–

en nombre de Proximus NV, por los Sres. P. Craddock y T. de Haan, avocats, y por la Sra. E. Van Bogget, advocaat;

–

en nombre de Gegevensbeschermingsautoriteit, por las Sras. C. Buggenhoudt y E. Cloots y por el Sr. J. Roets, advocaten;

–

en nombre del Gobierno italiano, por la Sra. G. Palmieri, en calidad de agente, asistida por el Sr. E. De Bonis, avvocato dello Stato;

–

en nombre del Gobierno letón, por el Sr. E. Bārdiņš y las Sras. J. Davidoviča y K. Pommere, en calidad de agentes;

–

en nombre del Gobierno portugués, por la Sra. P. Barros da Costa, el Sr. L. Inez Fernandes y las Sras. M. J. Ramos y C. Vieira Guerra, en calidad de agentes;

–

en nombre del Gobierno rumano, por las Sras. E. Gane y L. Liţu, en calidad de agentes;

–

en nombre de la Comisión Europea, por los Sres. S. L. Kalėda, H. Kranenborg y P.‑J. Loewenthal, en calidad de agentes;

1

La petición de decisión prejudicial tiene por objeto la interpretación del artículo 12, apartado 2, en relación con el artículo 2, párrafo segundo, letra f), de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO 2002, L 201, p. 37), en su versión modificada por la Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (DO 2009, L 337, p. 11) (en lo sucesivo, «Directiva 2002/58»), y de los artículos 5, apartado 2, 17, 24 y 95 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; en lo sucesivo, «RGPD»).

2

Esta petición se ha presentado en el contexto de un litigio entre Proximus NV, sociedad belga, y la Gegevensbeschermingsautoriteit (Autoridad de Protección de Datos, Bélgica) (en lo sucesivo, «APD»), en relación con la resolución por la que la Geschillenkamer van de Gegevensbeschermingsautoriteit (Sala de Litigios de la APD; en lo sucesivo, «Sala de Litigios») impuso a Proximus medidas correctivas y una multa de 20000 euros por la infracción de varias disposiciones del RGPD.

3

El artículo 2, letra h), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31), dispone:

«A efectos de la presente Directiva, se entenderá por:

[…]

4

Los considerandos 10, 17, 38 y 39 de la Directiva 2002/58 tienen el siguiente tenor:

[…]

[…]

5

El artículo 1 de esta Directiva dispone lo siguiente:

«1.   La presente Directiva establece la armonización de las disposiciones nacionales necesaria para garantizar un nivel equivalente de protección de las libertades y los derechos fundamentales y, en particular, del derecho a la intimidad y la confidencialidad, en lo que respecta al tratamiento de los datos personales en el sector de las comunicaciones electrónicas, así como la libre circulación de tales datos y de los equipos y servicios de comunicaciones electrónicas en la Comunidad.

2.   Las disposiciones de la presente Directiva especifican y completan la Directiva [95/46] a los efectos mencionados en el apartado 1. Además, protegen los intereses legítimos de los abonados que sean personas jurídicas.

[…]»

6

A tenor del artículo 2, párrafo segundo, letra f), de la citada Directiva, titulado «Definiciones»:

«Además, a efectos de la presente Directiva se entenderá por:

[…]

7

El artículo 12 de esa Directiva, bajo la rúbrica «Guías de abonados», dispone:

«1.   Los Estados miembros velarán por que se informe gratuitamente a los abonados antes de ser incluidos en las guías acerca de los fines de las guías de abonados, impresas o electrónicas, disponibles al público o accesibles a través de servicios de información sobre las mismas, en las que puedan incluirse sus datos personales, así como de cualquier otra posibilidad de uso basada en funciones de búsqueda incorporadas en las versiones electrónicas de la guía.

2.   Los Estados miembros velarán por que los abonados tengan oportunidad de decidir si sus datos personales figuran en una guía pública, y en su caso cuáles de ellos, en la medida en que tales datos sean pertinentes para la finalidad de la guía que haya estipulado su proveedor, y de comprobar, corregir o suprimir tales datos. La no inclusión en una guía pública de abonados, así como la comprobación, corrección o supresión de datos personales de una guía, no deberán dar lugar al cobro de cantidad alguna.

3.   Los Estados miembros podrán exigir que para cualquier finalidad de una guía pública distinta de la búsqueda de datos de contacto de personas a partir de su nombre y, si resulta necesario, de un mínimo de otros identificadores, se recabe el consentimiento específico de los abonados.

[…]»

8

Los considerandos 42, 66 y 173 del RGPD tienen la siguiente redacción:

[…]

[…]

9

El artículo 4, puntos 2, 7 y 11, de este Reglamento tiene el siguiente tenor:

«A efectos del presente Reglamento se entenderá por:

[…]

[…]

[…]

10

El artículo 5 del RGPD, titulado «Principios relativos al tratamiento», establece:

«1.   Los datos personales serán:

[…]

2.   El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva”).»

11

A tenor del artículo 6 del RGPD, bajo la rúbrica «Licitud del tratamiento»:

«1.   El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

[…]».

12

El artículo 7 del RGPD, titulado «Condiciones para el consentimiento», establece lo siguiente:

«1.   Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.

[…]

3.   El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basad[o] en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.

[…]»

13

El artículo 16 del RGPD, bajo la rúbrica «Derecho de rectificación», dispone:

«El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.»

14

El artículo 17 del RGPD, titulado «Derecho de supresión (“el derecho al olvido”)», tiene el siguiente tenor:

«1.   El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:

[…]

[…]

2.   Cuando haya hecho públicos los datos personales y esté obligado, en virtud de lo dispuesto en el apartado 1, a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.

