–

en nombre de la Agentsia po vpisvaniyata, por el Sr. I. D. Ivanov y la Sra. D. S. Miteva, asistidos por la Sra. Z. N. Mandazhieva, advokat;

–

en nombre de OL, por ella misma, asistida por los Sres. I. Stoynev y T. Tsonev, advokati;

–

en nombre del Gobierno búlgaro, por la Sra. T. Mitova y el Sr. R. Stoyanov, en calidad de agentes;

–

en nombre del Gobierno alemán, por los Sres. J. Möller y P.‑L. Krüger, en calidad de agentes;

–

en nombre de Irlanda, por la Sra. M. Browne, Chief State Solicitor, el Sr. A. Joyce, la Sra. M. Lane y el Sr. M. Tierney, en calidad de agentes, asistidos por el Sr. I. Boyle Harper, BL;

–

en nombre del Gobierno italiano, por la Sra. G. Palmieri, en calidad de agente, asistida por la Sra. G. Natale, avvocato dello Stato;

–

en nombre del Gobierno polaco, por el Sr. B. Majczyna, en calidad de agente;

–

en nombre del Gobierno finlandés, por la Sra. A. Laine, en calidad de agente;

–

en nombre de la Comisión Europea, por el Sr. A. Bouchagiar, la Sra. C. Georgieva y los Sres. H. Kranenborg y L. Malferrari, en calidad de agentes;

1

La petición de decisión prejudicial tiene por objeto la interpretación de los artículos 3 y 4 de la Directiva 2009/101/CE del Parlamento Europeo y del Consejo, de 16 de septiembre de 2009, tendente a coordinar, para hacerlas equivalentes, las garantías exigidas en los Estados miembros a las sociedades definidas en el artículo 48 [CE, párrafo segundo], para proteger los intereses de socios y terceros (DO 2009, L 258, p. 11), y de los artículos 4, 6, 17, 58 y 82 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; en lo sucesivo «RGPD»).

2

Esta petición se ha presentado en el contexto de un litigio entre la Agentsia po vpisvaniyata (Agencia Responsable de las Inscripciones en los Registros, Bulgaria; en lo sucesivo, «Agencia») y OL, en relación con la negativa de la Agencia a suprimir determinados datos personales relativos a OL que figuran en un contrato de sociedad publicado en el Registro Mercantil.

3

La Directiva (UE) 2017/1132 del Parlamento Europeo y del Consejo, de 14 de junio de 2017, sobre determinados aspectos del Derecho de sociedades (DO 2017, L 169, p. 46), derogó y sustituyó a la Directiva 2009/101 a partir de la fecha de su entrada en vigor, a saber, el 20 de julio de 2017.

4

Los considerandos 1, 7, 8 y 12 de la Directiva 2017/1132 enuncian lo siguiente:

[…]

[…]

5

Incluido en la sección 1 del capítulo II del título I de la Directiva 2017/1132, sección que lleva por título «Constitución de la sociedad anónima», el artículo 4 de esta Directiva, con la rúbrica «Información obligatoria que ha de incluirse en los estatutos, en la escritura de constitución o en un documento separado», dispone lo siguiente:

«Figurarán al menos las siguientes indicaciones en los estatutos, o bien en la escritura de constitución, o bien en un documento separado que sea objeto de publicidad según las formas previstas por la legislación de cada Estado miembro, de conformidad con el artículo 16:

[…]

[…]».

6

La sección 1 del capítulo III del título I de dicha Directiva, con la rúbrica «Disposiciones generales», comprende los artículos 13 a 28.

7

A tenor del artículo 13 de esta Directiva, titulado «Ámbito de aplicación»:

«Las medidas de coordinación prescritas por la presente sección se aplicarán a las disposiciones legales, reglamentarias y administrativas de los Estados miembros relativas a las formas de sociedades que figuran en el anexo II.»

8

El artículo 14 de la Directiva 2017/1132, titulado «Actos e indicaciones que deben publicar las sociedades», dispone:

«Los Estados miembros tomarán las medidas necesarias para que la publicidad obligatoria relativa a las sociedades se refiera al menos a los actos e indicaciones siguientes:

[…]».

9

El artículo 15, apartado 1, de esta Directiva, titulado «Cambios en los actos e indicaciones», dispone:

«Los Estados miembros adoptarán las medidas necesarias para garantizar que todo cambio que se produzca en los actos e indicaciones a que se refiere el artículo 14 se introduzca en el registro competente a que se refiere el artículo 16, apartado 1, párrafo primero, y se haga público, de conformidad con lo dispuesto en el artículo 16, apartados 3 y 5, normalmente, dentro de un plazo de veintiún días a partir de la fecha de recepción de la documentación completa relacionada con dichos cambios, incluido, si procede, el control de legalidad según lo dispuesto en el Derecho nacional para la inscripción en el registro.»

10

A tenor del artículo 16 de la mencionada Directiva, titulado «Publicidad en el registro»:

«1.   En cada Estado miembro se abrirá un expediente, en un registro central, mercantil o de sociedades (en lo sucesivo, “registro”), por cada una de las sociedades inscritas.

[…]

3.   Todos los actos y todas las indicaciones sujetos a publicidad en virtud del artículo 14 se incluirán en el expediente o se inscribirán en el registro; el objeto de las inscripciones en el registro aparecerá en todo caso en el expediente.

Los Estados miembros se asegurarán de que las sociedades y demás personas y organismos sujetos a la obligación de presentar actos e indicaciones que deban publicarse de conformidad con el artículo 14, o de participar en dicha presentación, lo puedan hacer por medios electrónicos. Además, los Estados miembros podrán imponer a todas las sociedades, o a determinadas categorías de sociedad, la realización por medios electrónicos de todos estos actos o indicaciones, o a los de determinada categoría.

Todos los actos y todas las indicaciones mencionados en el apartado 14 que se presenten ya sea en papel o en formato electrónico, se incluirán en el expediente o se inscribirán en el registro, en formato electrónico. A tal fin, los Estados miembros se asegurarán de que todos los actos e indicaciones que se presenten sobre soporte papel sean convertidos para su registro en formato electrónico.

[…]

4.   Previa solicitud, podrá obtenerse una copia literal o en extracto de los actos e indicaciones mencionados en el artículo 14. Podrán presentarse al registro solicitudes en papel o por medios electrónicos, a elección del solicitante.

[…]

5.   La publicidad de los actos y las indicaciones que se mencionan en el apartado 3 se realizará por medio de una publicación literal o en extracto, o bien bajo la forma de una mención en el boletín nacional designado por el Estado miembro que señale el depósito del documento en el expediente o su inscripción en el registro. El boletín nacional designado al efecto por el Estado miembro podrá estar en formato electrónico.

Los Estados miembros podrán optar por sustituir dicha publicación en el boletín nacional por otra medida de efecto equivalente que implique, como mínimo, la utilización de un sistema que permita consultar las informaciones publicadas en orden cronológico a través de una plataforma electrónica central.

6.   Los actos e indicaciones no serán oponibles frente a terceros por la sociedad hasta después de la publicación mencionada en el apartado 5, salvo si la sociedad demuestra que estos terceros ya tenían conocimiento de los mismos.

[…]

7.   Los Estados miembros tomarán las medidas necesarias para evitar cualquier discordancia entre el contenido de la publicación efectuada de conformidad con el apartado 5 y el contenido del registro o expediente.

No obstante, en caso de discordancia, no podrá oponerse a terceros el texto publicado de conformidad con el apartado 5; estos, sin embargo, podrán invocarlo, a menos que la sociedad demuestre que han tenido conocimiento del texto recogido en el expediente o inscrito en el registro.

[…]»

11

El artículo 21 de la Directiva 2017/1132, titulado «Idioma de publicidad y traducción de documentos e indicaciones que deben publicarse», establece:

«1.   Los actos e indicaciones que deben publicarse en virtud del artículo 14 se redactarán y presentarán en una de las lenguas permitidas de acuerdo con el régimen lingüístico que aplique el Estado miembro en el que esté abierto el expediente contemplado en el artículo 16, apartado 1.

2.   Además de la publicación obligatoria mencionada en el artículo 16, los Estados miembros permitirán la publicación voluntaria de las traducciones de actos e indicaciones mencionados en el artículo 14, de conformidad con el artículo 16, en cualquiera de las lenguas oficiales de la Unión [Europea].

Los Estados miembros podrán establecer que la traducción de los citados actos e indicaciones sea una traducción jurada.

Los Estados miembros tomarán las medidas necesarias para facilitar el acceso por parte de terceros a las traducciones que se hayan publicado voluntariamente.

3.   Además de la publicación obligatoria mencionada en el artículo 16 y de la publicación voluntaria prevista en el apartado 2 del presente artículo, los Estados miembros podrán permitir que los actos e indicaciones pertinentes se publiquen en otra lengua o lenguas, de conformidad con el artículo 16.

[…]

4.   En casos de discrepancia entre los actos e indicaciones publicados en las lenguas oficiales del registro y la traducción publicada voluntariamente, esta no será oponible frente a terceros. […]»

12

A tenor del artículo 161 de esta Directiva, titulado «Protección de datos»:

«El tratamiento de datos personales que se efectúe en el contexto de la presente Directiva se hará conforme a lo dispuesto en la Directiva 95/46/CE [del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31)].»

13

El artículo 166 de la Directiva 2017/1132, que lleva por título «Derogación», establece:

«Quedan derogadas las Directivas [2009/101 y 2012/30] […].

Las referencias a las Directivas derogadas se entenderán hechas a la presente Directiva con arreglo a la tabla de correspondencias que figura en el anexo IV.»

14

El anexo II de la Directiva 2017/1132 enumera los tipos de sociedades a que se refieren los artículos 7, apartado 1, 13, 29, apartado 1, 36, apartado 1, 67, apartado 1, y 119, apartado 1, letra a), de dicha Directiva, entre las que figura, en el caso de Bulgaria, la OOD.

15

Conforme a la tabla de correspondencias que figura en el anexo IV de la Directiva 2017/1132, por una parte, los artículos 2, 2 bis, 3, 4 y 7 bis de la Directiva 2009/101 corresponden, respectivamente, a los artículos 14, 15, 16, 21 y 161 de la Directiva 2017/1132. Por otra parte, el artículo 3 de la Directiva 2012/30 se corresponde con el artículo 4 de la Directiva 2017/1132.

16

La Directiva 2017/1132 fue modificada, en particular, por la Directiva (UE) 2019/1151 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, por la que se modifica la Directiva 2017/1132 en lo que respecta a la utilización de herramientas y procesos digitales en el ámbito del Derecho de sociedades (DO 2019, L 186, p. 80), que entró en vigor el 31 de julio de 2019 y que dispone, en su artículo 1, titulado «Modificaciones de la Directiva [2017/1132]», lo siguiente:

«La Directiva [2017/1132] se modifica como sigue:

[…]

6) El artículo 16 se sustituye por el texto siguiente:

“Artículo 16

Publicidad en el registro

1.   En cada Estado miembro se abrirá un expediente, en un registro central, mercantil o de sociedades (en lo sucesivo, el ‘registro’), para cada una de las sociedades registradas en él.

[…]

2.   Todos los documentos e información que deban publicarse en virtud del artículo 14 se conservarán en el expediente a que se refiere el apartado 1 del presente artículo o se inscribirán directamente en el registro, y el objeto de las anotaciones registrales se consignará en el expediente.

Todos los documentos e información a que se refiere el artículo 14, con independencia del medio a través del que se presenten, se conservarán en el expediente del registro o se inscribirán directamente en este en formato electrónico. Los Estados miembros se asegurarán de que el registro convierta a formato electrónico todos los documentos e información que se presenten en papel en el plazo más breve posible.

