CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:488

CONCLUSIONES DE LA ABOGADA GENERAL

SRA. LAILA MEDINA

presentadas el 15 de junio de 2023(1)

Asunto C‑333/22

Ligue des droits humains ASBL,

contra

Organe de contrôle de l’information policière

[Petición de decisión prejudicial planteada por la cour d’appel de Bruxelles (Tribunal de Apelación de Bruselas, Bélgica)]

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales en materia penal — Ejercicio de los derechos del interesado a través de la autoridad de control competente — Comprobación por esta autoridad de la licitud del tratamiento de los datos personales del interesado — Derecho a la tutela judicial efectiva contra la autoridad de control»

1. La Directiva (UE) 2016/680, (2) conocida como «Directiva sobre protección de datos en el ámbito penal», establece normas específicas sobre protección de datos personales y libre circulación de los mismos en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial y, en esencia, refleja la «naturaleza específica de dichos ámbitos». (3) La Directiva 2016/680 persigue dos objetivos estratégicos. Por un lado, pretende contribuir a la consecución de un espacio de libertad, seguridad y justicia (ELSJ), (4) permitiendo la libre circulación de datos personales entre autoridades competentes con fines policiales. (5) Por otra parte, pretende garantizar un alto nivel de protección de dichos datos. Su base jurídica es el artículo 16 TFUE, apartado 2, que encomienda al legislador de la Unión el establecimiento de normas sobre protección de datos de carácter personal.

2. Con todo, «conciliar» esos dos objetivos estratégicos a los que aspira la Directiva 2016/680 es una tarea difícil. (6) El presente asunto brinda al Tribunal de Justicia la oportunidad de examinar un ejemplo concreto de ponderación entre la aplicación de la norma penal y la protección de los datos en el contexto del ejercicio de sus derechos por parte de los interesados. La Directiva refuerza los derechos de las personas afectadas respecto al régimen anterior establecido en la Decisión Marco 2008/977/JAI del Consejo. (7) Este refuerzo se refiere, más concretamente, al reconocimiento de un derecho de acceso directo por parte del interesado, que es un componente esencial del derecho fundamental a la protección de datos. Como ha señalado la doctrina, los derechos de los interesados en el ámbito penal y policial son «un instrumento esencial para la lucha contra las asimetrías en materia de poder sobre la información y operaciones de tratamiento ilícitas». (8) Por consiguiente, es esencial garantizar que puedan ejercerse de forma eficaz.

I. Marco jurídico

Derecho de la Unión

Directiva 2016/680

3. El artículo 3 de la Directiva 2016/680 establece las siguientes definiciones:

«8) “responsable del tratamiento” o “responsable”: la autoridad competente que sola o conjuntamente con otras determine los fines y medios del tratamiento de datos personales; en caso de que los fines y medios del tratamiento estén determinados por el Derecho de la Unión o del Estado miembro, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho de la Unión o del Estado miembro;

[…]

15) “autoridad de control”: una autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 41».

4. El capítulo III de la Directiva 2016/680 lleva por epígrafe «Derechos del interesado». Dentro de este capítulo, el artículo 13, cuyo epígrafe es «Información que debe ponerse a disposición del interesado o que se le debe proporcionar», establece lo siguiente en sus apartados 3 y 4:

«3. Los Estados miembros podrán adoptar medidas legislativas por las que se retrase, limite u omita la puesta a disposición del interesado de la información en virtud del apartado 2 siempre y cuando dicha medida constituya una medida necesaria y proporcional en una sociedad democrática, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos de la persona física afectada, para:

a) evitar que se obstaculicen indagaciones, investigaciones o procedimientos oficiales o judiciales;

b) evitar que se cause perjuicio a la prevención, detección, investigación o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales;

c) proteger la seguridad pública;

d) proteger la seguridad nacional;

e) proteger los derechos y libertades de otras personas.

4. Los Estados miembros podrán adoptar medidas legislativas para determinar las categorías de tratamiento que pueden incluirse, total o parcialmente, en cualquiera de las letras del apartado 3.»

5. El artículo 14 de la Directiva 2016/680, que tiene como epígrafe «Derecho de acceso del interesado a los datos personales», dispone lo siguiente:

«Con sujeción a lo dispuesto en el artículo 15, los Estados miembros reconocerán el derecho del interesado a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en caso de que se confirme el tratamiento, acceso a dichos datos personales y la siguiente información:

[…]».

6. El artículo 15 de la Directiva 2016/680, que lleva por epígrafe «Limitaciones al derecho de acceso», preceptúa lo siguiente:

«1. Los Estados miembros podrán adoptar medidas legislativas por las que se restrinja, total o parcialmente, el derecho de acceso del interesado siempre y cuando dicha restricción parcial o completa constituya una medida necesaria y proporcional en una sociedad democrática, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos de la persona física afectada, para:

a) evitar que se obstaculicen indagaciones, investigaciones o procedimientos oficiales o judiciales;

b) evitar que se cause perjuicio a la prevención, detección, investigación o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales;

c) proteger la seguridad pública;

d) proteger la seguridad nacional;

e) proteger los derechos y libertades de otras personas.

2. Los Estados miembros podrán adoptar medidas legislativas para determinar las categorías de tratamiento que pueden acogerse, total o parcialmente, a las exenciones del apartado 1.

3. En los casos contemplados en los apartados 1 y 2, los Estados miembros dispondrán que el responsable del tratamiento informe por escrito al interesado, sin dilación indebida, de cualquier denegación o limitación de acceso, y de las razones de la denegación o de la restricción. Esta información podrá omitirse cuando el suministro de dicha información pueda comprometer uno de los fines contemplados en el apartado 1. Los Estados miembros dispondrán que el responsable del tratamiento informe al interesado de las posibilidades de presentar una reclamación ante la autoridad de control y de interponer un recurso judicial.

4. Los Estados miembros velarán por que el responsable del tratamiento documente los fundamentos de hecho o de Derecho en los que se sustente la decisión. Dicha información se pondrá a disposición de las autoridades de control.»

7. El artículo 16 de la Directiva 2016/680, bajo el epígrafe «Derecho de rectificación o supresión de datos personales y limitación de su tratamiento», establece en su apartado 4:

«Los Estados miembros dispondrán que el responsable del tratamiento informe al interesado por escrito de cualquier denegación de rectificación o supresión de los datos personales, o de limitación de su tratamiento, y de las razones de la denegación. Los Estados miembros podrán adoptar medidas legislativas por las que se restrinja, total o parcialmente, la obligación de proporcionar tal información, [siempre] y cuando dicha limitación del tratamiento constituya una medida necesaria y proporcional en una sociedad democrática, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos de la persona física afectada, para:

a) evitar que se obstaculicen indagaciones, investigaciones o procedimientos oficiales o judiciales;

b) evitar que se cause perjuicio a la prevención, detección, investigación o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales;

c) proteger la seguridad pública;

d) proteger la seguridad nacional;

e) proteger los derechos y libertades de otras personas.

Los Estados miembros dispondrán que el responsable del tratamiento informe al interesado de las posibilidades de presentar una reclamación ante la autoridad de control y de interponer un recurso judicial.»

8. El artículo 17 de la Directiva 2016/680, cuyo epígrafe es «Ejercicio de los derechos del interesado y comprobación por la autoridad de control», dispone:

«1. En los casos contemplados en el artículo 13, apartado 3, en el artículo 15, apartado 3, y en el artículo 16, apartado 4, los Estados miembros adoptarán medidas por las que se disponga que los derechos del interesado también puedan ejercerse a través de la autoridad de control competente.

2. Los Estados miembros dispondrán que el responsable del tratamiento informe al interesado de la posibilidad de ejercer sus derechos a través de la autoridad de control con arreglo a lo dispuesto en el apartado 1.

3. Cuando se ejerza el derecho contemplado en el apartado 1, la autoridad de control informará, al menos, al interesado de que se han efectuado todas las comprobaciones necesarias o la revisión correspondiente. La autoridad de control informará también al interesado de su derecho a la tutela judicial.»

Derecho belga

9. La loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (Ley relativa a la Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales) de 30 de julio de 2018 (Moniteur belge, 5 de septiembre de 2018, p. 68616) (en lo sucesivo, «LPD») transpone al Derecho belga la Directiva 2016/680. El capítulo III del título 2 de la LPD establece los derechos del interesado, a saber, en esencia, el derecho de información, el derecho de acceso a los datos y el derecho de rectificación de los datos.

10. El artículo 42 de la LPD dispone:

«La solicitud de ejercicio de los derechos contemplados en este capítulo frente a los servicios de la Policía […] o de la Inspection générale de la police fédérale et de la police locale [(Inspección General de la Policía Federal y de la Policía Local, Bélgica)] deberá dirigirse a la autoridad de control a que hace referencia el artículo 71.

En los supuestos previstos en los artículos 37, apartado 2, 38, apartado 2, 39, apartado 4, y 62, apartado 1, la autoridad de control a que se refiere el artículo 71 únicamente comunicará al interesado que ha efectuado las comprobaciones necesarias.

Sin perjuicio de lo dispuesto en el apartado 2, la autoridad de control a que se refiere el artículo 71 podrá comunicar determinada información contextual al interesado.