[…]»

15

El artículo 19 del RGPD, titulado «Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento», establece:

«El responsable del tratamiento comunicará cualquier rectificación o supresión de datos personales o limitación del tratamiento efectuada con arreglo al artículo 16, al artículo 17, apartado 1, y al artículo 18 a cada uno de los destinatarios a los que se hayan comunicado los datos personales, salvo que sea imposible o exija un esfuerzo desproporcionado. El responsable informará al interesado acerca de dichos destinatarios, si este así lo solicita.»

16

A tenor del artículo 24 del RGPD, bajo la rúbrica «Responsabilidad del responsable del tratamiento»:

«1.   Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.

2.   Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.

[…]»

17

El artículo 94 del RGPD, titulado «Derogación de la Directiva [95/46]», establece lo siguiente en su apartado 2:

«Toda referencia a la Directiva derogada se entenderá hecha al presente Reglamento. […]»

18

El artículo 95 del RGPD, de tenor «Relación con la Directiva [2002/58]», dispone:

«El presente Reglamento no impondrá obligaciones adicionales a las personas físicas o jurídicas en materia de tratamiento en el marco de la prestación de servicios públicos de comunicaciones electrónicas en redes públicas de comunicación de la Unión [Europea] en ámbitos en los que estén sujetas a obligaciones específicas con el mismo objetivo establecidas en la Directiva [2002/58].»

19

El artículo 133 de la wet betreffende de elektronische communicatie (Ley sobre las Comunicaciones Electrónicas), de 13 de junio de 2005 (Belgisch Staatsblad, 20 de junio de 2005, p. 28070), que transpone al Derecho belga el artículo 12 de la Directiva 2002/58, tiene el siguiente tenor:

«§ 1.   Los proveedores de un servicio telefónico accesible al público informarán gratuitamente a sus abonados antes de incluirlos en una guía o servicio de información sobre números de abonados de:

Solo figurarán en la guía o servicio de información sobre números de abonados los datos personales que sean pertinentes para la finalidad comunicada con arreglo al párrafo primero que el abonado en cuestión haya indicado que podían figurar en la guía o servicio de información sobre números de abonados de que se trate.

A tal efecto, el operador formulará al abonado dos preguntas distintas:

[…]

§ 2.   Todo abonado tendrá derecho a consultar sus datos personales en las condiciones establecidas en virtud de la Ley de 8 de diciembre de 1992, relativa a la protección de la intimidad en lo que respecta a los tratamientos de datos personales.

Todo abonado tendrá también derecho a que se corrijan o supriman gratuitamente de la guía o servicio de información sobre números de abonados sus datos personales con arreglo a los procedimientos y en las condiciones establecidos por el Rey, previo dictamen de la Comisión de protección de la intimidad y del Instituto.»

20

El artículo 45, apartado 2, de dicha Ley obliga a los operadores de servicios telefónicos a poner a disposición de los proveedores de guías públicas los datos relativos a sus abonados. En virtud del artículo 45, apartado 3, de esa Ley, dichos operadores aislarán los datos relativos a los abonados que hayan solicitado no figurar en una guía, de modo que los abonados puedan recibir la guía sin que figuren en ella sus datos.

21

Proximus, un prestador de servicios de telecomunicaciones en Bélgica, también suministra guías telefónicas y servicios de información sobre números de teléfono accesibles al público (en lo sucesivo, «guías»), de conformidad con lo dispuesto en la Ley sobre las Comunicaciones Electrónicas. Estas guías incluyen el nombre, la dirección y el número de teléfono (en lo sucesivo, «datos de contacto») de los abonados de los distintos proveedores de servicios telefónicos accesibles al público (en lo sucesivo, «operadores»). Existen otras guías, publicadas por terceros.

22

Los operadores comunican periódicamente a Proximus los datos de contacto de esos abonados, con excepción de los datos de contacto de los abonados que han expresado su deseo de no figurar en las guías editadas por Proximus. En Bélgica, la distinción entre los abonados que desean figurar en las guías y los que no se traduce, en la práctica, en la asignación de un código en el registro del abonado, concretamente «NNNNN» para los abonados cuyos datos de contacto pueden figurar y «XXXXX» para los abonados cuyos datos de contacto se mantienen confidenciales. Además, Proximus transmite a otros proveedores de guías los datos de contacto que recibe.

23

El denunciante es un abonado del operador de servicios telefónicos Telenet, que opera en el mercado belga. Telenet no suministra guías, pero transmite los datos de contacto de sus abonados a proveedores de guías, en particular a Proximus.

24

El 13 de enero de 2019, dicho abonado solicitó a Proximus que no mostrara sus datos de contacto en las guías que editan tanto Proximus como terceros. A raíz de tal solicitud, Proximus modificó en su sistema informático el régimen de ese abonado para que dejaran de hacerse públicos sus datos de contacto.

25

El 31 de enero de 2019, Proximus recibió de Telenet una actualización periódica de los datos de los abonados de este. Dicha actualización incluía nuevos datos del abonado en cuestión que no se indicaban como confidenciales. Tal información fue objeto de tratamiento automatizado por Proximus y registrada de modo que volviera a figurar en sus guías.

26

El 14 de agosto de 2019, tras comprobar que su número de teléfono había sido publicado en las guías de Proximus y de terceros, el abonado en cuestión solicitó una vez más a Proximus que no mostrara en ellas sus datos. Ese mismo día, Proximus respondió al denunciante que había suprimido sus datos de las guías y contactado con Google para que se suprimieran los enlaces pertinentes al sitio de Internet de Proximus. Proximus también informó al abonado de que había transmitido sus datos de contacto a otros proveedores de guías y de que, a través de las actualizaciones mensuales, dichos proveedores habían sido informados de la solicitud del denunciante.