[…]

3.   Los Estados miembros se asegurarán de que se da publicidad a los documentos e información mencionados en el artículo 14 poniéndolos a disposición del público en el registro. Además, los Estados miembros podrán exigir también que algunos o todos los documentos e información se publiquen en el boletín nacional designado a tal efecto, o por medios igualmente efectivos. […]

4.   Los Estados miembros adoptarán las medidas necesarias para evitar cualquier discrepancia entre lo que figura en el registro y en el expediente.

Los Estados miembros que exijan la publicación de documentos e información en un boletín nacional o en una plataforma electrónica central adoptarán las medidas necesarias para evitar cualquier discrepancia entre aquello que sea objeto de publicidad con arreglo al apartado 3 y lo que se publique en el boletín oficial o en la plataforma.

En caso de que se produzcan discrepancias con arreglo al presente artículo, prevalecerán los documentos y la información que se pongan a disposición del público en el registro.

5.   Los documentos e información a que se refiere el artículo 14 podrán ser invocados por la sociedad frente a terceros solo después de que hayan sido publicados de conformidad con lo dispuesto en el apartado 3, salvo si la sociedad demuestra que esos terceros ya tenían conocimiento de ellos.

[…]

6.   Los Estados miembros velarán por que todos los documentos e información que se presenten como parte de la constitución de una sociedad, del registro de una sucursal o de una presentación ante el registro por una sociedad o sucursal, se conserven en los registros en un formato de búsqueda y de lectura mecánica o como datos estructurados.”

7) Se inserta el artículo siguiente:

“Artículo 16 bis

Acceso a la información publicada

1.   Los Estados miembros velarán por que puedan obtenerse del registro copias de la totalidad o de parte de los documentos e información a que se refiere el artículo 14 en el momento de la solicitud […].

[…]”

19) El artículo 161 se sustituye por el texto siguiente:

“Artículo 161

Protección de datos

El tratamiento de datos personales que se efectúe en el contexto de la presente Directiva estará sujeto a lo dispuesto en el [RGPD].”»

17

A tenor del artículo 2 de la Directiva 2019/1151, titulado «Transposición»:

«1.   Los Estados miembros pondrán en vigor las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a la presente Directiva a más tardar el 1 de agosto de 2021. […]

2.   No obstante lo dispuesto en el apartado 1 del presente artículo, los Estados miembros pondrán en vigor las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo dispuesto […] en el artículo 1, punto 6, de la presente Directiva, en lo que atañe al artículo 16, apartado 6, de la Directiva [2017/1132], a más tardar el 1 de agosto de 2023.

3.   Como excepción a lo dispuesto en el apartado 1, los Estados miembros que experimenten especiales dificultades para transponer la presente Directiva podrán acogerse a una prórroga del plazo previsto en el apartado 1 de como máximo un año. […]

[…]»

18

Los considerandos 26, 32, 40, 42, 43, 50, 85, 143 y 146 del RGPD enuncian:

[…]

[…]

[…]

[…]

[…]

[…]

[…]

19

El artículo 4 del RGPD, titulado «Definiciones», dispone:

«A efectos del presente Reglamento se entenderá por:

[…]

[…]

[…]

[…]».

20

El artículo 5 del RGPD, titulado «Principios relativos al tratamiento» dispone:

«1.   Los datos personales serán:

[…]

[…]

2.   El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva”).»

21

A tenor del artículo 6 del RGPD, titulado «Licitud del tratamiento»:

«1.   El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

[…]

[…]

[…]

3.   La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por:

La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Dicha base jurídica podrá contener disposiciones específicas para adaptar la aplicación de normas del presente Reglamento, entre otras: las condiciones generales que rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados afectados; las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación; la limitación de la finalidad; los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones específicas de tratamiento a tenor del capítulo IX. El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido.

[…]»

22

El artículo 17 del RGPD, titulado «Derecho de supresión (“el derecho al olvido”)», establece:

«1.   El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:

[…]

3.   Los apartados 1 y 2 no se aplicarán cuando el tratamiento sea necesario:

[…]

[…]».

23

El artículo 21, apartado 1, de la RGPD tiene el siguiente tenor:

«El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) o f), incluida la elaboración de perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.»

24

El artículo 58 del RGPD dispone:

«1.   Cada autoridad de control dispondrá de todos los poderes de investigación indicados a continuación:

[…]

2.   Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:

[…]

3.   Cada autoridad de control dispondrá de todos los poderes de autorización y consultivos indicados a continuación:

[…]

[…]

4.   El ejercicio de los poderes conferidos a la autoridad de control en virtud del presente artículo estará sujeto a las garantías adecuadas, incluida la tutela judicial efectiva y al respeto de las garantías procesales, establecidas en el Derecho de la Unión y de los Estados miembros de conformidad con la [Carta de los Derechos Fundamentales de la Unión Europea; en lo sucesivo, “Carta”].

5.   Cada Estado miembro dispondrá por ley que su autoridad de control esté facultada para poner en conocimiento de las autoridades judiciales las infracciones del presente Reglamento y, si procede, para iniciar o ejercitar de otro modo acciones judiciales, con el fin de hacer cumplir lo dispuesto en el mismo.

6.   Cada Estado miembro podrá establecer por ley que su autoridad de control tenga otros poderes además de los indicados en los apartados 1, 2 y 3. El ejercicio de dichos poderes no será obstáculo a la aplicación efectiva del capítulo VII.»

25

A tenor del artículo 82 del RGPD, titulado «Derecho a indemnización y responsabilidad»:

«1.   Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.

2.   Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento. Un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del presente Reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable.

3.   El responsable o encargado del tratamiento estará exento de responsabilidad en virtud del apartado 2 si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.

[…]»

26

El artículo 94 del RGPD dispone:

«1.   Queda derogada la Directiva [95/46] con efecto a partir del 25 de mayo de 2018.

2.   Toda referencia a la Directiva derogada se entenderá hecha al presente Reglamento. […]»

27

El artículo 2 de la Zakon za targovskia registar i registara na yuridicheskite litsa s nestopanska tsel (Ley del Registro Mercantil y del Registro de Personas Jurídicas sin Ánimo de Lucro) (DV n.o 34, de 25 de abril de 2006), en su versión aplicable al litigio principal (en lo sucesivo, «Ley de Registros»), dispone:

«(1)   El Registro Mercantil y el Registro de Personas Jurídicas sin Ánimo de Lucro son una base de datos electrónica común que contiene las circunstancias registradas en virtud de una ley, así como los documentos puestos a disposición del público en virtud de una ley, que conciernen a los comerciantes y a las sucursales de comerciantes extranjeros, a las personas jurídicas sin ánimo de lucro y a las sucursales de personas jurídicas extranjeras sin ánimo de lucro.

(2)   Las circunstancias y los documentos mencionados en el apartado 1 se pondrán a disposición del público sin información que constituya datos personales en el sentido del artículo 4, punto 1, del [RGPD], a excepción de la información que por ley deba ponerse a disposición del público.»

28

El artículo 3 de esta Ley establece:

«La [Agencia], adscrita al Ministar na pravosadieto [(ministro de Justicia, Bulgaria)] llevará el Registro Mercantil y el Registro de Personas Jurídicas sin Ánimo de Lucro.»

29

A tenor del artículo 6, apartado 1, de la citada Ley:

«Todo comerciante y toda persona jurídica sin ánimo de lucro deberán solicitar su inscripción en el Registro Mercantil y en el Registro de Personas Jurídicas sin Ánimo de Lucro respectivamente, indicando las circunstancias por las que se requiere la inscripción y presentando los documentos que deban ponerse a disposición del público.»

30

El artículo 11 de la misma Ley está redactado en los siguientes términos:

«(1)   El Registro Mercantil y el Registro de Personas Jurídicas sin Ánimo de Lucro serán públicos. Cualquier persona tendrá derecho a acceder libre y gratuitamente a la base de datos de los Registros.

(2)   La [Agencia] dará acceso registrado al expediente del comerciante o de la persona jurídica sin ánimo de lucro.»

31

El artículo 13, apartados 1, 2, 6 y 9, de la Ley de Registros dispone:

«(1)   El registro, la supresión y la puesta a disposición del público se efectuarán mediante un formulario de solicitud.

(2)   La solicitud deberá incluir:

1. los datos de contacto del solicitante;

[…]

3. el acontecimiento sujeto a registro, el registro cuya supresión se solicita o el documento que debe ponerse a disposición del público;

[…]

(6)   La solicitud irá acompañada de los documentos o, en su caso, del acto que deba ponerse a disposición del público, de conformidad con los requisitos de la Ley. Los documentos se presentarán en forma de original, copia certificada conforme por el solicitante o copia autenticada por un notario. El solicitante también deberá presentar copias certificadas de los documentos que se pondrán a disposición del público en el Registro Mercantil, en los que se hayan ocultado los datos personales que no sean los exigidos por la Ley.

[…]

(9)   Cuando la solicitud o los documentos adjuntos mencionen datos personales no exigidos por la ley, se considerará que las personas que los hayan facilitado han dado su consentimiento para que sean tratados por la [Agencia] y puestos a disposición del público.

[…]»

32

El artículo 101, apartado 3, del Targovski zakon (Código de Comercio) (DV n.o 48, de 18 de junio de 1991), en su versión aplicable al litigio principal (en lo sucesivo, «Código de Comercio»), establece que el contrato de sociedad debe incluir «el nombre, la razón social y el código de identificación único de los socios».

33

A tenor del artículo 119 del Código de Comercio:

«(1)   La inscripción de la sociedad en el Registro Mercantil requerirá:

1. la presentación del contrato de sociedad, que se pondrá a disposición del público;

[…]

(2)   Los datos mencionados en el punto 1 […] se inscribirán en el Registro […].

[…]

(4)   Para modificar o completar el contrato de sociedad inscrito en el Registro Mercantil, se presentará una copia de dicho contrato que contenga todas las modificaciones y adiciones, certificada conforme por el órgano que represente a la sociedad para ponerla a disposición del público.»

34

El artículo 6 del Naredba no 1 ot 14 fevruari 2007 za vodene, sahranyavane i dostap do targovskia registar i do registara na yuridicheskite litsa s nestopanska tsel (Reglamento n.o 1, relativo a la Llevanza, la Conservación y el Acceso al Registro Mercantil y al Registro de Personas Jurídicas sin Ánimo de Lucro), de 14 de febrero de 2007 (DV n.o 18, de 27 de febrero de 2007), adoptado por el ministro de Justicia, en su versión aplicable al litigio principal, establece:

«La inscripción y la cancelación de la inscripción en el Registro Mercantil y en el Registro de Personas Jurídicas sin Ánimo de Lucro se efectuarán sobre la base de un formulario de solicitud conforme a los anexos [que contienen formularios específicos]. La puesta a disposición del público de los actos inscritos en el Registro Mercantil y en el Registro de Personas Jurídicas sin Ánimo de Lucro se efectuará sobre la base de un formulario de solicitud de conformidad con los anexos [que contienen formularios específicos].»

35

OL es socia de Praven Shtit Konsulting OOD, sociedad de responsabilidad limitada de Derecho búlgaro, inscrita el 14 de enero de 2021 en el Registro Mercantil tras la presentación de un contrato de sociedad, de fecha 30 de diciembre de 2020, firmado por los socios de dicha sociedad (en lo sucesivo, «contrato de sociedad de que se trata»).

