión del SEPD, de 24 de junio de 2020, relativa a cinco reclamaciones presentadas por varios reclamantes (asuntos 2019‑947, 2019‑998, 2019‑999, 2019‑1000 y 2019‑1122) (en lo sucesivo, «decisión controvertida»).
I. Marco jurídico
2 Los considerandos 5, 16, 17 y 35 del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE (DO 2018, L 295, p. 39), tienen el siguiente tenor:
«(5) Redunda en interés de un enfoque coherente de la protección de datos personales en la Unión [Europea] y de la libre circulación de datos personales en la Unión, armonizar, en la medida de lo posible, las normas de protección de datos de las instituciones, órganos y organismos de la Unión con las adoptadas para el sector público en los Estados miembros. Cuando las disposiciones del presente Reglamento apliquen los mismos principios que las disposiciones del Reglamento (UE) 2016/679 [del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; en lo sucesivo, “RGPD”)], según la jurisprudencia del [Tribunal de Justicia], ambas deben interpretarse de manera homogénea, en particular porque debe entenderse que la estructura del presente Reglamento es equivalente a la del [RGPD].
[…]
(16) Los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable. Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable. Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos. Por lo tanto, los principios de protección de datos no deben aplicarse a la información anónima, es decir, información que no guarda relación con una persona física identificada o identificable o datos convertidos en anónimos de forma que el interesado no sea identificable o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, ni siquiera con fines estadísticos o de investigación.
(17) La aplicación de la seudonimización a los datos personales puede reducir los riesgos para los interesados afectados y ayudar a los responsables y a los encargados del tratamiento a cumplir sus obligaciones de protección de los datos. Así pues, la introducción explícita de la “seudonimización” en el presente Reglamento no pretende excluir ninguna otra medida relativa a la protección de los datos.
[…]
(35) Los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de la operación de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales. Se debe además informar al interesado de la existencia de la elaboración de perfiles y de las consecuencias de dicha elaboración. Si los datos personales se obtienen de los interesados, también se les debe informar de si están obligados a proporcionarlos y de las consecuencias en caso de que no lo hicieran. Dicha información puede proporcionarse en combinación con unos iconos normalizados que ofrezcan, de forma fácilmente visible, inteligible y claramente legible, una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presentan en formato electrónico deben ser legibles mecánicamente.»
3 El artículo 3, puntos 1, 6, 8 y 13, del Reglamento 2018/1725, titulado «Definiciones», establece:
«A efectos del presente Reglamento, se entenderá por:
1) “datos personales”: toda información sobre una persona física identificada o identificable (en lo sucesivo, “interesado”); se considerará persona física identificable a toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, unos datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;
[…]
6) “seudonimización”: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado concreto sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;
[…]
8) “responsable del tratamiento” o “responsable”: la institución o el organismo o la dirección general u otra entidad organizativa de la Unión que, por sí sola o conjuntamente con otros, determine los fines y medios del tratamiento de datos personales; cuando los fines y medios de ese tratamiento se determinen en un acto específico de la Unión, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser establecidos por el Derecho de la Unión;
[…]
13) “destinatario”: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por las citadas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento».
4 El artículo 4 de dicho Reglamento, titulado «Principios relativos al tratamiento de datos personales», dispone en su apartado 2:
«El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva”).»
5 El artículo 14 del mencionado Reglamento, titulado «Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado», establece en su apartado 1:
«El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 15 y 16, así como cualquier comunicación con arreglo a los artículos 17 a 24 y 35 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.»
6 El artículo 15 del mismo Reglamento, titulado «Información que debe facilitarse cuando los datos personales se obtengan del interesado», dispone:
«1. Cuando se obtengan de un interesado sus datos personales, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:
[…]
d) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
[…]
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:
a) el plazo durante el cual se almacenarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo;
b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o, en su caso, el derecho a oponerse al tratamiento o el derecho a la portabilidad de los datos;
[…]
e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de no facilitar tales datos;
[…]».
7 El artículo 24 del Reglamento 2018/1725 determina las condiciones en las que una decisión individual puede basarse en un tratamiento automatizado, incluida la elaboración de perfiles.
8 El artículo 26 de dicho Reglamento, titulado «Responsabilidad del responsable del tratamiento», establece en su apartado 1:
«Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.»
II. Antecedentes del litigio
9 Los antecedentes del litigio se exponen en los apartados 2 a 32 de la sentencia recurrida y pueden resumirse como sigue.
10 El 7 de junio de 2017, la sesión ejecutiva de la JUR adoptó la Decisión SRB/EES/2017/08 relativa a un dispositivo de resolución de Banco Popular Español, S. A., en virtud del Reglamento (UE) n.º 806/2014 del Parlamento Europeo y del Consejo, de 15 de julio de 2014, por el que se establecen normas uniformes y un procedimiento uniforme para la resolución de entidades de crédito y de determinadas empresas de servicios de inversión en el marco de un Mecanismo Único de Resolución y un Fondo Único de Resolución y se modifica el Reglamento (UE) n.º 1093/2010 (DO 2014, L 225, p. 1; en lo sucesivo, «Reglamento MUR»).
11 En esta Decisión, la JUR, al considerar que se cumplían las condiciones establecidas en el artículo 18, apartado 1, del Reglamento MUR, decidió la resolución de Banco Popular Español (en lo sucesivo, «Banco Popular»). De esta forma, la JUR decidió amortizar y convertir los instrumentos de capital de Banco Popular con arreglo al artículo 21 del Reglamento MUR y aplicar el instrumento de venta del negocio de conformidad con el artículo 24 del citado Reglamento mediante la transmisión de las acciones a un comprador.
12 El mismo día, la Comisión Europea adoptó la Decisión (UE) 2017/1246, por la que se aprueba el régimen de resolución de Banco Popular Español, S. A. (DO 2017, L 178, p. 15).
13 A raíz de la resolución de Banco Popular, la JUR encargó a la sociedad de auditoría y consultoría Deloitte la valoración de la diferencia de trato, contemplada en el artículo 20, apartados 16 a 18, del Reglamento MUR, para determinar si los accionistas y acreedores de Banco Popular habrían recibido un mejor tratamiento si hubieran iniciado un procedimiento de insolvencia ordinario (en lo sucesivo, «valoración 3»). El 14 de junio de 2018, Deloitte remitió esta valoración a la JUR.
14 El 6 de agosto de 2018, la JUR publicó en su sitio de Internet la Comunicación, de 2 de agosto de 2018, relativa a la decisión preliminar respecto a la potencial concesión de una compensación a los accionistas y acreedores de Banco Popular Español, S. A., sobre los que se adoptaron las medidas de resolución, e inicio del proceso para presentar comentarios (derecho de audiencia) (SRB/EES/2018/132) (en lo sucesivo, «decisión preliminar»), y una versión no confidencial de la valoración 3. El 7 de agosto de 2018 se publicó en el Diario Oficial de la Unión Europea (DO 2018, C 277 I, p. 1) un anuncio en relación con la Comunicación de la JUR.
15 En la decisión preliminar, la JUR indicó que, para poder adoptar una decisión final sobre si era necesario conceder una compensación a los accionistas y acreedores afectados por la resolución de Banco Popular (en lo sucesivo, «accionistas y acreedores afectados») en virtud del artículo 76, apartado 1, letra e), del Reglamento MUR, les invitaba a manifestar su interés en ejercer su derecho a ser oídos con arreglo al artículo 41, apartado 2, letra a), de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»).
A. Sobre el procedimiento relativo al derecho a ser oído
16 Según las indicaciones que figuran en la decisión preliminar, el procedimiento relativo al derecho a ser oído debía desarrollarse en dos fases.