27

Al mismo tiempo, el citado abonado presentó una queja en la APD contra Proximus alegando que, a pesar de que había solicitado que no se mostraran sus datos de contacto en las guías, su número de teléfono aparecía en algunas de ellas.

28

El 5 de septiembre de 2019, el abonado en cuestión y Proximus volvieron a intercambiarse correspondencia relativa a la publicación de datos de dicho abonado en la guía de un tercero. En este contexto, Proximus subrayó que transmite los datos de contacto de sus abonados a otros proveedores de guías, pero que desconoce los procedimientos de funcionamiento interno de tales proveedores.

29

El 30 de julio de 2020, tras un procedimiento contradictorio, la Sala de Litigios adoptó una resolución por la que imponía a Proximus medidas correctivas y una multa de un importe de 20000 euros por infracción, en particular, del artículo 6 del RGPD, en relación con su artículo 7, y del artículo 5, apartado 2, de dicho Reglamento, en relación con su artículo 24. En concreto, ordenó a Proximus, en primer lugar, que adoptara inmediatamente las medidas adecuadas a la retirada del consentimiento del abonado en cuestión y atendiera las peticiones de este en cuanto al ejercicio de su derecho a la supresión de sus datos. Asimismo, ordenó a Proximus que adoptara las medidas técnicas y organizativas apropiadas a fin de garantizar que los tratamientos de datos personales que realiza se ajusten a lo dispuesto en el RGPD. Por último, ordenó a Proximus que dejara de transmitir ilícitamente esos datos a otros proveedores de guías.

30

El 28 de agosto de 2020, Proximus recurrió dicha resolución ante el hof van beroep te Brussel (Tribunal de Apelación de Bruselas, Bélgica).

31

Según Proximus, de conformidad con el artículo 45, apartado 3, de la Ley sobre las Comunicaciones Electrónicas, no se requiere el consentimiento del abonado, si bien son los propios abonados quienes deben solicitar no figurar en las guías, con arreglo a un sistema denominado de «opt-out». En efecto, sin esa solicitud, el abonado en cuestión podrá figurar en las guías. Por ello, Proximus considera que, en el caso de autos, no se precisa «consentimiento» alguno, en el sentido de la Directiva 95/46 o del RGPD, por parte del abonado.

32

De opinión contraria, la APD alegó, en esencia, que el artículo 12, apartado 2, de la Directiva 2002/58 y el artículo 133, apartado 1, de la Ley sobre las Comunicaciones Electrónicas exigen el «consentimiento de los abonados», en el sentido del RGPD, para que los proveedores de guías puedan tratar y transmitir sus datos personales.

33

El tribunal remitente estima que la Directiva 2002/58 constituye una lex specialis respecto al RGPD, como, en su opinión, lo confirman el considerando 173 y el artículo 95 del RGPD. Por consiguiente, en las situaciones en las que la Directiva 2002/58 concreta la normativa del RGPD, las disposiciones específicas de esta Directiva prevalecen, como lex specialis, sobre las disposiciones más generales del RGPD.

34

En este contexto, el tribunal remitente observa que el artículo 12, apartado 2, de la Directiva 2002/58 y el artículo 133, apartado 1, de la Ley sobre las Comunicaciones Electrónicas, si bien exigen una expresión de voluntad de los abonados para que los proveedores de guías puedan tratar sus datos personales, no concretan si esta expresión de voluntad debe traducirse en el ejercicio de un derecho de opción, como sostiene Proximus, o en la manifestación de un verdadero consentimiento, en el sentido del RGPD, como indica la APD. A este respecto, el tribunal remitente destaca que la jurisprudencia del Tribunal de Justicia, en particular la sentencia de 5 de mayo de 2011, Deutsche Telekom (C‑543/09, EU:C:2011:279), apartado 61, declaró que, como se desprende de una interpretación lógica y sistemática del artículo 12 de la Directiva 2002/58, la expresión de voluntad controvertida se corresponde con un «consentimiento» que se refiere a la finalidad de la publicación de los datos en una guía pública, y no a la identidad del proveedor concreto de dicha guía.

35

Además, dado que no se ha definido ningún régimen específico en cuanto a la retirada por un abonado de esa expresión de voluntad o del citado «consentimiento» ni en la Directiva 2002/58, ni en la Ley sobre las Comunicaciones Electrónicas, ni en una orden de ejecución, el tribunal remitente se pregunta si todas las disposiciones del RGPD deben aplicarse de modo automático y sin restricciones también en el ámbito concreto de las guías telefónicas.

36

En tales circunstancias, el hof van beroep te Brussel (Tribunal de Apelación de Bruselas) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

37

Proximus alega que el asunto controvertido en el litigio principal no se refiere a la publicación, por un operador de servicios telefónicos, de guías que incluyen datos personales, de modo que debe considerarse inadmisible la primera cuestión prejudicial en la medida en que versa sobre tal supuesto.

38

Según reiterada jurisprudencia, las cuestiones sobre la interpretación del Derecho de la Unión planteadas por el juez nacional en el marco normativo y fáctico definido bajo su responsabilidad, y cuya exactitud no corresponde verificar al Tribunal de Justicia, disfrutan de una presunción de pertinencia. La negativa del Tribunal de Justicia a pronunciarse sobre una petición de decisión prejudicial planteada por un órgano jurisdiccional nacional solo es posible cuando resulta evidente que la interpretación solicitada del Derecho de la Unión no tiene relación alguna con la realidad o con el objeto del litigio principal, cuando el problema es de naturaleza hipotética o también cuando el Tribunal de Justicia no dispone de los elementos de hecho o de Derecho necesarios para responder de manera útil a las cuestiones planteadas (sentencia de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, apartado 48 y jurisprudencia citada).