36

Este contrato, en el que figuraban el nombre y apellidos de OL, su número de identificación, el número de su documento de identidad, la fecha y el lugar de expedición de dicho documento, la dirección de OL y su firma, fue puesto a disposición del público por la Agencia tal y como se había presentado.

37

El 8 de julio de 2021, OL pidió a la Agencia que suprimiera sus datos personales que figuraban en dicho contrato de sociedad, y precisó que, si el tratamiento de esos datos se basaba en su consentimiento, lo revocaba.

38

Ante el silencio de la Agencia, OL recurrió ante el Administrativen sad Dobrich (Tribunal de lo Contencioso-Administrativo de Dobrich, Bulgaria), que, mediante sentencia de 8 de diciembre de 2021, anuló la resolución denegatoria presunta de la Agencia por la que esta se negó a suprimir dichos datos y devolvió las actuaciones a esta para que adoptara una nueva resolución.

39

En ejecución de esa sentencia, y de una sentencia similar relativa al otro socio que había dado el mismo paso, la Agencia indicó, mediante escrito de 26 de enero de 2022, que debía enviársele una copia certificada del contrato de sociedad de que se trata en la que se ocultaran los datos personales de los socios, a excepción de los exigidos por la ley, para que pudiera acceder a la solicitud de supresión de los datos personales presentada por OL.

40

El 31 de enero de 2022, OL interpuso nuevamente un recurso ante el Administrativen sad Dobrich (Tribunal de lo Contencioso-Administrativo de Dobrich) solicitando la anulación de dicho escrito y la condena de la Agencia a indemnizarla por los daños y perjuicios inmateriales que le había causado el referido escrito, que vulneraba los derechos conferidos por el RGPD.

41

El 1 de febrero de 2022, antes de que se le diera traslado de este recurso, la Agencia suprimió de oficio el número de identificación, los datos relativos al documento de identidad y la dirección de OL, pero no sus apellidos, su nombre y su firma.

42

Mediante sentencia de 5 de mayo de 2022, el Administrativen sad Dobrich (Tribunal de lo Contencioso-Administrativo de Dobrich) anuló el escrito de 26 de enero de 2022 y condenó a la Agencia a indemnizar a OL con 500 levas búlgaras (BGN) (aproximadamente 255 euros), más los intereses legales, por daños y perjuicios inmateriales, de conformidad con el artículo 82 del RGPD. Según dicha sentencia, por una parte, esos daños y perjuicios consistían en las experiencias psicológicas y emocionales negativas sufridas por OL, a saber, el miedo y la inquietud ante posibles abusos, así como en la impotencia y la decepción en cuanto a la imposibilidad de proteger sus datos personales. Por otra parte, dichos daños y perjuicios resultaban del mencionado escrito, que había dado lugar a una vulneración del derecho a la supresión reconocido en el artículo 17, apartado 1, del RGPD, así como a un tratamiento ilícito de sus datos personales contenidos en el contrato de sociedad de que se trata puesto a disposición del público.

43

El órgano jurisdiccional remitente, el Varhoven administrativen sad (Tribunal Supremo de lo Contencioso-Administrativo, Bulgaria), conoce del recurso de casación interpuesto por la Agencia contra dicha sentencia.

44

Según ese órgano jurisdiccional, la Agencia alega que no solo es responsable del tratamiento, sino también destinataria de los datos personales transmitidos en el marco del procedimiento de inscripción de Praven Shtit Konsulting. Añade que la Agencia no recibió ninguna copia del contrato de sociedad de que se trata en la que se ocultaran los datos personales de OL que no debían ponerse a disposición del público, pese a que lo había solicitado antes de la inscripción de dicha sociedad en el Registro Mercantil. Pues bien, a juicio de dicho órgano jurisdiccional, la falta de tal copia no puede impedir, por sí sola, la inscripción de una sociedad mercantil en dicho Registro. Así se desprende, a su entender, del Dictamen n.o 01‑116(20)/01.02.2021 de la autoridad de control nacional, la Komisia za zashtita na lichnite danni (Comisión de Protección de Datos Personales, Bulgaria), presentado en virtud del artículo 58, apartado 3, letra b), del RGPD, al que se refiere la Agencia. El órgano jurisdiccional remitente señala que, según OL, la Agencia, como responsable del tratamiento, no puede imponer a terceros sus propias obligaciones de supresión de datos personales, puesto que, según una jurisprudencia nacional, el mencionado dictamen no es conforme con las disposiciones del RGPD.

45

El órgano jurisdiccional remitente añade que, habida cuenta de esta jurisprudencia nacional mayoritaria, resulta necesaria una aclaración de las exigencias derivadas de dicho Reglamento. En particular, el mencionado órgano jurisdiccional se pregunta sobre la conciliación que debe efectuarse entre, por una parte, el derecho a la protección de los datos personales y, por otra parte, la normativa que garantiza la publicidad y el acceso a determinados actos de las sociedades, y precisa, en particular, que la sentencia de 9 de marzo de 2017, Manni (C‑398/15, EU:C:2017:197), no permite resolver las dificultades de interpretación que plantea la situación controvertida en el litigio principal.

46

En estas circunstancias, el Varhoven administrativen sad (Tribunal Supremo de lo Contencioso-Administrativo) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

47

Con carácter preliminar, procede señalar que las cuestiones prejudiciales planteadas versan sobre la interpretación tanto del RGPD como de la Directiva 2009/101, que ha sido codificada y sustituida por la Directiva 2017/1132, la cual es aplicable ratione temporis a los hechos controvertidos en el litigio principal. Por consiguiente, procede interpretar la petición de decisión prejudicial en el sentido de que tiene por objeto la interpretación de la Directiva 2017/1132.

48

Además, como señaló la Abogada General en el punto 15 de sus conclusiones, dado que una parte de esos hechos es posterior al 1 de agosto de 2021, fecha en la que expiró el plazo de transposición de la Directiva 2019/1151 que figura en el artículo 2, apartado 1, de esta última Directiva, corresponde al órgano jurisdiccional remitente comprobar si tales hechos están comprendidos en el ámbito de aplicación ratione temporis de la Directiva 2017/1132 o de la Directiva 2017/1132, en su versión modificada por la Directiva 2019/1151.

49

Dicho esto, procede señalar que las modificaciones del tenor de los artículos 16 y 161 de la Directiva 2017/1132 y la adición de un artículo 16 bis a esta Directiva resultantes de la Directiva 2019/1151 no afectan al análisis que el Tribunal de Justicia debe realizar en el presente asunto, de modo que las respuestas que se den en la presente sentencia serán pertinentes en cualquier caso.

50

Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 21, apartado 2, de la Directiva 2017/1132 debe interpretarse en el sentido de que impone a un Estado miembro la obligación de permitir la publicidad, en el Registro Mercantil, de un contrato de sociedad sujeto a la publicidad obligatoria prevista en dicha Directiva y que contiene datos personales distintos de los datos personales mínimos exigidos, cuya publicación no viene impuesta por el Derecho de dicho Estado miembro.

51

En particular, dicho órgano jurisdiccional se pregunta sobre el alcance de la publicación voluntaria mencionada en dicha disposición y pretende determinar si esta obliga a los Estados miembros a permitir la publicidad de indicaciones que figuran en los actos de las sociedades, como los datos personales, cuya publicación no se requiere en virtud de la publicidad obligatoria prevista en dicha Directiva.

52

A tenor del artículo 21, apartado 2, párrafo primero, de la Directiva 2017/1132, «además de la publicación obligatoria mencionada en el artículo 16 [de esta Directiva], los Estados miembros permitirán la publicación voluntaria de las traducciones de actos e indicaciones mencionados en el artículo 14 [de dicha Directiva], de conformidad con el artículo 16 [de esta], en cualquiera de las lenguas oficiales de la Unión». El párrafo segundo de dicho artículo 21, apartado 2, autoriza a los Estados miembros a establecer que «la traducción de los citados actos e indicaciones» sea una traducción jurada. Por último, el párrafo tercero de ese mismo artículo 21, apartado 2, se refiere a las medidas necesarias para facilitar el acceso por parte de terceros a las «traducciones» que se hayan publicado voluntariamente.

53

El artículo 14 de la Directiva 2017/1132 enumera los actos e indicaciones que, como mínimo, deben ser publicados obligatoriamente por las sociedades en cuestión. Con arreglo al artículo 16, apartados 3 a 5, de dicha Directiva, estos actos e indicaciones deben incluirse en el expediente o inscribirse en el Registro, ser accesibles mediante la obtención de una copia literal o en extracto previa solicitud del interesado y ser objeto de publicidad por medio de la publicación, literal o en extracto, o bien bajo la forma de una mención en el boletín nacional o por una medida de efecto equivalente.

54

A este respecto, habida cuenta, en particular, del empleo repetido del término «traducciones» en el artículo 21, apartado 2, de la Directiva 2017/1132, del tenor de esta disposición se desprende que esta se refiere a la publicación voluntaria de las traducciones de los actos e indicaciones a que se refiere el artículo 14 de dicha Directiva a una lengua oficial de la Unión y, por lo tanto, únicamente a la lengua de publicación de tales actos e indicaciones. En cambio, dicha disposición no se refiere al contenido de tales actos e indicaciones.

55

Por consiguiente, esta redacción parece indicar que dicho artículo 21, apartado 2, no puede interpretarse en el sentido de que impone a los Estados miembros una obligación en lo que concierne a la publicidad de los datos personales cuya publicidad no viene impuesta por otras disposiciones del Derecho de la Unión ni por el Derecho del Estado miembro de que se trate, pero que figuran en un acto que debe publicarse obligatoriamente con arreglo a dicha Directiva.

56

Pues bien, cuando el sentido de una disposición del Derecho de la Unión se desprende sin ambigüedad de su propio tenor literal, el Tribunal de Justicia no puede apartarse de esta interpretación (sentencia de 25 de enero de 2022, VYSOČINA WIND, C‑181/20, EU:C:2022:51, apartado 39).

57

En cualquier caso, por lo que respecta al contexto del artículo 21, apartado 2, de la Directiva 2017/1132, el título de este artículo, que se refiere al «idioma de publicidad y traducción de documentos e indicaciones que deben publicarse», y los demás apartados de este artículo corroboran la interpretación recogida en el apartado 55 de la presente sentencia.

58

En efecto, el artículo 21, apartado 1, de la Directiva 2017/1132 dispone que «los actos e indicaciones que deben publicarse en virtud del artículo 14 [de esta Directiva] se redactarán y presentarán en una de las lenguas permitidas» por las normas nacionales aplicables en la materia. Dicho artículo 21, apartado 3, establece que, además de la publicación obligatoria mencionada en el artículo 16 de dicha Directiva y de la publicación voluntaria prevista en dicho artículo 21, apartado 2, del presente artículo, los Estados miembros podrán permitir que los actos e indicaciones pertinentes se publiquen «en otra lengua o lenguas». En cuanto a dicho artículo 21, apartado 4, este se refiere a la «traducción publicada voluntariamente».

59

Por último, la interpretación recogida en el apartado 55 de la presente sentencia queda corroborada por el considerando 12 de la misma Directiva, en virtud del cual debe facilitarse el acceso transfronterizo a la información de las sociedades, permitiendo, además de la publicación obligatoria en una de las lenguas permitidas en el Estado miembro de las sociedades en cuestión, el registro voluntario en otras lenguas de los actos e indicaciones obligatorios.

60

Habida cuenta de las anteriores consideraciones, procede responder a la primera cuestión prejudicial que el artículo 21, apartado 2, de la Directiva 2017/1132 debe interpretarse en el sentido de que no impone a un Estado miembro la obligación de permitir la publicidad, en el Registro Mercantil, de un contrato de sociedad sujeto a la publicidad obligatoria prevista en dicha Directiva y que contenga datos personales distintos de los datos personales mínimos exigidos, cuya publicación no venga impuesta por el Derecho de dicho Estado miembro.

61

Habida cuenta de la respuesta dada a la primera cuestión prejudicial, no procede responder a las cuestiones prejudiciales segunda y tercera, que solo se plantean para el supuesto de que se dé una respuesta afirmativa a la primera cuestión.

62

Mediante su quinta cuestión prejudicial, que procede examinar antes de la cuarta, el órgano jurisdiccional remitente pregunta, en esencia, si el RGPD, en particular su artículo 4, puntos 7 y 9, debe interpretarse en el sentido de que la autoridad encargada de llevar el Registro Mercantil de un Estado miembro que publica, en dicho Registro, los datos personales que figuran en un contrato de sociedad sujeto a la publicidad obligatoria prevista en la Directiva 2017/1132, que se le ha transmitido en el marco de una solicitud de inscripción de la sociedad en cuestión en dicho Registro, es tanto «destinataria» de esos datos como «responsable del tratamiento» de estos, en el sentido de la citada disposición.

63

De entrada, procede recordar que, con arreglo al artículo 161 de la Directiva 2017/1132, el tratamiento de datos personales que se efectúe en el contexto de esta Directiva se hará conforme a lo dispuesto en la Directiva 95/46 y, por tanto, el RGPD, cuyo artículo 94, apartado 2, precisa que las referencias a esta última Directiva se entenderán hechas a ese Reglamento.

64

A este respecto, procede comenzar señalando que, en virtud del artículo 14, letras a), b) y d), de la Directiva 2017/1132, los Estados miembros deben tomar las medidas necesarias para que la publicidad obligatoria relativa a las sociedades se refiera, al menos, a la escritura de constitución de la sociedad de que se trate, a sus modificaciones y al nombramiento, el cese de funciones y a la identidad de las personas que, como órgano legalmente previsto o como miembros de tal órgano, tengan el poder de obligar a esta sociedad con respecto a terceros y representarla en juicio o participen en la administración, la vigilancia o el control de dicha sociedad. Además, en virtud del artículo 4, letra i), de la mencionada Directiva, las indicaciones obligatorias que deberán figurar en la escritura de constitución objeto de tal publicidad incluyen la identidad de las personas físicas o jurídicas o de las sociedades que hayan firmado o en nombre de quienes se haya firmado dicho acto.

65

Con arreglo al artículo 16, apartados 3 a 5, de dicha Directiva, como se ha indicado en el apartado 53 de la presente sentencia, estos actos e indicaciones deben incluirse en el expediente o inscribirse en el Registro, ser accesibles mediante la obtención de una copia literal o en extracto previa solicitud del interesado y ser objeto de publicidad realizada por medio de una publicación literal o en extracto, o bien bajo la forma de una mención en el boletín nacional, o por medio de una medida de efecto equivalente.

66

Como señaló la Abogada General en el punto 26 de sus conclusiones, corresponde, pues, a los Estados miembros determinar, en particular, qué categorías de información relativa a la identidad de las personas a las que se refieren los artículos 4, letra i), y 14, la letra d), de la Directiva 2017/1132, en particular qué tipos de datos personales, están sujetas a publicidad obligatoria de conformidad con el Derecho de la Unión.

67

Pues bien, las indicaciones relativas a la identidad de estas personas constituyen, como información relativa a personas físicas identificadas o identificables, «datos personales» en el sentido del artículo 4, punto 1, del RGPD (véase, en ese sentido, la sentencia de 9 de marzo de 2017, Manni, C‑398/15, EU:C:2017:197, apartado 34).

68

Lo mismo sucede con las indicaciones adicionales relativas a la identidad de dichas personas o de otras categorías de personas que los Estados miembros deciden someter a la publicidad obligatoria o que, como en el caso de autos, figuran entre los actos sujetos a tal publicidad, sin que la Directiva 2017/1132 o el Derecho nacional que aplica esta Directiva exijan la puesta a disposición de esos datos.

69

A continuación, en cuanto al concepto de «destinatario» en el sentido del artículo 4, punto 9, del RGPD, este designa a «la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero». La mencionada disposición precisa que quedan excluidas de esta definición las autoridades públicas que reciban esos datos en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros.

70

Pues bien, al comunicársele, en el marco de la solicitud de inscripción de una sociedad en el Registro Mercantil de un Estado miembro, los actos sujetos a publicidad obligatoria a que se refiere el artículo 14 de la Directiva 2017/1132 que contienen datos personales, sean o no exigidos por dicha Directiva o por el Derecho nacional, la autoridad encargada de llevar dicho Registro tiene la condición de «destinataria» de esos datos en el sentido del artículo 4, punto 9, del RGPD.

71

Por último, en virtud del artículo 4, punto 7, del RGPD, el concepto de «responsable del tratamiento» incluye a las personas físicas o jurídicas, autoridades públicas, servicios u otros organismos que solos o junto con otros determinen los fines y medios del tratamiento. Esta disposición establece igualmente que si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros.

72

A este respecto, procede recordar que, según la jurisprudencia del Tribunal de Justicia, esta disposición tiene por objeto garantizar, mediante una definición amplia del concepto de «responsable del tratamiento», una protección eficaz y completa de los interesados [sentencia de 11 de enero de 2024, État belge (Datos tratados por una publicación oficial), C‑231/22, EU:C:2024:7, apartado 28 y jurisprudencia citada].

73

Habida cuenta del tenor del artículo 4, punto 7, del RGPD, interpretado a la luz de este objetivo, resulta que, para determinar si una persona o entidad debe ser calificada de «responsable del tratamiento», en el sentido de esta disposición, es preciso averiguar si esa persona o entidad determina, por sí sola o junto con otros, los fines y medios del tratamiento o si estos vienen determinados por el Derecho de la Unión o el Derecho nacional. Cuando tal determinación se efectúe en virtud del Derecho nacional, deberá comprobarse si dicho Derecho designa al responsable del tratamiento o establece los criterios específicos aplicables a su nombramiento [véase, en este sentido, la sentencia de 11 de enero de 2024, État belge (Datos tratados por una publicación oficial), C‑231/22, EU:C:2024:7, apartado 29].

74

Debe precisarse igualmente que, habida cuenta de la definición amplia del concepto de «responsable del tratamiento», en el sentido del artículo 4, punto 7, del RGPD, la determinación de los fines y medios del tratamiento y, en su caso, la designación del responsable por el Derecho nacional pueden ser no solo explícitas, sino también implícitas. En este último caso, se requiere, no obstante, que dicha determinación se desprenda con suficiente certeza del papel, de la misión y de las atribuciones encomendadas a la persona o entidad de que se trate [sentencia de 11 de enero de 2024, État belge (Datos tratados por una publicación oficial), C‑231/22, EU:C:2024:7, apartado 30].

75

Además, al transcribir y conservar datos personales recibidos en el marco de una solicitud de inscripción de una sociedad en el Registro Mercantil de un Estado miembro, comunicándolos, en su caso, previa solicitud, a terceros y publicándolos en el diario oficial nacional, o mediante una medida de efecto equivalente, la autoridad encargada de llevar ese Registro lleva a cabo un tratamiento de datos personales del que es el «responsable del tratamiento», en el sentido del artículo 4, puntos 2 y 7, del RGPD (véase, en ese sentido, la sentencia de 9 de marzo de 2017, Manni, C‑398/15, EU:C:2017:197, apartado 35).

76

En efecto, estos tratamientos de datos personales son distintos y posteriores a la comunicación de los datos personales efectuada por el solicitante de dicha inscripción y recibida por esa autoridad. Además, esta última lleva a cabo por sí sola dichos tratamientos, de conformidad con los fines y procedimientos establecidos en la Directiva 2017/1132 y en la legislación del Estado miembro de que se trata mediante la que se aplica dicha Directiva.

77

A este respecto, debe precisarse que de los considerandos 7 y 8 de dicha Directiva se desprende que la publicidad que esta establece tiene por objeto proteger, en particular, los intereses de terceros en relación con las sociedades anónimas y las sociedades de responsabilidad limitada, ya que, como garantía respecto a terceros, solo ofrecen su patrimonio social. A tal fin, esa publicidad debe permitir a los terceros conocer los actos esenciales de la sociedad y ciertas indicaciones relativas a ella, concretamente la identidad de las personas que tienen el poder de obligarla.

78

Además, el objetivo de esta Directiva consiste en garantizar la seguridad jurídica en las relaciones entre las sociedades y los terceros en la perspectiva de una intensificación del tráfico mercantil entre los Estados miembros como consecuencia de la creación del mercado interior. Desde esta perspectiva, es importante que toda persona deseosa de establecer y mantener relaciones comerciales con sociedades radicadas en otros Estados miembros pueda fácilmente tomar conocimiento de los datos esenciales relativos a la constitución de las sociedades mercantiles y a los poderes de las personas encargadas de representarlas, lo que requiere que todos los datos pertinentes figuren de manera explícita en el Registro (véase, en ese sentido, la sentencia de 9 de marzo de 2017, Manni, C‑398/15, EU:C:2017:197, apartado 50).

79

Pues bien, tal y como observó la Abogada General en el punto 39 de sus conclusiones, al transmitir a la autoridad encargada de llevar el Registro Mercantil de un Estado miembros los actos e indicaciones sujetos a la publicidad obligatoria prevista en la Directiva 2017/1132 y al tratar, así, los datos personales que figuran en dichos actos, el solicitante de la inscripción de una sociedad en dicho Registro no influye en modo alguno en la determinación de los fines y del ulterior tratamiento efectuado por dicha autoridad. Además, persigue finalidades diferentes y que le son propias, a saber, cumplir las formalidades necesarias para dicha inscripción.

80

En el caso de autos, como señaló la Abogada General en los puntos 31 y 32 de sus conclusiones, de la petición de decisión prejudicial se desprende que la puesta a disposición del público de los datos personales de OL se produjo en el ejercicio de las atribuciones encomendadas a la Agencia como autoridad encargada de llevar el Registro Mercantil, y que los fines y los medios del tratamiento de esos datos están determinados tanto por el Derecho de la Unión como por la legislación nacional controvertida en el litigio principal, en particular por el artículo 13, apartado 9, de la Ley de Registros. Así pues, el hecho de que no se hubiera transmitido una copia certificada del contrato de sociedad de que se trata en la que se ocultaran los datos personales no exigidos por dicha normativa, contrariamente a las normas de procedimiento previstas por esa normativa, carece de incidencia en la calificación de la Agencia como «responsable de ese tratamiento».

81

Esta calificación tampoco queda desvirtuada por el hecho de que la Agencia no controle, en virtud de esa misma legislación, antes de su publicación en línea, los datos personales contenidos en las imágenes electrónicas o los originales de los documentos que se le transmiten a efectos de la inscripción de una sociedad. A este respecto, el Tribunal de Justicia ya ha declarado que sería contrario al objetivo del artículo 4, punto 7, del RGPD, mencionado en el apartado 72 de la presente sentencia, excluir del concepto de «responsable del tratamiento» al diario oficial de un Estado miembro debido a que no ejerce control alguno sobre los datos personales que figuran en sus publicaciones [sentencia de 11 de enero de 2024, État belge (Datos tratados por una publicación oficial), C‑231/22, EU:C:2024:7, apartado 38].

82

En estas circunstancias, resulta que, en una situación como la controvertida en el litigio principal, la Agencia es responsable del tratamiento de los datos personales de OL, consistente en la puesta a disposición del público, en línea, de esos datos, aun cuando se le hubiera debido remitir una copia del contrato de sociedad de que se trata en la que se ocultaran los datos personales no exigidos por la legislación nacional controvertida en el litigio principal, en virtud de dicha legislación, extremo que corresponde comprobar al órgano jurisdiccional remitente. Por lo tanto, la Agencia también es responsable, en virtud del artículo 5, apartado 2, del RGPD, del cumplimiento del apartado 1 de dicho artículo.

83

Habida cuenta de las anteriores consideraciones, procede responder a la quinta cuestión prejudicial que el RGPD, en particular su artículo 4, puntos 7 y 9, debe interpretarse en el sentido de que la autoridad encargada de llevar el Registro Mercantil de un Estado miembro que publica, en dicho Registro, los datos personales que figuran en un contrato de sociedad sujeto a la publicidad obligatoria prevista en la Directiva 2017/1132, que se le ha transmitido en el marco de una solicitud de inscripción de la sociedad en cuestión en dicho Registro, es tanto «destinataria» de esos datos como, en particular, en la medida en que los pone a disposición del público, «responsable del tratamiento» de dichos datos, en el sentido de la citada disposición, aun cuando ese contrato contenga datos personales no exigidos por dicha Directiva o por el Derecho de ese Estado miembro.

84

El Gobierno búlgaro sostiene que la cuarta cuestión prejudicial es inadmisible porque plantea un problema de naturaleza hipotética. En efecto, según dicho Gobierno, esta cuestión prejudicial versa sobre la compatibilidad con el artículo 16 de la Directiva 2017/1132 de una legislación nacional relativa a las normas procesales para el ejercicio del derecho contemplado en el artículo 17 del RGPD que aún no ha sido adoptada.

85

Según reiterada jurisprudencia, el procedimiento de remisión prejudicial previsto en el artículo 267 TFUE establece una estrecha cooperación entre los órganos jurisdiccionales nacionales y el Tribunal de Justicia, basada en un reparto de funciones entre ellos, al tiempo que constituye un instrumento a través del cual el Tribunal de Justicia aporta a los órganos jurisdiccionales nacionales los elementos de interpretación del Derecho de la Unión que precisan para resolver los litigios de que conocen. Dentro del marco de esta cooperación, corresponde exclusivamente al juez nacional que conoce del litigio y que ha de asumir la responsabilidad decisión judicial que debe adoptarse apreciar, a la luz de las particularidades de cada asunto, tanto la necesidad de una decisión prejudicial para poder dictar sentencia como la pertinencia de las cuestiones que plantea al Tribunal de Justicia. Por consiguiente, cuando las cuestiones planteadas se refieran a la interpretación del Derecho de la Unión, el Tribunal de Justicia está, en principio, obligado a pronunciarse [sentencia de 23 de noviembre de 2021, IS (Ilegalidad de la resolución de remisión), C‑564/19, EU:C:2021:949, apartados 59 y 60 y jurisprudencia citada].

86

De ello se desprende que las cuestiones relativas al Derecho de la Unión gozan de una presunción de pertinencia. El Tribunal de Justicia solo puede abstenerse de pronunciarse sobre una cuestión prejudicial planteada por un órgano jurisdiccional nacional cuando resulte evidente que la interpretación del Derecho de la Unión solicitada no guarda relación alguna ni con la realidad ni con el objeto del litigio principal, cuando el problema sea de naturaleza hipotética o cuando el Tribunal de Justicia no disponga de los elementos de hecho y de Derecho necesarios para responder adecuadamente a las cuestiones que se le hayan planteado [sentencia de 24 de noviembre de 2020, Openbaar Ministerie (Falsedad documental), C‑510/19, EU:C:2020:953, apartado 26 y jurisprudencia citada].

87

En el caso de autos, de la petición de decisión prejudicial se desprende que el órgano jurisdiccional remitente debe pronunciarse, en última instancia, sobre la legalidad de la negativa de la Agencia a aceptar la solicitud de supresión de datos personales controvertida en el litigio principal, debido a que no se le había facilitado una copia del contrato de sociedad en cuestión en la que se hubieran ocultado los datos personales no exigidos por la legislación búlgara, en contra de las normas de procedimiento establecidas en dicha legislación. Además, de dicha petición se desprende que tal negativa se corresponde con la práctica de la Agencia. Por último, dicho órgano jurisdiccional precisó que, para resolver el litigio principal, en un contexto en el que la jurisprudencia nacional no es uniforme, era necesaria una respuesta del Tribunal de Justicia a la cuarta cuestión prejudicial.

88

De ello se deduce que, contrariamente a lo que sostiene el Gobierno búlgaro, la cuarta cuestión prejudicial es admisible.

89

Habida cuenta de las indicaciones que figuran en la petición de decisión prejudicial, tal como se han expuesto en el apartado 87 de la presente sentencia, procede considerar que, mediante su cuarta cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si la Directiva 2017/1132, en particular su artículo 16, y el artículo 17 del RGPD deben interpretarse en el sentido de que se oponen a una normativa o a una práctica de un Estado miembro que lleve a la autoridad encargada de llevar el Registro Mercantil de ese Estado miembro a denegar toda solicitud de supresión de los datos personales, no exigidos por esta Directiva ni por el Derecho de ese Estado miembro, que figuren en un contrato de sociedad publicado en ese Registro, cuando no se haya facilitado a dicha autoridad una copia de ese contrato en la que se oculten los referidos datos, contrariamente a las normas de procedimiento establecidas en dicha normativa.

90

De conformidad con el artículo 17, apartado 1, del RGPD, el interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias enumeradas en dicha disposición.

91

Así sucede, según el artículo 17, apartado 1, letra c), cuando el interesado se opone al tratamiento con arreglo al artículo 21, apartado 1, de dicho Reglamento y no prevalezcan otros «motivos legítimos para el tratamiento» o, de conformidad con dicho artículo 17, apartado 1, letra d), cuando los datos en cuestión hayan sido «tratados ilícitamente».

92

Del artículo 17, apartado 3, letra b), del RGPD resulta igualmente que dicho artículo 17, apartado 1, no se aplicará cuando el tratamiento sea necesario para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable.

93

Por consiguiente, para determinar si, en una situación como la controvertida en el litigio principal, el interesado tiene derecho a la supresión en virtud del artículo 17 del RGPD, procede, en un primer momento, examinar el motivo o los motivos en virtud de los cuales el tratamiento de sus datos personales puede resultar lícito.

94

A este respecto, cabe recordar que el artículo 6, apartado 1, párrafo primero, del RGPD prevé una lista exhaustiva y taxativa de los casos en los que un tratamiento de datos personales puede considerarse lícito. Así pues, para poder ser considerado legítimo, un tratamiento de datos personales debe estar comprendido en uno de casos contemplados en dicha disposición [véase, en ese sentido, la sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartados 99 y jurisprudencia citada].

95

A falta de consentimiento del interesado para el tratamiento de sus datos personales en virtud de dicho artículo 6, apartado 1, párrafo primero, letra a), o cuando este no se haya prestado de forma libre, específica, informada e inequívoca, en el sentido del artículo 4, punto 11, del RGPD, tal tratamiento puede, no obstante, estar justificado cuando cumple alguno de los requisitos de necesidad mencionados en el artículo 6, apartado 1, párrafo primero, letras b) a f), del mencionado Reglamento [véase, en este sentido, la sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C‑252/21, EU:C:2023:537, apartado 92].

96

En este contexto, las justificaciones previstas en esta última disposición, en la medida en que permiten que un tratamiento de datos personales realizado sin el consentimiento del interesado sea lícito, deben ser objeto de una interpretación restrictiva [sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C‑252/21, EU:C:2023:537, apartado 93 y jurisprudencia citada].

97

Cabe precisar igualmente que, de conformidad con el artículo 5 del RGPD, incumbe al responsable del tratamiento la carga de la prueba de que dichos datos se recogen con fines determinados, explícitos y legítimos, que son adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados y que son tratados de manera lícita, leal y transparente en relación con el interesado [véase, en este sentido, la sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C‑252/21, EU:C:2023:537, apartado 95].

98

Si bien corresponde al órgano jurisdiccional remitente determinar si los diferentes elementos de un tratamiento como el controvertido en el litigio principal están justificados por alguna de las necesidades contempladas en el artículo 6, apartado 1, párrafo primero, letras a) a f), del RGPD, el Tribunal de Justicia puede proporcionarle indicaciones útiles para permitirle resolver el litigio del que conoce [véase, en este sentido, la sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C‑252/21, EU:C:2023:537, apartado 96].

99

En el presente asunto, para empezar, como señaló la Abogada General en el punto 43 de sus conclusiones, no parece que la presunción de consentimiento establecida en el artículo 13, apartado 9, de la Ley de Registros cumpla los requisitos exigidos por el artículo 6, apartado 1, párrafo primero, letra a), del RGPD, en relación con el artículo 4, punto 11, de dicho Reglamento.

100

En efecto, como se desprende de los considerandos 32, 42 y 43 de dicho Reglamento, el consentimiento debe darse mediante un acto positivo claro, por ejemplo mediante una declaración escrita o una declaración verbal, sin que se considere que se ha dado libremente si el interesado no dispone de verdadera libertad de elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno. Por otra parte, el consentimiento no debería constituir un fundamento jurídico válido en un caso concreto cuando exista un desequilibrio manifiesto entre el interesado y el responsable del tratamiento, en particular cuando este último sea una autoridad pública.

101

Por consiguiente, no puede considerarse que una presunción como la establecida en el artículo 13, apartado 9, de la Ley de Registros acredite un consentimiento dado de manera libre, específica, informada e inequívoca para el tratamiento de datos personales efectuado por una autoridad pública como la Agencia.

102

A continuación, los motivos de licitud previstos en el artículo 6, apartado 1, párrafo primero, letras b) y d), del RGPD relativos al tratamiento de datos personales necesario para la ejecución de un contrato y para la protección de los intereses vitales de una persona física no resultan pertinentes habida cuenta del tratamiento de datos personales de que se trata en el litigio principal. Lo mismo sucede con el motivo de licitud previsto en dicho artículo 6, apartado 1, párrafo primero, letra f), relativo al tratamiento de datos personales necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento, puesto que del tenor de dicho artículo 6, apartado 1, párrafo segundo, se desprende claramente que el tratamiento de datos personales realizado por una autoridad pública en el ejercicio de sus funciones no puede estar comprendido en el ámbito de aplicación de este último motivo [véase, en este sentido, la sentencia de 8 de diciembre de 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Fines del tratamiento de datos personales — Instrucción penal)C‑180/21, EU:C:2022:967, apartado 85].

103

En lo que concierne, por último, a los motivos de licitud que figuran en el artículo 6, apartado 1, párrafo primero, letras c) y e), del RGPD, procede recordar que, en virtud de dicho artículo 6, apartado 1, párrafo primero, letra c), un tratamiento de datos personales es lícito si es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. Además, según dicho artículo 6, apartado 1, párrafo primero, letra e), también es lícito el tratamiento que es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

104

El artículo 6, apartado 3, del RGPD precisa, en particular, en relación con esas dos hipótesis de licitud, que el tratamiento debe basarse en el Derecho de la Unión o en el Derecho de los Estados miembros que se aplique al responsable del tratamiento y que esa base jurídica debe cumplir un objetivo de interés público y ser proporcional al fin legítimo perseguido.