Mediante Real Decreto se determinarán, previo dictamen de la autoridad de control a que se refiere el artículo 71, la categoría de información contextual que esta autoridad podrá comunicar al interesado».

11. El órgano jurisdiccional remitente señala que aún no se ha determinado mediante Real Decreto conforme al artículo 42, cuarta frase, de la LPD la «información contextual» que puede comunicar el Organe de Contrôle de l’Information Policière (Órgano de Control de Información Policial, Bélgica) al interesado.

12. El artículo 71 de la LPD dispone:

«1. Se constituye en la Chambre des représentants [(Cámara de Representantes, Bélgica)] una autoridad de control independiente de información policial que se denominará Órgano de Control de Información Policial.

[…]

Se encarga de:

1. supervisar la aplicación del presente título […]».

13. El capítulo I del título 5 de la LPD lleva por epígrafe «Acción de cesación». El artículo 209, contenido en dicho capítulo, tiene el siguiente tenor:

«Sin perjuicio de cualquier otro recurso judicial, administrativo o extrajudicial, el presidente del tribunal de primera instancia, actuando en procedimiento sobre medidas provisionales, constará la existencia de un tratamiento que infringe las disposiciones legales o reglamentarias en materia de protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y ordenará su cese.

El presidente del tribunal de primera instancia, actuando en procedimiento sobre medidas provisionales, conocerá de las demandas relativas al derecho reconocido o atribuido por ley consistente en que se informe de los datos personales, así como de las demandas por las que se solicite la rectificación, supresión o prohibición de uso de datos personales incorrectos o, a la luz de la finalidad del tratamiento, incompletos o no pertinentes, o cuyo registro, comunicación o conservación estén prohibidos, a cuyo tratamiento se haya opuesto el interesado o que se hayan conservado durante un plazo superior al autorizado».

14. El artículo 240 de la LPD dispone que el Órgano de Control de Información Policial está facultado para:

«4. tratar las reclamaciones, investigar en la medida oportuna el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control […]».

II. Hechos, procedimiento y cuestiones prejudiciales

15. En 2016, BA deseó participar en el montaje y desmontaje de las instalaciones de la décima edición de las «Jornadas Europeas del Desarrollo» en Bruselas (Bélgica). Para ese fin, debía obtener una «certificación de seguridad».

16. Mediante escrito de 22 de junio de 2016, la Autorité nationale de sécurité (Autoridad Nacional de Seguridad, Bélgica) denegó la expedición de la certificación de seguridad necesaria. Indicó que de los datos puestos a disposición de la referida Autoridad se desprendía que el interesado era conocido por haber participado en diez manifestaciones entre 2007 y 2016, datos estos que impedían expedir tal certificación de seguridad. BA no impugnó esta decisión de la Autoridad Nacional de Seguridad.

17. La LPD, que crea el Órgano de Control de Información Policial, entró en vigor el 5 de septiembre de 2018.

18. El 4 de febrero de 2020, el abogado de BA solicitó al Órgano de Control de Información Policial que identificase a los responsables del tratamiento en cuestión y que les instase a conceder a BA acceso a todos los datos referidos al mismo.

19. Mediante correo electrónico de 6 de febrero de 2020, el Órgano de Control de Información Policial respondió que BA únicamente tiene un derecho de acceso indirecto y aseguró que comprobaría los datos personales de BA para garantizar la licitud de un eventual tratamiento en la Banque de données nationale générale (BNG), la base de datos nacional general. El Órgano de Control de Información Policial declaró que era competente para ordenar a la Policía que suprimiera o modificara datos en caso necesario y que, una vez realizado ese control, su cliente sería informado de que «se habían efectuado las comprobaciones necesarias».

20. El 22 de junio de 2020, el Órgano de Control de Información Policial remitió un escrito con el siguiente tenor:

«[…] le comunico que, conforme al artículo 42 de la [LPD], el Órgano de Control [de Información Policial] ha efectuado las comprobaciones necesarias.

Eso significa que se han comprobado los datos personales de su cliente que figuran en las bases de datos policiales con el fin de garantizar la legalidad de su eventual tratamiento.

En caso necesario, los datos personales han sido modificados o suprimidos.

Como le indiqué en mi correo electrónico del 2 de junio pasado, el artículo 42 de la LPD no permite al Órgano de Control [de Información Policial] comunicar más información.»

21. El 2 de septiembre de 2020, los demandantes en el litigio principal, esto es, BA y la Ligue des droits humains ASBL, interpusieron un recurso contra el Órgano de Control de Información Policial ante el presidente del tribunal de première instance francophone de Bruxelles (Tribunal de Primera Instancia Francófono de Bruselas, Bélgica) en virtud del artículo 209, segunda frase, de la LPD. Solicitaron a ese tribunal que se declarase la admisibilidad de su recurso contra la autoridad de control. Con carácter subsidiario, solicitaron que se plantease al Tribunal de Justicia la cuestión de si el artículo 42 de la LPD es contrario a los artículos 47, apartado 4, y 17, apartado 3, de la Directiva 2016/680. A este respecto, BA y la Ligue des droits humains alegaron que el artículo 42 de la LPD no prevé un recurso judicial contra las resoluciones adoptadas por la autoridad de control independiente ni obliga a dicha autoridad a informar al interesado de su derecho a la tutela judicial.

22. Por lo que respecta al fondo de su recurso, los demandantes solicitaron acceso a todos los datos personales concernientes a BA y que se instara al Órgano de Control de Información Policial a identificar a los responsables del tratamiento y a los eventuales destinatarios de dichos datos. Con carácter subsidiario, solicitaron que se preguntara al Tribunal de Justicia, en esencia, si el artículo 42, párrafo segundo, de la LPD es compatible con los artículos 14, 15 y 17 de la Directiva 2016/680, en relación con los artículos 8, 47 y 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»). A este respecto, denunciaron que el artículo 42, apartado 2, de la LPD prevé una excepción general y sistemática respecto del derecho de acceso a los datos personales.

23. Mediante resolución de 17 de mayo de 2021, el tribunal de première instance francophone de Bruxelles (Tribunal de Primera Instancia Francófono de Bruselas) se inhibió por falta de competencia para conocer del recurso interpuesto por los demandantes.

24. Mediante escrito de 15 de junio de 2021 se interpuso el presente recurso ante la cour d’appel de Bruxelles (Tribunal de Apelación de Bruselas, Bélgica). Los demandantes, en esencia, reiteraron tanto las críticas contra el artículo 42, párrafo 2, de la LPD como las pretensiones previamente formuladas en el procedimiento de primera instancia.

25. El Órgano de Control de Información Policial alegó que el recurso debía desestimarse.

26. El órgano jurisdiccional remitente señala que, conforme al Derecho belga, los datos tratados por los servicios de Policía están sujetos a un régimen particular. De conformidad con el artículo 42 de la LPD, todas las solicitudes relativas a derechos sobre datos personales deben dirigirse al Órgano de Control de Información Policial. Dicho órgano se limita a indicar al interesado que ha «efectuado las comprobaciones necesarias».

27. El órgano jurisdiccional remitente afirma que el artículo 17, apartado 3, de la Directiva 2016/680 no ha sido transpuesto al Derecho interno. En primer lugar, el artículo 42 de la LPD no insta a la autoridad de control a informar al interesado de su derecho a la tutela judicial. En segundo lugar, la LPD no prevé la posibilidad de interponer recurso judicial contra el Órgano de Control de Información Policial.

28. A este respecto, el órgano jurisdiccional remitente señala, en primer término, que la vía de recurso establecida en el artículo 240 de la LPD, que permite al interesado presentar una reclamación ante la autoridad de control, debe ejercerse contra el responsable del tratamiento.

29. En segundo término, afirma que la acción de cesación prevista en los artículos 209 y siguientes de la LPD no confiere a BA una tutela efectiva contra el Órgano de Control de Información Policial. Por lo que se refiere a este particular, el órgano jurisdiccional remitente explica que de las referidas disposiciones se desprende, para empezar, que la acción debe ejercitarse contra el responsable del tratamiento. Así pues, BA no puede entablar esa acción contra el Órgano de Control de Información Policial. A continuación, precisa que el artículo 42 de la LPD no permite a BA ejercitar dicha acción contra el responsable del tratamiento, puesto que el ejercicio de sus derechos se confía al Órgano de Control de Información Policial. Para seguir, indica que la información particularmente breve proporcionada por el Órgano de Control de Información Policial, con arreglo al artículo 42 de la LPD, no permite a BA ni a ningún órgano jurisdiccional apreciar, en el contexto de un control posterior, si el Órgano de Control de Información Policial ha ejercitado correctamente los derechos de BA.

30. Por último, a juicio del órgano jurisdiccional remitente, aunque la acción de cesación está regulada en la LPD «sin perjuicio de cualquier otro recurso judicial, administrativo o extrajudicial» y sin limitar «la competencia del tribunal de primera instancia y del presidente del tribunal de primera instancia actuando en un procedimiento sobre medidas provisionales» (artículos 209 y 219 de la LPD), cualquier recurso que BA pudiera interponer se enfrentaría a los mismos escollos.

31. En estas circunstancias, la cour d’appel de Bruxelles (Tribunal de Apelación de Bruselas) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1) ¿Exigen los artículos 47 y 8, apartado 3, de la [Carta] que se prevea un recurso judicial contra una autoridad de control independiente, como el Órgano de Control de Información Policial, cuando esta ejerce los derechos del interesado frente al responsable del tratamiento?

2) ¿Es conforme el artículo 17 de la Directiva [2016/680] con los artículos 47 y 8, apartado 3, de la [Carta], según los interpreta el Tribunal de Justicia, en la medida en que únicamente obliga a la autoridad de control —que ejerce los derechos del interesado frente al responsable del tratamiento— a informar a dicho interesado de que “se han efectuado todas las comprobaciones necesarias o la revisión correspondiente” y de “su derecho a la tutela judicial” aunque esa información no permita ningún control a posteriori de la actuación y de la apreciación de la autoridad de control con respecto a los datos del interesado y a las obligaciones que incumben al responsable del tratamiento?»

32. Han presentado observaciones escritas los demandantes en el litigio principal, el Gobierno belga, la República Checa, la Comisión Europea y el Parlamento Europeo. El Tribunal de Justicia formuló determinadas preguntas escritas al Gobierno belga para que fueran respondidas por escrito. Ese Gobierno dio respuesta el 13 de marzo de 2023. Los demandantes y la demandada en el litigio principal, el Gobierno francés, la Comisión y el Parlamento participaron en la vista celebrada el 29 de marzo de 2023.

III. Análisis

Observaciones preliminares

33. Las cuestiones prejudiciales versan, en esencia, sobre el control jurisdiccional de la actuación de una autoridad de control y sobre su alcance y eficacia en el supuesto de que dicha autoridad ejerza los derechos del interesado por cuenta de este, es decir, cuando los derechos se ejercen de forma indirecta. El órgano jurisdiccional remitente no ha cuestionado, como tal, la estructura del régimen belga de acceso indirecto de los interesados. Sin embargo, el derecho a la tutela judicial efectiva se ve necesariamente afectado por un sistema en el que el acceso de los interesados es prácticamente imposible o excesivamente difícil. Por consiguiente, es importante, como cuestión preliminar, describir brevemente la estructura de los derechos de los interesados en virtud de la Directiva 2016/680, antes de examinar el modo en que el régimen belga de acceso indirecto se inscribe en dicha estructura.

a) Derechos de los interesados en virtud de la Directiva 2016/680 y limitaciones de esos derechos

34. El derecho de acceso a los datos recogidos y el derecho de rectificación de los datos es un componente esencial del derecho a la protección de los datos personales consagrado en el artículo 8, apartado 2, de la Carta. Con carácter general, el derecho de acceso a los datos contribuye a dos finalidades principales, a saber, «reforzar la transparencia y facilitar el control». (9) De hecho, como se señala en la doctrina, refuerza la transparencia porque ofrece «al interesado la posibilidad de llegar a un nivel de información más profundo y detallado». (10) El derecho de acceso a los datos facilita su control, ya que constituye una condición necesaria para el ejercicio de otros derechos, en particular el derecho de rectificación o de supresión de datos personales o el derecho a la tutela judicial. (11)

35. Del considerando 7 de la Directiva 2016/680 se desprende que esta pretende lograr la protección eficaz de los datos personales en toda la Unión Europea, lo que requiere tanto el fortalecimiento de los derechos de los interesados y de las obligaciones de quienes tratan dichos datos personales como el fortalecimiento de los poderes equivalentes para supervisar y garantizar el cumplimiento de las normas relativas a la protección de los datos personales en los Estados miembros. Se trata de un avance importante con respecto al régimen anteriormente establecido por la Decisión Marco 2008/977. El ámbito de aplicación de dicha Decisión Marco se limitaba al tratamiento transfronterizo de datos. Por otro lado, reflejaba las «especificidades de la estructura de pilares anterior al Tratado de Lisboa de la [Unión]» (12) y dejaba «un amplio margen de maniobra a los Estados miembros». (13) En relación con ese régimen anterior, el capítulo III de la Directiva 2016/680 establece una «nueva arquitectura de los derechos de los interesados sustentada en el principio de que estos tienen los derechos de información, de acceso a los datos personales, a la rectificación y la supresión de dichos datos, y a la limitación de su tratamiento, a menos que se apliquen restricciones a estos derechos». (14)

36. Más concretamente, el artículo 13 de la Directiva 2016/680 establece que los responsables del tratamiento deben facilitar determinada información a los interesados («derecho de información»). El artículo 14 preceptúa que el interesado tiene derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en caso de que se confirme el tratamiento, acceso a dichos datos personales y a cierta información («derecho de acceso a los datos personales»). El artículo 16 dispone que el interesado tiene derecho a obtener del responsable del tratamiento la rectificación de los datos personales que le conciernan, así como el derecho a la supresión de los datos personales o, en su caso, a la limitación de su tratamiento («derecho a la rectificación y la supresión de datos personales o a la limitación de su tratamiento»). En principio, el interesado puede ejercer sus derechos directamente.

37. La Directiva 2016/680 permite a los Estados miembros adoptar medidas legislativas que restrinjan, total o parcialmente, los derechos de los interesados en las condiciones establecidas en los artículos 13, apartado 3, 15 y 16, apartado 4, de la Directiva 2016/680. En esencia, tales medidas están permitidas «siempre y cuando» constituyan «una medida necesaria y proporcional en una sociedad democrática, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos de la persona física afectada» con el fin de contribuir a un objetivo específico de interés general, a saber, evitar que se obstaculicen indagaciones, investigaciones o procedimientos oficiales o judiciales, evitar que se cause perjuicio a la prevención, detección, investigación o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales, proteger la seguridad pública, proteger la seguridad nacional o proteger los derechos y libertades de otras personas. De conformidad con los artículos 13, apartado 4, y 15, apartado 2, de la Directiva 2016/680, los Estados miembros podrán adoptar medidas legislativas para determinar las categorías de tratamiento que pueden incluirse, total o parcialmente, en cualquiera de esos fines.

38. En caso de limitación al derecho de acceso, el responsable del tratamiento debe informar por escrito al interesado, de conformidad con el artículo 15, apartado 3, de la Directiva 2016/680, sin dilación indebida, de cualquier denegación o restricción de acceso y de las razones de la denegación o de la restricción. Dicha información puede omitirse cuando su suministro pueda comprometer uno de los fines de interés general a los que se refiere en el artículo 15, apartado 1, de la Directiva. El responsable del tratamiento debe informar al interesado de las posibilidades de presentar una reclamación ante la autoridad de control y de interponer un recurso judicial. Además, en virtud del artículo 15, apartado 4, de la Directiva 2016/680, cuando se restrinja o deniegue el derecho de acceso, el responsable del tratamiento debe documentar los fundamentos de hecho o de Derecho en los que se sustente la decisión y poner dicha información a disposición de las autoridades de control.

39. De la estructura de los derechos del interesado establecidos en el capítulo III de la Directiva 2016/680 resulta que la regla general es que, en el ámbito penal y policial, los interesados tienen derechos en lo que respecta a la protección de sus datos y pueden ejercerlos directamente. Toda limitación a esos derechos constituye una excepción. Según reiterada jurisprudencia, una excepción a una regla general debe ser objeto de una interpretación estricta. (15) Por otro lado, existen limitaciones a las restricciones atinentes a la obligación de motivar las restricciones impuestas y a la obligación de informar de ellas al interesado. Solo puede omitirse tal información con carácter excepcional.

40. La misma correlación entre regla y excepción se aplica también con respecto a la posibilidad que se ofrece a los Estados miembros de determinar «categorías de tratamiento» que pueden calificarse total o parcialmente como fines de interés general que permiten limitar el ejercicio de los derechos de los interesados en virtud del artículo 13, apartado 3, o del artículo 15, apartado 1, de la Directiva 2016/680. Como señaló, en esencia, el Grupo de Trabajo del Artículo 29 (16) en su dictamen sobre la Directiva 2016/680, la posibilidad ofrecida a los Estados miembros de determinar tales categorías de tratamiento no permite establecer «restricciones generales» a los derechos de información y de acceso de los interesados. (17) Tales restricciones generales harían prevalecer la excepción sobre la regla, privando en gran medida de su alcance a las disposiciones que consagran los derechos del interesado. (18)

b) Ejercicio indirecto de los derechos del interesado

41. El derecho del interesado a dirigirse directamente al responsable del tratamiento para ejercer sus derechos es un elemento importante de la Directiva 2016/680. Esta Directiva garantiza «como cuestión de principio» el ejercicio directo de los derechos por los interesados. (19) Los interesados tienen derecho de acceso directo a sus datos personales, a menos que se aplique una restricción. Cuando se aplica una restricción y, en consecuencia, el derecho de acceso directo a los datos personales ya no está disponible, el interesado puede ejercer sus derechos de forma indirecta a través de la autoridad de control competente con arreglo al artículo 17, apartado 1, de la Directiva 2016/680.

42. Como señalaron el Gobierno francés y la Comisión y también recalca el Grupo de Trabajo del Artículo 29 en su dictamen sobre la Directiva 2016/680, el ejercicio indirecto de los derechos a través de la autoridad competente es una garantía adicional que se ofrece a los interesados en las circunstancias en las que se aplican limitaciones. (20) La configuración del ejercicio indirecto de los derechos como garantía adicional representa un avance considerable con respecto a la situación anterior en virtud de la Decisión Marco 2008/977. (21) En efecto, en el contexto de dicha Decisión Marco, el acceso indirecto a los datos tenía el mismo rango que el acceso directo a estos. (22) El objetivo de armonización perseguido por la Directiva 2016/680 quedaría totalmente comprometido si los Estados miembros, pese a la transformación propiciada por la Directiva en la estructura de los derechos de los interesados, contemplaran el acceso indirecto no ya como una vía adicional disponible para los interesados, sino como la única vía a disposición de estos.

c) Régimen de ejercicio indirecto establecido en el artículo 42 de la LPD

43. El artículo 17 de la Directiva 2016/680 fue transpuesto al Derecho belga mediante el artículo 42 de la LPD. La primera frase del artículo 42 de la LPD establece que los interesados deben dirigir a la Autoridad de Control de Información Policial todas las solicitudes de ejercicio de sus derechos frente a los servicios de Policía. La segunda frase del artículo 42 de la LPD establece que, cuando el responsable del tratamiento restrinja o deniegue el acceso, dicha autoridad de control debe informar al interesado únicamente de que se han efectuado todas las comprobaciones necesarias.

44. En mi opinión, el artículo 42 de la LPD establece un régimen que se aparta del principio de ejercicio directo de los derechos de los interesados respecto a todos los datos tratados por los servicios de la Policía. En efecto, este régimen, habida cuenta del amplísimo alcance de los datos a los que se aplica, establece una excepción general del derecho de acceso directo a los datos. Como se explica en las observaciones preliminares antes formuladas, una excepción general tan amplia del derecho de acceso directo no puede considerarse compatible con la Directiva 2016/680. (23) Como señaló, en esencia, el Conseil d’État (Consejo de Estado, Bélgica) en su dictamen sobre el proyecto de LPD, transformar la facultad del interesado de ejercer sus derechos de forma indirecta en la posibilidad de que el legislador exija que esos derechos se ejerzan indirectamente es contrario al artículo 17 de la Directiva 2016/680. (24)

45. Sustituir el acceso directo por el indirecto en virtud del artículo 42 de la LPD es aún más problemático cuando se contempla a la luz de las facultades limitadas del Órgano de Control de Información Policial. Interrogado sobre este particular en la vista, el abogado de esta autoridad confirmó que, en el contexto del ejercicio indirecto de los derechos del interesado, el Órgano de Control de Información Policial solo puede informar al interesado de que se han efectuado todas las comprobaciones necesarias. Ahora bien, debe recordarse que el régimen de acceso indirecto es la excepción que presupone que los derechos de los interesados están limitados conforme a las condiciones establecidas en la Directiva 2016/680. En cambio, según el sistema belga, el interesado está obligado a solicitar a la autoridad de control el ejercicio de sus derechos respecto a los datos tratados por los servicios policiales. No puede acceder a los datos que le conciernen y solo puede obtener la confirmación de que se han efectuado todas las comprobaciones necesarias. El legislador nacional ha establecido una premisa subyacente, apartándose de la Directiva 2016/680, según la cual —en lo que respecta a todos los datos tratados por la Policía— los derechos de los interesados son siempre limitados y no es posible ejercer el derecho de acceso de forma directa.

46. A la luz de cuanto antecede, considero que el artículo 42 de la LPD establece un régimen de ejercicio indirecto de los derechos que es incompatible con la forma de ejercicio de los derechos de los interesados establecida en la Directiva 2016/680. Las cuestiones prejudiciales se examinarán a la luz de esta consideración.

Sobre la primera cuestión prejudicial

47. Para empezar, debe recordarse que, según reiterada jurisprudencia, en el marco del procedimiento de cooperación entre los órganos jurisdiccionales nacionales y el Tribunal de Justicia, establecida por el artículo 267 TFUE, corresponde a dicho Tribunal proporcionar al órgano jurisdiccional nacional una respuesta útil que le permita dirimir el litigio del que conoce. Desde este punto de vista, le corresponde, en su caso, reformular las cuestiones prejudiciales que se le han planteado. A este efecto, el Tribunal de Justicia puede extraer del conjunto de elementos aportados por el órgano jurisdiccional remitente, especialmente de la fundamentación de la resolución de remisión, los elementos del Derecho de la Unión que requieren una interpretación, teniendo en cuenta el objeto del litigio principal. (25)

48. En el presente asunto, de la resolución de remisión resulta que, mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente solicita la interpretación del artículo 17 de la Directiva 2016/680. Pregunta, en esencia, si dicha disposición, en relación con los artículos 47 y 8, apartado 3, de la Carta, debe interpretarse en el sentido de que exige que el interesado disponga de un recurso judicial contra una autoridad de control independiente cuando ejerza sus derechos a través de esta.

49. Con carácter preliminar, procede señalar que el órgano jurisdiccional remitente plantea esta cuestión porque considera que el Derecho belga no prevé el derecho a la tutela judicial frente a la autoridad de control cuando esta ejerce indirectamente los derechos del interesado. A este respecto indica, en primer término, que dicha disposición no ha sido correctamente transpuesta al Derecho nacional, ya que el artículo 42 de la LPD no establece la obligación de la autoridad de control de informar al interesado de su derecho a la tutela judicial. En segundo término, el órgano jurisdiccional remitente considera que ninguna otra disposición de la LPD, en particular sus artículos 209 y siguientes y 240, permite al interesado ejercitar una acción judicial contra la autoridad de control cuando se produce un ejercicio indirecto de sus derechos. (26)

50. El Gobierno belga afirmó en sus observaciones escritas que, con independencia de la interpretación de la segunda frase del artículo 209 de la LPD, el ordenamiento jurídico belga prevé un control jurisdiccional efectivo en las circunstancias del litigio principal. A este respecto, alega que las vías de recurso específicas que contempla la LPD se entienden sin perjuicio de la competencia general de los órganos jurisdiccionales civiles. Dicho esto, el Gobierno belga señala acertadamente que, según reiterada jurisprudencia, el Tribunal de Justicia solo es competente para pronunciarse sobre la interpretación o la validez de una norma de la Unión a partir de los hechos que le indica el órgano jurisdiccional nacional. En cambio, corresponde exclusivamente al órgano jurisdiccional remitente interpretar la legislación nacional. (27)

a) Vías de recurso a disposición del interesado

51. Para determinar si un interesado tiene derecho a la tutela judicial contra la autoridad de control en caso de ejercicio indirecto de sus derechos, procede recordar que la Directiva 2016/680 contempla, en su capítulo VIII, varias vías de recurso a disposición de los interesados. Los interesados tienen derecho a presentar una reclamación ante una autoridad de control con arreglo al artículo 52 de la Directiva 2016/680. El artículo 53, apartado 1, de la Directiva 2016/680 establece que los interesados deben tener derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna. El artículo 53, apartado 2, dispone que todo interesado tendrá derecho a la tutela judicial efectiva en caso de que la autoridad de control no dé curso a una reclamación o no informe al interesado en el plazo de tres meses sobre el curso o el resultado de la reclamación. Además, el interesado tiene derecho a la tutela judicial efectiva contra el responsable o el encargado del tratamiento si considera que sus derechos han sido vulnerados como consecuencia de un tratamiento ilícito de sus datos personales. Todas estas disposiciones precisan que cada uno de estos recursos puede interponerse «sin perjuicio de cualquier otro recurso administrativo o extrajudicial».

52. En cuanto al derecho a la tutela judicial efectiva contra la autoridad de control, el considerando 86 de la Directiva 2016/680 enuncia que este derecho puede ejercerse contra «las decisiones de una autoridad de control que produzcan efectos jurídicos que le conciernan». Ese mismo considerando precisa que estas decisiones se refieren en particular al ejercicio de los poderes de investigación, corrección y autorización por parte de la autoridad de control o a la desestimación o rechazo de las reclamaciones, pero no incluye «otras medidas de las autoridades de control que no sean jurídicamente vinculantes, como los dictámenes publicados o el asesoramiento facilitado por la autoridad de control».

53. Del artículo 53, apartado 1, de la Directiva 2016/680, interpretado a la luz del considerando 86 de esta, se desprende que el interesado tiene derecho a impugnar una resolución o una medida de una autoridad de control que produzca efectos jurídicos vinculantes.

54. A este respecto, procede recordar que el derecho a la tutela judicial efectiva, establecido en el artículo 47 de la Carta, ha de reconocerse a toda persona que se ampare en derechos o libertades garantizados por el Derecho de la Unión contra una decisión que le sea lesiva y que pueda menoscabar tales derechos o libertades. (28)

55. Debe señalarse seguidamente que los actos lesivos son «los actos o las medidas que producen efectos jurídicos obligatorios que puedan afectar directa e inmediatamente a los intereses del demandante, modificando de forma sustancial la situación jurídica de este». (29) A este respecto, hay que atenerse a la esencia de dicho acto y apreciar dichos efectos en función de criterios objetivos, como el contenido de ese mismo acto, tomando en consideración, en su caso, el contexto en el que se adoptó y las facultades de la institución que fue su autora. (30)

b) Poderes de la autoridad de control en el contexto del ejercicio indirecto de derechos

56. A la vista de lo anterior, para determinar si una autoridad de control adopta una decisión jurídicamente vinculante cuando ejerce de forma indirecta los derechos del interesado con arreglo al artículo 17 de la Directiva 2016/680, es necesario examinar el contenido o la esencia del acto de la autoridad de control, teniendo en cuenta el contexto de su adopción del acto y los poderes de dicha autoridad.

57. Por lo que respecta, en primer lugar, a la esencia del acto de la autoridad de control, es necesario precisar, para empezar, que la capacidad de un acto para producir directamente efectos en la situación jurídica de una persona física o jurídica no puede apreciarse por el mero hecho de que dicho acto revista la forma de un correo electrónico (como sucede en el procedimiento principal), puesto que ello equivaldría a hacer prevalecer la forma del acto objeto del recurso sobre la esencia misma de dicho acto. (31)

58. El artículo 17, apartado 1, de la Directiva 2016/680 establece que los derechos del interesado pueden ejercerse «a través» de la autoridad de control competente. El considerando 48 de dicha Directiva enuncia que la autoridad de control actúa «por cuenta» del interesado. De conformidad con el artículo 17, apartado 3, de esa misma Directiva, la autoridad de control «informará», al menos, al interesado de que se han efectuado todas las comprobaciones necesarias o la revisión correspondiente.

59. La Autoridad de Control de Información Policial alega que del tenor de estas disposiciones se desprende que la autoridad de control no tiene encomendado sino el ejercicio del mandato de actuar por cuenta del interesado y actúa como un «mensajero» que se limita a comunicar información al interesado. Por lo tanto, no puede considerarse que el acto adoptado por dicha autoridad produzca efectos jurídicos vinculantes para el interesado. El Gobierno checo formula una alegación similar.

60. No discuto que las formulaciones utilizadas por lo que se refiere al ejercicio de los derechos del interesado «a través» de la autoridad de control o a la actuación de la autoridad de control «por cuenta» del interesado pueden entenderse, consideradas aisladamente, en el sentido de que sugieren que la autoridad de control tiene encomendado un mandato meramente informativo.

61. Sin embargo, pienso que el examen del contexto del acto y de los poderes de la autoridad de control no corrobora la tesis de la existencia de un simple mandato. En el contexto del ejercicio indirecto de los derechos del interesado, la misión de la autoridad de control va mucho más allá de actuar de modo similar al que lo haría un «mandatario» del interesado, como «mensajera» o como intermediaria. Como demostraré, el legislador de la Unión ha asignado, por el contrario, a la autoridad de control un papel protagonista y activo en la comprobación de la licitud del tratamiento de datos que solo una autoridad pública puede desempeñar.

62. Más concretamente, como han sostenido la Comisión y el Gobierno belga, el artículo 17 de la Directiva 2016/680 debe interpretarse en relación con las disposiciones contenidas en la sección 2 del capítulo VI de dicha Directiva, que establece las normas relativas a la competencia, las funciones y los poderes de las autoridades de control independientes. El artículo 46, apartado 1, letra g), de la citada Directiva encomienda a la autoridad de control la tarea de «controlar la licitud del tratamiento con arreglo a lo dispuesto en el artículo 17 e informar al interesado en un plazo razonable sobre el resultado del control, de conformidad con el artículo 17, apartado 3, o sobre los motivos por los que no se ha llevado a cabo».

63. El Gobierno belga ha señalado acertadamente en su respuesta a una pregunta escrita del Tribunal de Justicia que la función específica de control de la licitud del tratamiento demuestra que la misión de una autoridad de control no se limita a la de mera «mensajera» entre el interesado y el responsable del tratamiento. En cambio, efectúa una valoración jurídica adecuada de la licitud del tratamiento.

64. Además, para cumplir su misión de realizar un control independiente de la licitud del tratamiento, cada autoridad de control dispone de determinados poderes coercitivos de conformidad con el artículo 47 de la Directiva 2016/680. Estos poderes coercitivos abarcan «poderes de investigación efectivos», que incluyen al menos «el poder de obtener del responsable y del encargado del tratamiento el acceso a todos los datos personales que se están tratando», y poderes «correctivos», que comprenden el poder de ordenar la rectificación o la supresión de datos personales, o la limitación de su tratamiento. Por otro lado, según el artículo 47, apartado 5, las autoridades de control tienen el poder de ejercitar acciones judiciales con el fin de hacer cumplir las disposiciones adoptadas con arreglo a la Directiva 2016/680. A este respecto, suscribo la afirmación de la Comisión de que la autoridad de control solo puede ejercer estos poderes por cuenta propia como autoridad pública y no como mera mandataria o en nombre del interesado.

65. Cuando la autoridad de control informa al interesado del resultado del control que ha efectuado con arreglo a los artículos 17, apartado 3, y 46, apartado 1, letra g), de la Directiva 2016/680, ha culminado necesariamente un proceso de toma de decisiones sobre la licitud del tratamiento. Por consiguiente, la situación jurídica del interesado se ve afectada, por una parte, por la cuestión de si la autoridad de control ha llevado a cabo correctamente la función que le incumbe de «controlar la licitud del tratamiento con arreglo a lo dispuesto en el artículo 17» y, por otra parte, por la conclusión que alcance dicha autoridad al término de ese proceso.

66. El reconocimiento de una misión autónoma a la autoridad de control en virtud del artículo 17 de la Directiva 2016/680, en contraposición a la misión de simple intermediaria, se ve corroborado por una interpretación de la Directiva a la luz de la Carta. El artículo 8, apartado 3, de la Carta confía a una autoridad independiente el control del cumplimiento de las normas sobre protección de datos y, más concretamente, del derecho de acceso a los datos. La misión de las autoridades de protección de datos tiene importancia constitucional por cuanto se hace referencia a esa misión en la Carta. La misión de controlar y hacer cumplir la Directiva 2016/680 corresponde a la autoridad de control. Una interpretación según la cual dicha autoridad actúa al margen del interesado cuando ejerce indirectamente sus derechos corrobora la misión constitucional de la autoridad de control.

67. Además, si se admitiera la tesis de que la autoridad de control actúa de modo similar al que lo haría un «mandatario» del interesado, dicha autoridad estaría obligada a informar al interesado como mandante. Sin embargo, la Autoridad de Control de Información Policial sostiene que no está facultada para facilitar información adicional al interesado. Este enfoque conduce a una situación peculiar en la que un mandatario estaría más informado que su mandante.

68. En la vista, el Gobierno francés alegó, en esencia, que, a diferencia de la situación en la que una autoridad de control trata las reclamaciones en virtud del artículo 46, apartado 1, letra f), de la Directiva 2016/680, dicha autoridad carece de poderes frente al responsable del tratamiento en virtud del artículo 46, apartado 1, letra g). Según el Gobierno francés, dado que el interesado no dispone de poderes frente al responsable del tratamiento cuando ejerce sus derechos directamente, no puede disponer de ellos cuando los ejerce indirectamente a través de la autoridad de control. El Gobierno francés sostuvo que el artículo 47 de la Directiva 2016/680 se refiere únicamente a los poderes ejercidos por la autoridad de control por cuenta propia y no a los ejercidos por cuenta del interesado.

69. La opinión del Gobierno francés se basa, en esencia, en la tesis de que la autoridad de control actúa simplemente como intermediaria del interesado. Por las razones antes expuestas, no suscribo una interpretación tan limitadora de la misión de la autoridad de control. El ejercicio indirecto de los derechos del interesado debe tener un valor añadido, de manera que constituya una garantía adicional y una salvaguardia para el interesado. Si la autoridad se ciñera a confirmar, en cualquier circunstancia, que se han llevado a cabo las comprobaciones necesarias sin poder ejercer sus poderes, su misión de controlar la licitud del tratamiento tendría un valor añadido limitado.

70. A este respecto, el artículo 17 de la Directiva 2016/680 establece que la autoridad de control debe informar al interesado «al menos» de que se han efectuado todas las comprobaciones necesarias. Esto significa que puede haber circunstancias en las que la autoridad de control pueda o deba ampliar la información mínima. Esta interpretación encuentra respaldo en el artículo 46, apartado 1, letra g), de la Directiva 2016/680, que encomienda a la autoridad de control las funciones de controlar la licitud del tratamiento con arreglo al artículo 17 de la Directiva 2016/680 e informar al interesado del resultado del control con arreglo al apartado 3 de este mismo artículo. El «resultado del control» incluye comunicar la información mínima, pero no siempre se limita a transmitir esa información.

71. Como ha señalado la Comisión, el artículo 17 de la Directiva 2016/680 confiere un margen de apreciación a la autoridad de control. No otorga a los Estados miembros la facultad discrecional de limitar la misión de la autoridad a la de mensajera o de despojar a esta de su margen de apreciación asignándole la tarea de facilitar únicamente la información mínima. En efecto, si un Estado miembro pudiera apartarse de la Directiva 2016/680 y conferir menos poderes a las autoridades de control, ello comprometería gravemente el objetivo de fortalecer los derechos de los interesados y de armonizar los poderes de control y de garantía del cumplimiento de las normas sobre protección de datos en los Estados miembros. Además, pondría en peligro la consecución de la finalidad de reforzar la transparencia y el control perseguida por dicha Directiva.

72. En la vista, la Autoridad de Control de Información Policial expresó su preocupación por el reconocimiento de una misión que va más allá de la del simple ejercicio de un mandato por cuenta del interesado. Sostuvo que, en el marco del artículo 17 de la Directiva 2016/680, la autoridad de control no puede decidir si un acto del responsable del tratamiento es oportuno ni ponderar los intereses en juego en la comunicación de la información pertinente. Dicha autoridad alegó que, de no ser así, se vería obligada a sustituir al responsable del tratamiento, lo que redundaría en perjuicio de su independencia.

73. A este respecto, el margen de apreciación de que dispone la autoridad de control con arreglo al artículo 17 de la Directiva 2016/680 no debe entenderse como un poder para sustituir al responsable del tratamiento y dar acceso automático a la información que este se negó a comunicar. En razón de su independencia, la autoridad de control entabla un diálogo confidencial con el responsable del tratamiento para comprobar la licitud del tratamiento. Como sostuvo fundamentalmente la Comisión, el diálogo puede deducirse de la obligación del responsable del tratamiento establecida en el artículo 15, apartado 4, de la Directiva 2016/680 de poner a disposición de la autoridad de control los fundamentos de hecho o de Derecho en los que se sustente la decisión de limitar el derecho de acceso.

74. Si, en el contexto de ese diálogo, la autoridad de control considera que las limitaciones a los derechos del interesado no están justificadas, debe ofrecer al responsable del tratamiento la posibilidad de enmendar esta situación. Al término del diálogo, el artículo 17, apartado 3, de la Directiva concede a la autoridad de control un margen de discrecionalidad en cuanto al alcance de la información que puede comunicar al interesado sobre el resultado de su comprobación. La determinación del alcance de la información que puede comunicar debe apreciarse caso por caso, de conformidad con el principio de proporcionalidad. Además, la autoridad de control debe poder garantizar el cumplimiento de las normas de la Directiva 2016/680 y ejercer los poderes establecidos en el artículo 47 de esta. La citada disposición no establece limitación alguna en relación con el ejercicio de dichos poderes en el contexto del artículo 17. Por el contrario, los poderes efectivos de la autoridad de control se erigen como contrapeso sólido y necesario de la limitación del derecho de acceso del interesado.

c) Jerarquía de los recursos judiciales

75. Por último, la Autoridad de Control de Información Policial y el Gobierno checo han presentado un argumento relativo a la jerarquía de los recursos judiciales. Sostienen, en esencia, que, en el contexto del ejercicio indirecto de derechos a través de la autoridad de control, el derecho a la tutela judicial debe ejercerse contra el responsable del tratamiento, de conformidad con el artículo 54 de la Directiva 2016/680, y no contra la autoridad de control, a menos que esta se abstenga de actuar.

76. A este respecto, procede señalar que de ninguna de las disposiciones de la Directiva 2016/680 se desprende que las vías de recurso previstas en esta sean mutuamente excluyentes. Por el contrario, del tenor de los artículos 52, 53 y 54 de la Directiva 2016/680 antes mencionados (32) se desprende que estas disposiciones ofrecen diferentes vías de recurso a las personas que invocan una infracción de esta Directiva, entendiéndose que cada una de estas vías de recurso debe poder ejercerse «sin perjuicio» de las demás. (33) Debe recordarse que, por lo que respecta a la relación entre las vías de recurso previstas en el Reglamento (UE) 2016/679, (34) el Tribunal de Justicia declaró en la sentencia dictada en el asunto Nemzeti que dicho Reglamento «no establece una competencia prioritaria o exclusiva ni ninguna regla de primacía de la apreciación efectuada por la autoridad o por los órganos jurisdiccionales a los que hace referencia en cuanto a la existencia de una vulneración de los derechos conferidos por ese Reglamento». (35)

77. Contrariamente a la posición del Gobierno francés y de la Autoridad de Control de Información Policial, considero que el razonamiento de la sentencia dictada en el asunto Nemzeti es extrapolable al presente asunto en cuanto atañe a las vías de recurso previstas en la Directiva 2016/680. En primer lugar, las vías de recurso de que dispone el interesado contra la autoridad de control y el responsable del tratamiento en virtud del Reglamento 2016/679 y de la Directiva 2016/680 son semejantes. En segundo lugar, el considerando 7 de la Directiva 2016/680 establece que la protección eficaz de los datos personales en toda la Unión requiere el fortalecimiento de los derechos de los interesados. (36) La puesta a disposición de varias vías de recurso refuerza el objetivo enunciado también en el considerando 85 de la Directiva 2016/680 de garantizar el derecho a la tutela judicial efectiva conforme al artículo 47 de la Carta con respecto a todo interesado que considere que sus derechos establecidos en las disposiciones adoptadas con arreglo a esta Directiva han sido vulnerados.

78. También debe señalarse que el recurso contra la autoridad de control y el recurso contra el responsable del tratamiento tienen finalidades diferentes. Como observó correctamente la Comisión, la finalidad de una acción contra la decisión del responsable del tratamiento de limitar los derechos del interesado es, por un lado, obtener un control jurisdiccional que tenga por objeto comprobar si se aplicaron correctamente los artículos 13, apartado 3, 15, apartado 3, y 16, apartado 4, de la Directiva 2016/680. Por otro lado, dicha acción tiene como fin el de obtener un control jurisdiccional que tenga por objeto comprobar si se aplicaron correctamente los artículos 17 y 46, apartado 1, letra g), de la Directiva 2016/680, lo que implica examinar si la autoridad de control desempeñó correctamente su misión de control de la licitud del tratamiento.

79. Asimismo, debe observarse que el sistema de tutela judicial sería incoherente e incompleto si el interesado solo pudiera impugnar la inacción de la autoridad de control en el supuesto de que las actuaciones de esta y la forma en que se atiene a sus obligaciones quedaran excluidas del control jurisdiccional.

80. En cualquier caso, en el procedimiento principal resulta imposible ejercitar una acción contra el responsable del tratamiento. De la resolución de remisión se desprende que los interesados no pueden actuar contra el responsable del tratamiento puesto que el ejercicio de todos sus derechos se confía al Órgano de Control de Información Policial. La Ligue des droits humains alegó además que, en el sistema belga de bases de datos policiales, es muy difícil para el interesado incluso identificar al responsable del tratamiento. En tales circunstancias, el interesado corre el riesgo de verse privado por completo de la tutela judicial efectiva, ya que no sabe quién es el responsable del tratamiento y, aunque lo supiera, no tiene derecho a dirigirse a él directamente. Además, no puede impugnar la actuación de la Autoridad de Control de Información Policial. Tal como yo lo veo, el interesado se enfrenta a un sistema en el que «todas las puertas están cerradas», lo que es contrario a la Directiva 2016/680.

81. Habida cuenta de lo anterior, considero que el artículo 17 de la Directiva 2016/680, en relación con el artículo 46, apartado 1, letra g), de dicha Directiva y a la luz de los artículos 47 y 8, apartado 3, de la Carta, debe interpretarse en el sentido de que exige que el interesado disponga de un recurso judicial contra una autoridad de control independiente cuando ejerza sus derechos a través de esta en la medida en que ese recurso se refiera a la función que incumbe a dicha autoridad de controlar la licitud del tratamiento.

Sobre la segunda cuestión prejudicial

82. Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 17 de la Directiva 2016/680 es compatible con los artículos 8, apartado 3, y 47 de la Carta en la medida en que obliga a la autoridad de control a informar al interesado únicamente i) de que «se han efectuado todas las comprobaciones necesarias o la revisión correspondiente» y ii) de «su derecho a la tutela judicial» aunque esa información no permita ningún control a posteriori de la actuación y de la apreciación de la autoridad de control con respecto al interesado a la luz de las obligaciones que incumben al responsable del tratamiento.

83. Con carácter preliminar, es preciso recordar que, según un principio general de interpretación, los actos de la Unión deben interpretarse, en la medida de lo posible, de un modo que no cuestione su validez y de conformidad con el conjunto del Derecho primario y, en particular, con las disposiciones de la Carta. Así, cuando un texto de Derecho derivado de la Unión es susceptible de varias interpretaciones, procede dar preferencia a aquella que hace que la disposición se ajuste al Derecho primario, y no a la que conduce a considerarla incompatible con él. (37)

84. Como se ha expuesto en las observaciones preliminares y en el análisis de la primera cuestión prejudicial, el artículo 17 de la Directiva 2016/680 establece que los derechos del interesado pueden ejercerse indirectamente a través de la autoridad de control competente cuando los derechos del interesado estén limitados en virtud de los artículos 13, apartado 3, 15, apartado 3, y 16, apartado 4, de la Directiva 2016/680. Las limitaciones de los derechos del interesado solo están permitidas si constituyen una medida necesaria y proporcional en una sociedad democrática, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos de la persona física afectada con el fin de contribuir a un objetivo específico de interés general contemplado en dichas disposiciones.

85. La cuestión que se plantea es en qué medida el contenido de la información facilitada por la autoridad de control que ejerce indirectamente los derechos del interesado permite a este ejercer su derecho a la tutela judicial efectiva consagrado en el artículo 47, apartado 1, de la Carta.

86. A este respecto, ya se ha recordado en el análisis de la primera cuestión prejudicial que el derecho a la tutela judicial efectiva, consagrado en el artículo 47 de la Carta, ha de reconocerse a toda persona que se ampare en derechos o libertades garantizados por el Derecho de la Unión contra una decisión que le sea lesiva y que pueda menoscabar tales derechos o libertades. (38)

87. Sin embargo, debe tenerse en cuenta que el derecho a la tutela judicial efectiva no constituye una prerrogativa absoluta y que, de conformidad con el artículo 52, apartado 1, de la Carta, podrá ser objeto de limitaciones, con la condición de que tales limitaciones estén establecidas por la ley, respeten el contenido esencial de los derechos y libertades en cuestión y, con sujeción al principio de proporcionalidad, sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás. (39)

88. En el contexto del ejercicio indirecto de los derechos a través de la autoridad de control, es preciso señalar que la posibilidad de ejercicio indirecto surge con la limitación de los derechos del interesado. La autoridad de control tiene encomendada la tarea de actuar en los supuestos en que, con carácter excepcional, se limite un derecho, en particular cuando, en función de las circunstancias, el responsable del tratamiento omita información sobre las razones de tal limitación. (40) Como se ha demostrado ampliamente en el análisis de la primera cuestión prejudicial, la misión de la autoridad de control cuando lleva a cabo esa tarea no es la de actuar como mera «mensajera», sino la de garantizar la licitud del tratamiento.

89. El nivel de información que la autoridad de control puede comunicar al interesado depende necesariamente de las razones que hayan dado lugar a la limitación del derecho. Cuanto más fundadas sean las razones a las que obedezca tal limitación y, eventualmente, la omisión de información, menos información podrá facilitar la autoridad de control. Contrariamente a la presunción que subyace en el enunciado de la cuestión prejudicial, del artículo 17, apartado 3, de la Directiva 2016/680 no se desprende que la autoridad de control pueda «únicamente», en todas las circunstancias, confirmar que se han llevado a cabo todas las comprobaciones necesarias. En cambio, con arreglo a dicha disposición, la autoridad de control comunica «al menos» que se han efectuado todas las comprobaciones necesarias o la revisión correspondiente.

90. De ello se deduce que la información que debe facilitar la autoridad de control no puede estar predeterminada. En otras palabras, el contenido mínimo establecido en el artículo 17, apartado 3, no es el único posible. Como señaló la Comisión, el nivel de información debe determinarse caso por caso y puede variar en función de las circunstancias y de la ponderación de los intereses en juego a la luz del principio de proporcionalidad. A título ilustrativo, como se observa acertadamente en la doctrina, (41) no resulta problemático que la autoridad de control indique al interesado que, debido a un error ortográfico, su nombre figura en una base de datos de la Policía.

91. Debe observarse que la propuesta de Directiva sobre protección de datos en el ámbito penal establecía que las autoridades de control, además de la información mínima, debían hacer partícipe al interesado «del resultado en lo tocante a la licitud del tratamiento en cuestión». (42) Esta última información (esto es, el resultado en lo tocante a la licitud del tratamiento) no estaba incluida en el artículo 17 de la Directiva 2016/680. Sin embargo, ello no significa que puedan tolerarse posibles infracciones de las normas sobre protección de datos. En mi análisis de la primera cuestión prejudicial, he señalado que la autoridad de control entabla un diálogo confidencial con el responsable del tratamiento. Si la autoridad de control considera que el tratamiento de datos es ilícito, ofrece al responsable del tratamiento la posibilidad de enmendar la situación. No obstante, si no se enmienda esta situación, la autoridad de control dispone de poderes coercitivos en virtud del artículo 47 de la Directiva 2016/680 que deben ejercerse. En tal supuesto, no basta, a mi juicio, con que la autoridad de control informe al Parlamento, como sugirió la Autoridad de Control de Información Policial en la vista. Debe ejercer su poder de poner en conocimiento de las autoridades judiciales las infracciones de las normas en materia de protección de datos y, en su caso, iniciar o ejercitar de otro modo acciones judiciales con arreglo al artículo 47, apartado 5, de la Directiva 2016/680.

92. La interpretación según la cual la autoridad de control dispone de un margen de apreciación cuando ejerce indirectamente los derechos del interesado también se ve corroborada por la importancia constitucional de la misión de las autoridades de control independientes consagrada en el artículo 8, apartado 3, de la Carta.

93. Dicho esto, puede haber circunstancias en las que la autoridad de control considere que no puede comunicar sino la información mínima, esto es, que se han llevado a cabo todas las comprobaciones necesarias. En tales circunstancias, sería imposible ejercer el control jurisdiccional a menos que el juez encargado de revisar la decisión adoptada por la autoridad de control pudiera examinar, por una parte, todas las razones en que se sustenta dicha decisión y, por otra, la decisión del responsable del tratamiento de limitar el acceso.

94. A este respecto, debe señalarse, en primer lugar, que el artículo 15, apartado 4, de la Directiva 2016/680 establece que el responsable del tratamiento debe documentar los fundamentos de hecho o de Derecho en los que se sustente la decisión relativa a la limitación del derecho de acceso y debe poner esa información a disposición de las autoridades de control. Como ha señalado el Parlamento, debe aceptarse que, si esa información está a disposición de la autoridad de control, también debe facilitarse a la autoridad judicial cuando el interesado ejerza su derecho a solicitar la revisión de la decisión del responsable del tratamiento o de la decisión de la autoridad de control.

95. En segundo lugar, en los casos excepcionales en que el responsable del tratamiento no facilite información sobre las razones de la denegación o de la limitación de los derechos del interesado y la autoridad de control solo comunique la información mínima, esto es, que se han llevado a cabo todas las comprobaciones necesarias, el juez competente del Estado miembro de que se trate habrá de tener a su disposición y deberá aplicar técnicas y normas de Derecho procesal que le permitan conciliar, por un lado, las legítimas consideraciones de seguridad pública o de interés público en cuanto a la naturaleza y a las fuentes de la información tenida en cuenta para adoptar una resolución de ese tipo y, por otro, la necesidad de garantizar el respeto de los derechos procesales de la persona, como el derecho a ser oído y el principio de contradicción. (43)

96. A tal fin, de conformidad con el razonamiento de la jurisprudencia derivada de la sentencia de 4 de junio de 2013, ZZ (C‑300/11, EU:C:2013:363), los Estados miembros, por una parte, deberán garantizar un control judicial efectivo tanto de la existencia y fundamento de las razones invocadas por la autoridad nacional y, por otra parte, habrán de disponer de las técnicas y normas relativas a dicho control judicial, tal como se ha hecho referencia a ellas en el punto anterior de las presentes conclusiones. (44)

97. En la vista, el Gobierno francés alegó que la sentencia ZZ se refiere a una situación diferente a la del litigio principal, ya que la sentencia ZZ versa sobre el control jurisdiccional de una decisión por la que se denegaba a un ciudadano de la Unión Europea la entrada en el territorio de un Estado miembro por razones de seguridad pública. A este respecto, es preciso observar que el razonamiento del Tribunal de Justicia en la jurisprudencia derivada de la sentencia ZZ, que se basa en la sentencia dictada en el asunto Kadi, (45) se sustenta en la exigencia de ponderar adecuadamente las exigencias derivadas de la seguridad del Estado y las consustanciales al derecho a la tutela judicial efectiva. Preguntado en la vista, el abogado del Gobierno francés admitió que de esta jurisprudencia se desprende esencialmente que no existen secretos para el juez. Así pues, considero que dicha jurisprudencia debe aplicarse también, por analogía, en el contexto de la Directiva 2016/680 cuando las autoridades competentes consideren que existen razones de seguridad nacional u otra consideración de interés público capaces de justificar una limitación de los derechos del interesado que impiden comunicar, con precisión y por extenso, los motivos de tal decisión de limitación.

98. De lo anterior se desprende que el artículo 17 de la Directiva 2016/680 es compatible con los artículos 8, apartado 3, y 47 de la Carta en la medida en que i) la autoridad de control puede, en función de las circunstancias, realizar declaraciones adicionales a la consistente en informar de que se han llevado a cabo todas las comprobaciones necesarias y ii) existe a disposición del interesado una vía para obtener un control judicial de la actuación y de la apreciación de la autoridad de control con respecto a dicho interesado a la luz de las obligaciones que incumben al responsable del tratamiento.

99. A la vista de lo anterior, no se cuestiona la validez del artículo 17 de la Directiva 2016/680.

IV. Conclusión

100. Habida cuenta de las consideraciones anteriores, propongo al Tribunal de Justicia que responda a la cour d’appel de Bruxelles (Tribunal de Apelación de Bruselas, Bélgica) del siguiente modo:

«1) El artículo 17 de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, en relación con el artículo 46, apartado 1, letra g), de dicha Directiva y a la luz de los artículos 47 y 8, apartado 3, de la Carta de los Derechos Fundamentales de la Unión Europea,

debe interpretarse en el sentido de que exige que el interesado disponga de un recurso judicial contra una autoridad de control independiente cuando ejerza sus derechos a través de esta en la medida en que ese recurso se refiera a la función que incumbe a dicha autoridad de controlar la licitud del tratamiento.

2) No se cuestiona la validez del artículo 17 de la Directiva 2016/680.»

1 Lengua original: inglés.

2 Directiva del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO 2016, L 119, p. 89).

3 Considerando 10 de la Directiva 2016/680.

4 Considerando 2 de la Directiva 2016/680.

5 Considerando 4 de la Directiva 2016/680.

6 Brewczyńska, M.: «A critical reflection on the material scope of the application of the Law Enforcement Directive and its boundaries with the General Data Protection Law», en Kosta, E., Leenes, R. y Kamara, I. (eds.), Research Handbook on EU data protection law, 2022, Edward Elgar, 2022, p. 105.

7 Decisión Marco, de 27 de noviembre de 2008, relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal (DO 2008, L 350, p. 60).

8 Vogiatzoglou, P. y Marquenie, T.: Assessment of the Implementation of the Law Enforcement Directive, estudio solicitado por la Comisión de Libertades Civiles, Justicia y Asuntos de Interior (LIBE), Parlamento Europeo, Departamento Temático de Derechos de los Ciudadanos y Asuntos Constitucionales, noviembre de 2022 [en lo sucesivo, «Assessment of the Implementation of the Law Enforcement Directive» (Evaluación de la aplicación de la Directiva sobre protección de datos en el ámbito penal)], p. 54.

9 Zanfir-Fortuna, G.: «Article 15. Right of access by the data subject», en Kuner, C., Bygrave, L. y Docksey, C. (eds.), The EU General Data Protection Regulation (GDPR), A Commentary, Oxford University Press, Oxford, 2020, p. 452.

10 Ibidem.

11 Kranenborg, H.: «Article 8, Protection of personal data», en Peers, S. y otros (eds.), The EU Charter of Fundamental Rights, A Commentary, Hart Publishing, 2021, p. 272, punto 08.171. Véanse las sentencias de 7 de mayo de 2009, Rijkeboer (C‑553/07, EU:C:2009:293), apartados 51 y 52, y de 20 de diciembre de 2017, Nowak (C‑434/16, EU:C:2017:994), apartado 57.

12 Documento de trabajo de los Servicios de la Comisión, Resumen de la evaluación de impacto, de 25 de enero de 2012, [SEC(2012) 73 final], p. 3.

13 Propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y la libre circulación de dichos datos [COM(2012) 10 final], de 25 de enero de 2012 (en lo sucesivo, «propuesta de Directiva sobre protección de datos en el ámbito penal»), p. 2.

14 Dictamen del Grupo de Trabajo del Artículo 29 sobre algunas cuestiones fundamentales de la Directiva sobre protección de datos en el ámbito penal (UE 2016/680), 29 de noviembre de 2017, 17/EN WP 258 (en lo sucesivo, «Dictamen del Grupo de Trabajo del Artículo 29 sobre la Directiva 2016/680»), p. 24 (el subrayado es mío).

15 Sentencia de 2 de marzo de 2023, Eurocostruzioni (C‑31/21, EU:C:2023:136), apartado 53 y jurisprudencia citada.

16 El Grupo de Trabajo del Artículo 29 fue creado en virtud del artículo 29 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31), como órgano consultivo europeo independiente sobre protección de datos e intimidad. A partir del 25 de mayo de 2018 quedó disuelto y fue sustituido por el Comité Europeo de Protección de Datos (CEPD).

17 Dictamen del Grupo de Trabajo del Artículo 29 sobre la Directiva 2016/680, op. cit., nota 14, pp. 18 y 24.

18 Véase, en este sentido, la sentencia de 20 de septiembre de 2022, SpaceNet y Telekom Deutschland (C‑793/19 y C‑794/19, EU:C:2022:702), apartado 57 y jurisprudencia citada.

19 Supervisor Europeo de Protección de Datos (SEPD), dictamen 6/2015, A further step towards comprehensive EU data protection, EDPS recommendations on the Directive for data protection in the police and justice sectors, 28 de octubre de 2015, p. 7.

20 Véase el Dictamen del Grupo de Trabajo del Artículo 29 sobre la Directiva 2016/680, p. 23.

21 Assessment of the implementation of the Law Enforcement Directive, op. cit., nota 8, p. 57. Del artículo 17, apartado 1, letra a), de la Decisión Marco 2008/977 se desprende que los interesados podían ejercer el derecho de acceso a los datos dirigiéndose al responsable del tratamiento o a la autoridad nacional de control y que podían obtener la confirmación sobre la transmisión o la puesta a disposición de esos datos o, al menos, la confirmación de la autoridad nacional de control de que se habían realizado todas las comprobaciones necesarias.

22 Véase el artículo 17 de la Decisión Marco 2008/977.

23 Procede observar que el Assessment of the implementation of the Law Enforcement Directive, nota 8, p. 62, considera que la transposición realizada por el legislador belga del capítulo III de la Directiva 2016/680 es «sumamente llamativa», en la medida en que ofrece a los interesados «únicamente la posibilidad de ejercer indirectamente sus derechos a través de la autoridad nacional de control, lo que obviamente es contrario al tenor literal de [dicha Directiva]» (el subrayado es mío).

24 Conseil d’État (Consejo de Estado), sección legislativa, dictamen 63.192/2 de 19 de abril de 2018, p. 32.

25 Sentencia de 16 de febrero de 2023, Staatssecretaris van Justitie en Veiligheid (Hijo no nacido en el momento de la solicitud de asilo) (C‑745/21, EU:C:2023:113), apartado 43.

26 Véanse los puntos 27 a 30 de las presentes conclusiones.

27 Véase, en este sentido, la sentencia de 10 de junio de 2021, Ultimo Portfolio Investment (Luxembourg) (C‑303/20, EU:C:2021:479), apartado 25.

28 Sentencia de 26 de enero de 2023, Ministerstvo na vatreshnite raboti (Registro de datos biométricos y genéticos por la Policía) (C‑205/21, EU:C:2023:49), apartado 87 y jurisprudencia citada.

29 Véase, en ese sentido, por lo que respecta a actos que sean lesivos en el sentido del artículo 90, apartado 2, del Estatuto de los Funcionarios de la Unión Europea, la sentencia de 15 de diciembre de 2022, Picard/Comisión (C‑366/21 P, EU:C:2022:984), apartado 95.

30 Sentencia de 15 de diciembre de 2022, Picard/Comisión (C‑366/21 P, EU:C:2022:984), apartado 96. Estos elementos también son decisivos para determinar si un acto de la Unión produce efectos jurídicos obligatorios y, por ende, puede ser impugnado con arreglo al artículo 263 TFUE. Véase la sentencia de 15 de julio de 2021, FBF (C‑911/19, EU:C:2021:599), apartado 38.

31 Sentencia de 15 de diciembre de 2022, Picard/Comisión (C‑366/21 P, EU:C:2022:984, apartado 97.

32 Punto 51 de las presentes conclusiones.

33 Véase, por analogía, la sentencia de 12 de enero de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2023:2), apartado 34.

34 Artículos 77, apartado 1, 78, apartado 1, y 79, apartado 1, del Reglamento del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46 (Reglamento General de Protección de Datos) (DO 2016, L 119, p. 1).

35 Sentencia de 12 de enero de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2023:2), apartado 35.

36 Véase, por analogía, en relación con el considerando 11 del Reglamento 2016/679, la sentencia de 12 de enero de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2023:2), apartado 42.

37 Sentencia de 21 de junio de 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491), apartado 86 y jurisprudencia citada.

38 Véase el punto 54 de las presentes conclusiones y jurisprudencia citada.

39 Sentencia de 26 de enero de 2023, Ministerstvo na vatreshnite raboti (Registro de datos biométricos y genéticos por la Policía) (C‑205/21, EU:C:2023:49), apartado 89 y jurisprudencia citada.

40 Véanse los puntos 37 y 38 de las presentes conclusiones.

41 Dimitrova, D., de Hert, P.: The right of access under the Police Directive: Small steps forward, en Medina, M. et al. (eds.), Privacy Technologies and Policy: 6th Annual Privacy Forum, APF 2018, Springer International Publishing, 2018, p. 123.

42 Véase el artículo 14 de la propuesta de Directiva sobre protección de datos en el ámbito penal. El artículo 45, apartado 1, letra c), de dicha propuesta preveía el «deber» de la autoridad de control de comprobar la licitud del tratamiento de datos con arreglo a lo dispuesto en el artículo 14 e informar al interesado en un plazo razonable «sobre el resultado del control o sobre los motivos por los que no se ha llevado a cabo».

43 Véase, en este sentido, la sentencia de 4 de junio de 2013, ZZ (C‑300/11, EU:C:2013:363), apartado 57.

44 Ibidem, apartado 58.

45 Sentencia de 3 de septiembre de 2008, Kadi y Al Barakaat International Foundation/Consejo y Comisión (C‑402/05 P y C‑415/05 P, EU:C:2008:461).