39

En el caso de autos, el litigio principal enfrenta únicamente a una persona física y a una sociedad, que no es su operador de servicios telefónicos, en relación con el modo en que dicha sociedad ha tratado los datos personales de esa persona en la publicación de guías. De ello se deduce que la primera cuestión prejudicial es inadmisible en la medida en que pretende que se interpreten los requisitos que se derivan del artículo 12, apartado 2, de la Directiva 2002/58 en el supuesto de que sea el propio operador de servicios telefónicos de esa persona quien publique sus datos personales en las guías.

40

De lo anterior se desprende que, con su primera cuestión prejudicial, el tribunal remitente pregunta, en esencia, si el artículo 12, apartado 2, de la Directiva 2002/58, en relación con el artículo 2, párrafo segundo, letra f), de esta Directiva y con el artículo 95 del RGPD, debe interpretarse en el sentido de que se exige el «consentimiento», en el sentido del artículo 4, punto 11, del RGPD, del abonado de un operador de servicios telefónicos para que los datos personales de ese abonado figuren en las guías que publican proveedores distintos de dicho operador.

41

Para responder a esta cuestión prejudicial, es preciso recordar que, a tenor de su artículo 1, apartado 1, la Directiva 2002/58 establece, entre otros extremos, la armonización de las disposiciones nacionales necesaria para garantizar un nivel equivalente de protección de las libertades y los derechos fundamentales y, en particular, del derecho a la intimidad y a la confidencialidad, en lo que respecta al tratamiento de los datos personales en el sector de las comunicaciones electrónicas.

42

A este respecto, procede recordar que del artículo 12, apartado 1, de esta Directiva y de su considerando 38 se desprende que se informará a los abonados, antes de ser incluidos en guías públicas, acerca de la finalidad de las mismas y de cualquier uso particular que pueda hacerse de ellas, especialmente a través de funciones de búsqueda incorporadas al soporte lógico en las versiones electrónicas de las guías.

43

El considerando 39 de la citada Directiva precisa, a continuación, respecto a la obligación de información previa de los abonados con arreglo a su artículo 12, apartado 1, que «cuando los datos [personales] puedan ser transmitidos a una o más terceras partes, debe informarse al abonado de esta posibilidad, así como acerca del destinatario o de las categorías de posibles destinatarios».

44

Tras obtener la información mencionada en el apartado 1 del artículo 12 de la Directiva 2002/58, el abonado puede decidir, como se desprende del apartado 2, si sus datos personales figuran en una guía pública, y en su caso cuáles de ellos.

45

Como ya ha declarado el Tribunal de Justicia, tal información previa permite al abonado de que se trate dar su consentimiento a la publicación en guías públicas de datos de carácter personal que le conciernan, ya que ese consentimiento es necesario para tal publicación (véase, en este sentido, la sentencia de 5 de mayo de 2011, Deutsche Telekom, C‑543/09, EU:C:2011:279, apartados 54 y 58).

46

El artículo 12, apartado 3, de la Directiva 2002/58, a tenor del cual los Estados miembros pueden exigir que para cualquier finalidad de una guía pública distinta de la búsqueda de datos de contacto de personas a partir de su nombre «se recabe el consentimiento específico de los abonados», confirma el requisito de obtener el consentimiento del abonado de que se trate, a efectos de la publicación en guías de esos datos.

47

No obstante, como ha precisado el Tribunal de Justicia, de una interpretación lógica y sistemática del artículo 12 de la Directiva 2002/58 se deduce que el consentimiento contemplado en el apartado 2 de este artículo se refiere a la finalidad de la publicación de los datos en una guía pública, y no a la identidad del proveedor concreto de dicha guía. Por ello, cuando dicho abonado ha consentido en que sus datos sean publicados en una guía con una finalidad particular, generalmente no tendrá interés en oponerse a la publicación de los mismos datos en una guía similar (sentencia de 5 de mayo de 2011, Deutsche Telekom, C‑543/09, EU:C:2011:279, apartados 61 y 62).

48

El considerando 39 de dicha Directiva confirma al respecto que se permite la transmisión de datos personales de los abonados a terceras partes «a […] condición de que los datos no puedan utilizarse para otros fines más que aquellos para los que se recojan».

49

De ello se desprende que, si un abonado ha sido informado por un operador de servicios telefónicos como Telenet de la posibilidad de transmitir los datos de carácter personal que le conciernan a una tercera empresa, como Proximus, o a otros terceros, para publicarlos en una guía pública y el citado abonado ha consentido en la publicación de dichos datos en la guía, la transmisión por ese operador o esa empresa de estos mismos datos a otra empresa, que desee publicar una guía accesible al público impresa o electrónica o permitir la consulta de tales guías a través de servicios de información sobre números de abonados, no debe ser objeto de un nuevo consentimiento del citado abonado, siempre que se garantice que los datos de que se trate no puedan utilizarse con otros fines más que aquellos para los que se hayan recogido para su primera publicación. En efecto, el consentimiento, a que se refiere el artículo 12, apartado 2, de la Directiva 2002/58, de un abonado debidamente informado para que se publiquen en una guía pública datos de carácter personal que le conciernan se refiere a la finalidad de la publicación y se extiende a cualquier tratamiento ulterior de dichos datos por las terceras empresas que operen en el mercado de los servicios de información sobre números de abonados y guías accesibles al público, siempre que tales tratamientos persigan esta misma finalidad (sentencia de 5 de mayo de 2011, Deutsche Telekom, C‑543/09, EU:C:2011:279, apartado 65).