105

Por lo que respecta, en primer lugar, a la cuestión de si el tratamiento controvertido en el litigio principal es necesario para cumplir una obligación legal derivada del Derecho de la Unión o del Derecho del Estado miembro aplicable al responsable del tratamiento, en el sentido del artículo 6, apartado 1, párrafo primero, letra c), del RGPD, procede señalar, como hizo la Abogada General en los puntos 45 y 47 de sus conclusiones, que la Directiva 2017/1132 no impone el tratamiento sistemático de cualquier dato personal contenido en un acto sujeto a la publicidad obligatoria prevista en dicha Directiva. Por el contrario, del artículo 161 de esta Directiva se desprende que el tratamiento de datos personales efectuado en el marco de la Directiva 2017/1132 y, en particular, toda recogida, conservación, puesta a disposición de terceros y publicación de información con arreglo a dicha Directiva debe cumplir plenamente las exigencias derivadas del RGPD.

106

Así pues, incumbe a los Estados miembros, en el marco de la aplicación de las obligaciones impuestas por la mencionada Directiva, velar por conciliar, por una parte, los objetivos de seguridad jurídica y de protección de los intereses de terceros, perseguidos por dicha Directiva y recordados en el apartado 77 de la presente sentencia, y, por otra parte, los derechos consagrados por el RGPD y el derecho fundamental a la protección de los datos personales, efectuando una ponderación equilibrada entre esos objetivos y esos derechos (véase, en este sentido, la sentencia de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, apartado 98).

107

Por consiguiente, no puede considerarse que la puesta a disposición del público, en línea, en el Registro Mercantil, de datos personales no exigidos por la Directiva 2017/1132 o por la legislación nacional controvertida en el litigio principal que figuren en un contrato de sociedad sujeto a la publicidad obligatoria prevista en dicha Directiva y transmitido a la Agencia esté justificada por la exigencia de garantizar la publicidad de los actos a que se refiere el artículo 14 de dicha Directiva de conformidad con el artículo 16 de esta y que, por tanto, resulte de una obligación legal establecida en el Derecho de la Unión.

108

Tampoco parece que la licitud del tratamiento controvertido en el litigio principal se base, sin perjuicio de la comprobación que realice el órgano jurisdiccional remitente, en una obligación legal establecida en el Derecho del Estado miembro aplicable al responsable del tratamiento en el sentido del artículo 6, apartado 1, párrafo primero, letra c), del RGPD, en el caso de autos, el Derecho búlgaro, en la medida en que, por un lado, de los autos que obran en poder del Tribunal de Justicia se desprende que el artículo 2, apartado 2, de la Ley de Registros establece que los actos que deben figurar en el Registro Mercantil se pondrán a disposición del público sin que figure en ellos información que constituya datos personales «a excepción de la información que por ley deba ponerse a disposición del público» y en que, por otro lado, el artículo 13, apartado 9, de esta Ley establece una presunción de consentimiento que, como se desprende del apartado 99 de la presente sentencia, no cumple las exigencias del RGPD.

109

Por lo que respecta, en segundo lugar, a la cuestión de si el tratamiento controvertido en el litigio principal es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, en el sentido del artículo 6, apartado 1, párrafo primero, letra e), del RGPD, al que se refieren, en particular, tanto el órgano jurisdiccional remitente como el Gobierno búlgaro y la Agencia, el Tribunal de Justicia ya ha declarado que la actividad de una autoridad pública consistente en almacenar, en una base de datos, datos que las empresas han de comunicar en virtud de una obligación legal, en permitir a las personas interesadas consultar dichos datos o en facilitarles impresiones de estos en papel está incluida en el ejercicio de prerrogativas del poder público y constituye una misión de interés público en el sentido de dicha disposición (véase, en ese sentido, la sentencia de 9 de marzo de 2017, Manni, C‑398/15, EU:C:2017:197, apartado 43).

110

De ello se sigue que el tratamiento controvertido en el litigio principal parece realizado ciertamente con ocasión de una misión realizada en interés público en el sentido de dicha disposición. Sin embargo, para cumplir con las condiciones establecidas por esa misma disposición, es necesario que ese tratamiento responda efectivamente al objetivo de interés general perseguido, sin ir más allá de lo necesario para alcanzar dicho objetivo [véase, en ese sentido, la sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartado 109].

111

Este requisito de la necesidad no se cumple cuando el objetivo de interés general perseguido puede alcanzarse razonablemente de manera tan eficaz por otros medios menos atentatorios respecto de los derechos fundamentales de los interesados, en particular respecto de los derechos al respeto de la vida privada y de protección de los datos personales, garantizados por los artículos 7 y 8 de la Carta, puesto que las excepciones y restricciones al principio de protección de dichos datos deben establecerse sin sobrepasar los límites de lo estrictamente necesario [véase, en ese sentido, la sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartados 110 y jurisprudencia citada].

112

Pues bien, como señaló la Abogada General en el punto 51 de sus conclusiones, la puesta a disposición del público, en línea, de datos personales no exigidos por la Directiva 2017/1132 ni por el Derecho nacional no puede considerarse en sí misma necesaria para la consecución de los objetivos perseguidos por dicha Directiva.

113

En particular, en cuanto a la existencia de medios menos atentatorios respecto de los derechos fundamentales de los interesados, procede señalar que la legislación nacional controvertida en el litigio principal establece que el solicitante de la inscripción de una sociedad en el Registro Mercantil debe aportar una copia de la escritura de dicha sociedad en la que se hayan expurgado los datos personales no exigidos destinada a ser publicada en dicho Registro y accesible a los terceros, la cual, en el caso de autos, nunca se facilitó a la Agencia, ni siquiera después de esta lo hubiera solicitado. No obstante, el Gobierno búlgaro y la Agencia han confirmado que, incluso después de un plazo razonable y aun cuando el interesado no pueda obtener de la sociedad de que se trate o de sus representantes tal copia, dicha legislación no prevé que la Agencia pueda elaborar por sí misma tal copia, lo que, sin embargo, permitiría alcanzar de manera igual de eficaz los objetivos de garantizar la publicidad de los actos de las sociedades, la seguridad jurídica y la protección de los intereses de terceros, siendo a su vez menos lesivo del derecho a la protección de los datos personales.

114

Asimismo, procede señalar, como hizo la Abogada General en el punto 56 de sus conclusiones, que, contrariamente a lo que han alegado varios Estados miembros en sus observaciones ante el Tribunal de Justicia, la exigencia de preservar la integridad y la fiabilidad de los actos de las sociedades sujetos a la publicidad obligatoria prevista en la Directiva 2017/1132, que exige la publicación de dichos actos tal como han sido transmitidos a las autoridades encargadas de llevar el Registro Mercantil, no puede prevalecer sistemáticamente sobre ese derecho, so pena de hacer ilusoria su protección.

115

En particular, esta exigencia no puede obligar a mantener a disposición del público, en línea, en ese Registro, datos personales no exigidos por la Directiva 2017/1132 o por el Derecho nacional, cuando, como se desprende del apartado 113 de la presente sentencia, la propia Agencia podría elaborar la copia del acto de la sociedad de que se trata, prevista por ese Derecho, para esa puesta a disposición.

116

De ello se sigue que el tratamiento de datos personales controvertido en el litigio principal parece, en cualquier caso, ir más allá de lo necesario para el cumplimiento de la misión de interés público encomendada a la Agencia en virtud de dicha legislación nacional.

117

Por consiguiente, como observó la Abogada General en el punto 59 de sus conclusiones, sin perjuicio de las comprobaciones que corresponde efectuar al órgano jurisdiccional remitente, tal tratamiento tampoco parece cumplir los requisitos de licitud establecidos en el artículo 6, apartado 1, párrafo primero, letras c) y e), del RGPD, en relación con el artículo 6, apartado 3, de dicho Reglamento.

118

En un segundo momento, por lo que respecta a la solicitud de supresión con arreglo al artículo 17 del RGPD controvertida en el litigio principal, procede señalar que, en el supuesto de que el órgano jurisdiccional remitente debiera concluir, al término de su apreciación acerca de la licitud de ese tratamiento, que dicho tratamiento no es lícito, incumbiría a la Agencia, como responsable del tratamiento, tal y como se desprende de los apartados 82 y 83 de la presente sentencia, según el claro tenor del artículo 17, apartado 1, letra d), del RGPD, suprimir los datos de que se trata sin dilación [véase, en este sentido, la sentencia de 7 de diciembre de 2023, SCHUFA Holding (Exoneración del pasivo insatisfecho), C‑26/22 y C‑64/22, EU:C:2023:958, apartado 108].

119

Si dicho órgano jurisdiccional hubiera de concluir, en cambio, que ese tratamiento responde efectivamente el motivo de licitud previsto en el artículo 6, apartado 1, letra e), del RGPD, en particular en la medida en que la puesta a disposición del público, en línea, en el Registro Mercantil, de datos no exigidos por la Directiva 2017/1132 o por la legislación nacional controvertida en el litigio principal era necesaria para no retrasar la inscripción de la sociedad en cuestión, en interés de la protección de terceros, procede señalar que resultaría aplicable el artículo 17, apartado 1, letra c), del RGPD.

120

De esta última disposición, en relación con el artículo 21, apartado 1, del RGPD, resulta que el interesado dispone de un derecho a oponerse al tratamiento y de un derecho a la supresión a menos que existan motivos legítimos imperiosos que prevalezcan sobre los intereses y sobre los derechos y las libertades del interesado en el sentido de dicho artículo 21, apartado 1, lo cual corresponde demostrar al responsable del tratamiento [véase, en este sentido, la sentencia de 7 de diciembre de 2023, SCHUFA Holding (Exoneración del pasivo insatisfecho), C‑26/22 y C‑64/22, EU:C:2023:958, apartado 111].

121

Pues bien, en una situación como la controvertida en el litigio principal, no parece existir ningún motivo legítimo imperioso, en el sentido de dicha disposición, que pueda oponerse a tal solicitud de supresión.

122

En efecto, por una parte, de la resolución de remisión se desprende que la sociedad en la que OL es socia ya está inscrita en el Registro Mercantil.

123

Por otra parte, como se ha señalado en el apartado 115 de la presente sentencia, la exigencia de que se preserve la integridad y la fiabilidad de los actos de las sociedades sujetos a la publicidad obligatoria prevista en la Directiva 2017/1132 no puede obligar a mantener a disposición del público, en línea, en ese Registro, datos personales no exigidos por dicha Directiva o por el Derecho nacional.

124

Por último, suponiendo que el órgano jurisdiccional remitente llegue a la conclusión de que el tratamiento de datos personales controvertido en el litigio principal se inscribe efectivamente en el motivo de licitud previsto en el artículo 6, apartado 1, letra c), del RGPD, procede señalar que el RGPD, y en particular su artículo 17, apartado 3, letra b), establece expresamente la exigencia de que se ponderen, por un lado, los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales, consagrados en los artículos 7 y 8 de la Carta, y, por otro lado, los objetivos legítimamente perseguidos por el Derecho de la Unión o el Derecho de los Estados miembros en el que se sustenta la obligación legal cuyo respeto hace necesario el tratamiento [véase, por analogía, la sentencia de 8 de diciembre de 2022, Google (Retirada de enlaces a contenido supuestamente inexacto), C‑460/20, EU:C:2022:962, apartado 58 y jurisprudencia citada].

125

Como ya ha declarado el Tribunal de Justicia, limitar el acceso a los datos personales que el Derecho de la Unión somete a una publicidad obligatoria únicamente a terceros que justifiquen un interés específico puede estar justificado, caso por caso, por razones preponderantes y legítimas propias de la situación particular de los interesados (véase, en ese sentido, la sentencia de 9 de marzo de 2017, Manni, C‑398/15, EU:C:2017:197, apartado 60).

