Language of document : ECLI:EU:C:2022:912

Edición provisional

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala)

22 de noviembre de 2022 (*)

«Procedimiento prejudicial — Prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo — Directiva (UE) 2018/843 por la que se modifica la Directiva (UE) 2015/849 — Modificación introducida en el artículo 30, apartado 5, párrafo primero, letra c), de esta última Directiva — Acceso de cualquier miembro del público en general a la información sobre la titularidad real — Validez — Artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea — Respeto de la vida privada y familiar — Protección de datos personales»

En los asuntos acumulados C‑37/20 y C‑601/20,

que tienen por objeto sendas peticiones de decisión prejudicial planteadas, en virtud del artículo 267 TFUE, por el tribunal d’arrondissement de Luxemboug (Tribunal de Distrito de Luxemburgo, Luxemburgo), mediante resoluciones de 24 de enero de 2020 y de 13 de octubre de 2020, recibidas en el Tribunal de Justicia, respectivamente, el 24 de enero de 2020 y el 13 de noviembre de 2020, en los procedimientos entre

WM (C‑37/20),

Sovim SA (C‑601/20)

y

Luxembourg Business Registers,

EL TRIBUNAL DE JUSTICIA (Gran Sala),

integrado por el K. Lenaerts, Presidente, el Sr. A. Arabadjiev, las Sras. A. Prechal y K. Jürimäe, los Sres. C. Lycourgos, E. Regan, M. Safjan y P. G. Xuereb y la Sra. L. S. Rossi, Presidentes de Sala, y los Sres. S. Rodin, F. Biltgen, N. Piçarra, I. Jarukaitis y A. Kumin (Ponente) y la Sra. I. Ziemele, Jueces;

Abogado General: Sr. G. Pitruzzella;

Secretaria: Sra. L. Carrasco Marco, administradora;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 19 de octubre de 2021;

consideradas las observaciones presentadas:

–        en nombre de WM, por la Sra. M. Jammaers, el Sr. A. Komninos, la Sra. L. Lorang y el Sr. V. Staudt, avocats;

–        en nombre de Sovim SA, por los Sres. P. Elvinger y K. Veranneman, avocats;

–        en nombre del Gobierno luxemburgués, por los Sres. A. Germeaux, C. Schiltz y T. Uri, en calidad de agentes;

–        en nombre del Gobierno austriaco, por la Sra. M. Augustin, el Sr. A. Posch y la Sra. J. Schmoll, en calidad de agentes;

–        en nombre del Gobierno finlandés, por la Sra. M. Pere, en calidad de agente;

–        en nombre del Gobierno noruego, por la Sra. J. T. Kaasin y el Sr. G. Østerman Thengs, en calidad de agentes;

–        en nombre del Parlamento Europeo, por el Sr. J. Etienne, la Sra. O. Hrstková Šolcová y el Sr. M. Menegatti, en calidad de agentes;

–        en nombre del Consejo de la Unión Europea, por los Sres. M. Chavrier, I. Gurov y K. Pleśniak, en calidad de agentes;

–        en nombre de la Comisión Europea, por los Sres. V. Di Bucci, C. Giolito, L. Havas, H. Kranenborg, D. Nardi y T. Scharf y la Sra. H. Tserepa-Lacombe, en calidad de agentes;

–        en nombre del Supervisor Europeo de Protección de Datos, por la Sra. C.‑A. Marnier, en calidad de agente;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 20 de enero de 2022;

dicta la siguiente

Sentencia

1        Las peticiones de decisión prejudicial tienen por objeto, en esencia, la validez del artículo 1, punto 15, letra c), de la Directiva (UE) 2018/843 del Parlamento Europeo y del Consejo, de 30 de mayo de 2018, por la que se modifica la Directiva (UE) 2015/849 relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo, y por la que se modifican las Directivas 2009/138/CE y 2013/36/UE (DO 2018, L 156, p. 43), en la medida en que esta disposición modificó el artículo 30, apartado 5, párrafo primero, letra c), de la Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo, de 20 de mayo de 2015, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo, y por la que se modifica el Reglamento (UE) n.º 648/2012 del Parlamento Europeo y del Consejo, y se derogan la Directiva 2005/60/CE del Parlamento Europeo y del Consejo y la Directiva 2006/70/CE de la Comisión (DO 2015, L 141, p. 73), así como, la interpretación, por un lado, del artículo 30, apartado 9, de la Directiva 2015/849, en su versión modificada por la Directiva 2018/843 (en lo sucesivo, «Directiva 2015/849 modificada»), y, por otro lado, de los artículos 5, apartado 1, letras a) a c) y f), 25, apartado 2, y 44 a 50 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; en lo sucesivo, «RGPD»).

2        Estas peticiones han sido presentadas en el contexto de sendos litigios entre, el primero de ellos, WM (asunto C‑37/20) y, el segundo, Sovim SA (asunto C‑601/20) y Luxembourg Business Registers (en lo sucesivo, «LBR»), a propósito de la negativa de este último a impedir el acceso del público en general a la información relativa, por un lado, a la condición de WM de titular real de una sociedad civil inmobiliaria y, por otro lado, a la titularidad real de Sovim.

 Marco jurídico

 Derecho de la Unión

 Directivas 2015/849, 2018/843 y 2015/849 modificada

3        A tenor de los considerandos 4, 30, 31, 34, 36 y 38 de la Directiva 2018/843:

«(4)      […] es clara la necesidad de un mayor incremento de la transparencia global del entorno económico y financiero de la Unión. La prevención del blanqueo de capitales y de la financiación del terrorismo no puede ser eficaz si el entorno no es hostil para los delincuentes que buscan refugio para sus finanzas a través de estructuras opacas. La integridad del sistema financiero de la Unión depende de la transparencia de las sociedades y otras entidades jurídicas, fideicomisos (del tipo «trust») e instrumentos jurídicos análogos. La presente Directiva no solo tiene por objeto detectar e investigar el blanqueo de capitales, sino también prevenirlo. El incremento de la transparencia podría ser un potente factor disuasorio.

[…]

(30)      El acceso público a la información relativa a la titularidad real posibilita además un mayor control de la información por parte de la sociedad civil, incluidas la prensa o las organizaciones de la sociedad civil, y contribuye a mantener la confianza en la integridad de las transacciones empresariales y del sistema financiero. Puede contribuir a luchar contra el uso indebido de las sociedades y otras entidades jurídicas e instrumentos jurídicos con fines de blanqueo de capitales o financiación del terrorismo, tanto al facilitar las investigaciones como al surtir efectos sobre su reputación, dado que cualquier persona que emprenda transacciones conoce la identidad de los titulares reales. Además, permite que las entidades financieras y las autoridades que participan en la lucha contra este tipo de delitos, incluidas las de terceros países, dispongan de información en tiempo oportuno y de manera eficiente. El acceso a esa información también ayudaría a las investigaciones sobre el blanqueo de capitales, los delitos subyacentes conexos y la financiación del terrorismo.

(31)      La confianza de los inversores y del público en general en los mercados financieros depende en gran medida de la existencia de un riguroso régimen de divulgación que aporte transparencia en cuanto a la titularidad real y las estructuras de control de las sociedades. […] La mejora potencial de la confianza en los mercados financieros debe verse como un efecto secundario positivo y no como la finalidad del aumento de la transparencia, que es crear un entorno menos proclive a ser utilizado para los fines de blanqueo de capitales y financiación del terrorismo.

[…]

(34)      En todos los casos, tanto por lo que se refiere a las sociedades y otras entidades jurídicas, como a los fideicomisos (del tipo «trust») e instrumentos jurídicos análogos, debe buscarse un justo equilibrio entre el interés público por la prevención del blanqueo de capitales y la financiación del terrorismo, por un lado, y los derechos fundamentales de los interesados, por otro. El conjunto de datos que debe ponerse a disposición del público debe ser limitado, estar clara y exhaustivamente definido y tener carácter general, a fin de minimizar todo posible perjuicio a los titulares reales. Al mismo tiempo, la información puesta a disposición del público no debe diferir significativamente de los datos actualmente recabados. Para limitar la injerencia en el derecho al respeto de su vida privada, en general, y a la protección de sus datos personales, en particular, dicha información debe referirse esencialmente a la situación de los titulares reales de las sociedades y otras entidades jurídicas y de los fideicomisos (del tipo «trust») e instrumentos jurídicos análogos, y ceñirse estrictamente a la esfera de actividad económica en la que operan los titulares reales. […]

[…]

(36)      Además, con el propósito de garantizar un enfoque proporcionado y equilibrado y de garantizar los derechos a la vida privada y a la protección de los datos personales, los Estados miembros deben tener la posibilidad de establecer exenciones a la divulgación a través de registros de la información sobre la titularidad real y al acceso a dicha información a través de los registros, en circunstancias excepcionales, cuando tal información pueda exponer al titular real a un riesgo desproporcionado de fraude, secuestro, chantaje, extorsión, acoso, violencia o intimidación. Los Estados miembros también deben tener la posibilidad de exigir la inscripción en línea con el fin de identificar a cualquier persona que solicite información del registro, así como el pago de una tasa para el acceso a la información registrada.