50

En cambio, como establece el considerando 39 de dicha Directiva, si quien recaba del usuario esos datos o cualquier tercero a quien se hayan transmitido los datos desea utilizarlos con otros fines, la renovación del consentimiento del abonado deberá obtenerla ya sea quien recabó inicialmente los datos o el tercero a quien se hayan transmitido.

51

Por lo que respecta a las condiciones en que se ha de manifestar ese consentimiento, del artículo 2, párrafo segundo, letra f), de la Directiva 2002/58, en relación con los artículos 94, apartado 2, y 95 del RGPD, resulta que ese consentimiento debe cumplir, en principio, los requisitos derivados del artículo 4, punto 11, de dicho Reglamento.

52

En el caso de autos, el artículo 4, punto 11, del RGPD, que es la disposición aplicable a los hechos controvertidos en el litigio principal, define el «consentimiento del interesado» en el sentido de que exige una manifestación de voluntad «libre, específica, informada e inequívoca» del interesado, en forma de declaración o de «clara acción afirmativa», que indique su aceptación del tratamiento de datos personales que le conciernen.

53

De ello se desprende que es necesario ese consentimiento para que los datos personales relativos al abonado de un operador de servicios telefónicos puedan figurar en las guías.

54

Consecuentemente, la publicación de datos personales relativos al abonado en cuestión en guías como las que editan Proximus u otros proveedores solo puede considerarse lícita, en el sentido del artículo 6, apartado 1, letra a), del RGPD, si concurre ese consentimiento, dado expresamente al operador de servicios telefónicos o a alguno de esos proveedores de guías.

55

Dicho esto, como se ha recordado en el apartado 49 de la presente sentencia, ese consentimiento no presupone que, cuando se dio, el interesado conociera forzosamente la identidad de todos los proveedores de guías que van a tratar sus datos personales.

56

Habida cuenta de las consideraciones anteriores, procede responder a la primera cuestión prejudicial que el artículo 12, apartado 2, de la Directiva 2002/58, en relación con el artículo 2, párrafo segundo, letra f), de esta Directiva y con el artículo 95 del RGPD, debe interpretarse en el sentido de que se exige el «consentimiento», en el sentido del artículo 4, punto 11, del RGPD, del abonado de un operador de servicios telefónicos para que los datos personales de ese abonado figuren en las guías que publican proveedores distintos de dicho operador, consentimiento que puede prestarse bien a tal operador, bien a uno de esos proveedores.

57

Mediante su segunda cuestión prejudicial, el tribunal remitente pide que se dilucide, en esencia, si el artículo 17 del RGPD debe interpretarse en el sentido de que la solicitud de un abonado de que se supriman sus datos personales de las guías constituye un recurso al «derecho de supresión», en el sentido de dicho artículo.

58

Es preciso señalar, antes de nada, que Proximus alega que el artículo 17 del RGPD no es aplicable a un proveedor de guías que, como en el caso de autos, no es el operador de servicios telefónicos del abonado y que una solicitud como la mencionada en el apartado anterior de la presente sentencia debería considerarse, a lo sumo, una solicitud de rectificación, en el sentido del artículo 16 de dicho Reglamento, de modo que la segunda cuestión prejudicial es inadmisible en la medida en que carece de pertinencia para el asunto controvertido en el litigio principal.

59

No obstante, las alegaciones formuladas por esta parte se refieren, en esencia, al ámbito de aplicación y al alcance y, por tanto, a la interpretación de las disposiciones del Derecho de la Unión sobre las que versa la segunda cuestión prejudicial. Así pues, tales alegaciones, que se refieren al fondo de la cuestión prejudicial planteada, no pueden, por su propia naturaleza, llevar a su inadmisibilidad (sentencia de 13 de enero de 2022, Minister Sprawiedliwości, C‑55/20, EU:C:2022:6, apartado 83).

60

De ello se deduce que la segunda cuestión prejudicial es admisible.

61

En primer lugar, es preciso subrayar que, en virtud del artículo 12, apartado 2, segunda frase, de la Directiva 2002/58, los abonados deben tener, en particular, la posibilidad de que se supriman de las guías públicas sus datos personales.

62

Dicho esto, conceder tal posibilidad a los abonados no constituye, para los proveedores de guías, una obligación específica, en el sentido del artículo 95 del RGPD, que permita excluir la aplicación de las disposiciones pertinentes de este Reglamento. En efecto, como puso de manifiesto, en esencia, el Abogado General en el punto 54 de sus conclusiones, la Directiva 2002/58 no contiene ninguna indicación acerca de las condiciones, la ejecución y las consecuencias de las solicitudes de supresión de los datos personales. Por ello, como se desprende, por otra parte, del considerando 10 de esta Directiva, en relación con el artículo 94 del citado Reglamento, las disposiciones del RGPD pueden aplicarse en tal supuesto.

63

En segundo lugar, del artículo 17, apartado 1, letras b) y d), del RGPD se desprende que el interesado tiene derecho a obtener del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual está obligado a suprimir sin dilación indebida esos datos, en particular, cuando el interesado «retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), […] y este no se base en otro fundamento jurídico» o también cuando «los datos personales hayan sido tratados ilícitamente».

64

A este respecto, por una parte, de la respuesta a la primera cuestión prejudicial resulta que la publicación en las guías de los datos personales de un abonado se basa en el consentimiento de este.

65

Por otra parte, de los artículos 6, apartado 1, letra a), y 7, apartado 3, del RGPD se desprende que ese consentimiento constituye uno de los requisitos necesarios que permiten considerar que es lícito el tratamiento de los datos personales del abonado de que se trate y que ese consentimiento puede retirarse en cualquier momento y de una forma tan fácil como la que permitió que el interesado lo diera.

66

En el caso de autos, cuando el abonado solicita que sus datos dejen de figurar en una guía, retira su consentimiento para la publicación de los mismos. Sobre la base de la retirada de su consentimiento, obtiene, en defecto de otro fundamento jurídico de tal tratamiento, el derecho a solicitar la supresión de sus datos personales de esa guía, en virtud del artículo 17, apartado 1, letra b), del RGPD o, en el supuesto de que el responsable del tratamiento siga publicando dichos datos de manera ilícita, en virtud del artículo 17, apartado 1, letra d), del citado Reglamento.

67

En estas circunstancias, hay que considerar que cabe reputar de recurso al «derecho a supresión» de datos personales, en el sentido del artículo 17 del RGPD, la solicitud de un abonado de que se supriman de las guías tales datos.

68

Esta conclusión no queda desvirtuada por la alegación formulada por Proximus de que se ha de considerar que el objeto de tal solicitud es permitir que dicho abonado ejerza su derecho a obtener del responsable del tratamiento la rectificación de los datos personales que le conciernan, en virtud del artículo 16 del RGPD. En efecto, a tenor de esta disposición, tal rectificación es posible cuando esos datos sean inexactos y persigue permitir al interesado que se completen.

69

Pues bien, en el caso de autos, la solicitud de supresión de los datos de un abonado que figuran en una guía no pretende sustituir determinados datos inexactos por datos correctos ni completar datos incompletos, sino suprimir la publicación de datos correctos.

70

El hecho de que esa supresión se traduzca, en el caso de autos, en la mera modificación del código atribuido al abonado en cuestión en la base de datos de Proximus a partir de la cual se publican en las guías los datos personales de ese abonado no impide que la solicitud de supresión de los datos personales que figuran en esas guías se considere una «solicitud de supresión», en el sentido del artículo 17 del RGPD. En efecto, como se desprende de los autos que obran en poder del Tribunal de Justicia, la forma de supresión prevista por dicho operador constituye una medida de carácter meramente técnico u organizativo que resulta necesaria para atender la solicitud de supresión de los datos personales del interesado e impedir la divulgación de estos.

71

Habida cuenta de las consideraciones anteriores, procede responder a la segunda cuestión prejudicial que el artículo 17 del RGPD debe interpretarse en el sentido de que la solicitud de un abonado de que se supriman sus datos personales de las guías constituye un recurso al «derecho de supresión» en el sentido de dicho artículo.

72

Mediante su tercera cuestión prejudicial, el tribunal remitente pregunta, en esencia, si los artículos 5, apartado 2, y 24 del RGPD deben interpretarse en el sentido de que una autoridad nacional de control puede exigir que el proveedor de guías, como responsable del tratamiento, adopte las medidas técnicas y organizativas apropiadas para informar a los terceros responsables del tratamiento —concretamente al operador de servicios telefónicos que le comunicó los datos personales de su abonado y a los demás proveedores de guías a los que él mismo suministró tales datos— de la retirada del consentimiento de dicho abonado.

73

Con carácter preliminar, es preciso señalar que, en el caso de autos, Proximus trató datos personales del denunciante, publicándolos y comunicándolos a otros proveedores de guías. Telenet, su operador de servicios telefónicos, también trató esos datos, en particular transmitiéndolos a Proximus. Lo mismo sucede con los demás proveedores de guías a los que Proximus transmitió los datos de contacto del denunciante, que los publicaron.

74

Además, es preciso observar, por una parte, que, como se ha recordado en el apartado 20 de la presente sentencia, si bien la Ley sobre las Comunicaciones Electrónicas obliga a los operadores de servicios telefónicos a transmitir los datos relativos a sus abonados a los proveedores de guías públicas, tales operadores deben aislar los datos relativos a los abonados que han solicitado no figurar en una guía, de modo que esos abonados puedan recibir una copia de dicha guía sin que figuren en ella sus datos.

75

De los autos que obran en poder del Tribunal de Justicia se desprende que, en la práctica, es a su operador de servicios telefónicos a quien el abonado suele dar su consentimiento para que sus datos personales se publiquen en una guía, consentimiento que permite que tales datos se transfieran a un tercero, proveedor de guías. Este proveedor puede comunicar, a su vez, esos datos a otros proveedores de guías, fundándose en el mismo consentimiento, de modo que esos responsables de tratamiento constituyen una cadena, ya que cada uno de ellos trata sucesivamente dichos datos, de manera independiente, sobre la base de un único consentimiento.

76

Por otra parte, de los autos de que dispone el Tribunal de Justicia también resulta que se anuló la actualización de la base de datos de Proximus que tenía por objeto dar respuesta a la retirada del consentimiento del denunciante una vez que su operador de servicios telefónicos transmitió a Proximus una nueva lista de datos relativos a sus abonados —para que tales datos fueran publicados en las guías— que no tenía en cuenta la retirada del consentimiento del denunciante hecha ante Proximus.

77

Por tanto, en este contexto, se plantea la cuestión de si un proveedor de guías, como Proximus, cuando un abonado de un operador de servicios telefónicos retira su consentimiento para figurar en las guías de ese proveedor, no solo debe actualizar su propia base de datos a fin de tener en cuenta tal retirada, sino también informar de la misma al operador de servicios telefónicos que le comunicó esos datos y a los demás proveedores de guías a los que él mismo transmitió esos datos.

78

En primer lugar, es preciso recordar que el artículo 6, apartado 1, letra a), del RGPD establece que un tratamiento será lícito si el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos. Pues bien, de la resolución de remisión se desprende que el denunciante retiró su consentimiento, en el sentido del artículo 7, apartado 3, de dicho Reglamento, para el tratamiento de sus datos personales de cara a su publicación en las guías. A raíz de esa retirada, el tratamiento de tales datos a efectos de su inclusión en las guías públicas, incluido el efectuado con idéntica finalidad por los operadores de servicios telefónicos o por otros proveedores de guías que se basan en el mismo consentimiento, deja de tener fundamento jurídico y es, por tanto, ilícito con arreglo al artículo 6, apartado 1, letra a), de dicho Reglamento.

79

En segundo lugar, es preciso recordar que, de conformidad con el artículo 5, apartados 1, letra a), y 2, del RGPD, el responsable del tratamiento debe asegurarse de que es capaz de demostrar que los datos personales son tratados de manera lícita, leal y transparente en relación con el interesado.

80

El artículo 24 del RGPD exige que, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con dicho Reglamento.

81

Como puso de manifiesto el Abogado General en el punto 67 de sus conclusiones, los artículos 5, apartado 2, y 24 del RGPD imponen a los responsables del tratamiento de datos personales obligaciones generales de responsabilidad y de cumplimiento. En particular, estas disposiciones exigen a los responsables del tratamiento que adopten las medidas apropiadas destinadas a prevenir las posibles infracciones de las normas establecidas por el RGPD, a fin de garantizar el derecho a la protección de datos.

82

Desde esta perspectiva, el artículo 19 del RGPD establece, en particular, que el responsable del tratamiento comunicará cualquier supresión de datos personales efectuada con arreglo al artículo 17, apartado 1, de dicho Reglamento a cada uno de los destinatarios a los que se hayan comunicado los datos personales, salvo que sea imposible o exija un esfuerzo desproporcionado.

83

Pues bien, de las obligaciones generales previstas en los artículos 5, apartado 2, y 24 del RGPD, en relación con su artículo 19, resulta que un responsable del tratamiento de datos personales, como Proximus, debe aplicar medidas técnicas y organizativas apropiadas para informar a los demás proveedores de guías a los que suministró tales datos de la retirada del consentimiento del interesado que le fue enviada. En circunstancias como las precisadas en el apartado 76 de la presente sentencia, el responsable del tratamiento debe velar también por informar al operador de servicios telefónicos que le ha comunicado esos datos personales, a fin de que el citado operador adapte la lista de datos personales que transmite automáticamente a dicho proveedor de guías y aísle los datos de aquellos de sus abonados que manifestaron su voluntad de retirar su consentimiento para que tales datos se hagan públicos.

84

En efecto, cuando, como en el caso de autos, distintos responsables del tratamiento se basan en el consentimiento único del interesado para tratar los datos personales de este con una misma finalidad, para que dicho interesado retire ese consentimiento basta con que se dirija a cualquiera de los responsables del tratamiento que se fundan en ese mismo consentimiento para solicitar su retirada.

85

Como señala acertadamente la Comisión, para garantizar la efectividad del derecho a retirar su consentimiento previsto en el artículo 7, apartado 3, del RGPD y garantizar que el consentimiento del interesado esté estrictamente vinculado a la finalidad para la que se dio, el responsable del tratamiento al que se dirigió el interesado para retirar su consentimiento al tratamiento de sus datos personales está efectivamente obligado a informar de tal retirada a cualquier persona que le haya transmitido esos datos y a quien haya transmitido, a su vez, dichos datos. Los responsables del tratamiento informados de este modo tienen a continuación, a su vez, la obligación de transmitir esta información a los demás responsables del tratamiento a los que comunicaron tales datos.

86

A este respecto, es preciso señalar, antes de nada, que esa obligación de información pretende prevenir cualquier posible infracción de las normas establecidas por el RGPD para garantizar el derecho a la protección de datos y se enmarca, por tanto, en las medidas apropiadas, en el sentido del artículo 24 del citado Reglamento. Además, como subrayó el Abogado General en el punto 68 de sus conclusiones, también se enmarca en la exigencia prevista en el artículo 12, apartado 2, de dicho Reglamento, en virtud de la cual el responsable del tratamiento está obligado a facilitar a los interesados el ejercicio de sus derechos conferidos, en particular, por el artículo 17 de dicho Reglamento.

87

Se ha de observar también que el hecho de que el responsable del tratamiento no estuviera obligado a informar acerca de la retirada del consentimiento del interesado podría dificultar especialmente esa retirada, dado que dicha persona podría considerarse obligada a dirigirse a todos los operadores. Tal enfoque sería, por tanto, contrario al artículo 7, apartado 3, del RGPD, según el cual debe ser tan fácil retirar el consentimiento al tratamiento de datos personales como darlo.

88

Por último, de conformidad con la jurisprudencia recordada en el apartado 49 de la presente sentencia, el consentimiento, a que se refiere el artículo 12, apartado 2, de la Directiva 2002/58, de un abonado debidamente informado para que se publiquen en una guía pública datos de carácter personal que le conciernan se refiere a la finalidad de la publicación y se extiende a cualquier tratamiento ulterior de dichos datos por las terceras empresas que operen en el mercado de las guías, siempre que tales tratamientos persigan esta misma finalidad.

