Edición provisional
SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Sexta)
de 7 de marzo de 2024 (*)
«Procedimiento prejudicial — Protección de datos personales — Reglamento (UE) 2016/679 — Artículos 2, 4, 6, 10 y 86 — Datos en poder de un órgano jurisdiccional relativos a condenas penales de una persona física — Comunicación oral de tales datos a una sociedad mercantil en el marco de un concurso organizado por esta — Concepto de “tratamiento de datos personales” — Normativa nacional que regula el acceso a dichos datos — Conciliación entre el derecho de acceso del público a documentos oficiales y la protección de los datos personales»
En el asunto C‑740/22,
que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Itä-Suomen hovioikeus (Tribunal de Apelación de Finlandia Oriental, Finlandia), mediante resolución de 30 de noviembre de 2022, recibida en el Tribunal de Justicia el 2 de diciembre de 2022, en el procedimiento
Endemol Shine Finland Oy,
EL TRIBUNAL DE JUSTICIA (Sala Sexta),
integrado por el Sr. T. von Danwitz (Ponente), Presidente de Sala, y el Sr. P. G. Xuereb y la Sra. I. Ziemele, Jueces;
Abogada General: Sra. T. Ćapeta;
Secretario: Sr. A. Calot Escobar;
habiendo considerado los escritos obrantes en autos;
consideradas las observaciones presentadas:
– en nombre del Gobierno finlandés, por las Sras. A. Laine y M. Pere, en calidad de agentes;
– en nombre del Gobierno portugués, por las Sras. P. Barros da Costa, M. J. Ramos y C. Vieira Guerra, en calidad de agentes;
– en nombre de la Comisión Europea, por los Sres. A. Bouchagiar y H. Kranenborg y por la Sra. I. Söderlund, en calidad de agentes;
vista la decisión adoptada por el Tribunal de Justicia, oída la Abogada General, de que el asunto sea juzgado sin conclusiones;
dicta la siguiente
Sentencia
1 La petición de decisión prejudicial tiene por objeto la interpretación de los artículos 2, apartado 1, 4, punto 2, y 86 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; en lo sucesivo, «RGPD»).
2 Esta petición se ha presentado en el contexto de un procedimiento relativo a la negativa de un órgano jurisdiccional nacional a comunicar a Endemol Shine Finland Oy datos acerca de las condenas penales de un tercero.
Marco jurídico
Derecho de la Unión
3 Los considerandos 4, 10, 11, 15, 19 y 154 del RGPD están redactados como sigue:
«(4) El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto, sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad. El presente Reglamento respeta todos los derechos fundamentales y observa las libertades y los principios reconocidos en la [Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, “Carta”)], conforme se consagran en los Tratados, en particular el respeto de la vida privada y familiar, del domicilio y de las comunicaciones, la protección de los datos de carácter personal, la libertad de pensamiento, de conciencia y de religión, la libertad de expresión y de información, la libertad de empresa, el derecho a la tutela judicial efectiva y a un juicio justo, […]
[…]
(10) Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión [Europea], el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. Debe garantizarse en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea. En lo que respecta al tratamiento de datos personales para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, los Estados miembros deben estar facultados para mantener o adoptar disposiciones nacionales a fin de especificar en mayor grado la aplicación de las normas del presente Reglamento. Junto con la normativa general y horizontal sobre protección de datos por la que se aplica la Directiva 95/46/CE [del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 1)], los Estados miembros cuentan con distintas normas sectoriales específicas en ámbitos que precisan disposiciones más específicas. El presente Reglamento reconoce también un margen de maniobra para que los Estados miembros especifiquen sus normas, inclusive para el tratamiento de categorías especiales de datos personales (“datos sensibles”). En este sentido, el presente Reglamento no excluye el Derecho de los Estados miembros que determina las circunstancias relativas a situaciones específicas de tratamiento, incluida la indicación pormenorizada de las condiciones en las que el tratamiento de datos personales es lícito.
(11) La protección efectiva de los datos personales en la Unión exige que se refuercen y especifiquen los derechos de los interesados y las obligaciones de quienes tratan y determinan el tratamiento de los datos de carácter personal, y que en los Estados miembros se reconozcan poderes equivalentes para supervisar y garantizar el cumplimiento de las normas relativas a la protección de los datos de carácter personal y las infracciones se castiguen con sanciones equivalentes.
[…]
(15) A fin de evitar que haya un grave riesgo de elusión, la protección de las personas físicas debe ser tecnológicamente neutra y no debe depender de las técnicas utilizadas. La protección de las personas físicas debe aplicarse al tratamiento automatizado de datos personales, así como a su tratamiento manual, cuando los datos personales figuren en un fichero o estén destinados a ser incluidos en él. Los ficheros o conjuntos de ficheros, así como sus portadas, que no estén estructurados con arreglo a criterios específicos, no deben entrar en el ámbito de aplicación del presente Reglamento.
[…]
(19) La protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal por parte de las autoridades competentes a efectos de la prevención, investigación, detección o enjuiciamiento de infracciones penales o de la ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad pública y la libre circulación de estos datos y su prevención, es objeto de un acto jurídico específico a nivel de la Unión. El presente Reglamento no debe, por lo tanto, aplicarse a las actividades de tratamiento destinadas a tales fines. No obstante, los datos personales tratados por las autoridades públicas en aplicación del presente Reglamento deben, si se destinan a tales fines, regirse por un acto jurídico de la Unión más específico, concretamente la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo[, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO 2016, L 119, p. 89)]. Los Estados miembros pueden encomendar a las autoridades competentes, tal como se definen en la Directiva (UE) 2016/680, funciones que no se lleven a cabo necesariamente con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o ejecución de sanciones penales, incluida la protección frente a las amenazas a la seguridad pública y su prevención, de tal forma que el tratamiento de datos personales para estos otros fines, en la medida en que esté incluido en el ámbito del Derecho de la Unión, entra en el ámbito de aplicación del presente Reglamento.
En lo que respecta al tratamiento de datos personales por parte de dichas autoridades competentes con fines que entren en el ámbito de aplicación del presente Reglamento, los Estados miembros deben tener la posibilidad de mantener o introducir disposiciones más específicas para adaptar la aplicación de las normas del presente Reglamento. Tales disposiciones pueden establecer de forma más precisa requisitos concretos para el tratamiento de datos personales con otros fines por parte de dichas autoridades competentes, tomando en consideración la estructura constitucional, organizativa y administrativa del Estado miembro en cuestión. Cuando el tratamiento de datos personales por organismos privados entre en el ámbito de aplicación del presente Reglamento, este debe disponer que los Estados miembros puedan, en condiciones específicas, limitar conforme a Derecho determinadas obligaciones y derechos siempre que dicha limitación sea una medida necesaria y proporcionada en una sociedad democrática para proteger intereses específicos importantes, entre ellos la seguridad pública y la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, inclusive la protección frente a las amenazas contra la seguridad pública y su prevención. Esto se aplica, por ejemplo, en el marco de la lucha contra el blanqueo de capitales o de las actividades de los laboratorios de policía científica.
[…]
(154) El presente Reglamento permite que, al aplicarlo, se tenga en cuenta el principio de acceso del público a los documentos oficiales. El acceso del público a documentos oficiales puede considerarse de interés público. Los datos personales de documentos que se encuentren en poder de una autoridad pública o un organismo público deben poder ser comunicados públicamente por dicha autoridad u organismo si así lo establece el Derecho de la Unión o los Estados miembros aplicable a dicha autoridad u organismo. Ambos Derechos deben conciliar el acceso del público a documentos oficiales y la reutilización de la información del sector público con el derecho a la protección de los datos personales y, por tanto, pueden establecer la necesaria conciliación con el derecho a la protección de los datos personales de conformidad con el presente Reglamento. La referencia a autoridades y organismos públicos debe incluir, en este contexto, a todas las autoridades u otros organismos a los que se aplica el Derecho de los Estados miembros sobre el acceso del público a documentos. La Directiva 2003/98/CE del Parlamento Europeo y del Consejo[, de 17 de noviembre de 2003, relativa a la reutilización de la información del sector público (DO 2003, L 345, p. 90),] no altera ni afecta en modo alguno al nivel de protección de las personas físicas con respecto al tratamiento de datos personales con arreglo a las disposiciones del Derecho de la Unión y los Estados miembros y, en particular, no altera las obligaciones ni los derechos establecidos en el presente Reglamento. En concreto, dicha Directiva no debe aplicarse a los documentos a los que no pueda accederse o cuyo acceso esté limitado en virtud de regímenes de acceso por motivos de protección de datos personales, ni a partes de documentos accesibles en virtud de dichos regímenes que contengan datos personales cuya reutilización haya quedado establecida por ley como incompatible con el Derecho relativo a la protección de las personas físicas con respecto al tratamiento de los datos personales.»
4 Con arreglo al artículo 2 del RGPD, titulado «Ámbito de aplicación material»:
«1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
2. El presente Reglamento no se aplica al tratamiento de datos personales:
a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;
b) por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del [Tratado UE];
c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;
d) por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.
3. El Reglamento (CE) n.º 45/2001 [del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO 2001, L 8, p. 1),] es de aplicación al tratamiento de datos de carácter personal por parte de las instituciones, órganos y organismos de la Unión. El Reglamento (CE) n.º 45/2001 y otros actos jurídicos de la Unión aplicables a dicho tratamiento de datos de carácter personal se adaptarán a los principios y normas del presente Reglamento de conformidad con su artículo 98.
4. El presente Reglamento se entenderá sin perjuicio de la aplicación de la Directiva 2000/31/CE [del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico) (DO 2000, L 178, p. 1)], en particular sus normas relativas a la responsabilidad de los prestadores de servicios intermediarios establecidas en sus artículos 12 a 15.»
5 El artículo 4 del RGPD, bajo el título «Definiciones», dispone, en sus puntos 1, 2, 6 y 7, lo siguiente:
«A efectos del presente Reglamento se entenderá por:
1) “datos personales”: toda información sobre una persona física identificada o identificable (“el interesado”); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;
2) “tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;
[…]
6) “fichero”: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica;
7) “responsable del tratamiento” o “responsable”: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros».
6 El artículo 5 de dicho Reglamento, titulado «Principios relativos al tratamiento», está redactado en los siguientes términos:
«1. Los datos personales serán:
a) tratados de manera lícita, leal y transparente en relación con el interesado (“licitud, lealtad y transparencia”);
b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; […] (“limitación de la finalidad”);
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (“minimización de datos”);
d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan (“exactitud”);
e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; […] (“limitación del plazo de conservación”);
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (“integridad y confidencialidad”).
[…]»
7 El artículo 6 del citado Reglamento, que lleva por título «Licitud del tratamiento», dispone, en sus apartados 1 a 3:
«1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.
2. Los Estados miembros podrán mantener o introducir disposiciones más específicas a fin de adaptar la aplicación de las normas del presente Reglamento con respecto al tratamiento en cumplimiento del apartado 1, letras c) y e), fijando de manera más precisa requisitos específicos de tratamiento y otras medidas que garanticen un tratamiento lícito y equitativo, con inclusión de otras situaciones específicas de tratamiento a tenor del capítulo IX.
3. La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por:
a) el Derecho de la Unión, o
b) el Derecho de los Estados miembros que se aplique al responsable del tratamiento.
La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Dicha base jurídica podrá contener disposiciones específicas para adaptar la aplicación de normas del presente Reglamento, entre otras: las condiciones generales que rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados afectados; las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación; la limitación de la finalidad; los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones específicas de tratamiento a tenor del capítulo IX. El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido.»
8 El artículo 10 del RGPD, titulado «Tratamiento de datos personales relativos a condenas e infracciones penales», dispone lo siguiente:
«El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas sobre la base del artículo 6, apartado 1, solo podrá llevarse a cabo bajo la supervisión de las autoridades públicas o cuando lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados. Solo podrá llevarse un registro completo de condenas penales bajo el control de las autoridades públicas.»
9 El artículo 23 de este Reglamento, con la rúbrica «Limitaciones», está redactado como sigue:
«1. El Derecho de la Unión o de los Estados miembros que se aplique al responsable o el encargado del tratamiento podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en los artículos 12 a 22 y el artículo 34, así como en el artículo 5 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 12 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:
[…]
f) la protección de la independencia judicial y de los procedimientos judiciales;
[…]».
10 El artículo 85 del Reglamento, bajo el título «Tratamiento y libertad de expresión y de información», dispone lo siguiente en su apartado 1:
«Los Estados miembros conciliarán por ley el derecho a la protección de los datos personales en virtud del presente Reglamento con el derecho a la libertad de expresión y de información, incluido el tratamiento con fines periodísticos y fines de expresión académica, artística o literaria.»
11 El artículo 86 del RGPD, titulado «Tratamiento y acceso del público a documentos oficiales», establece lo siguiente:
«Los datos personales de documentos oficiales en posesión de alguna autoridad pública o u organismo público o una entidad privada para la realización de una misión en interés público podrán ser comunicados por dicha autoridad, organismo o entidad de conformidad con el Derecho de la Unión o de los Estados miembros que se les aplique a fin de conciliar el acceso del público a documentos oficiales con el derecho a la protección de los datos personales en virtud del presente Reglamento.»
Derecho finlandés
Ley de Protección de Datos (1050/2018)
12 La tietosuojalaki (1050/2018) [Ley de Protección de Datos (1050/2018)] dispone, en su artículo 1:
«La presente Ley precisa y completa el [RGPD] y su aplicación en el territorio nacional.»
13 El artículo 28 de esta Ley está redactado en los siguientes términos:
«Se aplicarán las disposiciones relativas al carácter público de la actividad de las autoridades públicas al derecho de acceso y a cualquier otra comunicación de datos personales procedentes de registros de personas llevados por una autoridad pública.»
Ley relativa al carácter público de la actividad de las autoridades públicas (621/1999)
14 La laki viranomaisten toiminnan julkisuudesta (621/1999) [Ley relativa al carácter público de la actividad de las autoridades públicas (621/1999)] establece, en su artículo 13:
«La solicitud de comunicación de información sobre el contenido de un expediente deberá ser suficientemente concreta, en el sentido de que la autoridad pueda determinar a qué expediente se refiere la solicitud. La autoridad apoyará a quien solicite la información recurriendo al libro de registro y a otros directorios en la identificación del expediente del que solicita la información. La persona que solicite la información no tendrá que comunicar su identidad ni tendrá que motivar su solicitud, a menos que ello sea necesario para el ejercicio del margen discrecional conferido a la autoridad pública o bien para elucidar si el solicitante tiene derecho a recibir información sobre el contenido del expediente.
Salvo disposición en sentido contrario, en la solicitud de información que conste en un expediente clasificado, en un registro de personas llevado por una autoridad pública o en cualquier otro expediente del que solo pueda facilitarse información si concurren determinados requisitos, el solicitante deberá indicar la finalidad para la que va a utilizarse la información y comunicar las demás circunstancias necesarias para elucidar la concurrencia del requisito de entrega de la información y, de ser necesario, proporcionar datos acerca del modo en que se pretende garantizar la protección de la información.»
15 El artículo 16 de dicha Ley establece lo siguiente:
«La información relativa al contenido de un expediente se facilitará oralmente o bien permitiendo que el expediente se consulte, copie o escuche en las oficinas de la autoridad o, en su caso, proporcionando una copia o impresión del mismo. La información sobre el contenido público de un expediente deberá facilitarse en la forma solicitada, salvo cuando, debido al elevado número de expedientes o a la dificultad de su copia, o bien por otro motivo análogo, ello cause un menoscabo injustificado para la actividad administrativa.
[…]
La información personal contenida en un registro de personas llevado por una autoridad pública podrá facilitarse, salvo que la ley disponga específicamente otra cosa, en forma de copia o de impresión o, en su caso, en formato electrónico cuando el destinatario esté autorizado a almacenar y utilizar dicha información personal con arreglo a la normativa sobre protección de los datos personales. No obstante, los datos personales solo podrán facilitarse con fines de comercialización directa y de estudios de opinión o de mercado si así se prevé expresamente o si el interesado ha dado su consentimiento.
[…]»
Ley sobre el carácter público de los procedimientos judiciales tramitados ante los órganos jurisdiccionales ordinarios (370/2007)
16 A tenor del artículo 1 de la laki oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa (370/2007) [Ley sobre el carácter público de los procedimientos judiciales tramitados ante los órganos jurisdiccionales ordinarios (370/2007)]:
«Los procedimientos judiciales y los expedientes de los procedimientos tendrán carácter público, salvo disposición en sentido contrario contenida en la presente Ley o en otra ley».
Ley relativa al tratamiento de datos personales en asuntos penales y en relación con el mantenimiento de la seguridad nacional (1054/2018)
17 El artículo 1 de la laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä (1054/2018) [Ley relativa al tratamiento de datos personales en asuntos penales y en relación con el mantenimiento de la seguridad nacional (1054/2018)] establece, en su párrafo primero, que esta Ley se aplica al tratamiento de datos personales por las autoridades competentes, en particular en los casos de tramitación de procedimientos penales ante los tribunales. En virtud de su párrafo cuarto, dicha Ley se aplica únicamente a un tratamiento de datos personales, en el sentido del párrafo primero, que se realice de forma total o parcialmente automatizada o en el que los datos objeto de tratamiento constituyan o estén destinados a constituir un fichero o una parte de este.
18 A tenor del artículo 2, párrafo segundo, de la citada Ley:
«Se aplicarán las disposiciones relativas al carácter público de la actividad de las autoridades públicas al derecho de acceso y a cualquier otra comunicación de datos personales procedentes de registros de personas llevados por una autoridad pública.»
Litigio principal y cuestiones prejudiciales
19 Endemol Shine Finland, recurrente en el litigio principal, solicitó oralmente al Etelä-Savon käräjäoikeus (Tribunal de Primera Instancia de la Región de Savonia del Sur, Finlandia) información sobre posibles condenas penales pendientes o ya cumplidas relativa a una persona física que participaba en un concurso organizado por dicha sociedad, con el fin de determinar los antecedentes judiciales de esta persona.
20 El Etelä-Savon käräjäoikeus (Tribunal de Primera Instancia de la Región de Savonia del Sur) desestimó la solicitud de la recurrente en el litigio principal al considerar que esta se refería a decisiones o a informaciones públicas en el sentido de la Ley sobre el carácter público de los procedimientos judiciales ante los tribunales ordinarios. Según dicho órgano jurisdiccional, el motivo invocado por la recurrente en el litigio principal no constituía un motivo relacionado con el tratamiento de las condenas penales o de las infracciones, contemplado en el artículo 7 de la Ley de Protección de Datos. A su juicio, el hecho de llevar a cabo búsquedas en los sistemas de información de dicho órgano jurisdiccional también constituía un tratamiento de datos personales, razón por la cual la información solicitada tampoco podía facilitarse oralmente.
21 La recurrente en el litigio principal interpuso recurso de apelación contra dicha sentencia ante el Itä-Suomen hovioikeus (Tribunal de Apelación de Finlandia Oriental, Finlandia), que es el órgano jurisdiccional remitente, alegando que la comunicación oral de la información que solicita no constituye un tratamiento de datos personales en el sentido del artículo 4, punto 2, del RGPD.
22 El órgano jurisdiccional remitente se pregunta si los artículos 2, apartado 1, y 4, punto 2, del RGPD deben interpretarse en el sentido de que la comunicación oral de información sobre posibles condenas penales pendientes o ya cumplidas relativa a una persona física constituye un tratamiento de datos personales en el sentido del citado Reglamento. A este respecto, dicho órgano jurisdiccional señala que el tratamiento de datos personales efectuado por las autoridades públicas finlandesas se rige por la Ley de Protección de Datos. No obstante, considera que las restricciones normalmente vinculadas al tratamiento de tales datos no son aplicables, no solo debido al carácter público de los datos en poder de dichas autoridades, sino también en virtud del artículo 28 de dicha Ley y del artículo 2, párrafo segundo, de la Ley relativa al tratamiento de datos personales en asuntos penales y en relación con el mantenimiento de la seguridad nacional (1054/2018).
23 Con el fin de conciliar la protección de los datos personales con el derecho de acceso del público a la información, el artículo 16 de la Ley sobre el carácter público de la actividad de las autoridades públicas (621/1999) restringe la comunicación de datos personales que procedan de un registro de personas llevado por una autoridad pública, en forma de copia, de impresión o en formato electrónico. No obstante, señala el órgano jurisdiccional remitente que, dado que este artículo no se aplica a la comunicación oral de datos personales que figuran en registros de personas llevados por las autoridades públicas, procede preguntarse cómo garantizar tal conciliación y cómo tener en cuenta consideraciones importantes relativas a la protección de datos personales cuando dichos datos que figuran en registros de las autoridades públicas relativos a personas se comuniquen oralmente.
24 En estas circunstancias, el Itä-Suomen hovioikeus (Tribunal de Apelación de Finlandia Oriental) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:
«1) ¿Constituye una comunicación oral de datos personales un tratamiento de datos personales en el sentido del artículo 2, apartado 1, y del artículo 4, punto 2, del [RGPD]?
2) ¿Puede conciliarse el acceso del público a documentos oficiales con el derecho a la protección de datos personales del modo contemplado en el artículo 86 del [RGPD] si la información sobre condenas penales o delitos relativa a una persona física puede obtenerse sin restricciones del registro de personas de un órgano jurisdiccional cuando el solicitante pide que la información se le comunique oralmente?
3) ¿Tiene alguna relevancia para la respuesta a la segunda cuestión que el solicitante sea una sociedad o bien un particular?»
Sobre las cuestiones prejudiciales
Primera cuestión prejudicial
25 Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si los artículos 2, apartado 1, y 4, punto 2, del RGPD deben interpretarse en el sentido de que la comunicación oral de información sobre posibles condenas penales pendientes o ya cumplidas relativa a una persona física constituye un tratamiento de datos personales, en el sentido del artículo 4, punto 2, de dicho Reglamento, y, en caso afirmativo, si dicho tratamiento está comprendido en el ámbito de aplicación material del mismo Reglamento, tal como se define en su artículo 2, apartado 1.
26 Con carácter preliminar, por un lado, procede recordar que, para interpretar estas disposiciones del Derecho de la Unión, ha de tenerse en cuenta no solo su tenor, sino también el contexto en el que se sitúan y los objetivos que persigue la normativa de la que forman parte [sentencia de 12 de enero de 2023, Österreichische Post (Información relativa a los destinatarios de datos personales), C‑154/21, EU:C:2023:3, apartado 29].
27 Por otro lado, es preciso subrayar que no se discute, en el litigio principal, que la información cuya comunicación solicita la recurrente en el litigio principal son datos personales, en el sentido del artículo 4, punto 1, del RGPD.
28 El artículo 4, punto 2, de dicho Reglamento define el concepto de «tratamiento» como «cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no».
29 En particular, de la expresión «cualquier operación» se desprende que el legislador de la Unión quiso dar un alcance amplio al concepto de «tratamiento», lo que queda corroborado por el carácter no exhaustivo, expresado por el vocablo «como», de las operaciones enumeradas en dicha disposición [véanse, en este sentido, las sentencias de 24 de febrero de 2022, Valsts ieņēmumu dienests (Tratamiento de datos personales con fines fiscales), C‑175/20, EU:C:2022:124, apartado 35, y de 22 de junio de 2023, Pankki S, C‑579/21, EU:C:2023:501, apartado 46].
30 Esta enumeración abarca, entre otras cosas, la comunicación por transmisión, difusión y «cualquier otra forma de habilitación de acceso», operaciones que pueden ser automatizadas o no automatizadas. A este respecto, el artículo 4, punto 2, del RGPD no establece ningún requisito en cuanto a la forma del tratamiento «no automatizado». Por lo tanto, el concepto de «tratamiento» abarca la comunicación oral.
31 Esta interpretación del concepto de «tratamiento» se ve respaldada por el objetivo del RGPD, que pretende, en particular, como se desprende de su artículo 1 y de sus considerandos 1 y 10, garantizar un nivel elevado de protección de los derechos y libertades fundamentales de las personas físicas, sobre todo de su derecho a la vida privada respecto del tratamiento de los datos personales, consagrado en el artículo 8, apartado 1, de la Carta y en el artículo 16 TFUE, apartado 1 [véase, en este sentido, la sentencia de 4 de mayo de 2023, Bundesrepublik Deutschland (Buzón electrónico judicial), C‑60/22, EU:C:2023:373, apartado 64]. En efecto, la posibilidad de eludir la aplicación de dicho Reglamento comunicando datos personales de forma oral en lugar de hacerlo por escrito sería manifiestamente incompatible con este objetivo.
32 En estas circunstancias, el concepto de «tratamiento», contemplado en el artículo 4, punto 2, del RGPD, comprende necesariamente la comunicación oral de datos personales.
33 Sin embargo, sigue planteándose la cuestión de si tal tratamiento está comprendido en el ámbito de aplicación material del RGPD. El artículo 2 del citado Reglamento, que determina este ámbito de aplicación, establece en su apartado 1 que este Reglamento se aplica al tratamiento «total o parcialmente automatizado», así como al tratamiento «no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero».
34 A este respecto, del tenor de esta última disposición y del considerando 15 del RGPD se desprende que este Reglamento se aplica tanto al tratamiento automatizado como al tratamiento manual de datos personales, con el fin de que la protección que dicho Reglamento confiere a las personas cuyos datos son tratados no dependa de las técnicas utilizadas y al objeto de evitar riesgos de elusión de esta protección. No obstante, de las disposiciones citadas se desprende igualmente que dicho Reglamento solo se aplica a los tratamientos manuales de datos personales cuando los datos tratados estén «contenidos o destinados a ser incluidos en un fichero» (véase, por analogía, la sentencia de 10 de julio de 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, apartado 53).
35 Dado que la comunicación oral constituye, como tal, un tratamiento no automatizado, los datos objeto de dicho tratamiento deben, por tanto, estar «contenidos» o «destinados a ser incluidos» en un «fichero» para que dicho tratamiento esté comprendido en el ámbito de aplicación material del RGPD.
36 En cuanto al concepto de «fichero», el artículo 4, punto 6, del RGPD establece que abarca «todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica».
37 A este respecto, el Tribunal de Justicia ya ha declarado que, de conformidad con el objetivo recordado en el apartado 34 de la presente sentencia, este precepto define el concepto de «fichero» en sentido amplio, al comprender, en particular, «todo» conjunto estructurado de datos personales. Además, el requisito de que el conjunto de datos personales esté «[estructurado] con arreglo a criterios específicos» solo tiene la finalidad de permitir que los datos relativos a una persona puedan recuperarse fácilmente. Aparte de este requisito, el artículo 4, punto 6, del RGPD no regula ni los criterios de estructuración del fichero ni la forma que este debe revestir. En particular, no se deduce del citado precepto ni de ninguna otra disposición de dicho Reglamento que, para que se pueda apreciar la existencia de un fichero, en el sentido del Reglamento, los datos personales en cuestión deban figurar en fichas, en catálogos específicos o en otro sistema de búsqueda (véase, por analogía, la sentencia de 10 de julio de 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, apartados 56 a 58).
38 En el presente asunto, de la petición de decisión prejudicial se desprende que los datos solicitados por la recurrente en el litigio principal están contenidos en «un registro de personas de un órgano jurisdiccional». Así pues, parece que estos datos están contenidos en un fichero en el sentido del artículo 4, punto 6, del RGPD, extremo que, no obstante, corresponde comprobar al órgano jurisdiccional remitente, con independencia de si dichos datos están contenidos en bases de datos electrónicas o en ficheros o registros físicos.
39 En estas circunstancias, procede responder a la primera cuestión prejudicial que los artículos 2, apartado 1, y 4, punto 2, del RGPD deben interpretarse en el sentido de que la comunicación oral de información sobre posibles condenas penales pendientes o ya cumplidas relativa a una persona física constituye un tratamiento de datos personales, en el sentido del artículo 4, punto 2, de dicho Reglamento, que está comprendido en el ámbito de aplicación material de este cuando dicha información está contenida o destinada a ser incluida en un fichero.
Cuestiones prejudiciales segunda y tercera
40 Mediante las cuestiones prejudiciales segunda y tercera, que procede examinar conjuntamente, el órgano jurisdiccional remitente pregunta, en esencia, si las disposiciones del RGPD, en particular su artículo 86, deben interpretarse en el sentido de que se oponen a que los datos relativos a condenas penales de una persona física incluidos en un registro de un órgano jurisdiccional puedan comunicarse oralmente a cualquier persona con el fin de garantizar el acceso del público a documentos oficiales, sin que la persona que solicita la comunicación tenga que acreditar un interés específico en obtener dichos datos, y si la respuesta a esta cuestión prejudicial difiere según que esa persona sea una sociedad mercantil o un particular.
41 Esta cuestión tiene su origen en la legislación nacional controvertida en el litigio principal, en la medida en que no exige el cumplimiento de las disposiciones nacionales en materia de protección de datos personales cuando tales datos se comunican oralmente.
42 A este respecto, procede recordar que, en virtud del artículo 288 TFUE, párrafo segundo, el reglamento es obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro. Así pues, en razón de su propia índole y de su función en el sistema de las fuentes del Derecho de la Unión, las disposiciones de los reglamentos tienen, por regla general, un efecto inmediato en los ordenamientos jurídicos nacionales, sin necesidad de que las autoridades nacionales adopten medidas de aplicación (sentencias de 16 de junio de 2022, Port de Bruxelles y Région de Bruxelles-Capitale, C‑229/21, EU:C:2022:471, apartado 47, y de 30 de marzo de 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, apartado 77).
43 Por lo tanto, un órgano jurisdiccional nacional está obligado a aplicar las exigencias del RGPD en su conjunto, aun cuando no exista una disposición específica en el Derecho nacional aplicable que permita tener en cuenta los intereses de las personas de cuyos datos personales se trate (véase, en este sentido, la sentencia de 2 de marzo de 2023, Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, apartados 44 y 59).
44 De las consideraciones anteriores se desprende que la comunicación oral de los datos relativos a condenas penales de una persona física solo puede tener lugar si se cumplen los requisitos establecidos por el RGPD, siempre que tales datos estén contenidos o destinados a ser incluidos en un fichero.
45 En este sentido, es conveniente recordar que, conforme a reiterada jurisprudencia del Tribunal de Justicia, todo tratamiento de datos personales, por una parte, debe ser conforme con los principios relativos al tratamiento de datos establecidos en el artículo 5 del RGPD, y, por otra, atendiendo concretamente al principio de licitud previsto en el apartado 1, letra a), de dicho artículo, debe cumplir con alguno de los requisitos de licitud del tratamiento enumerados en el artículo 6 de dicho Reglamento [véanse, en este sentido, las sentencias de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartado 96, y de 7 de diciembre de 2023, SCHUFA Holding y otros (Scoring), C‑634/21, EU:C:2023:957, apartado 67].
46 En particular, el tratamiento de datos personales controvertido en el litigio principal, a saber, la comunicación oral al público de datos relativos a infracciones penales, puede estar comprendido en el ámbito de aplicación del artículo 6, apartado 1, letra e), del RGPD, en virtud del cual el tratamiento será lícito siempre y cuando sea «necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento» [véase, en ese sentido, la sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartado 99].
47 Además, por lo que se refiere más específicamente a los datos relativos a condenas e infracciones penales, el artículo 10 del RGPD somete su tratamiento a restricciones adicionales. Conforme a esta disposición, el tratamiento de estos datos «solo podrá llevarse a cabo bajo la supervisión de las autoridades públicas», a menos que «lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados» [véase, en ese sentido, la sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartado 100].
48 El Tribunal de Justicia ya ha declarado que ni el artículo 6, apartado 1, letra e), del RGPD ni el artículo 10 de dicho Reglamento prohíben de manera general y absoluta que una autoridad pública esté facultada, o incluso obligada, a comunicar datos personales a las personas que lo soliciten [véase, en ese sentido, la sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartado 103].
49 Así pues, el RGPD no obsta a que se comuniquen al público datos personales cuando tal comunicación sea necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, en el sentido del artículo 6, apartado 1, letra e), de dicho Reglamento. Así sucede incluso cuando los datos en cuestión están comprendidos en el ámbito de aplicación del artículo 10 del RGPD, siempre que la normativa que autorice dicha comunicación establezca garantías adecuadas para los derechos y libertades de los interesados [véase, en ese sentido, la sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartado 104].
50 En el caso de autos, de la resolución de remisión y de las observaciones escritas presentadas por el Gobierno finlandés se desprende que la normativa nacional relativa al carácter público de la actuación de las autoridades públicas y la relativa al carácter público de los procedimientos ante los tribunales ordinarios tienen por objeto cumplir la misión realizada en interés público de garantizar el acceso del público a los documentos oficiales.
51 En estas circunstancias, el órgano jurisdiccional remitente pretende que se dilucide, en particular, si el tratamiento de datos personales controvertido en el litigio principal puede considerarse lícito con arreglo al principio de proporcionalidad, a la luz de la ponderación que debe realizarse entre, por una parte, el derecho de acceso del público a documentos oficiales, contemplado en el artículo 86 del RGPD, y, por otra parte, los derechos fundamentales al respeto de la vida privada y a la protección de los datos de carácter personal, consagrados en los artículos 7 y 8 de la Carta.
52 A este respecto, procede recordar que los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales no constituyen prerrogativas absolutas, como indica el considerando 4 del RGPD, sino que deben considerarse según su función en la sociedad y ponderarse con otros derechos fundamentales. Así pues, podrán introducirse limitaciones, siempre que, de conformidad con el artículo 52, apartado 1, de la Carta, sean establecidas por la ley y respeten el contenido esencial de los derechos fundamentales y el principio de proporcionalidad. En virtud de este último principio, solo pueden introducirse limitaciones cuando sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás. Dichas limitaciones no deben exceder de lo estrictamente necesario y la normativa controvertida que conlleve la injerencia debe establecer reglas claras y precisas que regulen el alcance y la aplicación de la medida en cuestión [véase, en ese sentido, la sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartado 105].
53 Para determinar si una comunicación al público de datos personales relativos a condenas penales es necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, en el sentido del artículo 6, apartado 1, letra e), del RGPD, y si la legislación que autoriza tal comunicación establece garantías adecuadas para los derechos y libertades de los interesados, en el sentido del artículo 10 de dicho Reglamento, procede verificar, en particular, si, habida cuenta de la gravedad de la injerencia en los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales causada por dicha comunicación, esta resulta justificada, y en particular proporcionada, para alcanzar los objetivos perseguidos [véase, en ese sentido, la sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartado 106].
54 En cuanto a la gravedad de la injerencia en estos derechos, el Tribunal de Justicia ya ha declarado que el tratamiento de los datos relativos a condenas e infracciones penales o medidas de seguridad conexas puede constituir, en atención a la particular sensibilidad de dichos datos, una injerencia especialmente grave en los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales, garantizados por los artículos 7 y 8 de la Carta. En efecto, dado que tales datos se refieren a comportamientos que conllevan la desaprobación de la sociedad, la concesión de acceso a dichos datos puede estigmatizar a la persona afectada y constituir así una injerencia grave en su vida privada o profesional [véase, en ese sentido, la sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartados 74, 75 y 112].
55 Si bien el acceso del público a documentos oficiales al que se refiere el órgano jurisdiccional remitente constituye, según se deriva del considerando 154 de dicho Reglamento, un interés público que puede llegar a legitimar la comunicación de datos personales que figuren en tales documentos, dicho acceso debe conciliarse con los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales, según exige, por otra parte, expresamente el artículo 86 del RGPD. Pues bien, habida cuenta, en particular, del carácter sensible de los datos relativos a condenas penales y de la gravedad de la injerencia en los derechos fundamentales al respeto de la vida privada y a la protección de los datos personales de los interesados que provoca la comunicación de tales datos, debe considerarse que dichos derechos prevalecen sobre el interés del público a tener acceso a documentos oficiales [véase, en ese sentido, la sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartado 120].
56 Por esta misma razón, el derecho a la libertad de información a que se refiere el artículo 85 del RGPD no puede interpretarse en el sentido de que justifique la comunicación a cualquier persona que lo solicite de datos personales relativos a condenas penales [véase, en ese sentido, la sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartado 121].
57 A este respecto, es irrelevante que la persona que solicita el acceso a los datos relativos a las condenas penales sea una sociedad mercantil o un particular o que la comunicación de tales datos se realice por escrito u oralmente.
58 Habida cuenta de las consideraciones anteriores, procede responder a las cuestiones prejudiciales segunda y tercera que las disposiciones del RGPD, en particular sus artículos 6, apartado 1, letra e), y 10, deben interpretarse en el sentido de que se oponen a que los datos relativos a condenas penales de una persona física incluidos en un registro de un órgano jurisdiccional puedan comunicarse oralmente a cualquier persona con el fin de garantizar el acceso del público a documentos oficiales, sin que la persona que solicita la comunicación tenga que acreditar un interés específico en obtener dichos datos, siendo irrelevante a este respecto el hecho de que esa persona sea una sociedad mercantil o un particular.
Costas
59 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional nacional, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.
En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Sexta) declara:
1) Los artículos 2, apartado 1, y 4, punto 2, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),
deben interpretarse en el sentido de que
la comunicación oral de información sobre posibles condenas penales pendientes o ya cumplidas relativa a una persona física constituye un tratamiento de datos personales, en el sentido del artículo 4, punto 2, de dicho Reglamento, que está comprendido en el ámbito de aplicación material de este cuando dicha información está contenida o destinada a ser incluida en un fichero.
2) Las disposiciones del Reglamento 2016/679, en particular sus artículos 6, apartado 1, letra e), y 10,
deben interpretarse en el sentido de que
se oponen a que los datos relativos a condenas penales de una persona física incluidos en un registro de un órgano jurisdiccional puedan comunicarse oralmente a cualquier persona con el fin de garantizar el acceso del público a documentos oficiales, sin que la persona que solicita la comunicación tenga que acreditar un interés específico en obtener dichos datos, siendo irrelevante a este respecto el hecho de que esa persona sea una sociedad mercantil o un particular.
Firmas