–

en nombre de la Datenschutzbehörde, por el Sr. M. Schmidl y la Sra. E. Wagner, en calidad de agentes;

–

en nombre de la Bundesministerin für Justiz, por el Sr. E. Riedl, en calidad de agente;

–

en nombre del Gobierno austriaco, por el Sr. A. Posch y las Sras. J. Schmoll y C. Gabauer, en calidad de agentes;

–

en nombre de la Comisión Europea, por el Sr. A. Bouchagiar y la Sra. M. Heller, en calidad de agentes;

1

La petición de decisión prejudicial tiene por objeto la interpretación del artículo 4, punto 7, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; en lo sucesivo, «RGPD»).

2

Esta petición se ha presentado en el contexto de un litigio entre el Amt der Tiroler Landesregierung (Oficina del Gobierno del Estado Federado del Tirol, Austria; en lo sucesivo, «Oficina») y la Datenschutzbehörde (Autoridad de Protección de Datos, Austria) en relación con un tratamiento supuestamente ilegal de los datos personales de una persona física por parte de la Oficina.

3

Los considerandos 1, 7, 10, 45 y 74 del RGPD tienen el siguiente tenor:

[…]

[…]

[…]

[…]

4

El artículo 1 de dicho Reglamento, titulado «Objeto», dispone en su apartado 2:

«El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.»

5

El artículo 4 del referido Reglamento, rubricado «Definiciones», está redactado en los siguientes términos:

«A efectos del presente Reglamento se entenderá por:

[…]

[…]

[…]».

6

Con arreglo al artículo 5 de dicho Reglamento, titulado «Principios relativos al tratamiento»:

«1.   Los datos personales serán:

2.   El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva”).»

7

El artículo 6 del RGPD, que se titula «Licitud del tratamiento», establece en sus apartados 1 y 3:

«1.   El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

[…]

[…]

[…]

3.   La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por:

La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Dicha base jurídica podrá contener disposiciones específicas para adaptar la aplicación de normas del presente Reglamento, entre otras: las condiciones generales que rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados afectados; las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación; la limitación de la finalidad; los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones específicas de tratamiento a tenor del capítulo IX. […]»

8

El artículo 56 de la Landesverfassungsgesetz über die Verfassung des Landes Tirol (Tiroler Landesordnung 1989) [Ley Constitucional del Estado Federado del Tirol (Estatuto del Estado Federado del Tirol de 1989)], de 21 de septiembre de 1988, en su versión aplicable al litigio principal (en lo sucesivo, «Estatuto del Estado Federado del Tirol de 1989»), titulado «Landeshauptmann» (gobernador del estado federado, Austria) (en lo sucesivo, «gobernador»), establece, en su apartado 1:

«El [gobernador] representa al estado federado del Tirol.»

9

El artículo 58 del Estatuto del Estado Federado del Tirol de 1989, titulado «[Oficina]», dispone en su apartado 1:

«El [gobernador], el Gobierno del estado federado y sus miembros deberán recurrir a la [Oficina] para tramitar sus asuntos. El [gobernador] será el presidente de la [Oficina].»

10

El artículo 2 de la Tiroler Datenverarbeitungsgesetz (Ley de Tratamiento de Datos del Tirol) (en lo sucesivo, «TDVG»), establece:

«1.   Será considerado responsable del tratamiento en el sentido del artículo 4, punto 7, del [RGPD]:

[…]

3.   Cuando el tratamiento de datos sea efectuado o encargado por el estado federado del Tirol, la [Oficina] se considerará siempre responsable de dicho tratamiento en la medida en que:

11

En el marco de las medidas destinadas a luchar contra la pandemia de COVID‑19, la Oficina, una entidad administrativa auxiliar al servicio del gobernador y del Gobierno del estado federado del Tirol, envió una «carta recordatorio de vacunación» a todas las personas mayores de edad residentes en el estado federado del Tirol que aún no habían sido vacunadas contra este virus. Con el fin de identificar a los destinatarios de esas cartas, la Oficina recurrió a dos empresas privadas, que procedieron a un cruce de los datos que figuraban en el registro central de vacunaciones y en el registro de pacientes, en el que se mencionaba el domicilio de estos.

12

El 21 de diciembre de 2021, CW, uno de los destinatarios de la carta, presentó ante la Autoridad de Protección de Datos una denuncia contra la Oficina por el tratamiento ilegal de sus datos personales. La Oficina indicó a dicha autoridad que tenía la condición de «responsable del tratamiento» y que se encontraba en el origen de la carta enviada a CW.

13

Mediante resolución de 22 de agosto de 2022, la referida autoridad declaró que la Oficina había vulnerado el derecho de CW a la protección de sus datos personales, en la medida en que, a fin de enviarle una «carta recordatorio de vacunación», había consultado los datos del interesado que figuraban en el registro de vacunaciones, a pesar de que no tenía derecho a acceder a ese registro ni al registro de pacientes. Por lo tanto, señaló que el tratamiento de los datos personales de CW había sido ilícito.

14

La Oficina interpuso un recurso contra la resolución indicada ante el Bundesverwaltungsgericht (Tribunal Federal de lo Contencioso-Administrativo, Austria). Este consideró que, sobre la base del Derecho nacional aplicable, la Oficina tenía la condición de responsable del tratamiento, pero no disponía de un derecho de consulta del registro de vacunaciones para enviar una carta recordatorio como la dirigida a CW. Al desestimar dicho tribunal el recurso de la Oficina, esta interpuso recurso de casación contra esa resolución ante el Verwaltungsgerichtshof (Tribunal Supremo de lo Contencioso‑Administrativo, Austria), que es el órgano jurisdiccional remitente.

15

El órgano jurisdiccional remitente considera que, para poder resolver el asunto del que conoce, es preciso determinar si la Oficina, en el contexto de este asunto, tiene la condición de «responsable del tratamiento», en el sentido del artículo 4, punto 7, del RGPD.

16

A este respecto, el órgano jurisdiccional remitente subraya que la Oficina no hizo más que presentar al gobernador una propuesta de envío de una «carta recordatorio de vacunación», propuesta que este aprobó en su condición de presidente de la Oficina y de representante del estado federado del Tirol, de conformidad, respectivamente, con el artículo 58 y con el artículo 56, apartado 1, del Estatuto del Estado Federado del Tirol de 1989. De este modo, la Oficina se limitó a indicar al gobernador, por una parte, cuál sería la finalidad del tratamiento de datos personales previsto, a saber, un aumento de la tasa de vacunación, y, por otra, los medios que se aplicarían sobre la base de dicho tratamiento, en concreto, el envío de la «carta recordatorio de vacunación» utilizando los datos del registro central de vacunación y del registro de pacientes.

17

Según el órgano jurisdiccional remitente, habida cuenta de que aprobó la propuesta de envío, fue únicamente el gobernador quien determinó tanto los fines como los medios del tratamiento de datos personales, de modo que la Oficina no puede tener la condición de «responsable del tratamiento», en el sentido del artículo 4, punto 7, primera frase, del RGPD.

18

No obstante, dicho órgano jurisdiccional se pregunta si es posible que una disposición de Derecho nacional, a saber, el artículo 2, apartado 1, letra a), de la TDVG, designara responsable del tratamiento a la Oficina.

19

Añade que la Oficina no es efectivamente una persona jurídica ni tenía la condición de autoridad encargada del tratamiento de los datos personales para el envío de la «carta recordatorio de vacunación» a CW. La Oficina únicamente intervino en ese tratamiento como entidad administrativa auxiliar al servicio de una autoridad pública. El órgano jurisdiccional remitente señala que la Oficina carece de personalidad jurídica y de capacidad jurídica propia. Por lo tanto, a su juicio, es preciso determinar si, en estas circunstancias, la Oficina puede considerarse un«servicio u otro organismo», en el sentido del artículo 4, punto 7, primera frase, del RGPD, que puede ser designado responsable del tratamiento en virtud del Derecho nacional, de conformidad con el artículo 4, punto 7, segunda frase, del citado Reglamento.

20

Además, el órgano jurisdiccional remitente recuerda que, con arreglo al artículo 4, punto 7, segunda frase, del RGPD, un responsable del tratamiento solo puede ser designado directamente en la medida en que los fines y medios del tratamiento de los datos personales en cuestión estén determinados por el Derecho nacional. Pues bien, aunque el artículo 2, apartado 1, letra a), de la TDVG designa a la Oficina como responsable del tratamiento, no indica de manera concreta a qué tipos de tratamientos de datos personales puede proceder la Oficina, ni los fines que dichos tratamientos deben perseguir, ni tampoco los medios que la Oficina podría aplicar a tal efecto.

21

El órgano jurisdiccional remitente añade que del artículo 6, apartado 1, letras c) y e), del RGPD se desprende que un tratamiento de datos personales es lícito si es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento o si es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. De estos requisitos de licitud y del objetivo de garantizar una protección eficaz y amplia de los interesados perseguida por el artículo 4, punto 7, del RGPD se desprende que los Estados miembros solo pueden designar como responsable del tratamiento a una persona o entidad que pueda determinar los fines y medios del tratamiento de datos personales o, al menos, participar en dicha determinación.

22

En estas circunstancias, el Verwaltungsgerichtshof (Tribunal Supremo de lo Contencioso-Administrativo) decidió suspender el procedimiento y plantear al Tribunal de Justicia la siguiente cuestión prejudicial:

¿Debe interpretarse el artículo 4, punto 7, del [RGPD] en el sentido de que se opone a la aplicación de una disposición de Derecho nacional (como, en el presente asunto, el artículo 2, apartado 1, de la [TDVG]), en la cual, aunque se designa un responsable del tratamiento en el sentido del artículo 4, punto 7, segunda frase, del RGPD,

23

Mediante su cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 4, punto 7, del RGPD debe interpretarse en el sentido de que se opone a una normativa nacional que designa, como responsable del tratamiento, a una entidad administrativa auxiliar carente de personalidad jurídica y de capacidad jurídica propia sin precisar, de manera concreta, las operaciones específicas de tratamiento de datos personales de las que dicha entidad es responsable ni los fines de esas operaciones. El referido órgano jurisdiccional desea saber también si el artículo 4, punto 7, del RGPD debe interpretarse en el sentido de que una entidad designada por el Derecho nacional como responsable del tratamiento con arreglo a esta disposición debe determinar efectivamente los fines y medios del tratamiento de datos personales para estar obligada a responder, como responsable del tratamiento, a las solicitudes que le dirijan los interesados sobre la base de los derechos que el RGPD les confiere.

24

Con carácter preliminar, procede recordar que, en virtud del artículo 4, punto 7, del RGPD, el concepto de «responsable del tratamiento» incluye a las personas físicas o jurídicas, autoridades públicas, servicios u otros organismos que, solos o junto con otros, determinen los fines y medios del tratamiento. Esta disposición establece asimismo que, cuando, en particular, el Derecho de un Estado miembro determine los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser establecidos por ese Derecho.

25

De la jurisprudencia del Tribunal de Justicia se desprende que esta disposición tiene por objeto garantizar, mediante una definición amplia del concepto de «responsable del tratamiento», una protección eficaz y completa de los interesados (véanse, en este sentido, las sentencias de 5 de diciembre de 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, apartado 29, y de 5 de diciembre de 2023, Deutsche Wohnen, C‑807/21, EU:C:2023:950, apartado 40).

26

El objetivo perseguido por el RGPD, tal como se desprende de su artículo 1 y de sus considerandos 1 y 10, consiste, en particular, en garantizar un nivel elevado de protección de los derechos y libertades fundamentales de las personas físicas, sobre todo de su derecho a la vida privada respecto del tratamiento de los datos personales, consagrado en el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales y en el artículo 16 TFUE, apartado 1 (sentencia de 7 de marzo de 2024, IAB Europe, C‑604/22, EU:C:2024:214, apartado 53 y jurisprudencia citada).

27

Habida cuenta del tenor del artículo 4, punto 7, del RGPD, interpretado a la luz de este objetivo, para determinar si una persona o entidad debe ser calificada de «responsable del tratamiento», en el sentido de esta disposición, es preciso averiguar si esa persona o entidad determina, sola o junto con otros, los fines y medios del tratamiento o si estos vienen determinados por el Derecho nacional. Cuando tal determinación se efectúe en virtud del Derecho nacional, deberá comprobarse si dicho Derecho designa al responsable del tratamiento o establece los criterios específicos aplicables a su nombramiento [sentencia de 11 de enero de 2024, État belge (Datos tratados por una publicación oficial), C‑231/22, EU:C:2024:7, apartado 29].

28

En atención a la definición amplia del concepto de «responsable del tratamiento» en el sentido del artículo 4, punto 7, del RGPD, la determinación de los fines y medios del tratamiento y, en su caso, la designación del responsable por el Derecho nacional pueden ser no solo explícitas, sino también implícitas. En este último caso, se requiere, no obstante, que dicha determinación se desprenda con suficiente certeza del papel, de la misión y de las atribuciones encomendadas a la persona o entidad de que se trate [sentencia de 11 de enero de 2024, État belge (Datos tratados por una publicación oficial), C‑231/22, EU:C:2024:7, apartado 30].

29

Procede examinar la cuestión prejudicial planteada a la luz de estas consideraciones preliminares. A tal efecto, en primer lugar, ha de determinarse en qué medida el legislador nacional puede designar una entidad administrativa auxiliar al servicio de las autoridades públicas como responsable del tratamiento en el sentido del artículo 4, punto 7, segunda frase, del RGPD, cuando dicha entidad carece de personalidad jurídica y de capacidad jurídica propia.

30

A este respecto, procede señalar, por un lado, que el Tribunal de Justicia ya ha declarado que del tenor claro del artículo 4, punto 7, del RGPD se desprende que puede ser responsable del tratamiento no solo una persona física o jurídica, sino también una autoridad pública, un servicio o un organismo, entidades que no están necesariamente dotadas de personalidad jurídica en función del Derecho nacional [véase, en este sentido, la sentencia de 11 de enero de 2024, État belge (Datos tratados por una publicación oficial), C‑231/22, EU:C:2024:7, apartado 36].

31

Así pues, no cabe excluir que una entidad pueda ser calificada de «responsable del tratamiento» en el sentido de dicha disposición, aun cuando carezca de personalidad jurídica.

32

Por otro lado, en lo que atañe a la cuestión de si la calificación de una entidad como «responsable del tratamiento» requiere que tal entidad tenga capacidad jurídica propia, o si para ello basta con que la entidad de que se trate esté dotada de cierta capacidad de decisión y de acción en el marco de la protección de datos personales, procede recordar que del considerando 74 del RGPD se desprende que el legislador de la Unión quiso que la responsabilidad que recae sobre el responsable del tratamiento sea idéntica cualquiera que sea el tratamiento de datos personales que efectúe, ya sea por sí mismo o a través de un tercero, pero por su cuenta. El legislador de la Unión también quiso velar por que el responsable del tratamiento esté obligado a aplicar medidas oportunas y eficaces y pueda demostrar la conformidad de las actividades de tratamiento con dicho Reglamento, incluida la eficacia de las medidas en cuestión, que deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas físicas.

33

En esta medida, el artículo 5, apartado 2, del RGPD consagra un principio de responsabilidad, en virtud del cual el responsable del tratamiento es responsable del cumplimiento de los principios relativos al tratamiento de datos personales enunciados en el apartado 1 de ese artículo 5, y establece que este debe ser capaz de demostrar que se respetan los referidos principios.

34

Habida cuenta de las obligaciones legales a las que está sujeto el responsable del tratamiento contemplado en el artículo 4, punto 7, del RGPD, este debe, según las modalidades previstas por la normativa del Estado miembro al que pertenece, poder cumplir, de hecho y de Derecho, esas obligaciones, sin que tenga incidencia a este respecto el hecho de que dicha entidad tenga o no personalidad jurídica y capacidad jurídica propia.

35

En el caso de autos, corresponde al órgano jurisdiccional remitente comprobar si la Oficina está facultada por el Derecho austriaco para asumir las responsabilidades y las obligaciones que el RGPD impone al responsable del tratamiento, habida cuenta, en particular, de la circunstancia, no impugnada ante los órganos jurisdiccionales nacionales que conocen del litigio principal, de que la Oficina puede interponer un recurso contra la decisión de la Autoridad de Protección de Datos, del mismo modo que puede ser objeto de una reclamación presentada ante dicha autoridad. El órgano jurisdiccional remitente también podrá tomar en consideración el hecho de que la Oficina encargó a dos empresas privadas que trataran los datos personales que figuran en el registro central de vacunaciones y en el de los pacientes residentes en el estado federado del Tirol.

36

En segundo lugar, el órgano jurisdiccional remitente se pregunta si un legislador nacional puede designar una entidad como responsable del tratamiento con arreglo al artículo 4, punto 7, segunda frase, del RGPD, sin precisar, de manera concreta, ni los tratamientos de datos personales que dicha entidad puede tener que efectuar, ni su finalidad, ni los medios concretos que puede aplicar para llevar a cabo ese tratamiento.

37

Como se ha recordado en el apartado 28 de la presente sentencia, cuando el Derecho nacional designa una entidad como responsable del tratamiento, la determinación de los fines y medios del tratamiento por ese Derecho puede ser implícita, siempre que tal determinación se desprenda con suficiente certeza del papel, de la misión y de las atribuciones encomendadas a dicha entidad. Este requisito se cumple si tales fines y medios se deducen, en esencia, de las disposiciones de Derecho nacional que regulan la actividad de la referida entidad.

38

La designación directa, por el legislador nacional, de una entidad como responsable del tratamiento contribuye al objetivo de seguridad jurídica que persigue el RGPD, tal como se desprende de su considerando 7, al permitir a las personas físicas cuyos datos personales están sujetos a tratamiento identificar fácilmente la entidad encargada de velar por el respeto de los derechos que les confiere dicho Reglamento.

39

No obstante, la validez de tal designación está supeditada al requisito de que la normativa nacional determine el alcance del tratamiento de datos personales para el que se designa responsable a esa entidad, sin que sea necesario, no obstante, que el legislador nacional haya enumerado exhaustivamente todas las operaciones de tratamiento para las que se designa a la referida entidad. Como enuncia el considerando 45 del RGPD, «una norma puede ser suficiente como base para varias operaciones de tratamiento de datos basadas en una obligación legal aplicable al responsable del tratamiento, o si el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos».

40

De ello se deduce que una normativa nacional que designa una entidad como responsable del tratamiento sin enumerar expresamente todas las operaciones específicas de tratamiento de datos personales de las que es responsable ni los fines de esas operaciones de tratamiento es compatible con el artículo 4, punto 7, del RGPD, siempre que dicha normativa determine, explícita o al menos implícitamente, el alcance del tratamiento de los datos personales para los que se designa responsable a esa entidad.

41

En el caso de autos, corresponde al órgano jurisdiccional remitente comprobar, por una parte, si el tratamiento de datos personales que realizó la Oficina para preparar y enviar las «cartas recordatorio de vacunación» de que se trata en el litigio principal es compatible con los fines a los que deben responder las operaciones de tratamiento de datos personales para las que se ha designado responsable a la Oficina, tal como esos fines se desprenden, al menos implícitamente, del conjunto de las disposiciones de Derecho nacional que regulan su actividad y, por otra parte, los medios que puede aplicar a tal efecto. El mero hecho de que estas disposiciones nacionales no precisen, en su caso, de manera concreta, las operaciones de tratamiento que la Oficina está autorizada a efectuar no puede excluir que se califique a una entidad como la Oficina de responsable del tratamiento, en el sentido del artículo 4, punto 7, del RGPD.

42

En tercer lugar, el órgano jurisdiccional remitente pregunta si una entidad designada por la normativa nacional como responsable del tratamiento, con arreglo al artículo 4, punto 7, segunda frase, del RGPD, también debe determinar por sí misma, o junto con otras autoridades competentes, los fines y medios del tratamiento de datos personales para el que se la designa responsable, para estar obligada a responder, como tal, a las solicitudes que le dirijan los interesados sobre la base de los derechos que les confiere el RGPD.

43

A este respecto, basta con observar que, para determinar la condición de responsable del tratamiento de una entidad, en el sentido del artículo 4, punto 7, primera frase, del RGPD, es preciso examinar si dicha entidad ha influido efectivamente, para sus propios fines, en la determinación de los fines y los medios de dicho tratamiento (véase, en este sentido, la sentencia de 5 de diciembre de 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, apartados 30 y 31).

44

En cambio, a efectos de determinar la condición de responsable del tratamiento de una entidad en el sentido del artículo 4, punto 7, segunda frase, del RGPD, como se desprende del tenor claro de esta disposición, no es necesario que la referida entidad influya en la determinación de los fines y medios de ese tratamiento.

45

Por lo tanto, tal entidad, designada por el Derecho nacional como responsable del tratamiento, no ha de determinar por sí misma los fines y medios del tratamiento de datos personales para estar obligada a responder, como responsable del tratamiento, a las solicitudes que le dirijan los interesados sobre la base de los derechos que les confiere el RGPD.

46

A este respecto, el Tribunal de Justicia ya ha declarado que la validez de una designación directa no se ve afectada por la circunstancia de que, en virtud del Derecho nacional, la entidad designada como responsable del tratamiento no ejerza ningún control sobre los datos personales que deba tratar [véase, en este sentido, la sentencia de 11 de enero de 2024, État belge (Datos tratados por una publicación oficial), C‑231/22, EU:C:2024:7, apartados 37 y 38].

47

Tal interpretación es conforme con el objetivo de seguridad jurídica que persigue el RGPD. Como ha subrayado la Comisión Europea en sus observaciones escritas, este objetivo se vería comprometido si, para poder considerar que esta designación ha sido realizada válidamente por el legislador nacional, los interesados tuvieran que comprobar que la entidad designada como responsable del tratamiento de sus datos personales tiene la facultad de determinar por sí misma los fines y medios de tal tratamiento.

48

Es preciso añadir además que el hecho de que no sea necesario que una entidad designada como responsable del tratamiento por el Derecho nacional esté facultada también para determinar por sí misma los fines y medios del tratamiento de datos personales para estar obligada a responder, como responsable del tratamiento, a las solicitudes que le dirijan los interesados sobre la base de los derechos que les confiere el RGPD no priva, sin embargo, a esos interesados de la posibilidad de presentar tales solicitudes a otra entidad que consideren responsable o conjuntamente responsable del tratamiento de sus datos personales debido a la influencia que esa otra entidad haya ejercido en la determinación de los fines y medios del tratamiento en cuestión.

49

Habida cuenta de las consideraciones anteriores, procede responder a la cuestión prejudicial planteada que el artículo 4, punto 7, del RGPD debe interpretarse en el sentido de que no se opone a una normativa nacional que designa, como responsable del tratamiento, a una entidad administrativa auxiliar carente de personalidad jurídica y de capacidad jurídica propia, sin precisar, de manera concreta, las operaciones específicas de tratamiento de datos personales de las que dicha entidad es responsable ni los fines de esas operaciones, siempre que, por una parte, tal entidad pueda cumplir, de conformidad con esa normativa nacional, las obligaciones que incumben a un responsable del tratamiento para con los interesados en materia de protección de datos personales y, por otra parte, dicha normativa nacional determine, explícita o al menos implícitamente, el alcance del tratamiento de datos personales del que la referida entidad es responsable.

50

Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Octava) declara:

El artículo 4, punto 7, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),

debe interpretarse en el sentido de que

no se opone a una normativa nacional que designa, como responsable del tratamiento, a una entidad administrativa auxiliar carente de personalidad jurídica y de capacidad jurídica propia, sin precisar, de manera concreta, las operaciones específicas de tratamiento de datos personales de las que dicha entidad es responsable ni los fines de esas operaciones, siempre que, por una parte, tal entidad pueda cumplir, de conformidad con esa normativa nacional, las obligaciones que incumben a un responsable del tratamiento para con los interesados en materia de protección de datos personales y, por otra parte, dicha normativa nacional determine, explícita o al menos implícitamente, el alcance del tratamiento de datos personales del que la referida entidad es responsable.