89

De ello se deduce que, como indicó el Abogado General en el punto 68 de sus conclusiones, puesto que un proveedor de guías puede invocar el consentimiento para el tratamiento de datos otorgado para esta finalidad por un abonado a otro proveedor o a su operador de servicios telefónicos para retirar su consentimiento, el abonado debe poder dirigirse a cualquiera de los proveedores de guías o a ese operador con el fin de que se retiren sus datos de contacto de las guías publicadas por todos aquellos que se basaron en la expresión única de su consentimiento.

90

Habida cuenta de las consideraciones anteriores, procede responder a la tercera cuestión prejudicial que los artículos 5, apartado 2, y 24 del RGPD deben interpretarse en el sentido de que una autoridad nacional de control puede exigir que el proveedor de guías, como responsable del tratamiento, adopte las medidas técnicas y organizativas apropiadas para informar a los terceros responsables del tratamiento —concretamente al operador de servicios telefónicos que le comunicó los datos personales de su abonado y a los demás proveedores de guías a los que suministró tales datos— de la retirada del consentimiento de dicho abonado.

91

Mediante su cuarta cuestión prejudicial, el tribunal remitente pregunta, en esencia, si el artículo 17, apartado 2, del RGPD debe interpretarse en el sentido de que se opone a que una autoridad nacional de control ordene a un proveedor de guías, al que el abonado de un operador de servicios telefónicos solicitó que dejara de publicar sus datos personales, que adopte «medidas razonables», en el sentido de dicha disposición, a efectos de informar a los proveedores de motores de búsqueda de esa solicitud de supresión de datos.

92

Para responder a esta cuestión prejudicial, es preciso recordar que el artículo 17, apartado 2, del RGPD obliga al responsable del tratamiento que hizo públicos los datos personales, teniendo en cuenta la tecnología disponible y el coste de su aplicación, a adoptar medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.

93

Como se desprende del considerando 66 del RGPD, el objetivo de esta obligación es reforzar el derecho al olvido en el entorno en línea, por lo que se refiere, en especial, a la información que ponen a disposición en Internet los proveedores de motores de búsqueda que tratan datos publicados en línea.

94

En el caso de autos, consta que Proximus publicó en su guía los datos personales del denunciante y, por tanto, que esta sociedad debe ser considerada responsable del tratamiento que hizo públicos esos datos, en el sentido del artículo 17, apartado 2, del RGPD.

95

Además, procede recordar, por un lado, que, según reiterada jurisprudencia, la actividad de un motor de búsqueda, que consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según un orden de preferencia determinado, debe calificarse de «tratamiento» de datos personales, en el sentido del artículo 4, punto 2, del RGPD, cuando esa información contenga datos personales y, por otro lado, que el gestor de un motor de búsqueda debe ser considerado «responsable» de dicho tratamiento, en el sentido del artículo 4, punto 7, de dicho Reglamento y, por tanto, también de su artículo 17, apartado 2, [véase, en este sentido, la sentencia de 24 de septiembre de 2019, GC y otros (Retirada de enlaces a datos sensibles), C‑136/17, EU:C:2019:773, apartado 35 y jurisprudencia citada].

96

Por tanto, en circunstancias como las del litigio principal, hay que considerar que un responsable del tratamiento como Proximus está obligado, en virtud del artículo 17, apartado 2, del RGPD, a velar por que se adopten medidas razonables a fin de informar a los proveedores de motores de búsqueda de la solicitud que le remitió el abonado de un operador de servicios telefónicos a efectos de que se suprimieran sus datos personales. Dicho esto, como puso de manifiesto el Abogado General en el punto 76 de sus conclusiones, con el fin de valorar el carácter razonable de las medidas adoptadas por el proveedor de guías, el artículo 17, apartado 2, del RGPD prevé que deben tenerse en cuenta la tecnología disponible y el coste de aplicación, una tarea que corresponde principalmente a la autoridad competente en esta materia, sin perjuicio del control judicial.

97

En el caso de autos, de las observaciones escritas presentadas por la APD, que no han sido rebatidas en este punto por las demás partes del presente procedimiento, resulta que, en el segundo trimestre de 2020, el número de proveedores de motores de búsqueda que operaba en Bélgica era limitado. En particular, Google ostentaba una cuota de mercado comprendida entre el 90 %, por lo que respecta a las búsquedas efectuadas en los ordenadores personales, y el 99 %, por lo que respecta a las búsquedas efectuadas en los teléfonos inteligentes y tabletas.

98

Además, como se ha indicado en el apartado 26 de la presente sentencia, de los autos de los que dispone el Tribunal de Justicia se desprende que, a raíz de la solicitud del abonado de que no se mostrasen sus datos en las guías de dicho proveedor, Proximus respondió que no solo había suprimido esos datos de las guías telefónicas y de los servicios de información sobre números de abonados, sino que también había contactado con Google para que se suprimieran los enlaces pertinentes hacia el sitio de Internet de Proximus.

99

Habida cuenta de las consideraciones anteriores, procede responder a la cuarta cuestión prejudicial que el artículo 17, apartado 2, del RGPD debe interpretarse en el sentido de que no se opone a que una autoridad nacional de control ordene a un proveedor de guías, al que el abonado de un operador de servicios telefónicos solicitó que dejara de publicar sus datos personales, que adopte «medidas razonables», en el sentido de dicha disposición, a efectos de informar a los proveedores de motores de búsqueda de esa solicitud de supresión de datos.

100

Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional nacional, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Cuarta) declara: