SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Primera)

3 de abril de 2025 ( *1 )

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 4 — Definiciones — Artículo 6 — Licitud del tratamiento — Artículo 86 — Acceso del público a documentos oficiales — Datos relativos al representante de una persona jurídica — Jurisprudencia de un órgano jurisdiccional nacional que impone la obligación de informar y consultar a la persona interesada antes de comunicar documentos oficiales que contengan tales datos»

En el asunto C‑710/23,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Nejvyšší správní soud (Tribunal Supremo de lo Contencioso-Administrativo, República Checa), mediante resolución de 1 de noviembre de 2023, recibida en el Tribunal de Justicia el 22 de noviembre de 2023, en el procedimiento entre

L. H.

Ministerstvo zdravotnictví,

EL TRIBUNAL DE JUSTICIA (Sala Primera),

integrado por el Sr. F. Biltgen, Presidente de Sala, el Sr. T. von Danwitz (Ponente), Vicepresidente del Tribunal de Justicia, y el Sr. A. Kumin, la Sra. I. Ziemele y el Sr. S. Gervasoni, Jueces;

Abogado General: Sr. J. Richard de la Tour;

Secretario: Sr. A. Calot Escobar;

habiendo considerado los escritos obrantes en autos;

consideradas las observaciones presentadas:

–	en nombre del Gobierno checo, por la Sra. L. Březinová y los Sres. M. Smolek y J. Vláčil, en calidad de agentes;

–	en nombre de la Comisión Europea, por los Sres. A. Bouchagiar y P. Ondrůšek, en calidad de agentes;

vista la decisión adoptada por el Tribunal de Justicia, oído el Abogado General, de que el asunto sea juzgado sin conclusiones;

dicta la siguiente

Sentencia

La petición de decisión prejudicial tiene por objeto la interpretación de los artículos 4, punto 1, y 6, apartado 1, letras c) y e), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; en lo sucesivo, «RGPD»).

Esta petición se ha presentado en el contexto de un litigio entre L. H. y el Ministerstvo zdravotnictví (Ministerio de Sanidad, República Checa) en relación con la decisión de este de no comunicar a L. H. determinada información relativa a representantes de personas jurídicas, mencionados en contratos de compraventa de pruebas de detección de la covid‑19 y en certificados relativos a dichas pruebas.

Marco jurídico

Derecho de la Unión

Los considerandos 1, 4, 10, 14 y 154 del RGPD exponen lo siguiente:

«(1)

La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea [(en lo sucesivo, “Carta”)] y el artículo 16 [TFUE, apartado 1,] establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.

[…]

(4)

El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto, sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad. El presente Reglamento respeta todos los derechos fundamentales y observa las libertades y los principios reconocidos en la Carta conforme se consagran en los Tratados, en particular el respeto de la vida privada y familiar, del domicilio y de las comunicaciones, la protección de los datos de carácter personal, la libertad de pensamiento, de conciencia y de religión, la libertad de expresión y de información, la libertad de empresa, el derecho a la tutela judicial efectiva y a un juicio justo, y la diversidad cultural, religiosa y lingüística.

[…]

(10)

Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión, el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. Debe garantizarse en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea. En lo que respecta al tratamiento de datos personales para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, los Estados miembros deben estar facultados para mantener o adoptar disposiciones nacionales a fin de especificar en mayor grado la aplicación de las normas del presente Reglamento. […] En este sentido, el presente Reglamento no excluye el Derecho de los Estados miembros que determina las circunstancias relativas a situaciones específicas de tratamiento, incluida la indicación pormenorizada de las condiciones en las que el tratamiento de datos personales es lícito.

[…]

(14)

La protección otorgada por el presente Reglamento debe aplicarse a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, en relación con el tratamiento de sus datos personales. El presente Reglamento no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto.

[…]

(154)

El presente Reglamento permite que, al aplicarlo, se tenga en cuenta el principio de acceso del público a los documentos oficiales. El acceso del público a documentos oficiales puede considerarse de interés público. Los datos personales de documentos que se encuentren en poder de una autoridad pública o un organismo público deben poder ser comunicados públicamente por dicha autoridad u organismo si así lo establece el Derecho de la Unión o [de] los Estados miembros aplicable a dicha autoridad u organismo. Ambos Derechos deben conciliar el acceso del público a documentos oficiales y la reutilización de la información del sector público con el derecho a la protección de los datos personales y, por tanto, pueden establecer la necesaria conciliación con el derecho a la protección de los datos personales de conformidad con el presente Reglamento. La referencia a autoridades y organismos públicos debe incluir, en este contexto, a todas las autoridades u otros organismos a los que se aplica el Derecho de los Estados miembros sobre el acceso del público a documentos. […]»

4	El artículo 1 del RGPD, titulado «Objeto», dispone lo siguiente en su apartado 2: «El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.»

A tenor del artículo 4 del RGPD, titulado «Definiciones»:

«A efectos del presente Reglamento se entenderá por:

“datos personales”: toda información sobre una persona física identificada o identificable (“el interesado”); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como, por ejemplo, un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

“tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

[…]».

El artículo 5 del RGPD, titulado «Principios relativos al tratamiento», dispone:

«1. Los datos personales serán:

a)	tratados de manera lícita, leal y transparente en relación con el interesado (“licitud, lealtad y transparencia”);

[…]».

El artículo 6 del RGPD, titulado «Licitud del tratamiento», establece:

«1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a)	el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b)	el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c)	el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d)	el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e)	el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

[…]

2. Los Estados miembros podrán mantener o introducir disposiciones más específicas a fin de adaptar la aplicación de las normas del presente Reglamento con respecto al tratamiento en cumplimiento del apartado 1, letras c) y e), fijando de manera más precisa requisitos específicos de tratamiento y otras medidas que garanticen un tratamiento lícito y equitativo, con inclusión de otras situaciones específicas de tratamiento a tenor del capítulo IX.

3. La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por:

a)	el Derecho de la Unión, o

b)	el Derecho de los Estados miembros que se aplique al responsable del tratamiento.

La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Dicha base jurídica podrá contener disposiciones específicas para adaptar la aplicación de normas del presente Reglamento, entre otras: las condiciones generales que rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados afectados; las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación; la limitación de la finalidad; los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones específicas de tratamiento a tenor del capítulo IX. El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido.

[…]»

El artículo 86 del RGDP, titulado «Tratamiento y acceso del público a documentos oficiales», forma parte del capítulo IX de este Reglamento, que contiene disposiciones relativas a situaciones específicas de tratamiento. Este artículo dispone lo siguiente:

«Los datos personales de documentos oficiales en posesión de alguna autoridad pública u organismo público o una entidad privada para la realización de una misión en interés público podrán ser comunicados por dicha autoridad, organismo o entidad de conformidad con el Derecho de la Unión o de los Estados miembros que se les aplique a fin de conciliar el acceso del público a documentos oficiales con el derecho a la protección de los datos personales en virtud del presente Reglamento.»

Derecho checo

9	La zákon č. 106/1999 Sb., o svobodném přístupu k informacím (Ley n.o 106/1999, sobre el Libre Acceso a la Información) establece que las autoridades públicas tendrán la obligación de comunicar información a la persona física o jurídica que lo solicite.

En virtud del artículo 8a, apartado 1, de esta Ley, el responsable de facilitar información únicamente comunicará datos relativos a la personalidad, a elementos de la esfera personal y a la privacidad de una persona física y datos personales de esta de conformidad con la normativa que regula la protección de dicha información.

Litigio principal y cuestiones prejudiciales

L. H. solicitó al Ministerio de Sanidad información sobre la identificación de personas que habían firmado contratos de compraventa de pruebas de detección de la covid‑19 celebrados con ese Ministerio y certificados sobre dichas pruebas que demostraban la posibilidad de usarlas en el territorio de la Unión.

El citado Ministerio estimó parcialmente la solicitud de L. H. y le comunicó los certificados sobre las pruebas, pero ocultando los datos correspondientes a las personas físicas que firmaron dichos certificados en nombre de las personas jurídicas interesadas, incluidos el nombre, los apellidos, la firma y la función desempeñada por esas personas físicas, así como, en algunos casos, también la dirección de correo electrónico, el número de teléfono y el sitio de Internet de las personas jurídicas. Con la censura de esta información, se pretendía proteger los datos personales de las personas físicas mencionadas en esos certificados, con arreglo a lo dispuesto en el RGPD.

L. H. interpuso ante el Městský soud v Praze (Tribunal Municipal de Praga, República Checa) un recurso contra la decisión de comunicación del Ministerio de Sanidad, aduciendo que este había ocultado la información arriba mencionada. Dicho órgano jurisdiccional estimó el recurso, considerando que el Ministerio no podía negarse por principio a comunicar datos que constituían datos personales sin haber informado o consultado previamente a las personas interesadas sobre la solicitud de comunicación de esos datos, como prevé la jurisprudencia nacional pertinente. Según dicho órgano jurisdiccional, el Ministerio de Sanidad, al actuar de este modo, por un lado, privó de la condición de «partes en el procedimiento», en el sentido del Derecho interno, a las personas interesadas y, por otro lado, no comprobó suficientemente en Derecho que no se cumpliera ninguna de las condiciones de licitud a las que se refiere el artículo 6, apartado 1, del RGPD.

El Ministerio de Sanidad interpuso ante el Nejvyšší správní soud (Tribunal Supremo de lo Contencioso-Administrativo, República Checa), que es el órgano jurisdiccional remitente, un recurso de casación contra la resolución del Městský soud v Praze (Tribunal Municipal de Praga). Según este Ministerio, el hecho de no haber informado a las personas físicas interesadas de la solicitud de comunicación de los datos de que se trata no puede considerarse un vicio procesal. Dicho Ministerio aduce que esas personas ejercen sus actividades desde China y el Reino Unido, países donde están registradas las personas jurídicas que emitieron los certificados, y que desconoce el domicilio de dichas personas. Por lo tanto, le resulta imposible informarlas y consultarlas al respecto.

En este contexto, el órgano jurisdiccional remitente se pregunta, en primer lugar, si los datos que son objeto del litigio principal constituyen «datos personales», en el sentido del artículo 4, punto 1, del RGPD. A la luz del considerando 14 de este Reglamento, dicho órgano jurisdiccional tiende a considerar que tales datos constituyen datos relativos a una persona jurídica, que no están comprendidos en el ámbito de aplicación de dicho Reglamento. Sin embargo, indica que la jurisprudencia del Tribunal de Justicia se inclina por una interpretación amplia del concepto de«datos personales», de lo que se desprende que la información relativa a personas físicas identificables que proceda, entre otras fuentes, de un Registro Mercantil queda incluida en el citado concepto.

En segundo lugar, en el supuesto de que el Tribunal de Justicia considere que los datos que son objeto del litigio principal constituyen datos personales, el órgano jurisdiccional remitente se plantea la compatibilidad con el Derecho de la Unión de la jurisprudencia nacional pertinente, que obliga al responsable del tratamiento que tramita una solicitud de comunicación de dichos datos a informar y consultarla a la persona interesada antes de comunicar tales datos al solicitante. El órgano jurisdiccional remitente puntualiza, además, que esta obligación se impone igualmente en situaciones en que el propio RGPD no exige el consentimiento de la persona interesada, a saber, en situaciones distintas de la contemplada en el artículo 6, apartado 1, letra a), del RGPD, de modo que dicha obligación va más allá de las exigencias del RGPD y, por ende, puede hacer que el acceso a los datos de que se trata resulte más difícil que en otros Estados miembros. Por otra parte, habida cuenta del ámbito de aplicación del RGPD, el órgano jurisdiccional remitente encuentra difícil, cuando no imposible, aplicar sistemáticamente la obligación de información y de consulta previas, particularmente cuando se trata de expedientes relativos a multitud de personas establecidas en diferentes países.

En estas circunstancias, el Nejvyšší správní soud (Tribunal Supremo de lo Contencioso-Administrativo) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1)

¿Constituye tratamiento de “datos personales” de una persona física, en el sentido del artículo 4, punto 1, del RGPD, y, por tanto, entra en el ámbito de aplicación del RGPD, la divulgación de información relativa al nombre, apellidos, firma y datos de contacto de una persona física en su condición de administrador o representante de una persona jurídica, realizada con el único fin de identificar a la (persona autorizada que actúa en nombre de esta) persona jurídica?

¿Puede el Derecho nacional, incluida la jurisprudencia consolidada, supeditar la aplicación de un reglamento de la Unión directamente aplicable, en este caso el artículo 6, apartado 1, letra c) o, en su caso, letra e), del RGPD, por parte de una autoridad administrativa a que se cumplan otras condiciones que no resultan del contenido del propio reglamento, pero que, de hecho, amplían el nivel de protección del interesado, concretamente a que se cumpla la obligación de la autoridad pública de informar previamente al interesado de la existencia de una solicitud de divulgación de sus datos personales a un tercero?»

Sobre las cuestiones prejudiciales

Primera cuestión prejudicial

Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente solicita que se dilucide, en esencia, si el artículo 4, puntos 1 y 2, del RGPD debe interpretarse en el sentido de que la comunicación del nombre, de los apellidos, de la firma y de los datos de contacto de una persona física que representa a una persona jurídica constituye un tratamiento de datos personales, aun cuando esa comunicación se efectúe con el único fin de posibilitar la identificación de la persona física autorizada a actuar en nombre de dicha persona jurídica.

Con carácter preliminar, cabe destacar que, según las indicaciones del órgano jurisdiccional remitente, las personas jurídicas que emitieron los certificados que son objeto del litigio principal están establecidas en países terceros, a saber, en China y en el Reino Unido. Si bien tales personas jurídicas pueden, en determinadas circunstancias, estar sujetas a las normas de publicidad contempladas en la Directiva (UE) 2017/1132 del Parlamento Europeo y del Consejo, de 14 de junio de 2017, sobre determinados aspectos del Derecho de sociedades (DO 2017, L 169, p. 46), en particular por lo que respecta a la publicidad obligatoria de la identidad de las personas que tengan poder para obligar a esas personas jurídicas frente a terceros, en el expediente que obra en poder del Tribunal de Justicia, nada indica que esta Directiva sea pertinente en el presente asunto.

Hecha esta observación preliminar, debe recordarse que, a tenor del artículo 4, punto 1, del RGPD, se entenderá por «dato personal»«toda información sobre una persona física identificada o identificable». Se considerará «persona física identificable», en el sentido de esta disposición, «toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como, por ejemplo, un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona».

Según reiterada jurisprudencia, el empleo de la expresión «toda información» en la definición del concepto de «datos personales» que figura en dicha disposición evidencia el objetivo del legislador de la Unión de atribuir a este concepto un significado amplio, que puede abarcar todo género de información, tanto objetiva como subjetiva, en forma de opiniones o apreciaciones, siempre que se trate de información «sobre» la persona en cuestión. Una información se refiere a una persona física identificada o identificable cuando, debido a su contenido, a su finalidad o a sus efectos, está vinculada a una persona identificable (sentencias de 7 de marzo de 2024, IAB Europe, C‑604/22, EU:C:2024:214, apartados 36 y 37, y de 4 de octubre de 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, apartados 130 y 131 y jurisprudencia citada).

Así pues, la información relativa a la identidad de las personas físicas identificadas o identificables que, como órgano legalmente previsto o como miembros de tal órgano, tengan poder para obligar a una sociedad con respecto a terceros constituye «datos personales», en el sentido del artículo 4, punto 1, del RGPD. El hecho de que esa información se integre en el contexto de una actividad profesional no puede privarla de su calificación como datos personales (véase, por analogía, la sentencia de 9 de marzo de 2017, Manni, C‑398/15, EU:C:2017:197, apartados 32 y 34 y jurisprudencia citada).

Como señala la Comisión Europea, esta interpretación no puede ser invalidada por el considerando 14 del RGPD, porque la segunda frase de este considerando hace referencia al «nombre» y a los «datos de contacto» de la persona jurídica, y no de las personas físicas que actúan en nombre o por cuenta de una persona jurídica.

Concretamente, debe señalarse que el nombre y apellidos de una persona física identificada o identificable constituyen datos personales, en el sentido del artículo 4, punto 1, del RGPD. Lo mismo cabe decir de la firma de tal persona física (véase, en este sentido, la sentencia de 4 de octubre de 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, apartado 136).

Por lo que respecta a los datos de contacto que son objeto del litigio principal, corresponderá al órgano jurisdiccional remitente comprobar si, habida cuenta del criterio jurisprudencial recordado en el apartado 21 de la presente sentencia, esos datos de contacto están vinculados a una persona física identificada o identificable.

En cuanto al concepto de «tratamiento», en el sentido del artículo 4, punto 2, del RGPD, esta disposición lo define como «cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción».

De la expresión «cualquier operación» se desprende que el legislador quiso dar un alcance amplio a este concepto, lo que queda corroborado por el carácter no exhaustivo, expresado por el vocablo «como», de las operaciones enumeradas en dicha disposición, que incluyen la comunicación por transmisión, la difusión y cualquier otra forma de habilitación de acceso, operaciones que pueden ser automatizadas o no automatizadas (véase, en este sentido, la sentencia de 7 de marzo de 2024, Endemol Shine Finland, C‑740/22, EU:C:2024:216, apartados 29 y 30 y jurisprudencia citada).

28	En todo caso, del tenor del artículo 4, punto 2, del RGPD no se desprende en modo alguno que el legislador de la Unión quisiera reservar la calificación de «tratamiento» a tales operaciones en función de la finalidad de estas.

Esta interpretación es conforme con el objetivo perseguido por el RGPD según resulta del artículo 1 y de los considerandos 1 y 10 de este Reglamento, que consiste, en particular, en garantizar un elevado nivel de protección de los derechos y libertades fundamentales de las personas físicas, sobre todo del derecho al respecto de la vida privada, en relación con el tratamiento de los datos personales, consagrado en el artículo 8, apartado 1, de la Carta y en el artículo 16 TFUE, apartado 1 (véase, en este sentido, la sentencia de 9 de enero de 2025, Association Mousse, C‑394/23, EU:C:2025:2, apartado 21 y jurisprudencia citada).

En concreto, la comunicación de datos como el nombre, los apellidos, la firma y los datos de contacto de una persona física que representa a una persona jurídica está comprendida en el concepto de «tratamiento», en el sentido del artículo 4, punto 2, del RGPD. Como se desprende de los apartados 27 a 29 de la presente sentencia, la circunstancia de que la comunicación de tales datos tenga como única finalidad posibilitar la identificación de una persona física autorizada a actuar en nombre de una persona jurídica carece de pertinencia a efectos de la calificación como «tratamiento», en el sentido de dicha disposición.

Habida cuenta de las consideraciones anteriores, procede responder a la primera cuestión prejudicial que el artículo 4, puntos 1 y 2, del RGPD debe interpretarse en el sentido de que la comunicación del nombre, de los apellidos, de la firma y de los datos de contacto de una persona física que representa a una persona jurídica constituye un tratamiento de datos personales. La circunstancia de que esa comunicación se efectúe con el único fin de posibilitar la identificación de una persona física autorizada a actuar en nombre de dicha persona jurídica carece de pertinencia a este respecto.

Segunda cuestión prejudicial

Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente solicita que se dilucide, en esencia, si el artículo 6, apartado 1, letras c) y e), del RGPD debe interpretarse en el sentido de que se opone a una jurisprudencia nacional que obliga a un responsable del tratamiento, que es una autoridad pública encargada de conciliar el derecho de acceso del público a documentos oficiales con el derecho a la protección de datos personales, a informar y consultar a la persona física interesada antes de comunicar documentos oficiales que contengan tales datos.

De conformidad con el objetivo perseguido por el RGPD, que se ha recordado en el apartado 29 de la presente sentencia, todo tratamiento de datos personales deberá, en particular, cumplir los principios relativos al tratamiento de dichos datos establecidos en el artículo 5 del RGPD y satisfacer las condiciones de licitud enumeradas en el artículo 6 de dicho Reglamento (sentencia de 9 de enero de 2025, Association Mousse, C‑394/23, EU:C:2025:2, apartado 22 y jurisprudencia citada).

34	A este respecto, el artículo 5, apartado 1, letra a), del RGPD dispone que los datos personales deberán tratarse de manera lícita, leal y transparente en relación con la persona interesada.

El artículo 6, apartado 1, letra c), del RGPD establece que el tratamiento será lícito solo si es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. A tenor del artículo 6, apartado 1, letra e), de dicho Reglamento, el tratamiento también será lícito solo si es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

Según el artículo 6, apartado 2, del RGPD, los Estados miembros podrán mantener o introducir disposiciones más específicas a fin de adaptar la aplicación de las normas de este Reglamento con respecto al tratamiento en cumplimiento del apartado 1, letras c) y e), de dicho artículo, fijando de manera más precisa requisitos específicos de tratamiento y otras medidas que garanticen un tratamiento lícito y equitativo, con inclusión de otras situaciones específicas de tratamiento, a las que se refiere el capítulo IX del RGPD.

El artículo 6, apartado 3, del RGPD dispone que la base del tratamiento indicado en el apartado 1, letras c) y e), de este artículo 6 deberá ser establecida, según el caso, por el Derecho de la Unión o por el Derecho de los Estados miembros que se aplique al responsable del tratamiento. La base jurídica pertinente deberá cumplir un objetivo de interés público y ser proporcional al fin legítimo perseguido. Dicha base jurídica también podrá contener disposiciones específicas para adaptar la aplicación de las normas del RGPD, como, entre otras, las condiciones generales que rigen la licitud del tratamiento por parte del responsable o las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones específicas de tratamiento, a las que se refiere el capítulo IX de dicho Reglamento.

Ha de señalarse además que, en materia de acceso del público a documentos oficiales, el artículo 86 del RGPD, que forma parte del capítulo IX de este Reglamento, establece que los datos personales de documentos oficiales en posesión de alguna autoridad pública u organismo público o de una entidad privada para la realización de una misión en interés público podrán ser comunicados por dicha autoridad, organismo o entidad, de conformidad con el Derecho de la Unión o de los Estados miembros pertinente, a fin de conciliar el acceso del público a documentos oficiales con el derecho a la protección de los datos personales.

Este artículo debe leerse a la luz, en primer término, del considerando 4 del RGPD, que expone, en particular, que el derecho a la protección de los datos personales no es un derecho absoluto; en segundo término, del considerando 154 de este Reglamento, del que se desprende, entre otras cosas, que el acceso del público a documentos oficiales puede considerarse de interés público, y, en tercer término, del criterio jurisprudencial según el cual el principio de transparencia, tal como emana de los artículos 1 TUE y 10 TUE y del artículo 15 TFUE, permite garantizar una mayor participación de los ciudadanos en el proceso de toma de decisiones y una mayor legitimidad, eficacia y responsabilidad de la Administración para con los ciudadanos en un sistema democrático (sentencia de 22 de noviembre de 2022, Luxembourg Business Registers, C‑37/20 y C‑601/20, EU:C:2022:912, apartado 60 y jurisprudencia citada).

Si bien, como se desprende del considerando 10 del RGPD, los Estados miembros están facultados para mantener o adoptar disposiciones nacionales a fin de especificar en mayor grado la aplicación de las normas de este Reglamento, esos Estados deben utilizar su margen de apreciación respetando las condiciones y los límites establecidos por dicho Reglamento y deben legislar de tal modo que el contenido y los objetivos de este no resulten menoscabados (véase, en este sentido, la sentencia de 30 de marzo de 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, apartado 59 y jurisprudencia citada).

Además, de conformidad con el principio de proporcionalidad, los Estados miembros deben asegurarse de que las consecuencias prácticas, en particular de orden organizativo, generadas por los requisitos adicionales que fijen no sean excesivas (véase, en este sentido, la sentencia de 21 de diciembre de 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, apartado 67).

En el caso de autos, el tratamiento que es objeto del litigio principal puede estar comprendido tanto en la letra c) como en la letra e) del artículo 6, apartado 1, del RGPD, puesto que viene impuesto al responsable del tratamiento por la Ley n.o 106/1999, sobre el Libre Acceso a la Información, en el ejercicio de una misión en interés público que consiste en garantizar el acceso del público a documentos oficiales. A este respecto, es manifiesto que esta Ley obliga a las autoridades públicas a comunicar información, incluidos documentos oficiales, a las personas que lo soliciten.

Dicho esto, para el supuesto de que la información solicitada contenga datos personales, dicha Ley establece que estos datos solo puedan comunicarse respetando la normativa relativa a su protección, que, como indica el órgano jurisdiccional remitente, incluye el RGPD. De la resolución de remisión se desprende que la jurisprudencia del órgano jurisdiccional remitente ha elaborado obligaciones adicionales a las expresamente establecidas por dicho Reglamento, puesto que impone a las autoridades públicas informar y consultar a la persona interesada antes de proceder a cualquier comunicación de dichos datos.

Por lo que respecta a la compatibilidad con el RGPD de una jurisprudencia nacional como la controvertida en el litigio principal, ha de señalarse que, en virtud de las disposiciones a las que se refieren los apartados 36 y 37 de la presente sentencia, los Estados miembros pueden introducir disposiciones específicas para garantizar un tratamiento lícito y equitativo en situaciones específicas de tratamiento, como la contemplada en el artículo 86 del RGPD. En este sentido, una jurisprudencia de esa índole puede formar parte de la base jurídica del tratamiento, en el sentido del artículo 6, apartado 3, del RGPD.

Por consiguiente, el artículo 6, apartado 1, letras c) y e), del RGPD no se opone, en principio, a una jurisprudencia nacional que establezca la obligación de informar y consultar a la persona interesada antes de comunicar cualesquiera datos personales que le conciernan. En efecto, ese tipo de obligación puede garantizar un tratamiento de los datos lícito, leal y transparente con respecto a esa persona, en el sentido del artículo 5, apartado 1, letra a), del RGPD, permitiéndole expresar su opinión sobre la comunicación prevista. Así pues, esta obligación contribuye a alcanzar el objetivo expuesto en el artículo 29 de la presente sentencia y permite, a la vez, a la autoridad pública llevar a cabo, con pleno conocimiento de causa, la conciliación requerida por el artículo 86 del RGPD.

Sin embargo, habida cuenta del criterio jurisprudencial recordado en los apartados 40 y 41 de esta sentencia, una aplicación absoluta de dicha obligación podría dar lugar a una restricción desproporcionada del derecho de acceso del público a documentos oficiales, porque es concebible que, por diversos motivos, informar o consultar a la persona interesada resulte imposible o exija esfuerzos desproporcionados. En ese contexto, invocar la imposibilidad práctica de informar y consultar a esa persona para justificar la denegación sistemática de cualquier comunicación de información relativa a dicha persona llevaría a descartar todo intento de conciliar los intereses en juego, a pesar de que la conciliación está expresamente establecida en el artículo 86 del RGPD.

En el caso de autos, sin perjuicio de la comprobación por el órgano jurisdiccional remitente, el Ministerio de Sanidad parece haber basado su decisión de no comunicar el conjunto de los datos solicitados únicamente en esa imposibilidad práctica, sin haber intentado en modo alguno conciliar los intereses.

Habida cuenta de las consideraciones anteriores, procede responder a la segunda cuestión prejudicial que el artículo 6, apartado 1, letras c) y e), del RGPD, en relación con el artículo 86 de este Reglamento, debe interpretarse en el sentido de que no se opone a una jurisprudencia nacional que obliga a un responsable del tratamiento, que es una autoridad pública encargada de conciliar el derecho de acceso del público a documentos oficiales con el derecho a la protección de datos personales, a informar y consultar a la persona física interesada antes de comunicar documentos oficiales que contengan tales datos, siempre que esa obligación no sea imposible de poner en práctica ni exija esfuerzos desproporcionados y, por tanto, no conlleve una restricción desproporcionada del derecho de acceso del público a esos documentos.

Costas

Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Primera) declara:

El artículo 4, puntos 1 y 2, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),

debe interpretarse en el sentido de que

la comunicación del nombre, de los apellidos, de la firma y de los datos de contacto de una persona física que representa a una persona jurídica constituye un tratamiento de datos personales. La circunstancia de que esa comunicación se efectúe con el único fin de posibilitar la identificación de una persona física autorizada a actuar en nombre de dicha persona jurídica carece de pertinencia a este respecto.

El artículo 6, apartado 1, letras c) y e), del Reglamento 2016/679, en relación con el artículo 86 de este Reglamento,

debe interpretarse en el sentido de que

no se opone a una jurisprudencia nacional que obliga a un responsable del tratamiento, que es una autoridad pública encargada de conciliar el derecho de acceso del público a documentos oficiales con el derecho a la protección de datos personales, a informar y consultar a la persona física interesada antes de comunicar documentos oficiales que contengan tales datos, siempre que esa obligación no sea imposible de poner en práctica ni exija esfuerzos desproporcionados y, por tanto, no conlleve una restricción desproporcionada del derecho de acceso del público a esos documentos.

Firmas

( *1 ) Lengua de procedimiento: checo.