[…]

(38)      El [RGPD] se aplica al tratamiento de los datos personales con arreglo a la presente Directiva. Como consecuencia de ello, las personas físicas cuyos datos personales se conserven en los registros nacionales en calidad de titulares reales deben ser informadas al respecto. Además, solo deben facilitarse los datos personales que estén actualizados y correspondan a los titulares reales efectivos, y se debe informar a los beneficiarios de sus derechos con arreglo al vigente marco de protección de datos de la Unión […] así como de los procedimientos aplicables al ejercicio de dichos derechos. Además, para evitar el uso indebido de la información contenida en los registros y para equilibrar los derechos de los titulares reales, los Estados miembros pueden considerar la posibilidad de facilitar al titular real los datos relativos a la persona que solicite la información, junto con la base jurídica de su solicitud.»

4        El artículo 1, apartado 1, de la Directiva 2015/849 modificada dispone lo siguiente:

«La presente Directiva tiene por objeto la prevención de la utilización del sistema financiero de la Unión para el blanqueo de capitales y para la financiación del terrorismo.»

5        A tenor del artículo 3 de la Directiva 2015/849 modificada:

«A efectos de la presente Directiva, se entenderá por:

[…]

6)      “titular real”: la persona o personas físicas que tengan la propiedad o el control en último término del cliente o la persona o personas físicas por cuenta de las cuales se lleve a cabo una transacción o actividad, con inclusión, como mínimo, de:

a)      en el caso de las personas jurídicas:

i)      la persona o personas físicas que en último término tengan la propiedad o el control de una persona jurídica a través de la propiedad directa o indirecta de un porcentaje suficiente de acciones o derechos de voto o derechos de propiedad en dicha entidad […]

[…]

ii)      en caso de que, una vez agotados todos los medios posibles y siempre que no haya motivos de sospecha, no se identifique a ninguna persona con arreglo al inciso i), o en caso de que haya dudas de que la persona o personas identificadas sean los titulares reales, la persona o personas físicas que ejerzan un cargo de dirección de alto nivel […]

[…]».

6        El artículo 30, apartados 1 y 3, de la Directiva 2015/849 modificada establece lo siguiente:

«1.      Los Estados miembros garantizarán que las sociedades y otras entidades jurídicas constituidas en su territorio tengan la obligación de obtener y conservar información adecuada, exacta y actualizada sobre su titularidad real, incluidos los pormenores de los intereses reales ostentados. […]

[…]

3.      Los Estados miembros se asegurarán de que la información a que se refiere el apartado 1 sobre la titularidad real se conserve en un registro central en cada Estado miembro […]

[…]»

7        En su redacción anterior a la entrada en vigor de la Directiva 2018/843, el artículo 30, apartados 5 y 9, de la Directiva 2015/849 tenía el siguiente tenor:

«5.      Los Estados miembros velarán por que toda la información sobre la titularidad real esté en todos los casos a disposición de:

a)      las autoridades competentes y las [Unidades de Inteligencia Financiera], sin restricción alguna;

b)      las entidades obligadas, en el marco de la aplicación de las medidas de diligencia debida con respecto al cliente de conformidad con el capítulo II;

c)      toda persona u organización que pueda demostrar un interés legítimo.

Las personas u organizaciones a que se refiere la letra c), tendrán acceso, como mínimo, al nombre y apellidos, mes y año de nacimiento, la nacionalidad y el país de residencia del titular real, así como a la naturaleza y alcance de la participación real.

[…]

9.      Los Estados miembros podrán eximir de la obligación de autorizar el acceso a la totalidad o una parte de la información sobre la titularidad real a que se refiere el apartado 5, letras b) y c), para cada caso concreto y en circunstancias excepcionales, si tal acceso puede exponer al titular real a un riesgo de fraude, secuestro, chantaje, violencia o intimidación o si el titular real es un menor o tiene alguna incapacidad no relacionada con la edad. […]»

8        El artículo 1, punto 15, letras c), d) y g), de la Directiva 2018/843, respectivamente, modificó el apartado 5, introdujo un apartado 5 bis y modificó el apartado 9 del artículo 30 de la Directiva 2015/849. El artículo 30, apartados 5, 5 bis y 9, de la Directiva 2015/849 modificada tiene el siguiente tenor:

«5.      Los Estados miembros garantizarán que la información sobre la titularidad real esté en todos los casos a disposición de:

a)      las autoridades competentes y las [Unidades de Inteligencia Financiera], sin restricción alguna;

b)      las entidades obligadas, en el marco de la diligencia debida con respecto al cliente de conformidad con el capítulo II;

c)      cualquier miembro del público en general.

Se permitirá a las personas a que se refiere la letra c) el acceso, como mínimo, al nombre y apellidos, mes y año de nacimiento, país de residencia y de nacionalidad del titular real, así como a la naturaleza y alcance del interés real ostentado.

Los Estados miembros podrán, en las condiciones fijadas en el Derecho nacional, dar acceso a información adicional que permita la identificación del titular real. Dicha información adicional incluirá como mínimo la fecha de nacimiento o datos de contacto, de conformidad con las normas de protección de datos.

bis.            Los Estados miembros podrán decidir que la información conservada en sus registros nacionales a que se refiere el apartado 3 esté disponible a condición de que se proceda a un registro en línea y al pago de una tasa, que no será superior a los costes administrativos de la puesta a disposición de la información, incluidos los costes de mantenimiento y desarrollo del registro.

[…]

9.      Los Estados miembros podrán eximir de la obligación de autorizar el acceso a la totalidad o parte de la información sobre la titularidad real a que se refiere el apartado 5, párrafo primero, letras b) y c), en casos concretos y en circunstancias excepcionales que habrán de establecerse en Derecho nacional, si tal acceso puede exponer al titular real a un riesgo desproporcionado, un riesgo de fraude, secuestro, extorsión, acoso, violencia o intimidación, o si el titular real es un menor o tiene otro tipo de incapacidad jurídica. Los Estados miembros garantizarán que dichas exenciones se concedan previa evaluación detallada de la naturaleza excepcional de las circunstancias. Se garantizarán los derechos a la revisión administrativa de la decisión de la exención y a la tutela judicial efectiva. Los Estados miembros que hayan concedido exenciones publicarán datos estadísticos anuales sobre el número de exenciones concedidas y las razones aducidas, y notificarán los datos a la Comisión.

[…]»

9        El artículo 41, apartado 1, de la Directiva 2015/849 modificada dispone lo siguiente:

«La Directiva 95/46/CE [del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31)], traspuesta a la legislación nacional, será de aplicación al tratamiento de datos personales en virtud de la presente Directiva. […]»

 RGPD

10      El artículo 5 del RGPD, titulado «Principios relativos al tratamiento», establece en su apartado 1:

«Los datos personales serán:

a)      tratados de manera lícita, leal y transparente en relación con el interesado (“licitud, lealtad y transparencia”);

b)      recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; […] (“limitación de la finalidad”);

c)      adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (“minimización de datos”);

[…]

f)      tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (“integridad y confidencialidad”)».

11      El artículo 25 de este Reglamento, titulado «Protección de datos desde el diseño y por defecto», preceptúa, en su apartado 2:

«El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.»

12      El artículo 44 de dicho Reglamento, titulado «Principio general de las transferencias», establece lo siguiente:

«Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado.»

13      El artículo 49 del RGPD, titulado «Excepciones para situaciones específicas», establece lo siguiente:

«1.      En ausencia de una decisión de adecuación de conformidad con el artículo 45, apartado 3, o de garantías adecuadas de conformidad con el artículo 46, incluidas las normas corporativas vinculantes, una transferencia o un conjunto de transferencias de datos personales a un tercer país u organización internacional únicamente se realizará si se cumple alguna de las condiciones siguientes:

[…]

g)      la transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero solo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.

[…]»

14      Conforme al artículo 94 del citado Reglamento:

«1.      Queda derogada la Directiva 95/46/CE con efecto a partir del 25 de mayo de 2018.

2.      Toda referencia a la Directiva derogada se entenderá hecha al presente Reglamento. […]»

 Derecho luxemburgués

15      El artículo 2 de la loi de 13 janvier 2019 instituant un Registre des bénéficiaires effectifs [Ley de 13 de enero de 2019, por la que se crea un Registro de la Titularidad Real] (Mémorial A 2019, n.º 15; en lo sucesivo, «Ley de 13 de enero de 2019») tiene el siguiente tenor:

«Se crea bajo la autoridad del ministro competente en materia de Justicia un registro denominado “Registro de la Titularidad Real”, en abreviatura, “RTR”, que tiene como finalidad la conservación y la puesta a disposición de la información sobre los titulares reales de las entidades registradas.»

16      En virtud del artículo 3, apartado 1, de esta Ley:

«La siguiente información sobre los titulares reales de las entidades registradas deberá inscribirse y conservarse en el Registro de la Titularidad Real:

1°      el apellido;

2°      el nombre o nombres;

3°      la nacionalidad o nacionalidades;

4°      el día de nacimiento;

5°      el mes de nacimiento;

6°      el año de nacimiento;

7°      el lugar de nacimiento;

8°      el país de residencia;

9°      la dirección privada precisa o la dirección profesional precisa […]:

[…]

10°      para las personas inscritas en el Registro Nacional de Personas Físicas: el número de identificación […];

11°      para las personas no residentes no inscritas en el Registro Nacional de Personas Físicas: un número de identificación extranjero;

12°      la naturaleza de los intereses reales ostentados;

13°      el alcance de los intereses reales ostentados.»

17      En virtud del artículo 11, apartado 1, de la referida Ley:

«En el ejercicio de sus funciones, las autoridades nacionales tendrán acceso a la información a que se refiere el artículo 3.»

18      Con arreglo al artículo 12 de la misma Ley:

«Toda persona tiene acceso a la información mencionada en el artículo 3, apartado 1, puntos 1 a 8, 12 y 13.»

19      El artículo 15, apartados 1 y 2, de la Ley de 13 de enero de 2019 dispone lo siguiente:

«(1)      Mediante solicitud debidamente motivada, dirigida a la autoridad gestora del Registro, las entidades registradas o los titulares reales podrán solicitar, en casos concretos y en las circunstancias excepcionales que se indican a continuación, que el acceso a la información a que se refiere el artículo 3 quede limitado exclusivamente a las autoridades nacionales, a las entidades de crédito y entidades financieras, a los gestores de notificaciones judiciales y embargos y a los notarios que actúen en calidad de funcionarios públicos, cuando tal acceso pueda exponer al titular real a un riesgo desproporcionado, un riesgo de fraude, secuestro, chantaje, extorsión, acoso, violencia o intimidación, o cuando el titular real sea un menor o tenga otro tipo de incapacidad jurídica.

(2)      La autoridad gestora limitará provisionalmente el acceso a la información a que se refiere el artículo 3 únicamente a las autoridades nacionales desde la recepción de la solicitud hasta la notificación de su decisión y, en caso de denegación de la solicitud, por un período adicional de quince días. En caso de recurso contra una decisión denegatoria, la limitación del acceso a la información se mantendrá hasta que la decisión denegatoria ya no sea susceptible de recurso.»

 Litigios principales y cuestiones prejudiciales

 Asunto C37/20

20      YO, sociedad inmobiliaria, presentó ante LBR una solicitud con arreglo al artículo 15 de la Ley de 13 de enero de 2019 para que el acceso a la información que figura en el RTR sobre WM, titular real de esa sociedad, se limitara únicamente a las entidades contempladas en esa disposición, basándose en que el acceso del público en general a tal información expondría a WM y a su familia, de forma caracterizada, real y actual, a un riesgo desproporcionado y a un riesgo de fraude, secuestro, chantaje, extorsión, acoso, violencia o intimidación. Esta solicitud fue denegada mediante decisión de 20 de noviembre de 2019.

21      El 5 de diciembre de 2019, WM impugnó dicha decisión denegatoria ante el tribunal d’arrondissement de Luxembourg (Tribunal de Distrito de Luxemburgo, Luxemburgo), órgano jurisdiccional remitente, alegando que su condición de administrador y de titular real de YO y de varias sociedades mercantiles le exigen desplazarse a menudo a países con regímenes políticos inestables y con una alta tasa de criminalidad, lo que puede engendrar en su caso un elevado riesgo de secuestro, rapto, violencia o incluso de muerte.

22      LBR rebate esta alegación y considera que la situación de WM no responde a las exigencias del artículo 15 de la Ley de 13 de enero de 2019, ya que este no puede invocar ni «circunstancias excepcionales» ni ninguno de los riesgos contemplados en ese artículo.

23      A este respecto, el órgano jurisdiccional remitente se pregunta sobre la interpretación que ha de darse a los conceptos de «circunstancias excepcionales», «riesgo» y riesgo «desproporcionado», en el sentido del artículo 30, apartado 9, de la Directiva 2015/849 modificada.

24      En este contexto, el Tribunal d’arrondissement de Luxembourg (Tribunal de Distrito de Luxemburgo) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1)      Sobre el concepto de “circunstancias excepcionales”

a)      Puede interpretarse el artículo 30, apartado 9, de la [Directiva 2015/849 modificada], en la medida en que supedita la limitación del acceso a la información relativa a la titularidad [real] a “circunstancias excepcionales que habrán de establecerse en Derecho nacional”, en el sentido de que permite que el Derecho nacional defina el concepto de “circunstancias excepcionales” únicamente como referido a “a un riesgo desproporcionado, un riesgo de fraude, secuestro, chantaje, extorsión, acoso, violencia o intimidación”, conceptos que ya constituyen un requisito para la aplicación de la limitación del acceso a dicha información con arreglo a la redacción de esta misma disposición?

b)      En caso de respuesta negativa a la [primera] cuestión [letra] a), y en el supuesto de que la normativa nacional de transposición solo haya definido el concepto de “circunstancias excepcionales” mediante la remisión a los conceptos inoperantes de “un riesgo desproporcionado, un riesgo de fraude, secuestro, chantaje, extorsión, acoso, violencia o intimidación”, ¿debe interpretarse el artículo 30, apartado 9, [de la Directiva 2015/849 modificada] en el sentido de que permite al juez nacional obviar el requisito de las “circunstancias excepcionales”, o bien en el sentido de que lo obliga a subsanar la omisión del legislador nacional determinando por la vía pretoriana el alcance del concepto de “circunstancias excepcionales”? En este último supuesto, al tratarse, en virtud del artículo 30, apartado 9, [de dicha Directiva modificada] de un requisito cuyo contenido ha de establecerse en Derecho nacional, ¿puede el Tribunal de Justicia […] proporcionar orientación al juez nacional para llevar a cabo esta tarea? En caso de respuesta afirmativa a esta última cuestión, ¿cuáles son las líneas directrices que han de guiar al juez nacional al determinar el contenido del concepto de “circunstancias excepcionales”?

2)      Sobre el concepto de “riesgo”

a)      ¿Debe interpretarse el artículo 30, apartado 9, de la [Directiva 2015/849 modificada] en la medida en que supedita la limitación del acceso a la información relativa a los titulares [reales] “a un riesgo desproporcionado, un riesgo de fraude, secuestro, chantaje, extorsión, acoso, violencia o intimidación”, en el sentido de que se remite a un conjunto de ocho supuestos, siendo el primero de ellos un riesgo de carácter general sujeto al requisito de desproporción y los siete siguientes riesgos específicos exentos de dicho requisito, o bien en el sentido de que se remite a un conjunto de siete supuestos, cada uno de ellos referido a un riesgo específico sujeto al requisito de desproporción?

b)      ¿Debe interpretarse el artículo 30, apartado 9, de la [Directiva 2015/849 modificada], en la medida en que supedita la limitación del acceso a la información relativa a los titulares [reales] a la existencia de “un riesgo”, en el sentido de que limita la apreciación de la existencia y de la magnitud de dicho riesgo únicamente al vínculo existente entre el titular [real] y la entidad jurídica respecto a la cual este solicita específicamente que se limite el acceso a la información relativa a su condición de titular real, o bien en el sentido de que implica la toma en consideración de los vínculos del titular [real] de que se trata con otras entidades jurídicas? En caso de que deban tomarse en consideración los vínculos del titular [real] con otras entidades jurídicas, ¿debe tenerse en cuenta únicamente su condición de titular [real] respecto a otras entidades jurídicas, o bien cualquier tipo de vínculo con otras entidades jurídicas? En caso de que deba tenerse en consideración cualquier tipo de vínculo con otras entidades jurídicas, ¿incide la naturaleza de dicho vínculo en la apreciación de la existencia y de la magnitud del riesgo?

c)      ¿Debe interpretarse el artículo 30, apartado 9, de la [Directiva 2015/849 modificada], en la medida en que supedita la limitación del acceso a la información relativa a los titulares [reales] a la existencia de “un riesgo”, en el sentido de que excluye el derecho a la protección que se deriva de una limitación de acceso a la información cuando dicha información, teniendo en cuenta otros elementos aportados por el titular [real] para acreditar la existencia y la magnitud del “riesgo” al que está expuesto, es fácilmente accesible para terceras personas a través de otras vías de información?

3)      Sobre el concepto de “desproporcionado”

¿Qué intereses en conflicto deben tomarse en consideración en el marco de la aplicación del artículo 30, apartado 9, de la [Directiva 2015/849 modificada], en la medida en que supedita la limitación del acceso a la información relativa a un titular [real] a la existencia de un riesgo “desproporcionado”?»

 Asunto C601/20

25      Sovim presentó ante LBR una solicitud con arreglo al artículo 15 de la Ley de 13 de enero de 2019 para que el acceso a la información que figura en el RTR sobre la titularidad real de dicha sociedad se limitara únicamente a las entidades contempladas en esa disposición. Tal solicitud fue denegada mediante decisión de 6 de febrero de 2020.

26      El 24 de febrero de 2020, Sovim impugnó esa decisión denegatoria ante el órgano jurisdiccional remitente.

27      Con carácter principal, la citada sociedad solicita que no se aplique ni el artículo 12 de la Ley de 13 de enero de 2019, según el cual el acceso a determinada información que figura en el RTR se permite a «toda persona», ni el artículo 15 de la misma Ley y que la información proporcionada por ella en cumplimiento del artículo 3 de dicha Ley no sea públicamente accesible.

28      A este respecto, Sovim sostiene, en primer lugar, que el hecho de conceder acceso público a la identidad y a los datos personales de su titular real vulnera el derecho a la protección de la vida privada y familiar y el derecho a la protección de los datos personales, derechos consagrados respectivamente en los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»).

29      En efecto, según esta sociedad, la Directiva 2015/849 modificada, que sirvió de base para la introducción de la Ley de 13 de enero de 2019 en la legislación luxemburguesa, tiene por objeto identificar a los titulares reales de sociedades utilizadas con fines de blanqueo de capitales o de financiación del terrorismo, así como garantizar la seguridad de las relaciones comerciales y la confianza en los mercados. Ahora bien, no se ha demostrado de qué modo el acceso del público a los datos contenidos en el RTR, sin el menor control, permitiría alcanzar esos objetivos.

30      En segundo lugar, Sovim alega que el acceso del público a los datos personales contenidos en el RTR constituye una infracción de varias disposiciones del RGPD, en particular de un cierto número de principios fundamentales enunciados en el artículo 5, apartado 1, de este.

31      Con carácter subsidiario, Sovim solicita al órgano jurisdiccional remitente que declare que, en el caso de autos, existe un riesgo desproporcionado en el sentido del artículo 15, apartado 1, de la Ley de 13 de enero de 2019 y, en consecuencia, que ordene a LBR que limite el acceso a la información contemplada en el artículo 3 de dicha Ley.

32      A este respecto, el órgano jurisdiccional remitente señala que el artículo 15, apartado 1, de la Ley de 13 de enero de 2019 establece que LBR debe proceder al análisis, caso por caso, de la existencia de circunstancias excepcionales que justifiquen una restricción del acceso al RTR. Considera que, aunque en el asunto C‑37/20 ya se han planteado al Tribunal de Justicia, a propósito de dicha Ley, varias cuestiones prejudiciales relativas a la interpretación de los conceptos de «circunstancias excepcionales», «riesgo» y riesgo «desproporcionado», el presente procedimiento también plantea otras problemáticas, en particular la de si el acceso del público en general a algunos de los datos que figuran en el RTR es compatible con la Carta y con el RGPD.

33      En estas circunstancias, el Tribunal d’arrondissement de Luxembourg (Tribunal de Distrito de Luxemburgo) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1)      ¿Es válido el artículo 1, punto 15, letra c), de la [Directiva 2018/843], por el que se modifica el artículo 30, apartado 5, párrafo primero, de la [Directiva 2015/849] en la medida en que obliga a los Estados miembros a permitir el acceso a la información sobre los titulares reales en todo caso al público en general sin justificación de interés legítimo alguno,

–        a la luz del derecho al respeto de la vida privada y familiar garantizado por el artículo 7 de la Carta […], interpretado de conformidad con el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos, habida cuenta de los objetivos enunciados, en particular, en los considerandos 30 y 31 de la Directiva 2018/843 referidos a la lucha contra el blanqueo de capitales y la financiación del terrorismo, y

–        a la luz del derecho a la protección de datos de carácter personal garantizado por el artículo 8 de la Carta, en tanto en cuanto este derecho pretende, en particular, garantizar el tratamiento de datos personales de manera lícita, leal y transparente en relación con el interesado, la limitación de los fines de la recogida y del tratamiento y la minimización de los datos?

2)      a)      ¿Debe interpretarse el artículo 1, punto 15, letra g), de la Directiva 2018/843 en el sentido de que podrá concluirse que se dan las circunstancias excepcionales a las que hace referencia, como supuestos en los que los Estados miembros pueden establecer exenciones en cuanto al acceso a la totalidad o […] parte de la información sobre los titulares reales si tal acceso del público en general expondría al titular real a un riesgo desproporcionado, a un riesgo de fraude, secuestro, chantaje, extorsión, acoso, violencia o intimidación, únicamente cuando se aporte la prueba de que, efectivamente, existe un riesgo desproporcionado de fraude, secuestro, chantaje, extorsión, acoso, violencia o intimidación (riesgo caracterizado, real y actual) sobre la persona del titular real?

b)      En caso de respuesta afirmativa, ¿es válido el artículo 1, punto 15, letra g), de la Directiva 2018/843, de tal modo interpretado, a la luz del derecho al respeto de la vida privada y familiar garantizado por el artículo 7 de la Carta y del derecho a la protección de datos de carácter personal garantizado en el artículo 8 de la Carta?

3)      a)      ¿Debe interpretarse el artículo 5, apartado 1, letra a), del [RGPD], por el que se impone el tratamiento de datos de manera lícita, leal y transparente en relación con el interesado, en el sentido de que no se opone

–        a que los datos personales de un titular real inscritos en un registro de titulares reales, creado con arreglo al artículo 30 de la Directiva 2015/849, en su versión modificada por el artículo 1, punto 15, de la Directiva 2018/849, sean accesibles al público en general sin control ni justificación por parte de persona alguna del público y sin que el interesado (titular real) pueda saber quién ha tenido acceso a esos datos personales que le conciernen; ni

–        a que [el] responsable [del] tratamiento de dicho registro de titulares reales dé acceso a los datos personales de los titulares reales a un número ilimitado y no determinable de personas?

b)      ¿Debe interpretarse el artículo 5, apartado 1, letra b), del [RGPD], que impone la limitación de la finalidad, en el sentido de que no se opone a que los datos personales de un titular real inscritos en un registro de titulares reales, creado con arreglo al artículo 30 de la Directiva [2015/849 modificada], sean accesibles al público en general sin que el responsable del tratamiento de estos datos pueda garantizar que los mismos se utilizarán exclusivamente para la finalidad para la que fueron recogidos, a saber, en esencia, la lucha contra el blanqueo de capitales y la financiación del terrorismo, teniendo en cuenta que no es responsabilidad del público en general velar por que se respeten dichos fines?

c)      ¿Debe interpretarse el artículo 5, apartado 1, letra c), del [RGPD], que impone la minimización de los datos, en el sentido de que no se opone a que, mediante un registro de titulares reales creado con arreglo al artículo 30 de la [Directiva 2015/849 modificada], el público en general tenga acceso, además de al nombre y apellidos, mes y año de nacimiento, nacionalidad y país de residencia de un titular real, así como a la naturaleza y alcance de los intereses efectivos de este, también a su fecha de nacimiento y a su lugar de nacimiento?

d)      ¿Se opone el artículo 5, apartado 1, letra f), del [RGPD], que obliga a que el tratamiento de datos se realice de modo que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito, garantizando así la integridad y la confidencialidad de dichos datos, al acceso ilimitado y sin condiciones y sin compromiso de confidencialidad a los datos personales de titulares reales disponibles en el registro de titulares reales, creado con arreglo al artículo 30 de la [Directiva 2015/849 modificada]?

e)      Debe interpretarse el artículo 25, apartado 2, del [RGPD], que garantiza la protección de los datos por defecto, y que establece, en particular, que los datos personales, por defecto, no deben ser accesibles a un número indeterminado de personas físicas sin la intervención de la persona física de que se trate, en el sentido de que no se opone:

–        a que un registro de titulares reales creado con arreglo al artículo 30 de la [Directiva 2015/849 modificada], no requiera la inscripción en el sitio web de dicho registro de las personas del público en general que consulten los datos personales de un titular real, ni

–        a que no se informe en absoluto al titular real en caso de una consulta de datos personales inscritos en dicho registro, ni

–        a que no sea aplicable ninguna restricción en cuanto a la extensión y a la accesibilidad de los datos personales en cuestión según la finalidad de su tratamiento?

f)      ¿Deben interpretarse los artículos 44 a 50 del [RGPD], que someten a estrictos requisitos la transferencia de datos personales a terceros países, en el sentido de que no se oponen a que tales datos de un titular real inscritos en un registro de titulares reales creado con arreglo al artículo 30 de la [Directiva 2015/849 modificada] sean accesibles en todos los casos a cualquier miembro del público en general sin justificación de un interés legítimo y sin limitaciones en cuanto a la ubicación de ese público?»

 Sobre las cuestiones prejudiciales

 Primera cuestión prejudicial en el asunto C601/20

34      Mediante la primera cuestión prejudicial planteada en el asunto C‑601/20, el órgano jurisdiccional remitente pregunta, en esencia, sobre la validez, a la luz de los artículos 7 y 8 de la Carta, del artículo 1, punto 15, letra c), de la Directiva 2018/843, en la medida en que este modificó el artículo 30, apartado 5, párrafo primero, letra c), de la Directiva 2015/849, en el sentido de que este último establece, en su versión así modificada, que los Estados miembros garantizarán que la información sobre la titularidad real de las sociedades y de otras entidades jurídicas esté en todos los casos a disposición de cualquier miembro del público en general.

 Sobre la injerencia resultante del acceso del público en general a la información sobre la titularidad real en los derechos fundamentales garantizados en los artículos 7 y 8 de la Carta

35      El artículo 7 de la Carta garantiza a toda persona el derecho al respeto de su vida privada y familiar, de su domicilio y de sus comunicaciones, mientras que el artículo 8, apartado 1, de la Carta confiere expresamente a toda persona el derecho a la protección de los datos de carácter personal que la conciernan.

36      Del artículo 30, apartados 1 y 3, de la Directiva 2015/849 modificada se desprende que los Estados miembros garantizarán que las sociedades y otras entidades jurídicas constituidas en su territorio tengan la obligación de obtener y conservar información adecuada, exacta y actualizada sobre su titularidad real y que tal información se conserve en un registro central en cada Estado miembro. A tenor del artículo 3, punto 6, de esa Directiva, los titulares reales son la persona o personas físicas que tengan la propiedad o el control en último término del cliente o la persona o personas físicas por cuenta de las cuales se lleve a cabo una transacción o actividad.

37      El artículo 30, apartado 5, párrafo primero, letra c), de la Directiva 2015/849 modificada obliga a los Estados miembros a garantizar que la información sobre la titularidad real esté en todos los casos a disposición de «cualquier miembro del público en general», mientras que su párrafo segundo precisa que se permitirá a esas personas «el acceso, como mínimo, al nombre y apellidos, mes y año de nacimiento, país de residencia y de nacionalidad del titular real, así como a la naturaleza y alcance del interés real ostentado». Ese artículo 30, apartado 5, añade, en su párrafo tercero, que «los Estados miembros podrán, en las condiciones fijadas en el Derecho nacional, dar acceso a información adicional que permita la identificación del titular real» y que esa información adicional «incluirá como mínimo la fecha de nacimiento o datos de contacto, de conformidad con las normas de protección de datos».

38      A este respecto, procede señalar que, dado que los datos a que se refiere dicho artículo 30, apartado 5, incluyen información sobre personas físicas identificadas, a saber, los titulares reales de sociedades y otras entidades jurídicas constituidas en el territorio de los Estados miembros, el acceso de cualquier miembro del público en general a esa información afecta al derecho fundamental al respeto de la vida privada, garantizado en el artículo 7 de la Carta (véase, por analogía, la sentencia de 21 de junio de 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, apartado 94 y jurisprudencia citada), sin que en este contexto sea pertinente el hecho de que los datos de que se trata puedan referirse a actividades profesionales (véase, por analogía, la sentencia de 9 de noviembre de 2010, Volker und Markus Schecke y Eifert, C‑92/09 y C‑93/09, EU:C:2010:662, apartado 59). Además, tal puesta a disposición del público en general de esos datos personales constituye un tratamiento de datos personales comprendido en el ámbito de aplicación del artículo 8 de la Carta (véase, por analogía, la sentencia de 9 de noviembre de 2010, Volker und Markus Schecke y Eifert (C‑92/09 y C‑93/09, EU:C:2010:662, apartados 52 y 60).

39      Es preciso añadir que, como se desprende de reiterada jurisprudencia del Tribunal de Justicia, la puesta a disposición de un tercero de datos de carácter personal constituye una injerencia en los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta, cualquiera que sea la utilización posterior de la información puesta a disposición. A este respecto, carece de relevancia que la información relativa a la vida privada de que se trate tenga o no carácter sensible o que los interesados hayan sufrido o no inconvenientes en razón de tal injerencia (sentencia de 21 de junio de 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, apartado 96 y jurisprudencia citada).

40      Por consiguiente, el acceso del público en general a la información sobre la titularidad real, previsto en el artículo 30, apartado 5, de la Directiva 2015/849 modificada, constituye una injerencia en los derechos garantizados por los artículos 7 y 8 de la Carta.

41      Por lo que respecta a la gravedad de esta injerencia, es preciso señalar que, en la medida en que la información puesta a disposición del público en general se refiera a la identidad del titular real y a la naturaleza y alcance de sus intereses reales en sociedades u otras entidades jurídicas, puede permitir elaborar un perfil sobre determinados datos personales identificativos de carácter más o menos amplio, en función de la configuración del Derecho nacional, sobre la situación patrimonial del interesado y sobre los sectores económicos, países y empresas específicos en los que ha invertido.

42      A ello se añade el hecho de que es inherente a esa puesta a disposición del público en general de dicha información que esta sea entonces accesible a un número potencialmente ilimitado de personas, de modo que tal tratamiento de datos personales también puede permitir el libre acceso a esos datos por parte de personas que, por razones ajenas al objetivo de interés general perseguido por la citada medida, pretendan informarse sobre la situación, en particular, material y económica de un titular real (véase, por analogía, la sentencia de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, apartados 102 y 103). Esta posibilidad resulta aún más plausible cuando, como sucede en Luxemburgo, los datos en cuestión pueden consultarse en Internet.

43      Además, las consecuencias que para las personas afectadas podrían derivarse de una posible utilización abusiva de sus datos personales se ven agravadas por el hecho de que esos datos, una vez puestos a disposición del público en general, no solo pueden ser libremente consultados, sino también conservados y difundidos, y, en caso de tales tratamientos sucesivos, se hace aún más difícil para esas personas, incluso ilusorio, defenderse eficazmente contra abusos.

44      Por lo tanto, el acceso del público en general a la información sobre la titularidad real, previsto en el artículo 30, apartado 5, párrafo primero, letra c), de la Directiva 2015/849 modificada, constituye una injerencia grave en los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta (véase, por analogía, la sentencia de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, apartado 105).

 Sobre la justificación de la injerencia resultante del acceso del público en general a la información sobre la titularidad real

45      Los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta no constituyen prerrogativas absolutas, sino que deben considerarse según su función en la sociedad (sentencia de 21 de junio de 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, apartado 112 y jurisprudencia citada).

46      Además, con arreglo al artículo 52, apartado 1, primera frase, de la Carta, cualquier limitación del ejercicio de los derechos y libertades reconocidos por ella deberá ser establecida por la ley y respetar el contenido esencial de dichos derechos y libertades. Según el artículo 52, apartado 1, segunda frase, de la Carta, dentro del respeto del principio de proporcionalidad, solo podrán introducirse limitaciones cuando sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás. A este respecto, el artículo 8, apartado 2, de la Carta precisa que los datos personales se tratarán, en particular, «para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley».

–       Respeto del principio de legalidad

47      El requisito de que cualquier limitación del ejercicio de los derechos fundamentales debe ser establecida por ley implica que el acto que permita la injerencia en dichos derechos debe definir el alcance de la limitación del ejercicio del derecho en cuestión, si bien, por un lado, tal requisito no excluye que la limitación de que se trata se formule en términos lo suficientemente abiertos como para poder adaptarse a distintos supuestos así como a los cambios de situación y, por otro lado, el Tribunal de Justicia puede, en su caso, precisar por vía interpretativa el alcance concreto de la limitación a la vista tanto de los propios términos de la normativa de la Unión aplicable como de la sistemática general de esta y de los objetivos que persigue, tal como estén interpretados a la luz de los derechos fundamentales garantizados por la Carta (sentencia de 21 de junio de 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, apartado 114 y jurisprudencia citada).

48      A este respecto, procede señalar que la limitación del ejercicio de los derechos fundamentales garantizados en los artículos 7 y 8 de la Carta resultante del acceso del público en general a la información sobre la titularidad real está establecida en un acto legislativo de la Unión, a saber, la Directiva 2015/849 modificada. Por añadidura, el artículo 30 de esta prevé, en sus apartados 1 y 5, por una parte, el acceso del público en general a datos sobre la identificación de la titularidad real y sobre los intereses reales ostentados, precisando que dichos datos deben ser adecuados, exactos y actualizados y enumerando expresamente algunos de esos datos a los que se debe permitir el acceso a cualquier miembro del público en general. Por otra parte, el citado artículo 30 establece, en su apartado 9, las condiciones en las que los Estados miembros pueden establecer excepciones a tal acceso.

49      En estas circunstancias, procede considerar que se respeta el principio de legalidad.

–       Respeto del contenido esencial de los derechos fundamentales garantizados en los artículos 7 y 8 de la Carta

50      Por lo que se refiere al respeto del contenido esencial de los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta, procede señalar que la información a la que se hace referencia expresamente en el artículo 30, apartado 5, párrafo segundo, de la Directiva 2015/849 modificada puede clasificarse en dos categorías de datos distintas, incluyendo la primera de ellas datos relativos a la identidad del titular real (nombre y apellidos, mes y año de nacimiento así como nacionalidad) y, la segunda, datos de índole económica (naturaleza y alcance del interés real ostentado).

51      Además, si bien es cierto que el artículo 30, apartado 5, párrafo segundo, de la Directiva 2015/849 modificada no contiene, como se desprende del empleo de la expresión «como mínimo», una enumeración exhaustiva de los datos a los que debe permitirse el acceso a cualquier miembro del público en general y que ese artículo 30, apartado 5, añade, en su párrafo tercero, que los Estados miembros podrán dar acceso a información adicional, no lo es menos que, con arreglo al citado artículo 30, apartado 1, solo la información «adecuada» sobre la titularidad real y los intereses reales ostentados puede obtenerse, conservarse y, por tanto, ponerse potencialmente a disposición del público, lo que excluye, en particular, la información que no guarda relación adecuada con las finalidades de la citada Directiva.

52      Pues bien, no parece que la puesta a disposición del público en general de información que sí guarda tal tipo de relación menoscabe de algún modo el contenido esencial de los derechos fundamentales garantizados en los artículos 7 y 8 de la Carta.

53      En este contexto, también es preciso señalar que el artículo 41, apartado 1, de la Directiva 2015/849 modificada establece expresamente que al tratamiento de datos personales en virtud de esa Directiva será de aplicación la Directiva 95/46 y, por lo tanto, el RGPD, cuyo artículo 94, apartado 2, precisa que las referencias hechas a esta última Directiva se entenderán hechas a dicho Reglamento. Así pues, no se discute que toda recopilación, conservación y puesta a disposición de información en virtud de la Directiva 2015/849 modificada debe cumplir plenamente las exigencias derivadas del RGPD.

54      En estas circunstancias, la injerencia que implica el acceso del público en general a la información sobre la titularidad real, previsto en el artículo 30, apartado 5, párrafo primero, letra c), de la Directiva 2015/849 modificada, no menoscaba el contenido esencial de los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta.

–       Objetivo de interés general reconocido por la Unión

55      La Directiva 2015/849 modificada tiene por objeto, según los propios términos de su artículo 1, apartado 1, la prevención de la utilización del sistema financiero de la Unión para el blanqueo de capitales y para la financiación del terrorismo. A este respecto, el considerando 4 de la Directiva 2018/843 precisa que la persecución de este objetivo no puede ser eficaz si el entorno no es hostil para los delincuentes y que el incremento de la transparencia global del entorno económico y financiero de la Unión podría ser un potente factor disuasorio.

56      Por lo que respecta, más concretamente, al objetivo perseguido por el acceso del público en general a la información sobre la titularidad real, introducido por el artículo 1, punto 15, letra c), de la Directiva 2018/843, el considerando 30 de dicha Directiva enuncia que tal acceso, en primer lugar, «posibilita además un mayor control de la información por parte de la sociedad civil, incluidas la prensa o las organizaciones de la sociedad civil, y contribuye a mantener la confianza en la integridad de las transacciones empresariales y del sistema financiero». Además, tal acceso «puede contribuir a luchar contra el uso indebido de las sociedades y otras entidades jurídicas e instrumentos jurídicos con fines de blanqueo de capitales o financiación del terrorismo, tanto al facilitar las investigaciones como al surtir efectos sobre su reputación, dado que cualquier persona que emprenda transacciones conoce la identidad de los titulares reales». Por último, el referido acceso «permite que las entidades financieras y las autoridades que participan en la lucha contra este tipo de delitos, incluidas las de terceros países, dispongan de información en tiempo oportuno y de manera eficiente» y «también ayudaría a las investigaciones sobre el blanqueo de capitales, los delitos subyacentes conexos y la financiación del terrorismo».

57      Por añadidura, el considerando 31 de la Directiva 2018/843 precisa que «la mejora potencial de la confianza en los mercados financieros debe verse como un efecto secundario positivo y no como la finalidad del aumento de la transparencia, que es crear un entorno menos proclive a ser utilizado para los fines de blanqueo de capitales y financiación del terrorismo».

58      De ello se deduce que, al prever el acceso del público en general a la información sobre la titularidad real, el legislador de la Unión pretende prevenir el blanqueo de capitales y la financiación del terrorismo estableciendo, mediante una mayor transparencia, un entorno menos susceptible de ser utilizado con tales fines.

59      Pues bien, esta finalidad constituye un objetivo de interés general que puede justificar injerencias, incluso graves, en los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta (véase, en este sentido, la sentencia de 21 de junio de 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, apartado 122 y jurisprudencia citada).

60      En la medida en que el Consejo de la Unión Europea también se refiere expresamente, en este contexto, al principio de transparencia tal como emana de los artículos 1 TUE y 10 TUE y del artículo 15 TFUE, procede señalar que este principio, según señala esa institución, permite garantizar una mayor participación de los ciudadanos en el proceso de toma de decisiones, así como una mayor legitimidad, eficacia y responsabilidad de la Administración para con los ciudadanos en un sistema democrático (sentencia de 9 de noviembre de 2010, Volker und Markus Schecke y Eifert, C‑92/09 y C‑93/09, EU:C:2010:662, apartado 68 y jurisprudencia citada).

61      A este respecto, aunque tal principio se concreta ante todo en exigencias de transparencia institucional y procedimental aplicables a las actividades de naturaleza pública, incluida la utilización de fondos públicos, ese vínculo con las instituciones públicas no existe cuando, como en el caso de autos, la medida en cuestión tiene por objeto poner a disposición del público en general los datos relativos a la identidad de titulares reales privados y a la naturaleza y alcance de los intereses reales que estos ostentan en sociedades o en otras entidades jurídicas.

62      En consecuencia, el principio de transparencia, según emana de los artículos 1 TUE y 10 TUE y del artículo 15 TFUE, no puede considerarse, como tal, como un objetivo de interés general que puede justificar la injerencia en los derechos fundamentales garantizados en los artículos 7 y 8 de la Carta resultante del acceso del público en general a la información sobre la titularidad real.

–       Carácter idóneo, necesario y proporcionado de la injerencia de que se trata

63      Según reiterada jurisprudencia, la proporcionalidad de medidas de las que resulta una injerencia en los derechos garantizados en los artículos 7 y 8 de la Carta exige el respeto de las exigencias de idoneidad y necesidad, así como de la relativa al carácter proporcionado de dichas medidas en relación con el objetivo perseguido (véase, en este sentido, la sentencia de 5 de abril de 2022, Commissioner of An Garda Síochána y otros, C‑140/20, EU:C:2022:258, apartado 93).

64      Más concretamente, las excepciones a la protección de los datos personales y las limitaciones de esta última operan dentro del marco de lo estrictamente necesario, entendiéndose que, cuando se ofrezca una elección entre varias medidas adecuadas para la consecución de los objetivos legítimos perseguidos, deberá recurrirse a la menos onerosa. Además, no puede perseguirse un objetivo de interés general sin tener en cuenta que tal objetivo debe conciliarse con los derechos fundamentales a los que afecta la medida, efectuando una ponderación equilibrada entre, por un lado, el objetivo de interés general, y, por otro, los derechos en cuestión, para garantizar que los inconvenientes causados por esa medida no sean desmesurados en relación con los objetivos perseguidos. Así pues, la posibilidad de justificar una limitación a los derechos garantizados en los artículos 7 y 8 de la Carta debe apreciarse midiendo la gravedad de la injerencia que implica tal limitación y verificando que la importancia del objetivo de interés general perseguido por dicha limitación guarde relación con esa gravedad (véanse, en este sentido, las sentencias de 26 de abril de 2022, Polonia/Parlamento y Consejo, C‑401/19, EU:C:2022:297, apartado 65, así como de 21 de junio de 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, apartados 115 y 116 y jurisprudencia citada).

65      Por otra parte, para cumplir el requisito de proporcionalidad, la normativa de que se trata causante de la injerencia también debe establecer reglas claras y precisas que regulen el alcance y la aplicación de las medidas en cuestión e impongan unas exigencias mínimas, de modo que las personas afectadas dispongan de garantías suficientes que permitan proteger de manera eficaz sus datos personales contra los riesgos de abuso. Dicha normativa debe, en particular, indicar en qué circunstancias y con arreglo a qué requisitos puede adoptarse una medida que contemple el tratamiento de tales datos, garantizando así que la injerencia se limite a lo estrictamente necesario. La necesidad de disponer de esas garantías resulta aún más imperiosa cuando los datos personales se ponen a disposición del público en general y, por tanto, de un número potencialmente ilimitado de personas, y pueden revelar información sensible sobre las personas afectadas (véase, en este sentido, la sentencia de 21 de junio de 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, apartado 117 y jurisprudencia citada).

66      Con arreglo a esta jurisprudencia, procede verificar, en primer lugar, si el acceso del público en general a la información sobre la titularidad real es idóneo para alcanzar el objetivo de interés general perseguido, en segundo lugar, si la injerencia en los derechos garantizados por los artículos 7 y 8 de la Carta que resulta de tal acceso se limita a lo estrictamente necesario, en el sentido de que el objetivo no podría alcanzarse razonablemente de manera igualmente eficaz por otros medios menos atentatorios contra esos derechos fundamentales de las personas afectadas, y, en tercer lugar, si tal injerencia no es desproporcionada en relación con ese objetivo, lo que implica, en particular, una ponderación de la importancia de este último y la gravedad de dicha injerencia.

67      En primer lugar, el acceso del público en general a la información sobre la titularidad real debe considerarse idóneo para contribuir a la consecución del objetivo de interés general señalado en el apartado 58 de la presente sentencia y consistente en prevenir el blanqueo de capitales y la financiación del terrorismo, debido a que el carácter público de ese acceso y la mayor transparencia que de él se deriva contribuyen a la creación de un entorno menos susceptible de ser utilizado con tales fines.

68      En segundo lugar, para demostrar la estricta necesidad de la injerencia resultante del acceso del público en general a la información sobre la titularidad real, el Consejo y la Comisión se refieren a la evaluación de impacto que acompañó a la propuesta de Directiva del Parlamento Europeo y del Consejo por la que se modifica la Directiva (UE) 2015/849 relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales y la financiación del terrorismo y la Directiva 2009/101/CE (COM/2016/0450 final), que dio lugar a la Directiva 2018/843. Según esas instituciones, mientras que el artículo 30, apartado 5, párrafo primero, letra c), de la Directiva 2015/849, en su versión anterior a su modificación por la Directiva 2018/843, supeditaba el acceso de toda persona a la información sobre la titularidad real al requisito de que pudiera demostrar un «interés legítimo», la referida evaluación de impacto puso de manifiesto que la falta de definición uniforme de ese concepto de «interés legítimo» había planteado dificultades prácticas, de modo que se consideró que la solución idónea consistía en suprimir dicho requisito.

69      Además, en sus observaciones escritas, el Parlamento, el Consejo y la Comisión subrayan, refiriéndose en particular al considerando 30 de la Directiva 2018/843, que el acceso del público en general a la información sobre la titularidad real, tal como está previsto en la Directiva 2015/849 modificada, tiene un efecto disuasorio, posibilita un mayor control y facilita las investigaciones, incluidas las llevadas a cabo por las autoridades de terceros países, y que esas consecuencias no podrían alcanzarse de otro modo.

70      En la vista se instó a la Comisión a que indicara si, para paliar el riesgo de que la obligación de toda persona u organización de demostrar un «interés legítimo», tal como esta obligación estaba prevista inicialmente por la Directiva 2015/849, condujera, debido a divergencias en la definición de este concepto en los Estados miembros, a limitaciones excesivas del acceso a la información sobre la titularidad real, no había considerado la posibilidad de proponer una definición uniforme de dicho concepto.

71      La Comisión respondió a esta pregunta señalando que el criterio del «interés legítimo» era un concepto que difícilmente se prestaba a una definición jurídica y que, pese a haber considerado la posibilidad de proponer una definición uniforme del citado criterio, había renunciado finalmente a hacerlo porque, aun cuando tal concepto contara con una definición, seguiría siendo difícil de aplicar y su aplicación podía dar lugar a decisiones arbitrarias.

72      A este respecto, procede considerar que la eventual existencia de dificultades para definir con precisión los supuestos y las condiciones en las que el público puede acceder a la información sobre la titularidad real no puede justificar que el legislador de la Unión prevea el acceso del público en general a esa información (véase, por analogía, la sentencia de 5 de abril de 2022, Commissioner of An Garda Síochána y otros, C‑140/20, EU:C:2022:258, apartado 84).

73      Además, los efectos invocados y la referencia hecha, en este contexto, a las explicaciones que figuran en el considerando 30 de la Directiva 2018/843 tampoco pueden demostrar la estricta necesidad de la injerencia en cuestión.

74      En efecto, en la medida en que dicho considerando expone que el acceso del público en general a la información sobre la titularidad real posibilita un mayor control de la información por parte de la sociedad civil y en que se menciona expresamente, a este respecto, la prensa y las organizaciones de la sociedad civil, procede señalar que tanto la prensa como las organizaciones de la sociedad civil que presentan relación con la prevención y la lucha contra el blanqueo de capitales y la financiación del terrorismo tienen interés legítimo en acceder a la información sobre la titularidad real. Lo mismo sucede con las personas, también mencionadas en el citado considerando, que desean conocer la identidad de los titulares reales de una sociedad o de otra entidad jurídica por el hecho de que pueden emprender transacciones con ellas, o incluso las instituciones financieras y las autoridades que participan en la lucha contra infracciones en materia de blanqueo de capitales o de financiación del terrorismo, en la medida en que estas últimas entidades ya no tengan acceso a la información en cuestión sobre la base del artículo 30, apartado 5, párrafo primero, letras a) y b), de la Directiva 2015/849 modificada.

75      Por lo demás, y aunque en ese mismo considerando se precisa que el acceso del público en general a la información sobre la titularidad real «puede contribuir» a luchar contra el uso abusivo de sociedades y otras entidades jurídicas y que «también ayudaría» a las investigaciones penales, debe señalarse que estas consideraciones tampoco pueden demostrar que dicha medida sea estrictamente necesaria para prevenir el blanqueo de capitales y la financiación del terrorismo.

76      Habida cuenta de lo anterior, no puede considerarse que la injerencia en los derechos garantizados en los artículos 7 y 8 de la Carta resultante del acceso del público en general a la información sobre la titularidad real se limite a lo estrictamente necesario.

77      En tercer lugar, por lo que respecta a los argumentos formulados para demostrar el carácter proporcionado de la injerencia en cuestión, en el sentido, en particular, de que el acceso del público en general a la información sobre la titularidad real, previsto en el artículo 30, apartado 5, de la Directiva 2015/849 modificada, se basa en una ponderación equilibrada entre, por un lado, el objetivo de interés general perseguido y, por otro, los derechos fundamentales de que se trata, y de que existen garantías suficientes contra los riesgos de abuso, procede añadir lo siguiente.

78      En primer término, la Comisión alega que, como se desprende del considerando 34 de la Directiva 2018/843, el legislador de la Unión se tomó la molestia de precisar que el conjunto de datos puesto a disposición del público debe ser limitado, estar clara y exhaustivamente definido y tener carácter general, a fin de minimizar todo posible perjuicio a los titulares reales. Puntualiza que es en este contexto en el que, sobre la base del artículo 30, apartado 5, de la Directiva 2015/849 modificada, solo son accesibles al público los datos estrictamente necesarios para identificar a los titulares reales, así como la naturaleza y el alcance de los intereses de estos.

79      A continuación, el Parlamento, el Consejo y la Comisión subrayan que pueden establecerse excepciones al principio de acceso del público en general a la información sobre la titularidad real, ya que el artículo 30, apartado 9, de la Directiva 2015/849 modificada dispone que, en «circunstancias excepcionales», «los Estados miembros podrán eximir de la obligación de autorizar el acceso a la totalidad o parte de la información sobre la titularidad real […] en casos concretos» cuando el acceso del público en general a esa información «puede exponer al titular real a un riesgo desproporcionado, un riesgo de fraude, secuestro, extorsión, acoso, violencia o intimidación, o si el titular real es un menor o tiene otro tipo de incapacidad jurídica».

80      Por último, tanto el Parlamento como la Comisión indican que, como se desprende del artículo 30, apartado 5 bis, de la Directiva 2015/849 modificada, en relación con el considerando 36 de la Directiva 2018/843, los Estados miembros podrán supeditar la puesta a disposición de la información sobre la titularidad real a que se proceda a un registro en línea, con el fin de poder conocer la identidad de la persona que solicita tal información. Además, de conformidad con el considerando 38 de esta última Directiva, para evitar el uso indebido de la información sobre los titulares reales, los Estados miembros pueden poner a disposición de estos últimos datos relativos a la persona que solicite la información, junto con la base jurídica de su solicitud.

81      A este respecto, procede señalar que, tal como se ha recordado en el apartado 51 de la presente sentencia, el artículo 30, apartado 5, de la Directiva 2015/849 modificada establece, en su párrafo segundo, que se permitirá que cualquier miembro del público en general tenga acceso, «como mínimo», a la información contemplada en esta disposición, y añade, en su párrafo tercero, que los Estados miembros podrán dar acceso a «información adicional que permita la identificación del titular real», la cual incluirá, «como mínimo», la fecha de nacimiento o los datos de contacto del titular real en cuestión.

82      Pues bien, del uso de la expresión «como mínimo» se desprende que estas disposiciones autorizan la puesta a disposición del público de datos que no están suficientemente definidos ni son identificables. Por lo tanto, las normas sustantivas que delimitan la injerencia en los derechos garantizados en los artículos 7 y 8 de la Carta no reúnen el requisito de claridad y precisión recordado en el apartado 65 de la presente sentencia [véase, por analogía, el dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017, EU:C:2017:592, apartado 160].

83      Además, en lo que atañe a la ponderación entre la gravedad de esa injerencia, puesta de manifiesto en los apartados 41 a 44 de la presente sentencia, y la importancia del objetivo de interés general de prevención del blanqueo de capitales y de la financiación del terrorismo, procede considerar que este objetivo, habida cuenta de su importancia, si bien puede justificar, como se ha señalado en el apartado 59 de la presente sentencia, injerencias, incluso graves, en los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta, no es menos cierto, por un lado, que la lucha contra el blanqueo de capitales y la financiación del terrorismo incumbe prioritariamente a las autoridades públicas y a entidades como las entidades de crédito o las entidades financieras a las que, por razón de sus actividades, se imponen obligaciones específicas en la materia.

84      Precisamente por este motivo el artículo 30, apartado 5, párrafo primero, letras a) y b), de la Directiva 2015/849 modificada prevé que la información sobre la titularidad real debe estar en todos los casos a disposición de las autoridades competentes y de las unidades de inteligencia financiera, sin ninguna restricción, así como de las entidades obligadas, en el marco de la diligencia debida con respecto al cliente.

85      Por otro lado, en comparación con un régimen como el del artículo 30, apartado 5, de la Directiva 2015/849, en su versión anterior a la entrada en vigor de la Directiva 2018/843, que preveía, además del acceso de las autoridades competentes y de ciertas entidades, el de toda persona u organización que pudiera demostrar un interés legítimo, el régimen introducido por esta última Directiva, que establece el acceso del público en general a la información sobre la titularidad real, representa un menoscabo considerablemente más grave de los derechos fundamentales garantizados en los artículos 7 y 8 de la Carta, sin que esta mayor gravedad se compense con los eventuales beneficios que, en lo que atañe a la lucha contra el blanqueo de capitales y la financiación del terrorismo, podrían resultar de este último régimen en comparación con el primero (véase, por analogía, la sentencia de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, apartado 112).

86      En estas circunstancias, las disposiciones facultativas del artículo 30, apartados 5 bis y 9, de la Directiva 2015/849 modificada, que permiten a los Estados miembros, respectivamente, supeditar la puesta a disposición de la información sobre la titularidad real a una inscripción en línea y prever, en circunstancias excepcionales, exenciones al acceso del público en general a esa información, no demuestran por sí mismas ni una ponderación equilibrada entre el objetivo de interés general perseguido y los derechos fundamentales consagrados en los artículos 7 y 8 de la Carta ni la existencia de garantías suficientes que permitan a las personas afectadas proteger eficazmente sus datos personales contra los riesgos de abuso.

87      Por lo demás, carece de pertinencia en este contexto la referencia hecha por la Comisión a la sentencia de 9 de marzo de 2017, Manni (C‑398/15, EU:C:2017:197), sobre a la publicidad obligatoria relativa a las sociedades, incluidos sus representantes legales, prevista por la Directiva 68/151/CEE del Consejo, de 9 de marzo de 1968, Primera Directiva tendente a coordinar, para hacerlas equivalentes, las garantías exigidas en los Estados miembros a las sociedades definidas en el segundo párrafo del artículo 58 del Tratado, para proteger los intereses de socios y terceros (DO 1968, L 65, p. 8; EE 17/01, p. 3), en su versión modificada por la Directiva 2003/58/CE del Parlamento Europeo y del Consejo, de 15 de julio de 2003 (DO 2003, L 221, p. 13). En efecto, la publicidad obligatoria prevista por esta Directiva, por un lado, y el acceso del público en general a la información sobre la titularidad real previsto por la Directiva 2015/849 modificada, por otro, difieren tanto en sus respectivas finalidades como en su alcance en términos de datos personales abarcados.

88      Habida cuenta de todas las consideraciones anteriores, procede responder a la primera cuestión prejudicial planteada en el asunto C‑601/20 que el artículo 1, punto 15, letra c), de la Directiva 2018/843 es inválido en la medida en que modificó el artículo 30, apartado 5, párrafo primero, letra c), de la Directiva 2015/849, en el sentido de que este último establece, en su así versión modificada, que los Estados miembros deberán garantizar que la información sobre la titularidad real de las sociedades y otras entidades jurídicas constituidas en su territorio esté en todos los casos a disposición de cualquier miembro del público en general.

 Sobre las cuestiones prejudiciales segunda y tercera planteadas en el asunto C601/20 y sobre las cuestiones prejudiciales planteadas en el asunto C37/20

89      Tanto la segunda cuestión prejudicial planteada en el asunto C‑601/20 como las cuestiones prejudiciales planteadas en el asunto C‑37/20 se basan en la premisa de la validez del artículo 30, apartado 5, de la Directiva 2015/849 modificada, en la medida en que este establece el acceso público a la información sobre la titularidad real.

90      Pues bien, habida cuenta de la respuesta dada a la primera cuestión prejudicial planteada en el asunto C‑601/20, no procede examinar tales cuestiones prejudiciales.

91      Además, a la vista de esa misma respuesta, tampoco procede pronunciarse sobre la tercera cuestión prejudicial planteada en el asunto C‑601/20.

 Costas

92      Dado que el procedimiento tiene, para las partes de los litigios principales, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes de los litigios principales, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Gran Sala) declara:

El artículo 1, punto 15, letra c), de la Directiva (UE) 2018/843 del Parlamento Europeo y del Consejo, de 30 de mayo de 2018, por la que se modifica la Directiva (UE) 2015/849 relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo, y por la que se modifican las Directivas 2009/138/CE y 2013/36/UE, es inválido en la medida en que modificó el artículo 30, apartado 5, párrafo primero, letra c), de la Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo, de 20 de mayo de 2015, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo, y por la que se modifica el Reglamento (UE) n.º 648/2012 del Parlamento Europeo y del Consejo, y se derogan la Directiva 2005/60/CE del Parlamento Europeo y del Consejo y la Directiva 2006/70/CE de la Comisión, en el sentido de que dicho artículo 30, apartado 5, párrafo primero, letra c), establece, en su versión así modificada, que los Estados miembros deberán garantizar que la información sobre la titularidad real de las sociedades y otras entidades jurídicas constituidas en su territorio esté en todos los casos a disposición de cualquier miembro del público en general.

Firmas


*      Lengua de procedimiento: francés.