17 En una primera fase (en lo sucesivo, «fase de registro»), se invitaba a los accionistas y acreedores afectados a manifestar su interés en ejercer su derecho a ser oídos mediante un formulario de registro en línea hasta el 14 de septiembre de 2018. En esta fase, los accionistas y acreedores afectados que desearan ejercer su derecho a ser oídos debían aportar a la JUR documentos justificativos que demostraran que, en la fecha de la resolución de Banco Popular, eran titulares de uno o varios instrumentos de capital de esta entidad que habían sido amortizados o convertidos y transmitidos a Banco Santander, S. A., en el marco de la resolución. Los justificantes que debían presentarse incluían un documento de identidad y una prueba de la titularidad de uno de esos instrumentos de capital a 6 de junio de 2017. A continuación, la JUR debía comprobar si cada parte que hubiera manifestado su interés tenía efectivamente la condición de accionista o de acreedor afectado.
18 El 6 de agosto de 2018, fecha de inicio de la fase de registro, la JUR publicó también, en la página de Internet de registro en el procedimiento relativo al derecho a ser oído y en su sitio de Internet, una declaración de confidencialidad sobre el tratamiento de los datos personales en el procedimiento relativo al derecho a ser oído (en lo sucesivo, «declaración de confidencialidad»).
19 En una segunda fase (en lo sucesivo, «fase de consulta»), las personas cuya condición de accionistas y acreedores afectados había sido verificada por la JUR podían presentar sus comentarios sobre la decisión preliminar, a la que se adjuntaba la valoración 3. El 16 de octubre de 2018, la JUR anunció en su sitio de Internet que, a partir del 6 de noviembre de 2018, se invitaría a los accionistas y acreedores afectados a presentar sus comentarios escritos sobre la decisión preliminar en la fase de consulta.
20 El 6 de noviembre de 2018, mediante correo electrónico, la JUR envió a los accionistas y acreedores afectados un enlace personal único que les permitía acceder en Internet a un formulario, que incluía siete preguntas, con un espacio de respuesta limitado, para que los accionistas y acreedores afectados pudieran presentar, antes del 26 de noviembre de 2018, comentarios sobre la decisión preliminar y sobre la versión no confidencial de la valoración 3.
21 La JUR examinó los comentarios pertinentes de los accionistas y acreedores afectados relativos a la decisión preliminar. Solicitó a Deloitte que, como asesor independiente, evaluara los comentarios pertinentes relativos a la valoración 3, le facilitara un documento con su evaluación y examinara si esta seguía siendo válida a la luz de esos comentarios.
B. Sobre el tratamiento de los datos recabados por la JUR en el procedimiento relativo al derecho a ser oído
22 Los datos recabados en la fase de registro, a saber, las pruebas de la identidad de los accionistas y acreedores afectados y de la titularidad de instrumentos de capital del Banco Popular amortizados o convertidos y transmitidos, eran accesibles a un número limitado de miembros del personal de la JUR, a saber, los encargados del tratamiento de esos datos para determinar el derecho de esos accionistas y acreedores a una compensación.
23 Los miembros del personal de la JUR encargados del tratamiento de los comentarios recibidos en la fase de consulta no tenían acceso ni a los datos recabados en la fase de registro, de modo que esos comentarios estaban disociados de la información personal relativa a los accionistas y acreedores afectados que los habían presentado, ni a la clave de datos o a la información que permitía rastrear la identidad de un accionista o acreedor afectado por referencia al código alfanumérico único asignado a cada comentario presentado mediante el formulario. Este código alfanumérico consistía en un identificador único universal de treinta y tres cifras, generado de forma aleatoria en el momento de la recepción de las respuestas al formulario.
24 En una primera etapa, la JUR realizó un filtrado automático de 23 822 comentarios, cada uno con un código alfanumérico único, presentados por 2 855 participantes en el procedimiento. Dos algoritmos permitieron identificar 20 101 comentarios como idénticos. En este caso, el comentario presentado en primer lugar se consideró el comentario original, que se examinó en la fase de análisis, y los comentarios idénticos recibidos posteriormente se identificaron como duplicados.
25 En una segunda etapa, la JUR identificó los comentarios presentados que estaban comprendidos en el ámbito de aplicación del procedimiento relativo al derecho a ser oído por cuanto podían influir en la decisión preliminar o en la valoración 3. Acto seguido, dividió estos comentarios entre los que debía examinar la JUR por cuanto se referían a la decisión preliminar y los que debía examinar Deloitte por referirse a la valoración 3. Al término de esta etapa, la JUR identificó 3 730 comentarios clasificados en función de su pertinencia y de su tema.
26 En una tercera etapa, los comentarios relativos a la decisión preliminar fueron tratados por la JUR y los relativos a la valoración 3 —a saber, 1 104 comentarios— fueron transmitidos a Deloitte, el 17 de junio de 2019, a través de un servidor virtual de datos seguro y dedicado a la JUR. La JUR descargó los ficheros que debían remitirse a Deloitte en ese servidor y dio acceso a esos ficheros a un número limitado y controlado de miembros del personal de Deloitte, a saber, los directamente implicados en el examen de los comentarios relativos a la valoración 3.
27 Los comentarios transmitidos a Deloitte estaban filtrados, categorizados y agregados. Cuando constituían copias de comentarios anteriores, solamente se transmitía una versión a Deloitte, de modo que los comentarios individuales que habían sido replicados no podían distinguirse dentro de un mismo tema y Deloitte no tenía posibilidad de saber si un comentario había sido realizado por uno o varios participantes en el procedimiento relativo al derecho a ser oído.
28 Los comentarios transmitidos a Deloitte eran únicamente los recibidos en la fase de consulta y llevaban un código alfanumérico. Sin embargo, la JUR era la única que podía relacionar, mediante dicho código, los comentarios con los datos, en particular con los datos identificativos de los autores de los comentarios, recibidos en la fase de registro. El código alfanumérico se desarrolló con fines de auditoría para poder comprobar y eventualmente demostrar, en un procedimiento judicial, que cada comentario había sido tratado y debidamente tenido en cuenta. Deloitte no tenía acceso a la base de datos recabados en la fase de registro ni en el procedimiento relativo al derecho a ser oído, y seguía sin tener acceso a ella en la fecha en la que se pronunció la sentencia recurrida.
C. Sobre el procedimiento ante el SEPD
29 Durante los meses de octubre y diciembre de 2019, los accionistas y acreedores afectados que habían respondido al formulario remitieron al SEPD cinco reclamaciones con arreglo al Reglamento 2018/1725. Mediante estas reclamaciones, adujeron una infracción del artículo 15, apartado 1, letra d), de dicho Reglamento, debido a que la JUR no les había informado de que los datos obtenidos mediante las respuestas al formulario se transmitirían a terceros, a saber, Deloitte y Banco Santander, infringiendo los términos de la declaración de confidencialidad.
30 Al término de un procedimiento en el que la JUR proporcionó diversas explicaciones a petición del SEPD y los reclamantes presentaron observaciones, el SEPD adoptó, el 24 de junio de 2020, una decisión relativa a cinco reclamaciones presentadas por varios reclamantes contra la Junta Única de Resolución (asuntos 2019‑947, 2019‑998, 2019‑999, 2019‑1000 y 2019‑1122) (en lo sucesivo, «decisión inicial»). En esta decisión, el SEPD consideró que la JUR había infringido el artículo 15 del Reglamento 2018/1725 al no haber informado a los reclamantes, en la declaración de confidencialidad, de la posibilidad de que sus datos personales fueran comunicados a Deloitte. En consecuencia, dirigió un apercibimiento a la JUR por ese incumplimiento en virtud del artículo 58, apartado 2, letra b), de dicho Reglamento.
31 El 22 de julio de 2020, la JUR solicitó al SEPD que revisara la decisión inicial en virtud del artículo 18, apartado 1, de la Decisión del Supervisor Europeo de Protección de Datos, de 15 de mayo de 2020, por la que se adopta el Reglamento interno del SEPD (DO 2020, L 204, p. 49). La JUR proporcionó una descripción detallada del procedimiento relativo al derecho a ser oído y del análisis de los comentarios presentados, en la fase de consulta, por cuatro de los reclamantes identificados. Alegó que la información transmitida a Deloitte no constituía datos personales en el sentido del artículo 3, punto 1, del Reglamento 2018/1725.
32 El 5 de agosto de 2020, el SEPD informó a la JUR de que, a la vista de los nuevos elementos aportados, había decidido revisar la decisión inicial y de que adoptaría una decisión que la sustituyera.
33 El 24 de noviembre de 2020, al término del procedimiento de revisión, en el que los reclamantes presentaron observaciones y la JUR facilitó información adicional a petición del SEPD, este último adoptó la decisión controvertida.
34 Mediante esta decisión, el SEPD revisó la decisión inicial en los siguientes términos:
«1. El SEPD considera que los datos que la JUR compartió con Deloitte eran datos seudonimizados, tanto porque los comentarios de la fase [de consulta] eran datos personales como porque la JUR compartió el código alfanumérico que permitía relacionar las respuestas recibidas en la fase [de registro] con las recibidas en la fase [de consulta], a pesar de que los datos facilitados por los participantes para identificarse en la fase [de registro] no se comunicaron a Deloitte.
2. El SEPD considera que Deloitte era destinataria de los datos personales de los reclamantes en el sentido del artículo 3, punto 13, del Reglamento [2018/1725]. El hecho de que Deloitte no fuera mencionada en la declaración de confidencialidad de la JUR como potencial destinataria de los datos personales recabados y tratados por la JUR, en su condición de responsable del tratamiento en el marco del procedimiento relativo al derecho a ser oído, constituye un incumplimiento de la obligación de información establecida en el artículo 15, apartado 1, letra d), [del Reglamento 2018/1725].
3. A la luz de todas las medidas técnicas y organizativas adoptadas por la JUR para mitigar los riesgos para el derecho de las personas a la protección de datos en el marco del procedimiento relativo al derecho a ser oído, el SEPD decide no ejercer sus facultades correctoras establecidas en el artículo 58, apartado 2, [del Reglamento 2018/1725].
4. No obstante, el SEPD recomienda a la JUR cerciorarse de que sus declaraciones de confidencialidad en los futuros procedimientos relativos al derecho a ser oído cubran el tratamiento de datos personales tanto en la fase de registro como en la fase de consulta e incluyan a todos los potenciales destinatarios de la información recabada, a fin de cumplir plenamente la obligación de informar a los interesados de conformidad con el artículo 15 [del Reglamento 2018/1725]».
III. Procedimiento ante el Tribunal General y sentencia recurrida
35 Mediante escrito presentado en la Secretaría del Tribunal General el 1 de septiembre de 2020, la JUR interpuso un recurso por el que solicitaba, por un lado, la anulación de la decisión controvertida y, por otro lado, la declaración de ilegalidad de la decisión inicial.
36 En apoyo de la primera pretensión, la JUR invocó dos motivos, el primero de los cuales se basaba en la infracción del artículo 3, punto 1, del Reglamento 2018/1725 en la medida en que la información transmitida a Deloitte no constituía datos personales y el segundo, en la vulneración del derecho a una buena administración, consagrado en el artículo 41 de la Carta.
37 Mediante la sentencia recurrida, el Tribunal General desestimó por falta de competencia la segunda pretensión de que se declarase ilegal la decisión inicial, puesto que la JUR pretendía obtener una sentencia declarativa y no la anulación de un acto.
38 Sin embargo, en la sentencia recurrida, el Tribunal General declaró la admisibilidad de la primera pretensión. En cuanto al fondo, estimó el primer motivo del recurso y anuló la decisión controvertida, sin examinar el segundo motivo.
IV. Procedimiento ante el Tribunal de Justicia y pretensiones de las partes
39 Mediante decisión del Presidente del Tribunal de Justicia de 20 de octubre de 2023, se admitió la intervención de la Comisión en apoyo de la JUR. Mediante auto del Presidente del Tribunal de Justicia de 29 de noviembre de 2023, se admitió la intervención del Comité Europeo de Protección de Datos en apoyo de las pretensiones del SEDP.
40 El SEPD, apoyado por el Comité Europeo de Protección de Datos, solicita al Tribunal de Justicia que:
– Anule la sentencia recurrida.
– Resuelva definitivamente el litigio.
– Condene a la JUR a cargar con las costas tanto del procedimiento de casación como del procedimiento ante el Tribunal General.
41 La JUR, apoyada por la Comisión, solicita al Tribunal de Justicia que:
– Desestime el recurso de casación.
– Con carácter subsidiario, anule la decisión controvertida.
– Con carácter subsidiario de segundo grado, devuelva el asunto al Tribunal General.
– Condene al SEPD a cargar con las costas tanto del procedimiento de casación como del procedimiento ante el Tribunal General.
V. Sobre el recurso de casación
42 En apoyo de su recurso de casación, el SEPD, con el apoyo del Comité Europeo de Protección de Datos, invoca dos motivos, el primero de los cuales se basa en la infracción del artículo 3, puntos 1 y 6, del Reglamento 2018/1725, tal como lo interpreta el Tribunal de Justicia, y el segundo, en la infracción de los artículos 4, apartado 2, y 26, apartado 1, del mismo Reglamento.
A. Sobre el primer motivo de casación
43 Mediante su primer motivo de casación, el SEPD sostiene, en esencia, que, al declarar el Tribunal General que el SEPD había concluido erróneamente, en la decisión controvertida, que la información de que se trata en el presente asunto constituía datos personales, incurrió en error de Derecho al interpretar el artículo 3, puntos 1 y 6, del Reglamento 2018/1725. Este motivo se divide en dos partes. La primera parte se refiere al requisito, establecido en el artículo 3, punto 1, de dicho Reglamento, según el cual la información debe ser «sobre» una persona física, y la segunda parte se refiere al requisito, previsto en la misma disposición, relativo al carácter «identificable» de esa persona.
1. Primera parte del primer motivo de casación, basada en una interpretación errónea del requisito establecido en el artículo 3, punto 1, del Reglamento 2018/1725, según el cual la información debe ser «sobre» una persona física
a) Alegaciones de las partes
44 Mediante la primera parte del primer motivo de casación, el SEPD alega que, contrariamente a lo que declaró el Tribunal General, en los apartados 60 a 74 de la sentencia recurrida, la información transmitida a Deloitte era sobre una persona física, en el sentido del artículo 3, punto 1, del Reglamento 2018/1725.
45 En primer lugar, el SEPD sostiene que, contrariamente a lo que se desprende del apartado 70 de la sentencia recurrida, las autoridades de protección de datos no están obligadas, en ningún caso, a examinar el contenido, la finalidad o los efectos de una información para comprobar si se refiere a una persona física. Según el SEPD, no podía exigirse tal examen, en particular, en lo que respecta a los comentarios transmitidos por la JUR a Deloitte, dado que, a su juicio, estaba claro que esos comentarios versaban «sobre» una persona física, puesto que expresaban el punto de vista personal de determinados acreedores y accionistas de Banco Popular sobre su eventual derecho a una compensación con arreglo al artículo 76, apartado 1, letra e), del Reglamento MUR.
46 En segundo lugar, el SEPD sostiene, contrariamente a lo que se hace constar en el apartado 71 de la sentencia recurrida, que para concluir que existían datos personales, no solo se basó en la naturaleza de los comentarios transmitidos a Deloitte, sino también en el hecho de que el código alfanumérico también se había transmitido a dicha sociedad.
47 En tercer lugar, el SEPD alega que la sentencia recurrida adolece de una contradicción en la medida en que el Tribunal General, por un lado, señaló en el apartado 7 de dicha sentencia que precisamente el objetivo de los comentarios transmitidos a Deloitte era que personas físicas concretas, a saber, los accionistas y acreedores afectados, pudieran ejercer su derecho a ser oídos con vistas a una posible compensación con arreglo al artículo 76, apartado 1, letra e), del Reglamento MUR. Frente a esta primera constatación, el Tribunal General declaró, por otro lado, en el apartado 73 de la referida sentencia, que el SEPD se había basado en la presunción de que todos los comentarios transmitidos a Deloitte constituían datos personales, sin demostrar que se referían a personas físicas.
48 La JUR, apoyada por la Comisión, sostiene que estas alegaciones deben ser desestimadas.
49 En primer lugar, según la JUR, de acuerdo con la jurisprudencia derivada de las sentencias de 20 de diciembre de 2017, Nowak (C‑434/16, EU:C:2017:994), apartados 34 y 35, y de 4 de mayo de 2023, Österreichische Datenschutzbehörde y CRIF (C‑487/21, EU:C:2023:369), apartados 23 y 24, la información, objetiva o subjetiva, en forma de opiniones o apreciaciones, puede constituir datos personales siempre que sea «sobre» la persona en cuestión. Por otra parte, según esta jurisprudencia, una información se refiere a una persona física identificada o identificable cuando, debido a su contenido, su finalidad o sus efectos, la información está relacionada con una persona identificable. Así, en opinión de la JUR el Tribunal General declaró acertadamente, en los apartados 70 a 74 de la sentencia recurrida, que el SEPD no tuvo en cuenta dicha doctrina jurisprudencial, pues se limitó a indicar que los comentarios transmitidos a Deloitte reflejaban las opiniones o los puntos de vista de los accionistas y acreedores afectados sin, por tanto, haber examinado si, por su contenido, su finalidad o sus efectos, dichos comentarios se referían a una persona identificable.
50 En segundo lugar, la JUR sostiene que la alegación del SEPD según la cual la naturaleza de los datos personales de esos comentarios se deriva necesariamente de su finalidad constituye una nueva alegación fáctica presentada por primera vez ante el juez de casación, y que, por tanto, es inadmisible. En cualquier caso, considera que esta alegación es inoperante, en la medida en que el SEPD no examinó este extremo en la resolución controvertida.
51 Por lo que se refiere, en tercer lugar, a la supuesta contradicción entre los motivos de los apartados 7 y 73 de la sentencia recurrida, la JUR alega que la descripción que figura en el apartado 7 de dicha sentencia no contiene información alguna en relación con el contenido, la finalidad o los efectos de los comentarios transmitidos a Deloitte y que, por tanto, no contradice la conclusión expuesta en el apartado 73 de dicha sentencia.
b) Apreciación del Tribunal de Justicia
52 Con carácter preliminar, procede señalar que la definición del concepto de «datos personales» contemplada en el artículo 3, punto 1, del Reglamento 2018/1725 es sustancialmente idéntica a la que figura en el artículo 4, punto 1, del RGPD, que, por su parte, tiene un alcance esencialmente idéntico al que figuraba en el artículo 2, letra a), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31). Con el fin de garantizar una protección uniforme y coherente del Derecho de la Unión, procede garantizar una interpretación idéntica del artículo 3, punto 1, del Reglamento 2018/1725, del artículo 4, punto 1, del RGPD y del artículo 2, letra a), de la Directiva 95/46 (véanse, en este sentido, las sentencias de 7 de marzo de 2024, OC/Comisión, C‑479/22 P, EU:C:2024:215, apartado 43, y de 7 de marzo de 2024, IAB Europe, C‑604/22, EU:C:2024:214, apartado 33 y jurisprudencia citada).
53 El artículo 3, punto 1, del Reglamento 2018/1725 dispone que constituye un dato personal «toda información sobre una persona física identificada o identificable».
54 El Tribunal de Justicia ha declarado que el empleo de la expresión «toda información» en la definición del concepto de «datos personales», que figura en esa disposición y en el artículo 4, punto 1, del RGPD, evidencia el objetivo del legislador de la Unión de atribuir a este concepto un significado muy amplio, que puede abarcar todo género de información, tanto objetiva como subjetiva, en forma de opiniones o apreciaciones, siempre que sean «sobre» la persona en cuestión (sentencias de 4 de mayo de 2023, Österreichische Datenschutzbehörde y CRIF, C‑487/21, EU:C:2023:369, apartado 23 y jurisprudencia citada; de 7 de marzo de 2024, OC/Comisión, C‑479/22 P, EU:C:2024:215, apartado 45, y de 4 de octubre de 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, apartado 130).
55 Una información se refiere a una persona física identificada o identificable cuando, debido a su contenido, su finalidad o sus efectos, la información está relacionada con una persona identificable (sentencias de 20 de diciembre de 2017, Nowak, C‑434/16, EU:C:2017:994, apartado 35; de 7 de marzo de 2024, OC/Comisión, C‑479/22 P, EU:C:2024:215, apartado 45, y de 7 de marzo de 2024, IAB Europe, C‑604/22, EU:C:2024:214, apartado 37 y jurisprudencia citada).
56 En el presente asunto, si bien el Tribunal General señaló, en el apartado 70 de la sentencia recurrida, que el SEPD no había examinado ni el contenido ni la finalidad ni los efectos de la información que resulta de los comentarios transmitidos a Deloitte, de los apartados 71 y 72 de dicha sentencia se desprende, no obstante, que la constatación de que esos comentarios reflejaban las opiniones o los puntos de vista de los interesados habría requerido que el SEPD hubiera examinado previamente el contenido de los referidos comentarios. A partir de esta constatación, el SEPD concluyó que constituían información relativa a esas personas. Pues bien, según la jurisprudencia recordada en el apartado 55 de la presente sentencia, un examen del contenido de una información no necesariamente debe completarse con un análisis de la finalidad y de los efectos de dicha información, como indica el empleo de la conjunción «o» que enlaza los diferentes criterios contemplados por dicha jurisprudencia.
57 Sin embargo, en los apartados 73 y 74 de la sentencia recurrida, el Tribunal General consideró que el SEPD no podía calificar como datos personales la información que resultaba de los comentarios transmitidos a Deloitte basándose únicamente en la constatación de que se trataba de opiniones o de puntos de vista personales, sino que debería haber examinado, además, el contenido, la finalidad y los efectos de las opiniones expresadas, con el fin de determinar si estaban relacionadas con una persona concreta.
58 Esta apreciación del Tribunal General no tiene en cuenta la particular naturaleza de las opiniones o de los puntos de vista personales que, como expresión del pensamiento de una persona, están necesaria e íntimamente ligados a esta.
59 La interpretación expuesta en el apartado anterior se ve corroborada por la jurisprudencia derivada de la sentencia de 20 de diciembre de 2017, Nowak (C‑434/16, EU:C:2017:994), que versaba, entre otras cosas, sobre las anotaciones de un examinador en relación con las respuestas por escrito de un aspirante en un examen profesional. En efecto, en los apartados 42 a 44 de dicha sentencia, si bien el Tribunal de Justicia analizó el contenido, la finalidad y los efectos de esas anotaciones para concluir que constituían información relativa al aspirante, consideró, en esencia, que dichas anotaciones se referían asimismo al examinador, autor de estas, puesto que expresaban su opinión o su valoración.
60 De ello se infiere que el Tribunal General incurrió en error de Derecho al declarar, en los apartados 73 y 74 de la sentencia recurrida, que el SEPD, para concluir que la información que resultaba de los comentarios transmitidos a Deloitte era, en el sentido del artículo 3, punto 1, del Reglamento 2018/1725, «sobre» las personas que habían presentado los comentarios, debería haber examinado el contenido, la finalidad o los efectos de dichos comentarios, puesto que había quedado acreditado que estos expresaban la opinión o el punto de vista personal de sus autores.
61 Por lo tanto, sin que sea necesario examinar los argumentos resumidos en los apartados 46 y 47 de la presente sentencia, debe estimarse la primera parte del primer motivo de casación.
2. Segunda parte del primer motivo de casación, basada en la interpretación errónea del requisito establecido en el artículo 3, punto 1, del Reglamento 2018/1725, según el cual la información ha de referirse a una persona física «identificable»
62 Mediante la segunda parte del primer motivo de casación, el SEPD alega que, en los apartados 76 a 106 de la sentencia recurrida, el Tribunal General declaró erróneamente que no podía considerar que la información que resultaba de los comentarios transmitidos a Deloitte se refiriera a una persona física «identificable», en el sentido del artículo 3, punto 1, del Reglamento 2018/1725. Esta parte se compone de dos imputaciones distintas.
a) Sobre la primera imputación de la segunda parte del primer motivo de casación
1) Alegaciones de las partes
63 Para empezar, el SEPD recuerda que, a tenor del artículo 3, punto 1, del Reglamento 2018/1725, el responsable del tratamiento o «cualquier otra persona» debe poder identificar a un interesado con la información de que se trate. A falta de indicación sobre la persona que debe poder proceder a dicha identificación, basta con que el interesado pueda ser identificado. Pues bien, en el presente asunto, es pacífico que los comentarios transmitidos a Deloitte, de los que disponía la JUR, constituyen datos personales. Además, del artículo 3, punto 6, de dicho Reglamento, en relación con el considerando 16 de este, se desprende que los datos seudonimizados constituyen datos personales, y ello por el mero hecho de que exista información adicional que permita atribuirlos a una determinada persona.
64 Según el SEPD, las consideraciones expuestas en los apartados 90 y 91 de la sentencia recurrida no tienen suficientemente en cuenta los términos de estas disposiciones ni la distinción entre anonimización y seudonimización. A este respecto, el Comité Europeo de Protección de Datos precisa que, según la interpretación adoptada por el Tribunal General, los datos personales cambian de naturaleza cuando se transmiten a una entidad distinta del responsable del tratamiento, que no dispone de información adicional que permita identificar al interesado. Esta interpretación permitiría a ese responsable excluir indebidamente los datos personales del ámbito de aplicación del Derecho de la Unión en materia de protección de datos, aun cuando el tratamiento por la entidad externa expusiera a los interesados a riesgos importantes.
65 A continuación, el SEPD señala que, al introducir el concepto de «seudonimización», el legislador de la Unión aclaró que, para excluir datos personales del ámbito de aplicación del Derecho de la Unión en materia de protección de datos, no basta con separar esos datos de la información adicional que permitiría identificar al interesado.
66 Por último, el SEPD recuerda que el concepto de «datos personales» debe interpretarse en sentido amplio, lo que, en su opinión, es necesario para que la legislación en materia de protección de datos produzca su efecto útil. En su opinión, en la medida en que la interpretación del Tribunal General permitiría considerar erróneamente datos seudonimizados como datos anónimos, podría comprometer el elevado nivel de protección perseguido por el legislador de la Unión y exigido por la Carta. Según el Comité Europeo de Protección de Datos, la interpretación adoptada por el Tribunal General conlleva también el riesgo de que los datos seudonimizados puedan tratarse sin restricciones en virtud del RGPD y del Reglamento 2018/1725, incluidos su intercambio, su publicación y su transmisión a terceros países.
67 La JUR, apoyada por la Comisión, se opone a estas alegaciones.
2) Apreciación del Tribunal de Justicia
68 La primera imputación de la segunda parte del primer motivo de casación se basa, en esencia, en la consideración de que datos seudonimizados como los comentarios transmitidos a Deloitte constituyen, en cualquier caso, datos personales por el mero hecho de que exista información que permita identificar al interesado, sin que sea necesario examinar concretamente si, pese a la seudonimización, la persona a la que se refieren esos datos es identificable.
69 A este respecto, procede recordar que, a tenor del propio artículo 3, punto 1, del Reglamento 2018/1725, la información debe referirse a una persona física «identificada o identificable» para ser calificada de dato personal, en el sentido de dicha disposición. Así pues, la aplicación de este Reglamento presupone, en principio, un examen del carácter identificado o identificable de la persona a la que se refiere la información de que se trate.
70 Corroboran esta interpretación las frases quinta y sexta del considerando 16 del Reglamento 2018/1725, según las cuales no está comprendida en la definición del concepto de «datos personales» la «información anónima, es decir, información que no guarda relación con una persona física identificada o identificable», ni los «datos [personales] convertidos en anónimos de forma que el interesado no sea identificable o deje de serlo» (véase, por analogía, la sentencia de 5 de diciembre de 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, apartado 57).
71 Por lo que se refiere, más concretamente, a los datos seudonimizados, procede señalar, en primer lugar, que estos datos no se mencionan en la definición legal del concepto de «datos personales» que figura en el artículo 3, punto 1, del Reglamento 2018/1725, sino que sus características resultan del artículo 3, punto 6, de este Reglamento. Esta última disposición define el concepto de «seudonimización» como «el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado concreto sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable».
72 Como ha señalado, en esencia, el Abogado General en los puntos 46 y 48 de sus conclusiones, la seudonimización, por consiguiente, no constituye un elemento de la definición de «datos personales», sino que se refiere a la adopción de medidas técnicas y organizativas destinadas a reducir el riesgo de correlación de un conjunto de datos con la identidad de los interesados. Según el considerando 17 de dicho Reglamento, la seudonimización «[solo] puede reducir los riesgos» de correlación para esos interesados y, de este modo, «ayudar a los responsables y a los encargados del tratamiento a cumplir sus obligaciones de protección de los datos».
73 En segundo lugar, del tenor del artículo 3, punto 6, del Reglamento 2018/1725 se desprende que el concepto de «seudonimización» presupone la existencia de información que permite identificar al interesado. Pues bien, la propia existencia de esa información impide que los datos que hayan sido objeto de seudonimización puedan considerarse de ninguna forma datos anónimos, excluidos del ámbito de aplicación de ese Reglamento.
74 No es menos cierto, en tercer lugar, que la exigencia de conservar por separado la información de identificación y de las medidas técnicas y organizativas «destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable», prevista en el artículo 3, punto 6, del citado Reglamento, indica que la seudonimización tiene por objeto, en particular, evitar que el interesado pueda ser identificado solo con los datos seudonimizados.
75 En efecto, siempre que se adopten efectivamente tales medidas técnicas y organizativas y que estas puedan impedir que los datos de que se trate se atribuyan al interesado, de forma que este no sea identificable o deje de serlo, la seudonimización podrá afectar al carácter personal de esos datos en el sentido del artículo 3, punto 1, del Reglamento 2018/1725.
76 A este respecto, debe precisarse que, como ocurre normalmente en el caso del responsable del tratamiento que ha procedido a la seudonimización, la JUR dispone, en el presente asunto, de información adicional que permite atribuir los comentarios transmitidos a Deloitte al interesado, por lo que, en lo que a esta respecta, dichos comentarios conservan, a pesar de la seudonimización, su carácter personal.
77 Por lo que se refiere a Deloitte, que recibió de la JUR los comentarios seudonimizados, las medidas técnicas y organizativas contempladas en el artículo 3, punto 6, del Reglamento 2018/1725 pueden, como sostiene en esencia la JUR, tener por efecto que, para la mencionada sociedad, esos comentarios no tengan carácter personal. No obstante, ello presupone, por un lado, que Deloitte no pueda eludir esas medidas al tratar los comentarios bajo su control. Por otro lado, las referidas medidas deben poder impedir efectivamente que Deloitte atribuya esos comentarios al interesado recurriendo a medios de identificación adicionales, como el cotejo con otros elementos, de tal forma que, para esta sociedad, el interesado no sea identificable o deje de serlo.
78 Esta interpretación se ve corroborada por el considerando 16 del Reglamento 2018/1725, que, tras enunciar, en su primera frase, que «los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable», expone, en su segunda frase, que «los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable».
79 En efecto, a raíz de estas indicaciones relativas a los datos personales y a los datos seudonimizados, la tercera frase de este considerando precisa que, para determinar si una persona física es identificable, deben tenerse en cuenta «todos los medios […] que razonablemente» pueda utilizar el responsable del tratamiento o «cualquier otra persona» para identificar «directa o indirectamente» a la persona física. Por otra parte, la cuarta frase de este considerando expone que, para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta «todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos».
80 Pues bien, como ha señalado el Abogado General, en esencia, en el punto 51 de sus conclusiones, estas precisiones relativas a la evaluación del carácter identificable o no del interesado quedarían privadas de todo efecto útil si debiera considerarse que los datos seudonimizados constituyen, de cualquier forma y para cualquier persona, datos personales a efectos de la aplicación del Reglamento 2018/1725.
81 A este respecto, procede recordar que, en relación con un comunicado de prensa que incluía una serie de indicaciones relativas a una persona sin mencionar su nombre, el Tribunal de Justicia no se limitó, en su sentencia de 7 de marzo de 2024, OC/Comisión (C‑479/22 P, EU:C:2024:215), apartados 52 a 64, a constatar que el organismo de la Unión que publicó ese comunicado disponía de toda la información que permitía identificar a esa persona, sino que examinó si las indicaciones que figuraban en dicho comunicado permitían razonablemente que el público interesado identificara a esa persona, en particular mediante una combinación de esas indicaciones con la información disponible en Internet.
82 Por otra parte, el Tribunal de Justicia ya ha declarado que un medio no puede ser utilizado razonablemente para identificar al interesado cuando el riesgo de identificación resulte, en realidad, insignificante porque la identificación de esa persona esté prohibida por la ley o sea prácticamente irrealizable, por ejemplo porque implique un esfuerzo desmesurado en cuanto a tiempo, costes y recursos humanos (véase, en este sentido, la sentencia de 7 de marzo de 2024, OC/Comisión, C‑479/22 P, EU:C:2024:215, apartado 51 y jurisprudencia citada). Esta jurisprudencia corrobora la interpretación según la cual la existencia de información adicional que permita identificar al interesado no implica, por sí sola, que deba considerarse que los datos seudonimizados constituyen, de cualquier forma y para cualquier persona, datos personales a efectos de la aplicación del Reglamento 2018/1725.
83 En el mismo orden de ideas, el Tribunal de Justicia declaró, en esencia, en particular en las sentencias de 19 de octubre de 2016, Breyer (C‑582/14, EU:C:2016:779), apartados 44, 47 y 48, y de 7 de marzo de 2024, IAB Europe (C‑604/22, EU:C:2024:214), apartados 43 y 48, que datos por si solos impersonales, recogidos y conservados por el responsable del tratamiento, estaban no obstante relacionados con una persona identificable, puesto que el responsable del tratamiento disponía de vías legales para obtener de otros información adicional que permitía identificar a esa persona. En efecto, en tales circunstancias, el hecho de que la información que permitía identificar al interesado se encontrara en manos de diferentes personas no podía impedir efectivamente su identificación de forma que no fuera identificable para el responsable del tratamiento.
84 Sobre todo, según la jurisprudencia derivada de la sentencia de 9 de noviembre de 2023, Gesamtverband Autoteile-Handel (Acceso a las informaciones sobre los vehículos) (C‑319/22, EU:C:2023:837), apartados 46 y 49, los datos que por sí mismos son impersonales pueden adquirir carácter «personal» cuando el responsable del tratamiento los pone a disposición de otras personas que dispongan de medios que puedan permitir razonablemente la identificación del interesado. De esta última sentencia se desprende, en particular, que, en el contexto de esa puesta a disposición, los referidos datos presentan un carácter personal tanto para esas personas como, indirectamente, para el responsable del tratamiento.
85 Por consiguiente, habida cuenta de la jurisprudencia recordada en el apartado anterior, el SEPD sostiene erróneamente que el hecho de que los datos seudonimizados no presenten, en su caso, carácter personal para las personas a las que el responsable del tratamiento transmite datos seudonimizados permitiría sustraerlos indebidamente del ámbito de aplicación del Derecho de la Unión en materia de protección de datos personales. En efecto, según esa jurisprudencia, la circunstancia mencionada no influye en la apreciación del carácter personal de esos mismos datos en el contexto, en particular, de su eventual transmisión posterior a terceros. Así pues, siempre que no pueda excluirse que esos terceros podrían razonablemente atribuir, por medios como el cotejo con otros datos de que dispongan, los datos seudonimizados al interesado, este debe considerarse identificable tanto en lo que respecta a esa transmisión como a cualquier tratamiento posterior de esos datos por los referidos terceros. En tales circunstancias, los datos seudonimizados deben considerarse personales.
86 De ello se infiere que, contrariamente a lo que sostiene el SEPD, no debe considerarse que los datos seudonimizados constituyen, de cualquier forma y para cualquier persona, datos personales a efectos de la aplicación del Reglamento 2018/1725, en la medida en que la seudonimización puede, según las circunstancias del caso, impedir efectivamente que personas distintas del responsable del tratamiento identifiquen al interesado de tal manera que, para ellas, este no sea, o deje de ser, identificable.
87 Esta interpretación no queda desvirtuada por el hecho, invocado por el SEPD, de que la cuarta frase del considerando 16 del Reglamento 2018/1725 se refiera al responsable del tratamiento o a «cualquier otra persona». En efecto, del propio tenor de esta frase, recordado en el apartado 79 de la presente sentencia, se desprende que solo se refiere a las personas que disponen o pueden disponer de los medios que razonablemente puedan utilizarse para identificar al interesado. Pues bien, como se ha señalado en los apartados 75 a 77 de la presente sentencia, la seudonimización puede, según las circunstancias del caso, impedir efectivamente que personas distintas del responsable del tratamiento identifiquen al interesado de tal forma que, para ellas, este no sea identificable o deje de serlo.
88 Por lo que respecta al argumento del SEPD basado en el objetivo de garantizar un elevado nivel de protección de los datos personales, si bien los términos del artículo 3, punto 1, del Reglamento 2018/1725 reflejan el objetivo del legislador de la Unión de atribuir un sentido amplio al concepto de «datos personales», este concepto no es ilimitado, ya que esta disposición exige, en particular, que el interesado sea identificado o identificable.
89 En particular, como ha señalado el Abogado General en el punto 58 de sus conclusiones, el Reglamento 2018/1725 contiene obligaciones como la de facilitar información al interesado, prevista en el artículo 15 de dicho Reglamento, cuyo cumplimiento presupone identificar al interesado. Ahora bien, tales obligaciones no pueden imponerse a una entidad que no tiene ninguna posibilidad de llevar a cabo dicha identificación.
90 Por consiguiente, la primera imputación de la segunda parte del primer motivo de casación debe desestimarse por infundada.
b) Sobre la segunda imputación de la segunda parte del primer motivo de casación
1) Alegaciones de las partes
91 Mediante la segunda imputación de la segunda parte del primer motivo de casación, el SEPD alega que el Tribunal General no tuvo en cuenta la jurisprudencia derivada de la sentencia de 19 de octubre de 2016, Breyer (C‑582/14, EU:C:2016:779).
92 En primer lugar, el SEPD sostiene que el Tribunal General no tuvo en cuenta el carácter objetivo del requisito relativo al carácter «identificable» del interesado, al declarar, en los apartados 97, 99 y 100 de la sentencia recurrida, en particular, que el SEPD debería haber examinado si los comentarios transmitidos a Deloitte constituían, desde el punto de vista de este último, datos personales. En efecto, según el SEPD, de los apartados 47 y 48 de la sentencia de 19 de octubre de 2016, Breyer (C‑582/14, EU:C:2016:779), se desprende que la mera existencia de vías legales que permitan identificar al interesado basta para concluir que esa persona es identificable. Pues bien, a su juicio, en el presente asunto, la JUR podía identificar a los interesados, circunstancia que el Tribunal General no tuvo suficientemente en cuenta a la hora de aplicar la jurisprudencia derivada de dicha sentencia.
93 En segundo lugar, el SEPD sostiene que, en la citada sentencia, el carácter identificable o no del interesado se apreció desde el punto de vista del responsable del tratamiento, sin que existiera relación alguna entre ese responsable y las entidades que disponían de la información adicional que permitía identificar a esa persona. En cambio, en el presente asunto, Deloitte no es el responsable del tratamiento y, además, está vinculada por un contrato con la JUR. Habida cuenta de estas diferencias, el SEPD considera que no estaba obligado a realizar una evaluación completa de los medios que razonablemente hubieran podido permitir a Deloitte identificar a los interesados.
94 En cualquier caso, en el supuesto de que, no obstante, hubiera estado obligado a examinar si Deloitte podía identificar a los autores de los comentarios que se le habían transmitido, el SEPD sostiene que nada impedía a Deloitte llevar a cabo dicha identificación.
95 La JUR, apoyada por la Comisión, se opone a estas alegaciones.
96 En primer lugar, la JUR sostiene que en los apartados 96, 97 y 100, en particular, de la sentencia recurrida, el Tribunal General se basó acertadamente en un enfoque según el cual el carácter identificable del interesado debe examinarse en relación con cada interesado y cada persona responsable del tratamiento que trate la información pertinente. En su opinión, en el contexto de la obligación de información establecida en el artículo 15, apartado 1, letra d), del Reglamento 2018/1725, este examen debe situarse en la perspectiva del destinatario de la información de que se trate.
97 En segundo lugar, la JUR sostiene que el argumento basado en las supuestas diferencias que presenta el presente asunto con el que dio lugar a la sentencia de 19 de octubre de 2016, Breyer (C‑582/14, EU:C:2016:779), es inadmisible. Considera que este argumento cuestiona las apreciaciones fácticas del Tribunal General que figuran en los apartados 94 y 95 de la sentencia recurrida, según las cuales Deloitte no tenía acceso a los datos de identificación necesarios para identificar a los reclamantes.
2) Apreciación del Tribunal de Justicia
98 En los apartados 97 a 100 de la sentencia recurrida, en particular, el Tribunal General declaró, en esencia, que, de conformidad con la jurisprudencia derivada de la sentencia de 19 de octubre de 2016, Breyer (C‑582/14, EU:C:2016:779), el SEPD debería haber examinado si los comentarios transmitidos a Deloitte constituían, desde el punto de vista de este último, datos personales. Para llegar a esta conclusión, el Tribunal General señaló, en particular, que la infracción del artículo 15, apartado 1, letra d), del Reglamento 2018/1725, constatada en la decisión controvertida, consistía en la transmisión por parte de la JUR a Deloitte de esos comentarios y no en la mera posesión de estos por la JUR.
99 Con carácter preliminar, procede recordar que el artículo 3, punto 1, del Reglamento 2018/1725 no precisa expresamente la perspectiva pertinente para apreciar el carácter identificable del interesado, mientras que el considerando 16 de dicho Reglamento se refiere, de manera indiferenciada, al «responsable del tratamiento» o a «cualquier otra persona». Por otra parte, es jurisprudencia reiterada que, para que un dato pueda ser calificado de «dato personal», no es necesario que toda la información que permita identificar al interesado deba encontrarse en poder de una sola persona (véase, en este sentido, la sentencia de 19 de octubre de 2016, Breyer, C‑582/14, EU:C:2016:779, apartado 43, y de 7 de marzo de 2024, OC/Comisión, C‑479/22 P, EU:C:2024:215, apartado 48).
100 Según la jurisprudencia derivada, en particular, de la sentencia de 19 de octubre de 2016, Breyer (C‑582/14, EU:C:2016:779), recordada en los apartados 81 a 84 de la presente sentencia, la perspectiva pertinente para apreciar el carácter identificable del interesado depende esencialmente de las circunstancias que caracterizan el tratamiento de datos en cada caso concreto.
101 En el presente asunto, procede recordar que, en la decisión controvertida, el SEPD declaró que, al no mencionar a Deloitte como destinatario potencial de los comentarios en la declaración de confidencialidad presentada en el momento en que se obtuvieron estos, la JUR había incumplido su obligación de información con arreglo al artículo 15, apartado 1, letra d), del Reglamento 2018/1725.
102 El artículo 15, apartado 1, de dicho Reglamento establece la información que el responsable del tratamiento debe facilitar al interesado cuando los datos personales se obtengan de él, y precisa asimismo que dicha información debe facilitarse al interesado «en el momento en que [los datos personales] se obtengan». De la redacción de esa disposición se desprende que el responsable del tratamiento debe facilitar dicha información inmediatamente, a saber, en el momento en el que se recaban los datos (véase, por analogía, la sentencia de 29 de julio de 2019, Fashion ID, C‑40/17, EU:C:2019:629, apartado 104 y jurisprudencia citada).
103 Por lo que respecta, más concretamente, a la información relativa a los posibles destinatarios de los datos personales, contemplada en el artículo 15, apartado 1, letra d), de dicho Reglamento, se trata de una información que debe facilitarse, entre otras, en el momento en que se obtengan los datos del interesado.
104 El artículo 14, apartado 1, del Reglamento 2018/1725 establece que el responsable del tratamiento, concretamente, deberá tomar las medidas oportunas para que la información mencionada, en particular, en el artículo 15 de dicho Reglamento se facilite al interesado en forma concisa, transparente, inteligible y de fácil acceso y se formule con un lenguaje claro y sencillo, a fin de que el interesado esté en condiciones de comprender plenamente la información que se le dirija [véanse, por analogía, las sentencias de 4 de mayo de 2023, Österreichische Datenschutzbehörde y CRIF, C‑487/21, EU:C:2023:369, apartado 38, y de 11 de julio de 2024, Meta Platforms Ireland (Acción de representación), C‑757/22, EU:C:2024:598, apartados 55 y 56].
105 Asimismo, confirma la importancia que reviste el cumplimiento de tal obligación de información el considerando 35 del Reglamento 2018/1725, cuyas frases primera y segunda señalan que los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de la operación de tratamiento y de sus fines, destacando que el responsable del tratamiento debe facilitar cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales, como dispone el artículo 15, apartado 2, de dicho Reglamento [véase, por analogía, la sentencia de 11 de julio de 2024, Meta Platforms Ireland (Acción de representación), C‑757/22, EU:C:2024:598, apartado 57 y jurisprudencia citada].
106 Así pues, cuando la recogida de tales datos del interesado, como sucede en el presente asunto en el procedimiento relativo al derecho a ser oído, se basa en el consentimiento del interesado, la validez del consentimiento dado por el interesado depende, entre otros elementos, de si obtuvo previamente la información a la que tenía derecho en relación con todas las circunstancias que rodean el tratamiento de los datos en cuestión, según lo dispuesto en el artículo 15 del Reglamento 2018/1725, y que le permite dar su consentimiento con pleno conocimiento de causa [véase, por analogía, la sentencia de 11 de julio de 2024, Meta Platforms Ireland (Acción de representación), C‑757/22, EU:C:2024:598, apartado 60].
107 Por otra parte, por lo que se refiere al supuesto de que exista una obligación del interesado de facilitar datos personales al responsable del tratamiento, el considerando 35 de ese Reglamento precisa, en su cuarta frase, que se debe informar al interesado de si está obligado a proporcionarlos y de las consecuencias en caso de que no lo hiciera, lo que corrobora la importancia que reviste la información exigida por el artículo 15 del referido Reglamento, en el mismo momento de la recogida de los datos del interesado.
108 A la vista de lo anterior, resulta que la obligación de facilitar al interesado, en el momento de la recogida de los datos personales relacionados con él, la información relativa a los posibles destinatarios de esos datos tiene por objeto, en particular, que ese interesado pueda decidir con pleno conocimiento de causa si facilita o, por el contrario, se niega a facilitar sus datos personales así obtenidos.
109 Es preciso añadir que, como sostuvo, en esencia, la Comisión en la vista, es cierto que la información relativa a los eventuales destinatarios es igualmente indispensable para que el interesado pueda, posteriormente, defender sus derechos frente a esos destinatarios. No obstante, la obligación de facilitar esta información en el momento de la recogida de los datos personales garantiza, en particular, que el responsable del tratamiento no obtenga dichos datos o los transfiera a terceros en contra de la voluntad del interesado.
110 De ello se deduce que, como ha señalado el Abogado General en el punto 69 de sus conclusiones, la obligación de información establecida en el artículo 15, apartado 1, letra d), del Reglamento 2018/1725 se inserta en la relación jurídica existente entre el interesado y el responsable del tratamiento y, por ello, tiene por objeto la información relativa a dicho interesado tal como fue transmitida al citado responsable, es decir, antes de cualquier eventual transmisión a un tercero.
111 Por consiguiente, procede considerar que, a efectos de la aplicación de la obligación de información establecida en el artículo 15, apartado 1, letra d), del Reglamento 2018/1725, el carácter identificable del interesado debe apreciarse en el momento de la recogida de los datos y desde el punto de vista del responsable del tratamiento.
112 De ello resulta, como ha señalado el Abogado General, en esencia, en el punto 79 de sus conclusiones, que la obligación de información de la JUR se aplicaba en el presente asunto antes de la transmisión de los comentarios en cuestión, con independencia de si tenían o no carácter de datos personales, desde el punto de vista de Deloitte, tras su eventual seudonimización.
113 Esta interpretación no queda desvirtuada por el argumento de la JUR basado en el tenor del artículo 15, apartado 1, letra d), del Reglamento 2018/1725, que se refiere a los «destinatarios […] de los datos personales». En efecto, como se desprende de los apartados 102 a 108 de la presente sentencia, esta disposición regula la obligación de información que incumbe al responsable del tratamiento en el momento de la recogida de tales datos. Pues bien, la cuestión de si el responsable del tratamiento cumplió, en ese momento, su obligación de información no puede depender de las posibilidades de identificar al interesado que tuviera, en su caso, un eventual destinatario tras una transmisión posterior de los datos en cuestión.
114 Como ha señalado el Abogado General, en esencia, en el punto 77 de sus conclusiones, la alegación de la JUR según la cual procede situarse en el punto de vista del destinatario para controlar el cumplimiento de esta obligación de información tendría como consecuencia aplazar dicho control. En la medida en que ese control se refiere necesariamente a datos personales ya transmitidos al destinatario, este argumento tampoco tiene en cuenta el objeto de la obligación de información, la cual está intrínsecamente ligada a la relación entre el responsable del tratamiento y el interesado.
115 Por lo tanto, el Tribunal General incurrió en error de Derecho al declarar, en los apartados 97, 98, 100, 101 y 103 a 105 de la sentencia recurrida, que, para apreciar si la JUR había cumplido su obligación de información con arreglo al artículo 15, apartado 1, letra d), del Reglamento 2018/1725, el SEPD debería haber examinado si los comentarios transmitidos a Deloitte constituían, desde el punto de vista de este último, datos personales.
116 De ello se infiere que, sin que proceda examinar los argumentos del SEPD resumidos en los apartados 93 y 94 de la presente sentencia, la segunda imputación de la segunda parte del primer motivo de casación debe ser estimada.
B. Sobre el segundo motivo de casación
117 Dado que el primer motivo de casación es fundado en cuanto a su primera parte y a la segunda imputación de su segunda parte, no ha lugar a examinar el segundo motivo de casación del SEPD, basado en la infracción de los artículos 4, apartado 2, y 26, apartado 1, del Reglamento 2018/1725.
118 En consecuencia, al haberse estimado el primer motivo de casación, procede anular la sentencia recurrida.
VI. Sobre el recurso ante el Tribunal General
119 De conformidad con el artículo 61, párrafo primero, segunda frase, del Estatuto del Tribunal de Justicia de la Unión Europea, en caso de anulación de la resolución del Tribunal General, el Tribunal de Justicia podrá resolver definitivamente el litigio cuando su estado así lo permita.
120 En el presente asunto, el estado del litigio permite resolverlo en lo que respecta al primer motivo del recurso, basado en la supuesta infracción por parte del SEPD del artículo 3, punto 1, del Reglamento 2018/1725, en la medida en que la información transmitida a Deloitte no constituía datos personales. En efecto, a la luz de las consideraciones que figuran en los apartados 58 a 60 de la presente sentencia, el SEPD pudo, por un lado, considerar, sin incurrir en error de Derecho, que los comentarios transmitidos a Deloitte constituían información sobre personas físicas, a saber, los autores de dichos comentarios. Por otro lado, tal como se ha señalado en el apartado 111 de la presente sentencia, a la hora de aplicar la obligación de información establecida en el artículo 15, apartado 1, letra d), de dicho Reglamento, el carácter identificable del interesado debe apreciarse desde el punto de vista del responsable del tratamiento. Pues bien, es pacífico entre las partes que la JUR disponía, como responsable del tratamiento, de toda la información necesaria para identificar a los autores de los mencionados comentarios. De lo anterior resulta que la información controvertida constituye, contrariamente a lo que sostiene la JUR, datos personales. Por consiguiente, el primer motivo del recurso debe desestimarse por infundado.
121 En cambio, el estado del litigio no permite resolverlo por lo que respecta al segundo motivo del recurso, toda vez que este motivo implica apreciaciones fácticas que el Tribunal General no efectuó.
122 Por consiguiente, procede devolver el asunto al Tribunal General para que examine el segundo motivo.
VII. Costas
123 Dado que el asunto se devuelve al Tribunal General, procede reservar la decisión sobre las costas correspondientes al procedimiento de casación.
En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Primera) decide:
1) Anular la sentencia del Tribunal General de 26 de abril de 2023, JUR/SEPD (T‑557/20, EU:T:2023:219).
2) Devolver el asunto T‑557/20 al Tribunal General.
3) Reservar la decisión sobre las costas.
Firmas
* Lengua de procedimiento: inglés.