126

Como señaló la Abogada General en el punto 67 de sus conclusiones, lo mismo debe suceder, a fortiori, en el supuesto de que, como en el caso de autos, ni la Directiva 2017/1132 ni el Derecho nacional requieran los datos personales de que se trata.

127

Habida cuenta de estas consideraciones, procede responder a la cuarta cuestión prejudicial que la Directiva 2017/1132, en particular su artículo 16, y el artículo 17 del RGPD deben interpretarse en el sentido de que se oponen a una normativa o a una práctica de un Estado miembro que lleve a la autoridad encargada de llevar el Registro Mercantil de ese Estado miembro a denegar toda solicitud de supresión de los datos personales, no exigidos por esta Directiva ni por el Derecho de ese Estado miembro, que figuren en un contrato de sociedad publicado en ese Registro, cuando no se haya facilitado a dicha autoridad una copia de ese contrato en la que se oculten los referidos datos, contrariamente a las normas de procedimiento establecidas en dicha normativa.

128

Mediante su sexta cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 4, punto 1, del RGPD debe interpretarse en el sentido de que la firma manuscrita de una persona física está comprendida en el concepto de «datos personales» en el sentido de dicha disposición.

129

La citada disposición establece que constituye datos personales «toda información sobre una persona física identificada o identificable» y precisa que «se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona».

130

A este respecto, el Tribunal de Justicia ya ha declarado que el empleo de la expresión «toda información» en la definición del concepto de «datos personales», que figura en esa disposición, evidencia el objetivo del legislador de la Unión de atribuir a este concepto un significado muy amplio, que puede abarcar todo género de información, tanto objetiva como subjetiva, en forma de opiniones o apreciaciones, siempre que sean «sobre» la persona en cuestión (sentencia de 4 de mayo de 2023, Österreichische Datenschutzbehörde y CRIF, C‑487/21, EU:C:2023:369, apartado 23).

131

Una información se refiere a una persona física identificada o identificable cuando, debido a su contenido, a su finalidad o a sus efectos, está vinculada a una persona identificable (sentencia de 4 de mayo de 2023, Österreichische Datenschutzbehörde y CRIF, C‑487/21, EU:C:2023:369, apartado 24).

132

En cuanto al carácter «identificable» de una persona física, el considerando 26 del RGPD precisa que deben tenerse en cuenta «todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física».

133

De ellos se sigue que la definición amplia del concepto de «datos personales» no abarca únicamente los datos recabados y conservados por el responsable del tratamiento, sino que incluye también toda la información resultante de un tratamiento de datos personales que se refiera a una persona identificada o identificable (véase, en este sentido, la sentencia de 4 de mayo de 2023, Österreichische Datenschutzbehörde y CRIF, C‑487/21, EU:C:2023:369, apartado 26).

134

También resulta de la jurisprudencia del Tribunal de Justicia que la escritura manuscrita de una persona física da una información sobre esa persona (véase, en ese sentido, la sentencia de 20 de diciembre de 2017, Nowak, C‑434/16, EU:C:2017:994, apartado 37).

135

Por último, procede señalar que la firma manuscrita de una persona física se utiliza, con carácter general, para identificar a esa persona, para conferir valor probatorio, en lo que concierne a su exactitud y veracidad, a los documentos en los que figura o para asumir la responsabilidad de los mismos. Por otra parte, resulta que, en el contrato de sociedad de que se trata, la firma de los socios acompaña al nombre de estos.

136

Habida cuenta de cuanto antecede, procede responder a la sexta cuestión prejudicial que el artículo 4, punto 1, del RGPD debe interpretarse en el sentido de que la firma manuscrita de una persona física está comprendida en el concepto de «datos personales» a efectos de dicha disposición.

137

Mediante su séptima cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que una pérdida de control, por parte del interesado, sobre sus datos personales, durante un tiempo limitado, debido a la puesta a disposición del público de dichos datos, en línea, en el Registro Mercantil de un Estado miembro, puede bastar para causar «daños y perjuicios inmateriales» o si el concepto de «daños y perjuicios inmateriales» requiere la demostración de la existencia de consecuencias negativas tangibles adicionales.

138

Con carácter preliminar, procede recordar que esta disposición establece que «toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del [RGPD] tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos».

139

A este respecto, dado que el RGPD no remite al Derecho de los Estados miembros en relación con el sentido y el alcance de los términos que figuran en dicha disposición, en particular en lo referido a los conceptos de «daños y perjuicios materiales o inmateriales» y de «indemnización por los daños y perjuicios sufridos», a efectos de la aplicación de dicho Reglamento, debe considerarse que estos términos constituyen conceptos autónomos del Derecho de la Unión, que deben interpretarse de manera uniforme en todos los Estados miembros [véase, en este sentido, la sentencia de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartado 30].

140

A tal efecto, el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que la mera infracción de este Reglamento no basta para conferir un derecho a indemnización, puesto que la existencia de «daños y perjuicios» materiales o inmateriales o de «daños y perjuicios» que se han «sufrido» constituye uno de los requisitos del derecho a indemnización previsto en dicho artículo 82, apartado 1, al igual que la existencia de una infracción de ese Reglamento y de una relación de causalidad entre dichos daños y perjuicios y esa infracción, de modo que estos tres requisitos son acumulativos [sentencias de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartado 32, y de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, apartado 34].

141

De este modo, la persona que reclama una indemnización por daños y perjuicios inmateriales en virtud de esa disposición debe acreditar no solo la infracción de las normas de dicho Reglamento, sino también que esa infracción le ha causado tales daños y perjuicios. Por lo tanto, tales daños o perjuicios no pueden presumirse únicamente por el hecho de que se haya producido dicha infracción [véanse, en este sentido, las sentencias de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartados 42 y 50, y de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, apartado 35].

142

En particular, la persona afectada por una infracción del RGPD que haya tenido consecuencias negativas en lo que a ella respecta debe demostrar que tales consecuencias constituyen un daño o perjuicio inmaterial, en el sentido del artículo 82 de dicho Reglamento, puesto que la mera infracción de sus disposiciones no basta para conferir un derecho a indemnización (sentencia de 25 de enero de 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, apartado 60 y jurisprudencia citada).

143

En consecuencia, cuando una persona que solicita una indemnización en virtud del mencionado artículo 82, apartado 1, invoca el temor de que en el futuro se produzca un uso indebido de sus datos personales como consecuencia de dicha infracción, el órgano jurisdiccional nacional que conozca del asunto deberá comprobar que ese temor puede considerarse fundado, habida cuenta de las circunstancias específicas del caso y del interesado (sentencia de 14 de diciembre de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, apartado 85).

144

Dicho esto, el Tribunal de Justicia ya ha declarado que se desprende no solo del tenor del artículo 82, apartado 1, del RGPD, en relación con los considerandos 85 y 146 del mismo Reglamento, que llevan a adoptar una acepción amplia del concepto de «daños y perjuicios inmateriales» en el sentido del mencionado artículo, sino también del objetivo consistente en garantizar un nivel elevado de protección de las personas físicas en lo que respecta al tratamiento de sus datos personales, previsto en dicho Reglamento, que el temor que experimenta un interesado a un potencial uso indebido de sus datos personales por terceros a raíz de una infracción del citado Reglamento puede constituir, por sí solo, un «daño y perjuicio inmaterial» a los efectos del referido artículo 82, apartado 1 [sentencia de 20 de junio de 2024, PS (Dirección errónea)C‑590/22, EU:C:2024:536, apartado 32 y jurisprudencia citada].

145

En particular, de la lista ilustrativa de los «daños» o los «perjuicios» que pueden sufrir los interesados que figura en el considerando 85, primera frase, del RGPD se desprende que el legislador de la Unión quiso incluir en los conceptos de «daño» y de «perjuicio» que pueden sufrir los interesados, en particular, la mera «pérdida de control» sobre sus propios datos personales a raíz de una infracción de dicho Reglamento, aun cuando no se haya producido concretamente un uso indebido de los datos en cuestión (véase, en este sentido, la sentencia de 14 de diciembre de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, apartado 82).

146

Además, una interpretación del artículo 82, apartado 1, del RGPD según la cual el concepto de «daños y perjuicios inmateriales», en el sentido de esta disposición, no incluya las situaciones en las que un interesado invoca únicamente su temor a que sus datos personales sean objeto de un uso indebido por parte de terceros en el futuro no sería conforme con la necesidad de garantizar un elevado nivel de protección de las personas físicas en cuanto al tratamiento de datos personales en la Unión que persigue el mencionado Reglamento (véase, en este sentido, la sentencia de 14 de diciembre de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, apartado 83).

147

Asimismo, este concepto no puede circunscribirse únicamente a los daños o perjuicios de cierta gravedad, en particular, por lo que respecta a la duración del período durante el cual las personas afectadas sufrieron las consecuencias negativas de la infracción de dicho Reglamento (véase, en este sentido, la sentencia de 14 de diciembre de 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, apartados 16 y 19 y jurisprudencia citada).

148

Así pues, no cabe considerar que, a los tres requisitos enunciados en el apartado 140 de la presente sentencia, puedan añadirse otros requisitos para que se genere la responsabilidad con arreglo al artículo 82, apartado 1, del RGPD, como el carácter tangible del daño o la naturaleza objetiva del perjuicio (sentencia de 14 de diciembre de 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, apartado 17).

149

Esta disposición tampoco exige que, tras una infracción probada de las disposiciones de dicho Reglamento, los «daños y perjuicios inmateriales» alegados por el interesado deban alcanzar un «umbral de minimis» para poder ser objeto de indemnización (sentencia de 14 de diciembre de 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, apartado 18).

150

Por consiguiente, si bien nada se opone a que la publicación en Internet de datos personales y la consiguiente pérdida de control sobre ellos durante un breve período de tiempo pueden causar a los interesados «daños y perjuicios inmateriales», en el sentido del artículo 82, apartado 1, del RGPD, que den lugar a un derecho a indemnización, sigue siendo necesario que dichos interesados demuestren que han sufrido efectivamente tales daños y perjuicios, por mínimos que sean (véanse, en este sentido, las sentencias de 14 de diciembre de 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, apartado 22, y de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, apartado 42).

151

Por último, debe precisarse que, en el marco de la cuantificación de la indemnización por daños y perjuicios debida en virtud del derecho a indemnización por los daños y perjuicios inmateriales, unos daños de esa índole causados por una violación de la seguridad de los datos personales no son, por naturaleza, menos importantes que unas lesiones corporales (sentencia de 20 de junio de 2024, Scalable Capital, C‑182/22 y C‑189/22, EU:C:2024:531, apartado 39).

152

Además, cuando una persona logra demostrar que la infracción del RGPD le ha causado daños y perjuicios en el sentido del artículo 82 del citado Reglamento, los criterios de cuantificación de la indemnización debida en el contexto de las acciones que permiten garantizar los derechos que los justiciables basan en el referido precepto han de ser fijados en el seno del ordenamiento jurídico de cada Estado miembro, a condición de que tal indemnización sea completa y efectiva (véase, en este sentido, la sentencia de 20 de junio de 2024, Scalable Capital, C‑182/22 y C‑189/22, EU:C:2024:531, apartado 43).

153

A este respecto, el derecho a indemnización contemplado en dicho artículo 82, apartado 1, en particular en caso de daños y perjuicios inmateriales, cumple una función compensatoria, dado que una indemnización pecuniaria basada en esta disposición debe permitir compensar íntegramente los concretos daños y perjuicios sufridos como consecuencia de la infracción de ese Reglamento, y no una función disuasoria o punitiva [véanse, en este sentido, las sentencias de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartados 57 y 58, y de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, apartado 61].

154

Además, por un lado, el nacimiento de la responsabilidad del responsable del tratamiento con arreglo al artículo 82 del RGPD está supeditado a la existencia de culpa por parte de este, la cual se presume a menos que este demuestre que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios, y, por otro lado, ese artículo 82 no exige que el grado de culpa se tenga en cuenta al fijar el importe de la indemnización por daños y perjuicios concedida como reparación de un daño inmaterial sobre la base de dicho artículo (sentencias de 21 de diciembre de 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, apartado 103, y de 25 de enero de 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, apartado 52).

155

En el caso de autos, como se ha señalado en el apartado 42 de la presente sentencia, el órgano jurisdiccional remitente precisó que el Administrativen sad Dobrich (Tribunal de lo Contencioso-Administrativo de Dobrich) había constatado la existencia de daños y perjuicios inmateriales consistentes en experiencias psicológicas y emocionales negativas sufridas por OL, a saber, el miedo y la inquietud ante los posibles abusos, así como la impotencia y la decepción en cuanto a la imposibilidad de proteger sus datos personales. Declaró igualmente que dichos daños y perjuicios resultaban del escrito de la Agencia de 26 de enero de 2022, que dio lugar a una vulneración del derecho a la supresión reconocido en el artículo 17, apartado 1, del RGPD, así como a un tratamiento ilícito de sus datos personales contenidos en el contrato de sociedad de que se trata puesto a disposición del público.

156

Habida cuenta de las consideraciones anteriores, procede responder a la séptima cuestión prejudicial que el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que una pérdida de control, por parte del interesado, sobre sus datos personales, durante un tiempo limitado, debido a la puesta a disposición del público de dichos datos, en línea, en el Registro Mercantil de un Estado miembro, puede bastar para causar «daños y perjuicios inmateriales», siempre que ese interesado demuestre que ha sufrido efectivamente tales daños y perjuicios, por mínimos que sean, sin que ese concepto de «daños y perjuicios inmateriales» requiera la demostración de la existencia de consecuencias negativas tangibles adicionales.

157

Mediante su octava cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 82, apartado 3, del RGPD debe interpretarse en el sentido de que un dictamen de la autoridad de control de un Estado miembro, emitido sobre la base del artículo 58, apartado 3, letra b), de dicho Reglamento, basta para eximir de responsabilidad, con arreglo al artículo 82, apartado 2, de dicho Reglamento, a la autoridad encargada de llevar el Registro Mercantil de ese Estado miembro que tiene la condición de «responsable del tratamiento» en el sentido del artículo 4, punto 7, de ese mismo Reglamento.

158

En primer lugar, por lo que respecta al régimen de responsabilidad previsto en el artículo 82 del RGPD, procede recordar que este artículo establece, en su apartado 1, que toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción de ese Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos. Tal y como se desprende del apartado 140 de la presente sentencia, este derecho a indemnización está supeditado al cumplimiento de tres requisitos acumulativos.

159

De conformidad con el artículo 82, apartado 2, primera frase, de dicho Reglamento, cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por ese mismo Reglamento. Esta disposición, que precisa el régimen de responsabilidad cuyo principio se establece en el apartado 1 de dicho artículo, recoge los tres requisitos necesarios para que nazca el derecho a indemnización, a saber, un tratamiento de datos personales en infracción de las disposiciones del RGPD, daños y perjuicios sufridos por el interesado y una relación de causalidad entre dicho tratamiento ilícito y esos daños y perjuicios [sentencia de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartado 36].

160

El artículo 82, apartado 3, del RGPD dispone que el responsable del tratamiento estará exento de responsabilidad en virtud de ese apartado 2 si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.

161

Como ya ha declarado el Tribunal de Justicia, del análisis conjunto de los apartados 1 a 3 del artículo 82 del RGPD, del contexto en el que se inscribe dicho artículo y de los objetivos perseguidos por el legislador de la Unión mediante dicho Reglamento se desprende que este artículo establece un régimen de responsabilidad por culpa en el que la carga de la prueba no recae sobre la persona que ha sufrido los daños y perjuicios, sino sobre el responsable del tratamiento (véase, en ese sentido, la sentencia de 21 de diciembre de 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, apartados 94 y 95).

162

En particular, no sería conforme con el objetivo de garantizar un nivel elevado de protección de las personas físicas en lo que respecta al tratamiento de los datos personales optar por una interpretación según la cual los interesados que han sufrido daños y perjuicios como consecuencia de una infracción del RGPD deben soportar, en el marco de una acción indemnizatoria basada en el artículo 82 de este, la carga de probar no solo la existencia de esa infracción y de los daños y perjuicios que se derivan para ellos de esa infracción, sino también la existencia de culpa, por intencionalidad o negligencia, por parte del responsable del tratamiento, o incluso el grado de culpa, aun cuando dicho artículo 82 no formule tales requisitos (véase, en ese sentido, la sentencia de 21 de diciembre de 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, apartado 99).

163

De conformidad con la jurisprudencia citada en el apartado 154 de la presente sentencia, el nacimiento de la responsabilidad del responsable del tratamiento en virtud del artículo 82 del RGPD está, pues, supeditado a la existencia de culpa por parte de este, que se presume, a menos que este demuestre que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.

164

A este respecto, como pone de manifiesto la inclusión expresa de la expresión «en modo alguno» durante el procedimiento legislativo, las circunstancias en las que el responsable del tratamiento puede pretender que se le exonere de la responsabilidad civil configurada por el artículo 82 del RGPD deben limitarse estrictamente a aquellas en las que dicho responsable pueda demostrar que el daño no le es imputable (sentencia de 14 de diciembre de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, apartado 70).

165

El Tribunal de Justicia también ha declarado que, en caso de violación de la seguridad de los datos personales por parte de un tercero, como un cibercriminal, o por parte de una persona que actúe bajo la autoridad del responsable del tratamiento, este último únicamente puede quedar exento de su responsabilidad, sobre la base del artículo 82, apartado 3, del RGPD, si demuestra que no existe una relación de causalidad entre el eventual incumplimiento de la obligación de protección de datos que le incumbe en virtud de dicho Reglamento y los daños y perjuicios sufridos por la persona física de que se trate (véanse, en este sentido, las sentencias de 14 de diciembre de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, apartado 72, y de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, apartado 51).

166

Por consiguiente, para que ese responsable pueda quedar exento de responsabilidad en virtud de ese artículo 82, apartado 3, no basta con que demuestre que había dado instrucciones a las personas que actuaban bajo su autoridad en el sentido de dicho Reglamento y que una de esas personas incumplió su obligación de seguir esas instrucciones, de modo que esta contribuyó a que se produjeran los daños y perjuicios en cuestión (véase, en ese sentido, la sentencia de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, apartado 52).

167

En segundo lugar, por lo que respecta a las normas relativas a los medios de prueba, procede recordar que el RGPD no establece reglas relativas a la admisión y al valor probatorio de un medio de prueba que deben aplicar los jueces nacionales que conozcan de una acción de indemnización basada en el artículo 82 de dicho Reglamento. Por consiguiente, en ausencia de normas del Derecho de la Unión en la materia, corresponde al ordenamiento jurídico interno de cada Estado miembro establecer los tipos de acciones que permitan garantizar los derechos que confiere el citado artículo 82 a los justiciables y, en particular, las reglas relativas a los medios de prueba, siempre que se respeten los citados principios de equivalencia y efectividad (véase, en este sentido, la sentencia de 14 de diciembre de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, apartado 60 y jurisprudencia citada).

168

En tercer lugar, por lo que respecta a un dictamen emitido en virtud del artículo 58, apartado 3, letra b), del RGPD, procede recordar que este artículo establece los poderes de las autoridades de control.

169

Así, el artículo 58 del RGPD confiere a esas autoridades, en su apartado 1, poderes de investigación, en su apartado 2, poderes correctivos, en su apartado 3, los poderes de autorización y consultivos que en él se enumeran y, en su apartado 5, la facultad de poner en conocimiento de las autoridades judiciales cualquier infracción de dicho Reglamento y, si procede, iniciar acciones judiciales, con el fin de hacer cumplir lo dispuesto en el mismo.

170

Pues bien, entre los poderes enumerados en el artículo 58, apartado 3, del RGPD figura, en dicho artículo 58, apartado 3, letra b), el de «emitir, por iniciativa propia o previa solicitud, dictámenes destinados al Parlamento nacional, al Gobierno del Estado miembro o, con arreglo al Derecho de los Estados miembros, a otras instituciones y organismos, así como al público, sobre cualquier asunto relacionado con la protección de los datos personales».

171

Del tenor de dicha disposición, en particular del término «dictámenes», se desprende claramente que la emisión de tales dictámenes forma parte de los poderes consultivos y no de los poderes de autorización de la autoridad de control.

172

El empleo de los términos «dictámenes» y «poderes consultivos» también indica que un dictamen emitido sobre la base del artículo 58, apartado 3, letra b), del RGPD no es jurídicamente vinculante en virtud del Derecho de la Unión.

173

El considerando 143 del RGPD confirma esta interpretación. En efecto, este dispone que «toda persona física o jurídica debe tener derecho a la tutela judicial efectiva ante el tribunal nacional competente contra las decisiones de una autoridad de control que produzcan efectos jurídicos que le afecten. Tales decisiones se refieren en particular al ejercicio de los poderes de investigación, corrección y autorización por parte de la autoridad de control o a la desestimación o rechazo de reclamaciones. No obstante, el derecho a la tutela judicial efectiva no incluye medidas adoptadas por las autoridades de control que no sean jurídicamente vinculantes, como los dictámenes publicados o el asesoramiento facilitado por ellas».

174

Pues bien, dado que un dictamen facilitado al responsable del tratamiento no es jurídicamente vinculante, no puede demostrar, en sí mismo, que los daños y perjuicios no son imputables a dicho responsable, en el sentido de la jurisprudencia citada en el apartado 164 de la presente sentencia, ni basta, por tanto, para eximir a este de responsabilidad en virtud del artículo 82, apartado 3, del RGPD.

175

Tal interpretación del artículo 82, apartado 3, también es conforme con los objetivos perseguidos por el RGPD consistentes en garantizar un nivel elevado de protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y en garantizar la indemnización efectiva de los daños y perjuicios que puedan sufrir como consecuencia del tratamiento de esos datos efectuado en contra de lo dispuesto en dicho Reglamento. En efecto, si al responsable del tratamiento le bastase con invocar un dictamen no vinculante jurídicamente para eludir toda responsabilidad y, correlativamente, toda obligación de indemnización, este no se vería incentivado a hacer todo lo que esté a su alcance para garantizar ese elevado nivel de protección y cumplir las obligaciones impuestas por dicho Reglamento.

176

Habida cuenta de las anteriores consideraciones, procede responder a la octava cuestión prejudicial que el artículo 82, apartado 3, del RGPD debe interpretarse en el sentido de que un dictamen de la autoridad de control de un Estado miembro, emitido sobre la base del artículo 58, apartado 3, letra b), de dicho Reglamento, no basta para eximir de responsabilidad, con arreglo al artículo 82, apartado 2, de ese Reglamento, a la autoridad encargada de llevar el Registro Mercantil de ese Estado miembro que tenga la condición de «responsable del tratamiento» en el sentido del artículo 4, punto 7, de ese mismo Reglamento.

177

Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Primera) declara: