SENTENCIA DEL TRIBUNAL GENERAL (Sala Novena ampliada)

de 14 de febrero de 2019 (*)

«Datos personales — Protección de las personas físicas en lo que respecta al tratamiento de estos datos — Derecho de acceso a dichos datos — Reglamento (CE) n.o 45/2001 — Denegación de acceso — Recurso de anulación — Escrito que remite sin reconsideración a una previa denegación parcial de acceso — Concepto de acto impugnable con arreglo al artículo 263 TFUE — Concepto de acto meramente confirmatorio — Aplicabilidad en materia de acceso a datos personales — Hechos nuevos y sustanciales — Interés en ejercitar la acción — Admisibilidad — Obligación de motivación»

En el asunto T‑903/16,

RE, representado por el Sr. S. Pappas, abogado,

parte demandante,

contra

Comisión Europea, representada por los Sres. H. Kranenborg y D. Nardi, en calidad de agentes,

parte demandada,

que tiene por objeto un recurso basado en el artículo 263 TFUE por el que se solicita la anulación de la nota del director de la Dirección de Seguridad de la Dirección General de Recursos Humanos y Seguridad de la Comisión de 12 de octubre de 2016 en la medida en que desestima la solicitud del demandante de acceder a algunos de sus datos personales,

EL TRIBUNAL GENERAL (Sala Novena ampliada),

integrado por el Sr. S. Gervasoni, Presidente, y los Sres. L. Madise y R. da Silva Passos, la Sra. K. Kowalik-Bańczyk (Ponente) y el Sr. C. Mac Eochaidh, Jueces;

Secretario: Sra. N. Schall, administradora;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 20 de septiembre de 2018;

dicta la presente

Sentencia

 Antecedentes del litigio

1        El demandante, RE, trabaja de [confidencial] (1) en la Dirección General de Cooperación Internacional y Desarrollo de la Comisión Europea.

2        El demandante fue objeto de una investigación administrativa (en lo sucesivo, «investigación administrativa»), llevada a cabo por la Dirección de Seguridad de la Dirección General de Recursos Humanos y Seguridad de la Comisión (en lo sucesivo, «Dirección de Seguridad»). Esta investigación versaba sobre la supuesta participación del demandante en actividades de servicios secretos y, en particular, sobre su conducta durante un conflicto entre dos Estados terceros, ya que se sospechaba que el demandante había estado entonces demasiado próximo a uno de esos Estados y le había comunicado, sin haber sido autorizado para ello, determinada información confidencial.

3        Mediante correo electrónico de 5 de diciembre de 2013, el demandante solicitó a la Dirección de Seguridad, sobre la base del artículo 13 del Reglamento (CE) n.^o 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO 2001, L 8, p. 1), que le facilitara toda la información y los datos personales y profesionales referentes al mismo en poder de dicha Dirección.

4        Mediante nota de 25 de febrero de 2014, el director de la Dirección de Seguridad, tras señalar que algunos documentos ya habían sido remitidos al demandante el 27 de noviembre de 2013, le denegó el acceso a los demás datos personales que le afectaban alegando que dichos datos estaban amparados por las excepciones y limitaciones establecidas en el artículo 20, apartado 1, letras a) a d), del Reglamento n.^o 45/2001.

5        Al considerar que esa denegación de acceso vulneraba los artículos 13 y 20, apartado 1, del Reglamento n.^o 45/2001, el demandante presentó, mediante escrito de 18 de abril de 2014, una reclamación ante el Supervisor Europeo de Protección de Datos (SEPD) sobre la base del artículo 32, apartado 2, del Reglamento n.^o 45/2001.

6        Mediante resolución de 26 de febrero de 2016, el SEPD concluyó que, habida cuenta de cómo había aplicado la Dirección de Seguridad las excepciones establecidas en el artículo 20, apartado 1, del Reglamento n.^o 45/2001, esa Dirección no había tratado correctamente algunos de los datos personales del demandante.

7        A raíz de la resolución del SEPD, la Dirección de Seguridad reconsideró la solicitud del demandante de acceder a sus datos personales.

8        Concluida esa reconsideración, mediante resolución de 8 de marzo de 2016 (en lo sucesivo, «resolución de 8 de marzo de 2016»), el director de la Dirección de Seguridad estimó parcialmente la solicitud del demandante y le dio acceso a algunos de sus datos personales y le comunicó, además, ocho documentos (documentos n.^os 44, 59 a 62, 67, 69 y 71). Esta resolución contenía, en anexo, un cuadro que identificaba 71 documentos en poder de la Dirección de Seguridad y que mostraba, respecto a cada uno de ellos, su fecha, su objeto, el tipo de datos personales que contenía, una descripción sucinta del contenido de dichos datos, su origen y, en lo que respecta a 35 de los 71 documentos (documentos n.^os 1, 6 a 9, 11, 12, 14 a 16, 18, 20, 21, 27, 28, 31, 32, 35, 36, 41, 42, 45, 46, 48 a 52, 54 a 57, 66, 68 y 70), los motivos por los que no se podían divulgar algunos de dichos datos con arreglo al artículo 20, apartado 1, letras a) y c), del Reglamento n.^o 45/2001. Entre estos documentos figuraba, con el n.^o 57, una «nota relativa a la contratación [del demandante] como [confidencial] en la [Dirección General de Cooperación Internacional y Desarrollo de la Comisión]», de 23 de enero de 2012 (en lo sucesivo, «documento n.^o 57»).

9        Mediante correo electrónico de 29 de abril de 2016 enviado a la Dirección de Seguridad, el demandante tomó nota de la respuesta dada mediante la resolución de 8 de marzo de 2016 y manifestó su deseo de acceder a «un número limitado de documentos [entre los relacionados en el cuadro adjunto a dicha resolución]». El demandante solicitó también que se le informara de cuándo concluiría la investigación administrativa.

10      Paralelamente, el 5 de julio de 2016, el demandante presentó ante el SEPD una nueva reclamación alegando que la Dirección de Seguridad, en la resolución de 8 de marzo de 2016, seguía sin cumplir la resolución del SEPD de 26 de febrero de 2016 que se pronunciaba sobre su anterior reclamación.

11      Mediante resolución de 25 de julio de 2016 (en lo sucesivo, «resolución del SEPD de 25 de julio de 2016»), el SEPD consideró que, en la resolución de 8 de marzo de 2016, la Dirección de Seguridad había ejecutado íntegramente las recomendaciones que había formulado en su resolución de 26 de febrero de 2016 y, por tanto, concluyó que la resolución de 8 de marzo de 2016 no vulneraba los artículos 13 y 20, apartado 1, del Reglamento n.^o 45/2001.

12      El 14 de septiembre de 2016, la Dirección de Seguridad respondió al correo electrónico del demandante de 29 de abril de 2016. Al considerar presentada una solicitud de acceso a los documentos sobre la base del Reglamento (CE) n.^o 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión (DO 2001, L 145, p. 43), la Dirección de Seguridad instó al demandante, con arreglo al artículo 6, apartado 2, de dicho Reglamento, a aclarar su solicitud para poder identificar los documentos a los que se deseaba acceder. Por otra parte, informó al demandante de que la investigación administrativa se había concluido el 31 de agosto de 2016.

13      Mediante escrito de 21 de septiembre de 2016 enviado a la Dirección de Seguridad (en lo sucesivo, «solicitud de 21 de septiembre de 2016»), el demandante solicitó acceder a 42 de los 71 documentos identificados en la resolución de 8 de marzo de 2016 (documentos n.^os 1 a 5, 8, 11, 13, 14, 19, 21 a 30, 33, 34, 37 a 43, 47 a 53, 56 a 58 y 63 a 65) o, al menos, a la «información» contenida en esos documentos, invocando, por una parte, el artículo 13 del Reglamento n.^o 45/2001 y, por otra, el artículo 6 del Reglamento n.^o 1049/2001. El demandante dividió los documentos y la información a los que solicitaba acceso en cuatro grupos, designados por las partes como grupo A (documentos n.^os 2 a 5, 13, 19, 22 a 26, 29, 30, 33, 34, 37 a 40, 43, 47, 53, 56, 58 y 63), B (documentos n.^os 8, 11, 41, 42, 48, 49 y 51), C (documentos n.^os 48, 49 y 51, ya incluidos en el grupo B) y D (documentos n.^os 1, 14, 21, 27, 28, 50, 52 y 57), y precisó, para todos esos grupos, los motivos que, a su juicio, justificaban la estimación de su solicitud.

14      El 12 de octubre de 2016, el director de la Dirección de Seguridad respondió a la solicitud de 21 de septiembre de 2016 mediante una nota (en lo sucesivo, «nota impugnada»), redactada como sigue:

«1.      En su [solicitud] de 21 [de septiembre de] 2016, hace referencia al artículo 13 del Reglamento n.^o 45/2001 para solicitar el acceso a cierto número de documentos. [A este respecto], [le] remito a [la] resolución [de 8 de marzo] de 2016 […]

Además, [le] remito a la resolución del [SEPD] de 25 de julio de 2016, que establece con claridad que el SEPD no tiene constancia de que la Dirección de Seguridad haya vulnerado su derecho de acceso a sus datos personales. Por consiguiente, considero que la Dirección de Seguridad ha tramitado [correctamente] su solicitud de acceso a sus datos personales.

2.      En su [solicitud de 21 de septiembre de 2016], también menciona el Reglamento n.^o 1049/2001 […] y solicita acceder a documentos concretos de [su] expediente mencionados en [el cuadro anexo a la resolución de 8 de marzo de 2016]. A este respecto, deseo llamar su atención sobre el hecho de que los documentos que le [fueran] comunicados sobre la base de dicho Reglamento se harían accesibles para cualquier otra persona que los solicitase en un futuro y, por tanto, se convertirían de facto en públicos, en su caso en una forma que únicamente excluyera sus datos personales.

Tenga presente que, habida cuenta de lo anterior, se pone fin a su solicitud de acceso a los documentos. Si [esa] solicitud se formula con fines personales, le ruego lo confirme comunicándonos sus direcciones electrónica y postal personales.»

 Procedimiento y pretensiones de las partes

15      Mediante demanda presentada en la Secretaría del Tribunal el 19 de diciembre de 2016, el demandante interpuso el presente recurso.

16      Mediante escrito separado, presentado el mismo día en la Secretaría del Tribunal, el demandante solicitó la protección del anonimato. Mediante decisión de 18 de enero de 2017, el Tribunal estimó dicha solicitud.

17      Mediante escrito separado, presentado en la Secretaría del Tribunal el 5 de abril de 2017, la Comisión propuso una excepción de inadmisibilidad al amparo del artículo 130, apartado 1, del Reglamento de Procedimiento del Tribunal General.

18      El 22 de mayo de 2017, el demandante presentó en la Secretaría del Tribunal sus observaciones acerca de la excepción de inadmisibilidad.

19      Mediante auto de 18 de octubre de 2017, el Tribunal acordó unir la excepción de inadmisibilidad propuesta por la Comisión al examen del fondo.

20      Mediante diligencia de ordenación del procedimiento, adoptada sobre la base del artículo 89, apartado 3, letras a) y b), del Reglamento de Procedimiento, el Tribunal formuló por escrito varias preguntas a las partes para que respondieran por escrito.

21      Las partes dieron cumplimiento a lo solicitado dentro del plazo señalado.

22      La Comisión presentó el escrito de contestación a la demanda en la Secretaría del Tribunal el 19 de diciembre de 2017.

23      Mediante diligencias de ordenación del procedimiento, adoptadas sobre la base del artículo 89, apartado 3, letras a) y b), del Reglamento de Procedimiento, el Tribunal formuló por escrito varias preguntas a las partes para que respondieran en la vista.

24      El demandante solicita al Tribunal que:

–        Desestime la excepción de inadmisibilidad.

–        Anule la nota impugnada en la medida en que desestima su solicitud de acceso a algunos de sus datos personales.

–        Condene a la Comisión a abonarle el importe de 10 000 euros como indemnización del daño moral por él sufrido como consecuencia de la negativa de la Dirección de Seguridad a darle acceso a sus datos personales.

–        Condene a la Comisión a abonarle el importe de 30 000 euros como indemnización del daño moral por él sufrido como consecuencia del tratamiento y la difusión contrarios a Derecho de sus datos personales por la Dirección de Seguridad.

–        Condene en costas a la Comisión.

25      La Comisión solicita al Tribunal que:

–        Declare la inadmisibilidad del recurso o, en su defecto, lo declare infundado.

–        Condene en costas al demandante.

26      El demandante también solicita al Tribunal que, en concepto de diligencia de prueba, ordene a la Comisión que aporte el documento n.^o 57 con arreglo al artículo 91, letra c), del Reglamento de Procedimiento o, en su defecto, al artículo 104 de dicho Reglamento.

27      En la vista, el demandante desistió de las pretensiones en las que solicitaba la indemnización de los dos daños morales que alegaba haber sufrido. También concretó y limitó el alcance de sus pretensiones de anulación indicando que estas no tenían por objeto impugnar la denegación de acceso a datos personales incluidos en determinados documentos mencionados en la demanda pero no citados en la solicitud de 21 de septiembre de 2016. Dado que la Comisión no formuló observaciones en cuanto a este desistimiento ni en cuanto a dicha precisión, así se hizo constar en el acta de la vista.

 Fundamentos de Derecho

 Sobre las pretensiones de anulación

28      Procede examinar, inicialmente, si las pretensiones de anulación son admisibles y, en su caso, posteriormente, si están fundadas.

 Sobre la admisibilidad de las pretensiones de anulación

29      La Comisión formula tres causas de inadmisión. En primer término, la nota impugnada no se pronunció sobre el derecho del demandante a acceder a sus datos personales. En segundo término, dicha nota es, en todo caso, un acto meramente confirmatorio. Por último, el demandante no tiene un interés real en ejercitar la acción contra dicha nota.

–       Sobre el objeto de la nota impugnada y la existencia de una denegación de acceso a los datos personales

30      La Comisión sostiene que la solicitud de 21 de septiembre de 2016 tenía exclusivamente por objeto acceder a determinados documentos sobre la base del Reglamento n.^o 1049/2001. De ello se deduce que, en la nota impugnada, la Dirección de Seguridad no se pronunció sobre el derecho del demandante a acceder a sus datos personales con arreglo al Reglamento n.^o 45/2001.

31      El demandante refuta las alegaciones de la Comisión. Aduce que la solicitud de 21 de septiembre de 2016 contenía tanto una solicitud de acceso a determinados documentos como una solicitud de acceso a datos personales.

32      Con carácter preliminar, procede recordar que los Reglamentos n.^o 1049/2001 y n.^o 45/2001 tienen objetivos distintos. El primero pretende garantizar la mayor transparencia posible en el proceso de toma de decisiones de las autoridades públicas y en la información en la que basan sus decisiones. En consecuencia, tiene por finalidad facilitar al máximo el ejercicio del derecho de acceso a los documentos y promover buenas prácticas administrativas. El segundo pretende garantizar la protección de las libertades y de los derechos fundamentales de las personas físicas, en particular del derecho a la intimidad, en el tratamiento de los datos personales (sentencia de 29 de junio de 2010, Comisión/Bavarian Lager, C‑28/08 P, EU:C:2010:378, apartado 49). De ello se deduce que, a diferencia del Reglamento n.^o 1049/2001, el Reglamento n.^o 45/2001 no pretende facilitar el ejercicio del derecho de acceso a los documentos (véase, en este sentido, la sentencia de 17 de julio de 2014, YS y otros, C‑141/12 y C‑372/12, EU:C:2014:2081, apartado 47).

33      En este contexto, los derechos de acceso establecidos respectivamente por estos dos Reglamentos no tienen ni el mismo objeto ni los mismos beneficiarios. En efecto, el artículo 2 del Reglamento n.^o 1049/2001 tiene por objeto permitir al público —es decir, a todo ciudadano y a toda persona física o jurídica— acceder a los documentos en poder de las instituciones. El artículo 13 del Reglamento n.^o 45/2001, por su parte, pretende permitir el acceso, únicamente por los interesados, a sus datos personales —es decir, a información referida a ellos como personas identificadas o identificables—, sin establecer que dichas personas puedan acceder también, por ese motivo, a los documentos que contengan dichos datos. A este respecto, hay que observar que el artículo 13, letra c), del Reglamento n.^o 45/2001 únicamente establece que el interesado tendrá derecho a obtener «comunicación en forma inteligible de los datos objeto de tratamiento».

34      En el caso de autos, debe señalarse, en primer lugar, que la nota impugnada tiene carácter negativo en la medida en que responde a la solicitud de 21 de septiembre de 2016 y consta que no dio acceso al demandante ni a sus datos personales ni a los documentos que contienen esos datos.

35      Pues bien, cuando una decisión reviste carácter negativo, debe apreciarse en función de la naturaleza de la solicitud a la que responde (sentencias de 8 de marzo de 1972, Nordgetreide/Comisión, 42/71, EU:C:1972:16, apartado 5, y de 24 de noviembre de 1992, Buckl y otros/Comisión, C‑15/91 y C‑108/91, EU:C:1992:454, apartado 22). Por consiguiente, el objeto de la nota impugnada debe apreciarse en atención, en particular, al contenido de la solicitud de 21 de septiembre de 2016.

36      A este respecto, procede señalar, en primer término, que la solicitud de 21 de septiembre de 2016 se titula «Datos personales».

37      En segundo término, la solicitud de 21 de septiembre de 2016 no solo menciona el Reglamento n.^o 1049/2001, sino también el Reglamento n.^o 45/2001. En efecto, por un lado, esa solicitud se presenta expresamente sobre la base del artículo 6 del Reglamento n.^o 1049/2001 y sobre la base del artículo 13 del Reglamento n.^o 45/2001. Por otro lado, esa solicitud incluye, para los cuatro grupos de documentos mencionados en el apartado 13 anterior, un razonamiento a la vista de las excepciones o limitaciones establecidas en el artículo 20, apartado 1, del Reglamento n.^o 45/2001.

38      Por último, el demandante se refiere en varias ocasiones en su solicitud de 21 de septiembre de 2016 tanto a determinados documentos como a la «información» contenida en ellos. Así, declara, antes de nada y con carácter general, querer acceder a determinados documentos o, al menos, a la información contenida en ellos. Asimismo, el demandante reitera expresamente esa solicitud de acceso en cuanto a la información contenida en los documentos del grupo D. Además, por lo que respecta a los documentos del grupo C, niega que la comunicación de tales documentos o de la información que contienen pueda afectar a las herramientas y métodos de investigación de la Dirección de Seguridad. Por último, el demandante menciona la información transmitida o recogida en los documentos del grupo A y precisa que esos documentos le afectan personal y directamente.

39      A la vista de estos datos, resulta que la solicitud de 21 de septiembre de 2016 incluía, junto con una solicitud de acceso a determinados documentos, una solicitud de acceso a los datos personales relativos al demandante contenidos en dichos documentos.

40      En segundo lugar, procede señalar que, en la nota impugnada, el director de la Dirección de Seguridad mencionó la «solicitud de acceso [del demandante] a [sus] datos personales». Precisó también, basándose en la resolución del SEPD de 25 de julio de 2016, que estimaba que la Dirección de Seguridad había «tramitado [correctamente dicha] solicitud». Por tanto, la propia Dirección de Seguridad optó por mencionar en la nota impugnada no solo la cuestión del acceso a los documentos en cuestión, sino también la del acceso a los datos personales contenidos en dichos documentos, haciendo hincapié en que la resolución de 8 de marzo de 2016 no vulneraba el derecho del demandante a acceder a dichos datos.

41      Por otra parte, la Comisión no ha acreditado ni tan siquiera alegado que la Dirección de Seguridad hubiese dado respuesta, en cualquier otro momento, por escrito o de palabra, expresa o implícitamente, a la solicitud de 21 de septiembre de 2016 en cuanto a su pretensión de acceder a datos personales.

42      En estas circunstancias, debe considerarse que en la nota impugnada la Comisión se pronunció acerca de la pretensión del demandante de que se le diese acceso a algunos de sus datos personales. De ello se deduce que dicha nota, que deniega dicha pretensión, debe interpretarse como una denegación de acceso a dichos datos.

–       Sobre el carácter meramente confirmatorio de la nota impugnada

43      La Comisión sostiene que, incluso admitiendo que en la nota impugnada la Dirección de Seguridad se hubiese pronunciado en materia de acceso a datos personales, dicha nota es, en todo caso, un acto meramente confirmatorio de la resolución de 8 de marzo de 2016, que no fue impugnada por el demandante en el plazo para recurrir en vía contencioso-administrativa.

44      El demandante refuta las alegaciones de la Comisión. Aduce que la conclusión, el 31 de agosto de 2016, de la investigación administrativa y la presentación, el 21 de septiembre de 2016, de una solicitud de acceso, de forma anonimizada, a sus datos personales constituían hechos nuevos y sustanciales que obligaban a la Dirección de Seguridad a reconsiderar la fundamentación de la resolución de 8 de marzo de 2016.

45      En primer lugar, la argumentación de la Comisión suscita la cuestión de si la jurisprudencia según la cual un recurso dirigido contra un acto meramente confirmatorio de una decisión anterior es inadmisible si no se ha interpuesto dentro del plazo exigido (sentencia de 17 de mayo de 2017, Portugal/Comisión, C‑337/16 P, EU:C:2017:381, apartado 51) se aplica a las resoluciones adoptadas por una institución en respuesta a una solicitud de acceso a datos personales presentada sobre la base del artículo 13 del Reglamento n.^o 45/2001.

46      A este respecto, procede recordar, por una parte, que el artículo 13, letra c), del Reglamento n.^o 45/2001 establece que «el interesado tendrá derecho a obtener en cualquier momento y sin restricciones, dentro de un plazo de tres meses a partir de la recepción de la solicitud y con carácter gratuito, […] comunicación en forma inteligible de los datos objeto de tratamiento […]». Resulta de esta disposición, que permite al interesado acceder «en cualquier momento» a sus datos personales, que esa persona dispone de un derecho de acceso continuado y permanente a dichos datos.

47      Por otra parte, aunque el artículo 20, apartado 1, del Reglamento n.^o 45/2001 establece excepciones y limitaciones al derecho del interesado a acceder a sus datos personales, dicha disposición precisa que las instituciones podrán limitar únicamente la aplicación del artículo 13 de ese Reglamento «cuando tal limitación constituya una medida necesaria». De ello se desprende que las excepciones y limitaciones contempladas en el artículo 20, apartado 1, de dicho Reglamento solo pueden aplicarse mientras sean necesarias.

48      Por otra parte, ha de hacerse hincapié en que la protección de los datos de carácter personal, que resulta de la obligación expresa establecida en el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea, tiene una importancia especial para el derecho al respeto de la vida privada consagrado en el artículo 7 de esta (sentencia de 8 de abril de 2014, Digital Rights Ireland y otros, C‑293/12 y C‑594/12, EU:C:2014:238, apartado 53).

49      Así, el Tribunal de Justicia ha primado la interpretación del Derecho de la Unión Europea favorable a un grado de protección elevado de los datos personales. En particular, ha tenido en cuenta que, en el ámbito del tratamiento de los datos personales, la situación fáctica y jurídica del interesado es, por naturaleza, evolutiva, y que el mero transcurso del tiempo puede convertir en inútil, e incluso contrario a Derecho, un tratamiento que antes no lo era (véase, en este sentido y por analogía, la sentencia de 13 de mayo de 2014, Google Spain y Google, C‑131/12, EU:C:2014:317, apartados 92 y 93).

50      De ello se deduce que, en el contexto del Reglamento n.^o 45/2001, una persona puede formular, en cualquier momento, una nueva solicitud de acceso que verse sobre aquellos datos personales a los que se le denegó anteriormente el acceso. Tal solicitud obliga a la institución de que se trate a examinar si la anterior denegación de acceso sigue estando justificada.

51      Por consiguiente, un nuevo examen con el objeto de comprobar que sigue estando justificada, al amparo de los artículos 13 y 20 del Reglamento n.^o 45/2001, la denegación de acceso a datos personales adoptada anteriormente conllevará la adopción de un acto que no será meramente confirmatorio del acto anterior, sino que constituirá un acto recurrible en anulación con arreglo al artículo 263 TFUE.

52      En el caso de autos, el demandante presentó ante la Comisión el 21 de septiembre de 2016 una solicitud de acceso a datos personales suyos que figuraban en distintos documentos. Del anterior apartado 50 se desprende que la Comisión estaba obligada a examinar dicha solicitud. Como se ha señalado en el apartado 42 anterior, debe considerarse que la Comisión se pronunció sobre esta solicitud y la denegó en la nota impugnada. En estas circunstancias, con arreglo al principio expuesto en el apartado 51 anterior, esta nota es un acto recurrible con independencia de que, en la resolución de 8 de marzo de 2016, ya se hubiese opuesto al demandante una anterior denegación parcial de acceso a dichos datos. Por tanto, la Comisión no puede invocar válidamente el carácter meramente confirmatorio de la nota impugnada.

53      En segundo lugar, incluso suponiendo que la jurisprudencia mencionada en el apartado 45 anterior fuese aplicable en el caso de autos, se ha de recordar que un acto solo puede ser meramente confirmatorio de una decisión anterior cuando no contiene ningún elemento nuevo en relación con esta (sentencias de 10 de diciembre de 1980, Grasselli/Comisión, 23/80, EU:C:1980:284, apartado 18, y de 31 de mayo de 2017, DEI/Comisión, C‑228/16 P, EU:C:2017:409, apartado 33). Además, la existencia de hechos nuevos y sustanciales puede justificar la presentación de una solicitud de reconsideración de una decisión anterior que haya adquirido carácter definitivo (véase la sentencia de 7 de febrero de 2001, Inpesca/Comisión, T‑186/98, EU:T:2001:42, apartado 47 y jurisprudencia citada). Un recurso interpuesto contra una decisión denegatoria de la reconsideración de una decisión que haya adquirido carácter definitivo también deberá declararse admisible si resulta que existen hechos nuevos y sustanciales (véase, en este sentido, la sentencia de 7 de febrero de 2001, Inpesca/Comisión, T‑186/98, EU:T:2001:42, apartado 49). Los hechos serán calificados de «nuevos y sustanciales» cuando, por un lado, ni la parte demandante ni la Administración hayan tenido o hayan podido tener conocimiento del hecho de que se trate en el momento de adopción de la decisión anterior y, por otro, el hecho de que se trate pueda modificar de forma sustancial la situación de la parte demandante en relación con la que dio lugar a la decisión anterior ya definitiva (véase, en este sentido, la sentencia de 7 de febrero de 2001, Inpesca/Comisión, T‑186/98, EU:T:2001:42, apartados 50 y 51).

54      En el caso de autos, para acreditar la existencia de hechos nuevos y sustanciales, el demandante alega, en particular, que se concluyó la investigación administrativa el 31 de agosto de 2016.

55      La Comisión objeta que, en su solicitud de 21 de septiembre de 2016, el demandante se limitó a agradecer a la Dirección de Seguridad haberle informado, el 14 de septiembre de 2016, de la conclusión de la investigación administrativa, sin alegar en ese momento que dicha conclusión constituía un hecho nuevo y sustancial que pudiera justificar la reconsideración de la resolución de 8 de marzo de 2016.

56      A este respecto, procede recordar que ninguna disposición del Reglamento n.^o 45/2001 ni, en particular, su artículo 13, que establece un derecho de acceso «sin restricciones», obliga al interesado a motivar o justificar su solicitud de acceso a sus datos personales. De ello se deduce que, en materia de acceso a los datos personales, la parte demandante puede invocar ante el Tribunal la existencia, en la fecha del acto impugnado, de hechos nuevos y sustanciales que justifican un nuevo examen aun cuando no los hubiera mencionado en su solicitud.

57      En estas circunstancias, y pese a que la Comisión ya tenía conocimiento de la conclusión de la investigación administrativa cuando se le presentó la solicitud de 21 de septiembre de 2016, el demandante puede invocar válidamente ante el Tribunal la conclusión de la investigación administrativa a efectos de acreditar la existencia de un hecho nuevo y sustancial.

58      Pues bien, debe señalarse, por una parte, que ese suceso tuvo lugar con posterioridad a la resolución de 8 de marzo de 2016, de modo que es novedoso en el sentido de la jurisprudencia citada en el anterior apartado 53.

59      Por otra parte, ese suceso también es sustancial, en el sentido de esa jurisprudencia. En efecto, procede recordar que, en la resolución de 8 de marzo de 2016, para denegar al demandante el acceso a algunos de sus datos personales, la Dirección de Seguridad invocó, en función de los datos en cuestión, por una parte, la excepción establecida en el artículo 20, apartado 1, letra a), del Reglamento n.^o 45/2001, referida a «la prevención, investigación, detección y represión de infracciones penales», y, por otra, la excepción prevista en el artículo 20, apartado 1, letra c), de ese Reglamento, que se refiere, en particular, a «la protección […] de los derechos y libertades de otras personas». En cuanto a la excepción prevista en el artículo 20, apartado 1, letra a), del Reglamento n.^o 45/2001, la Dirección de Seguridad indicó que la divulgación de los datos en cuestión revelaría sus herramientas y métodos de investigación. Por lo que respecta a la excepción establecida en el artículo 20, apartado 1, letra c), de dicho Reglamento, precisó que la divulgación de los datos en cuestión lesionaría los derechos de otras personas cuyos datos personales se tratan, concretamente los testigos e informantes oídos en la investigación administrativa. Resulta, por tanto, que la motivación de la denegación parcial de acceso opuesta al demandante en la resolución de 8 de marzo de 2016 guardaba relación, al menos indirecta, con la investigación administrativa referida a él. En consecuencia, no cabe descartar que la conclusión de dicha investigación haya modificado de manera significativa la situación del demandante.

60      No desvirtúa esta conclusión la alegación de la Comisión de que la necesidad, por una parte, de no poner en peligro las herramientas y métodos de investigación utilizados por la Dirección de Seguridad y, por otra, de proteger a los testigos e informantes se mantiene después de concluir la investigación administrativa. En efecto, esta alegación pretende supeditar por completo la admisibilidad de las pretensiones de anulación a la fundamentación de la nueva denegación de acceso opuesta al demandante. Pues bien, a efectos de apreciar que la conclusión de la investigación administrativa constituía un hecho nuevo y sustancial que justificaba la reconsideración de la situación del demandante, basta con señalar que ese suceso podía repercutir en la aplicación de las excepciones previstas en el artículo 20, apartado 1, letras a) y c), del Reglamento n.^o 45/2001, sin prejuzgar si, al concluir dicha reconsideración, podía oponerse al demandante una nueva denegación de acceso basada, en su caso, en las mismas excepciones.

61      De ello se deduce que la conclusión de la investigación administrativa constituía un hecho nuevo y sustancial que podía justificar un nuevo examen del derecho del demandante a acceder a sus datos personales.

62      Este examen se justificaba aún más en el caso de autos en que el demandante había dejado transcurrir un plazo razonable antes de presentar ante la Dirección de Seguridad una nueva solicitud de acceso a sus datos personales. En efecto, la solicitud de 21 de septiembre de 2016 se presentó más de seis meses después de la denegación parcial de acceso opuesta al demandante en la resolución de 8 de marzo de 2016.

63      En estas circunstancias, la Comisión no puede sostener, en todo caso, que la nota impugnada es un acto meramente confirmatorio de la resolución de 8 de marzo de 2016.

–       Sobre el interés del demandante en ejercitar la acción

64      La Comisión considera que, dado que el demandante ya tuvo acceso a todos sus datos personales o a parte de ellos, en particular a todos los que figuran en los documentos del grupo A, y que persigue en realidad acceder a determinados documentos, no tiene un interés real en ejercitar la acción contra la nota impugnada.

65      Aunque el demandante no refuta específicamente la argumentación de la Comisión, de todos sus escritos resulta que considera que, mediante la nota impugnada, se le priva erróneamente del acceso a sus datos personales.

66      Según reiterada jurisprudencia, un recurso de anulación promovido por una persona física o jurídica solo es admisible en la medida en que esta tenga un interés en obtener la anulación del acto impugnado. Un interés de este tipo presupone que la anulación de ese acto pueda tener, de por sí, consecuencias jurídicas y que el recurso pueda procurar, por su resultado, un beneficio a la parte que lo haya interpuesto (sentencias de 17 de septiembre de 2009, Comisión/Koninklijke FrieslandCampina, C‑519/07 P, EU:C:2009:556, apartado 63, y de 17 de septiembre de 2015, Mory y otros/Comisión, C‑33/14 P, EU:C:2015:609, apartado 55).

67      En el caso de autos, como ya se ha puesto de manifiesto en el apartado 42 anterior, debe considerarse que, con la nota impugnada, la Comisión denegó el acceso del demandante a todos los datos personales mencionados en la solicitud de 21 de septiembre de 2016.

68      Es cierto que el demandante ya tuvo acceso a algunos de sus datos personales. En efecto, en el cuadro anexo a la resolución de 8 de marzo de 2016, la Comisión le comunicó determinados datos para los que no hizo valer ninguna de las excepciones y limitaciones establecidas en el artículo 20 del Reglamento n.^o 45/2001. Así sucede, por un lado, con todos los datos personales identificados por la Comisión en los documentos del grupo A —excluido el documento n.^o 56— y, por otro, con parte de los datos personales identificados por la Comisión en los documentos de los grupos B, C y D y con el documento n.^o 56.

69      No obstante, ya se ha señalado en el apartado 46 anterior que, en el contexto del Reglamento n.^o 45/2001, el interesado dispone de un derecho de acceso continuado y permanente a sus datos personales. Este derecho le permite, en particular, formular solicitudes de acceso a determinados datos personales, incluso en el supuesto de que ya hubiese podido acceder a todos o a parte de ellos, para asegurarse, por ejemplo, de que todos los datos personales en poder de una institución han sido efectivamente identificados y comunicados después o para saber si los datos en cuestión siguen siendo tratados por la institución y, en su caso, si han sido modificados o no.

70      Por otra parte, aunque es cierto que, con una solicitud de acceso a sus datos personales, el demandante no puede acceder a los documentos que contienen esos datos, ese hecho no influye por sí solo en el interés que tiene para el demandante el acceso a esos mismos datos.

71      En estas circunstancias, la anulación de la nota impugnada, que deniega al demandante el acceso a todos sus datos personales incluidos en los documentos mencionados en la solicitud de 21 de septiembre de 2016, puede tener consecuencias jurídicas para el demandante y favorecerle.

72      De ello se deduce que son admisibles las pretensiones de anulación y que deben desestimarse las causas de inadmisión alegadas por la Comisión.

 Sobre la fundamentación de las pretensiones de anulación

73      En apoyo de sus pretensiones de anulación, el demandante sostiene que la nota impugnada incumple la obligación de motivación establecida en el artículo 296 TFUE. Considera que esa nota se limita a referirse a la resolución de 8 de marzo de 2016, sin exponer por qué razón no puede tener acceso a sus datos personales. Por lo que respecta a los datos personales que figuran en los documentos del grupo A, sostiene que no se motivó la resolución de 8 de marzo de 2016, de modo que la nota impugnada también incurre en falta de motivación. En cuanto a los datos personales que figuran en los documentos de los grupos B, C y D, la nota impugnada no explica de qué modo sigue estando justificada la aplicación de las excepciones y limitaciones previstas en el artículo 20, apartado 1, letras a) y c), del Reglamento n.^o 45/2001 opuestas en la resolución de 8 de marzo de 2016 una vez concluida la investigación administrativa y cuando ya se había presentado ante la Dirección de Seguridad una nueva solicitud para acceder, de forma anonimizada, a dichos datos.

74      La Comisión refuta la argumentación del demandante. Aduce, por una parte, que no era exigible ninguna motivación concreta en cuanto a los datos personales que figuran en los documentos del grupo A, a los que el demandante ya había tenido acceso, y, por otra, que había sido suficientemente informado, en el cuadro anexo a la resolución de 8 de marzo de 2016, de las razones por las que no se le habían comunicado algunos de los datos personales suyos que figuran en los documentos de los grupos B, C y D.

75      Procede recordar que, según jurisprudencia reiterada, la motivación exigida por el artículo 296 TFUE debe adaptarse a la naturaleza del acto de que se trate y debe mostrar de manera clara e inequívoca el razonamiento de la institución de la que emane el acto, de modo que los interesados puedan conocer las razones de la medida adoptada y el órgano jurisdiccional competente pueda ejercer su control. La exigencia de motivación debe apreciarse en función de las circunstancias de cada caso, en particular del contenido del acto, de la naturaleza de los motivos invocados y del interés que los destinatarios u otras personas afectadas directa e individualmente por dicho acto puedan tener en recibir explicaciones. No se exige que la motivación especifique todos los elementos de hecho y de Derecho pertinentes, puesto que la cuestión de si la motivación de un acto cumple las exigencias del artículo 296 TFUE debe apreciarse en relación no solo con su tenor literal, sino también con su contexto, así como con el conjunto de normas jurídicas que regulan la materia de que se trate (sentencias de 2 de abril de 1998, Comisión/Sytraval y Brink’s France, C‑367/95 P, EU:C:1998:154, apartado 63, y de 1 de julio de 2008, Chronopost y La Poste/UFEX y otros, C‑341/06 P y C‑342/06 P, EU:C:2008:375, apartado 88).

76      Por otra parte, del artículo 20, apartado 3, del Reglamento n.^o 45/2001 resulta que, cuando una excepción o limitación establecida en el apartado 1 de dicho artículo se oponga al interesado, este deberá ser informado de las razones principales que fundamentan la aplicación de dicha excepción o limitación.

77      En el caso de autos, hay que señalar que la nota impugnada —cuyos términos se reproducen en el apartado 14 anterior— carece, en sí misma, prácticamente de cualquier motivación de hecho y de Derecho. En efecto, esa nota no contiene ninguna motivación propia. No precisa por qué razón no puede autorizarse al demandante a acceder a los datos personales mencionados en la solicitud de 21 de septiembre de 2016. En realidad, la nota impugnada se limita a remitir a la resolución de 8 de marzo de 2016 y a la resolución del SEPD de 25 de julio de 2016 que concluye que no se ha vulnerado el derecho del demandante a acceder a sus datos personales. En dicha nota, se afirma sencillamente, a la vista de la conclusión a la que llegó el SEPD y sin más explicaciones, que la solicitud de acceso fue «tramitada [correctamente]».

78      No obstante, la motivación por referencia es admisible en ciertos supuestos (véase, en este sentido, la sentencia de 19 de noviembre de 1998, Parlamento/Gaspari, C‑316/97 P, EU:C:1998:558, apartado 27). En particular, la jurisprudencia admite una motivación por referencia a una decisión anterior [véanse, en este sentido, las sentencias de 12 de mayo de 2016, Zuffa/EUIPO (ULTIMATE FIGHTING CHAMPIONSHIP), T‑590/14, no publicada, EU:T:2016:295, apartado 43, y de 5 de febrero de 2018, Edeka-Handelsgesellschaft Hessenring/Comisión, T‑611/15, EU:T:2018:63, apartados 32 a 38].

79      Hay que apreciar, por tanto, si la referencia a la resolución de 8 de marzo de 2016 y a la resolución del SEPD de 25 de julio de 2016 constituye una motivación suficiente de la nota impugnada.

80      A este respecto, procede señalar, en primer lugar, que, por lo que respecta a los datos personales que figuran en los documentos del grupo A (con excepción del documento n.^o 56), el cuadro anexo a la resolución de 8 de marzo de 2016, que estimaba íntegramente la solicitud de acceso —al menos en cuanto a los datos personales identificados por la Comisión en los documentos controvertidos—, no motivaba en modo alguno la denegación de acceso. Por consiguiente, la remisión a la resolución de 8 de marzo de 2016 no puede ser la motivación de la denegación de acceso a todos los datos personales incluidos en los documentos del grupo A opuesta —por vez primera— al demandante en la nota impugnada.

81      En segundo lugar, por lo que respecta a los datos personales que figuran en los documentos de los grupos B, C y D, es necesario recordar, como ya se ha señalado en los apartados 52 y 61 anteriores, que la Comisión estaba obligada a examinar si la denegación de acceso opuesta al demandante en la resolución de 8 de marzo de 2016 seguía estando justificada. A tales efectos, le incumbía verificar, respecto a todos los datos personales en cuestión, que la aplicación de las excepciones y limitaciones establecidas en el artículo 20, apartado 1, letras a) y c), del Reglamento n.^o 45/2001 opuestas en la resolución de 8 de marzo de 2016 seguía estando justificada en atención a una eventual modificación de la situación de hecho o de Derecho. En particular, la Comisión estaba obligada a tener en cuenta que, entre tanto, había concluido la investigación administrativa y había transcurrido un período de más de seis meses.

82      Ahora bien, hay que señalar, por una parte, que la nota impugnada no incluye ninguna motivación relativa a la reconsideración concreta y minuciosa del derecho del demandante a acceder a sus datos personales. Tampoco contiene ninguna motivación relativa a la posible repercusión de las circunstancias mencionadas en el apartado 81 anterior. Por otra parte, la mera remisión a la resolución de 8 de marzo de 2016 y a la resolución del SEPD de 25 de julio de 2016 no puede, evidentemente, constituir una motivación adecuada y suficiente, ya que, por definición, una nueva denegación adoptada tras la reconsideración no puede basarse exclusivamente en la motivación expuesta en resoluciones anteriores a dicha reconsideración. Por consiguiente, la remisión a esas dos resoluciones incumple la obligación de motivación en lo relativo a la denegación de acceso a los datos personales incluidos en los documentos de los grupos B, C y D opuesta, una vez más, al demandante en la nota impugnada.

83      En consecuencia, debe estimarse el motivo basado en el incumplimiento del deber de motivación.

84      Por tanto, ha de anularse la nota impugnada, en la medida en que desestima la solicitud del demandante de acceder a algunos de sus datos personales.

 Sobre la diligencia de prueba solicitada por el demandante

85      El demandante solicita que se ordene a la Comisión que aporte el documento n.^o 57.

86      No obstante, la diligencia de prueba solicitada guarda relación con las pretensiones de indemnización, como reconoció el demandante en la vista. Dado que este desistió de dichas pretensiones y se ha dejado constancia de dicho desistimiento (apartado 27 anterior), la aportación del documento n.^o 57 no presenta ninguna utilidad en el presente litigio.

87      Por tanto, procede desestimar la solicitud de diligencia de prueba formulada por el demandante.

 Costas

88      A tenor del artículo 134, apartado 1, del Reglamento de Procedimiento, la parte que haya visto desestimadas sus pretensiones será condenada en costas, si así lo hubiera solicitado la otra parte.

89      Por haber sido desestimadas, en lo fundamental, las pretensiones formuladas por la Comisión, procede condenarla en costas, conforme a lo solicitado por el demandante y sin necesidad de tomar en consideración el desistimiento parcial de este de sus pretensiones de indemnización.

En virtud de todo lo expuesto,

EL TRIBUNAL GENERAL (Sala Novena ampliada)

decide:

1)      Anular la nota del director de la Dirección de Seguridad de la Dirección General de Recursos Humanos y Seguridad de la Comisión Europea de 12 de octubre de 2016 en la medida en que desestima la solicitud de 21 de septiembre de 2016 de RE de acceder a algunos de sus datos personales.

2)      Condenar en costas a la Comisión.

GervasoniMadiseda Silva Passos

Kowalik-BańczykMac Eochaidh

Pronunciada en audiencia pública en Luxemburgo, a 14 de febrero de 2019.

Firmas

*      Lengua de procedimiento: inglés.

1      Datos confidenciales ocultados.