Edición provisional
CONCLUSIONES DEL ABOGADO GENERAL
SR. PRIIT PIKAMÄE
presentadas el 22 de febrero de 2024 (1)
Asunto C‑693/22
I. sp. z o. o.
contra
M. W.
[Petición de decisión prejudicial planteada por el Sąd Rejonowy dla m. st. Warszawy w Warszawie (Tribunal de Distrito de la Ciudad de Varsovia, Polonia)]
«Procedimiento prejudicial — Protección de datos personales — Reglamento (UE) 2016/679 — Venta de una base de datos que contiene datos personales en el contexto de un procedimiento de ejecución — Artículo 4, punto 7 — Concepto de “responsable del tratamiento” — Artículo 5, apartado 1, letra b) — Limitación de la finalidad — Artículo 6, apartados 1, 3 y 4 — Licitud del tratamiento — Cumplimiento de una obligación legal impuesta al responsable del tratamiento — Cumplimiento de una misión realizada en interés público — Artículo 23, apartado 1, letra j) — Ejecución de demandas civiles — Medida necesaria y proporcionada»
1. ¿Es posible que la venta, en el contexto de un procedimiento de ejecución forzosa, de una base de datos que contiene datos personales sea conforme con las disposiciones del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (en lo sucesivo, «RGPD»), (2) cuando los interesados no han prestado su consentimiento a dicha venta?
2. Esta es la cuestión principal que el Sąd Rejonowy dla m. st. Warszawy w Warszawie (Tribunal de Distrito de la Ciudad de Varsovia, Polonia) plantea al Tribunal de Justicia en la presente petición de decisión prejudicial.
3. Así pues, el Tribunal de Justicia deberá examinar un supuesto particular a la luz del RGPD y pronunciarse sobre determinados elementos clave de dicho Reglamento, como el concepto de «responsable del tratamiento», la licitud del tratamiento y el alcance del principio de limitación de la finalidad.
Marco jurídico
Derecho de la Unión
4. El artículo 4 del RGPD dispone:
«A efectos del presente Reglamento se entenderá por:
1) “datos personales”: toda información sobre una persona física identificada o identificable (“el interesado”); […]
2) “tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;
[…]
7) “responsable del tratamiento” o “responsable”: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;
[…]».
5. El artículo 5 de este Reglamento, titulado «Principios relativos al tratamiento», establece, en sus apartados 1 y 2:
«1. Los datos personales serán:
a) tratados de manera lícita, leal y transparente en relación con el interesado (“licitud, lealtad y transparencia”);
b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; […]
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (“minimización de datos”);
[…]
2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva”).»
6. El artículo 6 de dicho Reglamento, titulado «Licitud del tratamiento», tiene el siguiente tenor:
«1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
[…]
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
[…]
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
[…]
3. La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por:
a) el Derecho de la Unión, o
b) el Derecho de los Estados miembros que se aplique al responsable del tratamiento.
La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. […] El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido.
4. Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:
a) cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;
b) el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento;
c) la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10;
d) las posibles consecuencias para los interesados del tratamiento ulterior previsto;
e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.»
7. El artículo 23, apartado 1, del RGPD, titulado «Limitaciones», preceptúa:
«1. El Derecho de la Unión o de los Estados miembros que se aplique al responsable o el encargado del tratamiento podrá limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos en los artículos 12 a 22 y el artículo 34, así como en el artículo 5 en la medida en que sus disposiciones se correspondan con los derechos y obligaciones contemplados en los artículos 12 a 22, cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:
[…]
j) la ejecución de demandas civiles.»
Derecho polaco
8. El artículo 299 de la ustawa Kodeks spółek handlowych (Ley por la que se aprueba el Código de Sociedades Mercantiles), de 15 de septiembre de 2000 (Dz. U. de 2022, posición 1467) (en lo sucesivo, «Código de Sociedades Mercantiles»), está redactado en estos términos:
«§ 1. Si la ejecución contra la sociedad resulta infructuosa, los miembros del consejo de administración responderán solidariamente de sus obligaciones.
§ 2. El miembro del consejo de administración podrá quedar eximido de la responsabilidad a que se refiere el apartado 1 si demuestra que ha presentado a su debido tiempo una solicitud de concurso, o que se ha dictado al mismo tiempo una resolución sobre la apertura de un procedimiento de reestructuración o sobre la aprobación de un convenio en la fase de convenio, o que no puede imputársele la no presentación de una solicitud de concurso, o que, a pesar de la no presentación de una solicitud de concurso y de la no adopción de una resolución sobre la apertura de un procedimiento de reestructuración o sobre la aprobación de un convenio en la fase de convenio, el acreedor no ha sufrido ningún perjuicio.»
9. A tenor del artículo 796, apartado 1, de la ustawa Kodeks postępowania cywilnego (Ley por la que se aprueba el Código de Procedimiento Civil), de 17 de noviembre de 1964 (Dz. U. de 2021, posición 1805), en su versión modificada (en lo sucesivo, «Código de Procedimiento Civil»):
«La solicitud de apertura del procedimiento de ejecución se presentará, según corresponda, ante el tribunal o el agente judicial. La solicitud ante al agente judicial podrá presentarse mediante un formulario oficial.»
10. El artículo 799, apartado 1, primera frase, del Código de Procedimiento Civil dispone:
«La solicitud de ejecución forzosa o la solicitud de ejecución de oficio permite llevar a cabo la ejecución según todos los métodos permitidos, a excepción de la ejecución de bienes inmuebles. […]»
11. El artículo 824, apartado 1, punto 3, del citado Código tiene el siguiente tenor:
«Se declarará de oficio la terminación total o parcial del procedimiento de ejecución judicial:
[…]
3) cuando resulte evidente que la ejecución forzosa no permitirá obtener un importe superior a los costes de dicho procedimiento.»
12. El artículo 831 de dicho Código establece:
«§ 1. No podrán ser objeto de ejecución forzosa:
[…]
3) los derechos intransferibles, salvo que la transferibilidad del derecho esté excluida contractualmente y el objeto de la prestación sea exigible o el ejercicio del derecho pueda encomendarse a otra persona.»
13. La ustawa o komornikach sądowych (Ley sobre los Agentes Judiciales), de 22 de marzo de 2018 (Dz. U. de 2022, posición 1168), en su versión modificada (en lo sucesivo, «Ley de Agentes Judiciales»), regula el estatuto y las actividades de los agentes judiciales. Con arreglo a su artículo 3, apartados 1 y 3:
«El agente judicial es una autoridad pública a efectos de la realización de actividades en los procedimientos de ejecución y cautelares. Estas actividades serán realizadas por un agente judicial, sin perjuicio de las excepciones legalmente establecidas.
[…]
El agente judicial tiene encomendadas las siguientes tareas:
1) la ejecución de las resoluciones judiciales en materia de créditos pecuniarios y no pecuniarios y depósitos de garantía, incluidas las órdenes europeas de retención de cuentas, sin perjuicio de las excepciones previstas en [el Código de Procedimiento Civil];
[…]».
14. El artículo 9, apartado 1, de esta Ley dispone:
«Los agentes judiciales no podrán rechazar una solicitud de:
1) inicio de la ejecución forzosa,
[…]
para la que sean competentes de acuerdo con las disposiciones del [Código de Procedimiento Civil].»
15. A tenor del artículo 31, apartado 1, primera frase, de dicha Ley:
«Los créditos ejecutados de una cuenta bancaria, una cuenta mantenida por una cooperativa de ahorro y crédito o una cuenta mantenida por una entidad que realice actividades de corretaje, obtenidos como resultado del primer pago efectuado por el deudor del crédito embargado, serán transferidos por el agente judicial al acreedor no antes del séptimo día y no más tarde del décimo cuarto día a partir del día de su recepción. […]»
16. La ustawa o ochronie baz danych (Ley sobre la Protección de las Bases de Datos), de 27 de julio de 2001 (Dz. U. de 2021, posición 386) (en lo sucesivo, «Ley de Protección de las Bases de Datos»), establece, en su artículo 2, apartado 1, punto 1, lo siguiente:
«A efectos de la presente Ley, se entenderá por:
1. “Base de datos”: una colección de datos o de cualquier otro material y elementos reunidos según un sistema o método particular, accesible individualmente por cualquier medio, incluidos los medios electrónicos, y que requiere una inversión sustancial en términos de calidad o cantidad para establecer, verificar o presentar su contenido.»
17. En virtud del artículo 6, apartado 1, de la Ley de Protección de las Bases de Datos:
«El fabricante de la base de datos tendrá el derecho exclusivo y transferible a extraer y reutilizar la totalidad o una parte sustancial de los datos, considerada desde el punto de vista cuantitativo o cualitativo.»
Litigio principal, cuestión prejudicial y procedimiento ante el Tribunal de Justicia
18. La sociedad I. sp. z o. o. (en lo sucesivo, «demandante» o «sociedad acreedora»), establecida en Polonia, es titular de un crédito, confirmado por una resolución judicial firme, frente a la sociedad NMW, especializada en la venta en línea, de la que M. W. es miembro del Consejo de Administración.
19. A petición de la demandante, se inició un procedimiento de ejecución contra la sociedad NMW dirigido a satisfacer el referido crédito. Dicho procedimiento finalizó con una resolución del agente judicial con la que dio por concluida la ejecución debido a la falta de bienes de la sociedad NMW. En estas circunstancias, la demandante presentó una demanda contra M. W. ante el Sąd Rejonowy dla m. st. Warszawy w Warszawie (Tribunal de Distrito de la Ciudad de Varsovia), sobre la base del artículo 299, apartado 1, del Código de Sociedades Mercantiles, que establece la responsabilidad patrimonial de los miembros del consejo de administración de la sociedad deudora si resulta imposible satisfacer el crédito con los bienes de esta sociedad.
20. M. W. solicitó la desestimación de la demanda por considerar que la sociedad NMW poseía activos con un valor superior al del crédito de la demandante, a saber, el código fuente de un software de compras en línea combinado con un servicio de cuasi retirada de efectivo en tienda (en lo sucesivo, «plataforma M.»), así como dos bases de datos de los usuarios de dicha plataforma.
21. Sin embargo, el tribunal remitente precisa que la venta de la plataforma por sí sola, sin incluir esas bases de datos, no resulta tan atractiva en el mercado como la venta del «paquete» completo.
22. Por consiguiente, según dicho tribunal, es necesario obtener una respuesta a la cuestión de si las bases de datos creadas por NMW pueden ser cedidas en el contexto de un procedimiento judicial de ejecución forzosa. Una respuesta afirmativa a esta cuestión conduciría a la desestimación de la demanda.
23. A este respecto, el tribunal remitente precisa que, si bien no está vinculado por la valoración de los bienes en cuestión en la que se basa M. W. —máxime cuando dicha valoración no fue realizada por un perito judicial—, la respuesta a la citada cuestión sigue siendo necesaria para la solución del litigio principal en la medida en que las disposiciones que regulan el procedimiento civil polaco no permiten practicar pruebas sin establecer previamente que son pertinentes para el asunto.
24. Dicho tribunal considera que las bases de datos en cuestión están comprendidas en el concepto de «base de datos» en el sentido del artículo 1 de la Directiva 96/9/CE del Parlamento Europeo y del Consejo, de 11 de marzo de 1996, sobre la protección jurídica de las bases de datos, (3) de modo que su titular, la sociedad NMW, tiene el derecho patrimonial a ceder esas bases de datos, en virtud del artículo 7 de dicha Directiva. En efecto, el procedimiento de ejecución puede llevarse a cabo contra cualquier derecho patrimonial, salvo que una disposición expresa excluya tal posibilidad. Pues bien, el legislador polaco no ha establecido ninguna norma que prohíba la ejecución forzosa de una base de datos como la que es objeto del litigio principal.
25. El tribunal remitente alberga dudas en cuanto al hecho de que tales bases de datos puedan ser objeto de ejecución judicial, dado que contienen datos personales de los cientos de miles de usuarios de la plataforma M. y no existe ninguna prueba de que los usuarios de dicha plataforma hayan dado su consentimiento al tratamiento de sus datos personales mediante la habilitación de acceso a esos datos a terceros, al margen de dicha plataforma. A este respecto, precisa que los datos en cuestión no están comprendidos en las categorías especiales de datos personales en el sentido del artículo 9 del RGPD.
26. Ese tribunal también se pregunta sobre la relación entre las limitaciones al tratamiento de datos personales establecidas por el RGPD y el derecho a disponer libremente de una base de datos derivado de la Directiva 96/9 y del Derecho nacional, el cual, en su opinión, incluye el derecho a transmitir la base de datos en el marco de un procedimiento de ejecución.
27. En este contexto, el Sąd Rejonowy dla m. st. Warszawy w Warszawie (Tribunal de Distrito de la Ciudad de Varsovia) decidió suspender el procedimiento y plantear al Tribunal de Justicia la siguiente cuestión prejudicial:
«¿Debe interpretarse el artículo 5, apartado 1, letra a), del [RGPD], en relación con el artículo 6, apartados 1, letras a), c) y e), y 3, de dicho Reglamento, en el sentido de que se opone a una norma de Derecho nacional que permite la venta, en el marco de un procedimiento de ejecución, de una base de datos, en el sentido del artículo 1, apartado 2, de la Directiva [96/9], constituida por datos personales, cuando las personas a las que se refieren esos datos no han dado su consentimiento a dicha venta?»
28. Han presentado observaciones escritas el Gobierno polaco y la Comisión Europea. En la vista celebrada el 16 de noviembre de 2023, se oyeron los informes orales de estas mismas partes y de la sociedad I.
Análisis
Sobre la admisibilidad
29. Antes de nada, es preciso abordar dos cuestiones relativas a la admisibilidad de la presente cuestión prejudicial.
30. En primer lugar, la parte demandante en el litigio principal expresó en la vista sus dudas sobre la pertinencia de dicha cuestión. Dicha parte afirmó que la sociedad NMW dejó de desarrollar su actividad económica hace ya algunos años. Precisó, más concretamente, que esa sociedad ya no posee un consejo de administración o de dirección ni presta servicios a los usuarios de la plataforma M. desde abril de 2019. (4) Por tanto, la demandante considera que la sociedad interrumpió necesariamente el tratamiento de datos personales asociados al ejercicio de su actividad. En estas circunstancias, en opinión de la demandante, los principios de limitación de la finalidad y de limitación del plazo de conservación exigieron suprimir los datos de que se trata, so pena de ilegalidad de la propia existencia de las bases de datos en cuestión en el litigio principal. Habida cuenta de ello, estima que la cuestión prejudicial planteada por el tribunal remitente, relativa a la legalidad de la venta de las bases de datos en un procedimiento de ejecución forzosa, no es pertinente para la solución del litigio principal.
31. Procede señalar que, a tenor del artículo 5, apartado 1, letra e), del RGPD, los datos personales (5) deben ser mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento. De ello se deduce que incluso un tratamiento de datos inicialmente lícito puede devenir, con el tiempo, incompatible con el RGPD cuando los datos ya no sean necesarios para la consecución de tales fines. (6) En tal caso, los datos deberán ser destruidos. (7) En el presente asunto, consta que los datos en cuestión se recogieron con fines vinculados a la actividad de venta en línea desarrollada por NMW. Si esta última hubiera cesado dicha actividad en abril de 2019, no cabe duda de que los datos ya no habrían sido necesarios para llevarla a cabo y, por tanto, deberían haber sido suprimidos. Sin tal supresión, la existencia de las bases de datos en cuestión no sería conforme con el RGPD y la falta de pertinencia de la presente cuestión prejudicial para la solución del litigio principal resultaría manifiesta.
32. Dicho esto, procede recordar que, según reiterada jurisprudencia, el Tribunal de Justicia solo es competente para pronunciarse sobre la interpretación del Derecho de la Unión habida cuenta del marco fáctico y normativo definido por el juez nacional bajo su responsabilidad, cuya exactitud no corresponde cuestionar ni verificar al Tribunal de Justicia. (8)
33. Pues bien, de ningún apartado de la resolución de remisión se desprende que NMW hubiera cesado su actividad en abril de 2019, como sostiene la demandante.
34. En segundo lugar, el tribunal remitente alberga dudas en cuanto a la aplicabilidad del RGPD a la luz de las disposiciones de la Directiva 96/9.
35. Es preciso recordar, con carácter preliminar, que la Directiva 96/9 tiene el objetivo de suprimir, a través de la aproximación de las legislaciones nacionales, las disparidades que existen entre estas en materia de protección jurídica de las bases de datos y que perjudican al funcionamiento del mercado interior, a la libre circulación de bienes y servicios en la Unión y al desarrollo de un mercado de la información en su seno. (9) El artículo 1, apartado 1, de dicha Directiva dispone que esta se refiere a la protección jurídica de las bases de datos, sean cuales fueren sus formas, y en el apartado 2 de dicho precepto se precisa que por «base de datos» se entenderán «las recopilaciones de obras, de datos o de otros elementos independientes dispuestos de manera sistemática o metódica y accesibles individualmente por medios electrónicos o de otra forma».
36. La citada Directiva obliga a todos los Estados miembros a prever en su legislación nacional la protección de las bases de datos mediante un derecho sui generis. Más concretamente, el artículo 7, apartado 1, de la Directiva 96/9 reserva al fabricante de la base de datos que ha tenido que realizar una gran inversión desde el punto de vista cuantitativo o cualitativo el derecho a prohibir la extracción o reutilización de la totalidad o de una parte sustancial del contenido de dicha base de datos. En virtud del artículo 7, apartado 3, de la Directiva, este derecho es transferible.
37. Según el tribunal remitente, las bases de datos pertenecientes a la sociedad NMW cumplen los requisitos para acogerse a la protección garantizada por la Ley de Protección de las Bases de Datos y por la Directiva 96/9, que fue transpuesta por la primera en el ordenamiento jurídico polaco. El artículo 6 de dicha Ley dispone, en particular, que el fabricante tiene el derecho exclusivo y transferible a extraer y reutilizar la totalidad o una parte sustancial de los datos. Por tanto, según el tribunal remitente, se trata de un derecho patrimonial de carácter absoluto y que produce efectos erga omnes. Afirma que, con arreglo al Derecho polaco, cualquier derecho patrimonial puede ser objeto de un procedimiento de ejecución forzosa, salvo que una disposición expresa excluya tal posibilidad. Pues bien, a su juicio, el legislador polaco no ha adoptado ninguna norma que prohíba ejecuciones forzosas que tengan por objeto bases de datos. De ello deduce que, en el presente asunto, el agente judicial es titular de un derecho a ceder las bases de datos en nombre del acreedor que se deriva del derecho del fabricante afectado por el procedimiento de ejecución a disponer libremente de ellas. Considera que la invocación de este derecho podría impedir la aplicación de las normas del RGPD en un caso como el de autos y, con ello, hacer inadmisible la presente cuestión prejudicial.
38. Para empezar, procede señalar que el tribunal remitente no identifica correctamente el derecho sui generis reconocido en el artículo 7 de la Directiva. Se trata, en efecto, del derecho a oponerse a actos que consisten fundamentalmente en reproducir las bases de datos o una parte sustancial de ellas a un coste muy inferior al necesario para crearlas de forma independiente, (10) pues el objetivo perseguido por el legislador de la Unión es garantizar a la persona que tomó la iniciativa y asumió el riesgo de realizar una inversión sustancial para la obtención, verificación o presentación del contenido de una base de datos la remuneración de su inversión protegiéndola frente a la apropiación no autorizada de los resultados obtenidos gracias a dicha inversión. (11)
39. Por otra parte, y sobre todo en lo que respecta a la relación entre la Directiva 96/9 y el RGPD, del artículo 13 de esta Directiva se desprende que esta no afectará a la normativa relativa, en particular, a la protección de los datos personales y de la vida privada, y del considerando 48 de dicha Directiva resulta que sus disposiciones se aplican sin perjuicio de las disposiciones en materia de protección de datos previstas en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, (12) a la que sucedió el RGPD. (13)
40. Por consiguiente, considero que el Tribunal de Justicia debe pronunciarse sobre el fondo del presente asunto.
Sobre el fondo
41. Mediante su cuestión prejudicial, el tribunal remitente desea saber, en esencia, si los artículos 5, apartado 1, letra a), y 6, apartados 1, párrafo primero, letras a), c) y e), y 3, del RGPD deben interpretarse en el sentido de que se oponen a una normativa nacional que permite a los agentes judiciales vender, en el contexto de un procedimiento de ejecución forzosa, una base de datos que contiene datos personales, cuando las personas a quienes conciernen dichos datos no han dado su consentimiento a tal venta.
42. Mi análisis jurídico se desarrollará del siguiente modo. En cuanto atañe al RGPD, abordaré la cuestión de la aplicabilidad de dicho Reglamento en el presente asunto y la relativa a la identificación del responsable del tratamiento en cuestión y, a continuación, me centraré en la interpretación de las normas que regulan la licitud de dicho tratamiento.
43. El razonamiento seguido en las presentes conclusiones mostrará que las disposiciones del Derecho de la Unión que el Tribunal de Justicia ha de tener en cuenta solo coinciden parcialmente con las mencionadas en la cuestión prejudicial. Por consiguiente, la respuesta que propongo se referirá a dichas disposiciones. (14)
Sobre la existencia del tratamiento y la identificación del responsable del tratamiento
44. Como se desprende del considerando 10 del RGPD, este Reglamento tiene por objeto, en particular, garantizar un nivel elevado de protección de las personas físicas dentro de la Unión y, a estos efectos, garantizar en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de esas personas en relación con el tratamiento de datos personales sea coherente y homogénea. (15)
45. En virtud de su artículo 2, apartado 1, este Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
46. El apartado 2 de dicho artículo establece una serie de excepciones al ámbito de aplicación de dicho Reglamento, basadas en el tipo de actividad en el ejercicio de la cual se efectúa el tratamiento. De la jurisprudencia del Tribunal de Justicia resulta que, habida cuenta de la necesidad de interpretar tales excepciones restrictivamente, es preciso que dicha actividad figure entre las mencionadas expresamente en el artículo 2, apartado 2, del RGPD o que pueda clasificarse en la misma categoría que estas. Así pues, que una actividad sea propia del Estado o de una autoridad pública no basta para que pueda considerarse que el tratamiento en cuestión se efectúa en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión en el sentido de la excepción prevista en el artículo 2, apartado 2, letra a), del RGPD. (16)
47. Por cuanto aquí interesa, debo señalar que el tratamiento realizado en el contexto de la ejecución forzosa de una demanda civil no está excluido del ámbito de aplicación de este Reglamento.
48. El ámbito de aplicación del RGPD está delimitado por el concepto de «tratamiento». En virtud del artículo 4, punto 2, de dicho Reglamento, este concepto incluye cualquier operación realizada sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como, en particular, la «extracción», la «consulta», la «utilización» y «cualquier otra forma de habilitación de acceso» a esos datos. Así pues, el legislador de la Unión quiso dar un alcance amplio al citado concepto. (17)
49. ¿Existe un tratamiento de datos personales en el presente asunto?
50. Es necesario realizar una precisión preliminar. Las operaciones con datos personales realizadas por la sociedad NMW para el ejercicio de su actividad de venta en línea a través de la plataforma M. no son objeto de la cuestión prejudicial planteada por el tribunal remitente. Esta cuestión se refiere exclusivamente al procedimiento de ejecución que tiene por objeto la venta forzosa de las bases de datos de que se trata. Según el tribunal remitente, un procedimiento de este tipo implica un tratamiento en el sentido del RGPD, del que es responsable el agente judicial.
51. A mi parecer, las aclaraciones facilitadas en la vista por el Gobierno polaco sobre la misión encomendada al agente judicial en los procedimientos de ejecución forzosa no dejan lugar a dudas en cuanto a la exactitud de esta interpretación.
52. Dicho Gobierno explicó que el procedimiento en cuestión comienza con el embargo de la base de datos, que permite al agente judicial acceder a los datos personales que figuran en ella para estimar su valor y hacerlo constar en el acta de embargo. A efectos de tal estimación, el agente judicial lleva a cabo una serie de operaciones, como la extracción, la consulta y la utilización de tales datos. (18) El procedimiento de ejecución forzosa concluye con la enajenación de la base de datos mediante subasta pública. Una vez que la adjudicación es definitiva y que se ha pagado la totalidad del precio, el agente judicial procede a habilitar al adquirente el acceso a dicha base de datos.
53. De ello se desprende que los datos personales contenidos en bases de datos como las controvertidas son al menos extraídos, consultados y utilizados por el agente judicial al objeto de estimar su valor, y posteriormente puestos a disposición del adquirente. A este respecto, cabe observar que un tratamiento de datos personales puede estar constituido por varias operaciones, cada una de ellas referida a una de las distintas fases que puede contener un tratamiento de datos personales. (19) Así pues, en el presente asunto, debe considerarse que las referidas operaciones constituyen un «tratamiento» en el sentido del RGPD.
54. A continuación, procede identificar al responsable de dicho tratamiento.
55. He de recordar que, en virtud del artículo 4, punto 7, del RGPD, el concepto de «responsable del tratamiento» incluye a las personas físicas o jurídicas, autoridades públicas, servicios u otros organismos que solos o junto con otros determinen los fines y medios de tal tratamiento. (20) Esta disposición prevé asimismo que, cuando los fines y medios del tratamiento estén determinados, en particular, por el Derecho de un Estado miembro, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos ese Derecho. Esta definición amplia del concepto de «responsable del tratamiento» tiene por objeto garantizar, según reiterada jurisprudencia, una protección eficaz y completa de los interesados. (21)
56. Según la jurisprudencia más reciente, cuando la determinación de los fines y medios del tratamiento se efectúe en virtud del Derecho nacional, deberá comprobarse si dicho Derecho designa al responsable del tratamiento o establece los criterios específicos aplicables a su nombramiento. La designación del responsable del tratamiento por el Derecho nacional puede ser no solo explícita, sino también implícita. En este último caso, se requiere, no obstante, que dicha determinación se desprenda con suficiente certeza del papel, de la misión y de las atribuciones encomendadas a la persona o entidad de que se trate. (22)
57. En el presente asunto, del artículo 3, apartado 1, de la Ley de Agentes Judiciales resulta que, sin perjuicio de las excepciones legalmente establecidas, el agente judicial es una autoridad pública a efectos de la realización de actividades, en particular, en los procedimientos de ejecución forzosa. Además, como se ha mencionado anteriormente, de la información obrante en autos se desprende que, cuando la ejecución forzosa tiene por objeto bases de datos, tales actividades consisten, en particular, en la extracción, la consulta y la utilización de los datos personales contenidos en ellas a efectos de la estimación del valor de esas bases de datos con vistas a su enajenación mediante subasta pública, así como en la habilitación de acceso al adquirente una vez que la adjudicación es definitiva. A mi parecer, el Derecho polaco ha determinado así, al menos implícitamente, los fines y los medios del tratamiento de datos personales efectuado por el agente judicial.
58. De ello se sigue que, en el presente asunto, puede considerarse que el agente judicial, como autoridad pública encargada de tramitar cualquier procedimiento de ejecución forzosa, incluidos los que tienen por objeto una base de datos, es el responsable del tratamiento de los datos personales contenidos en dicha base de datos, en el sentido del artículo 4, punto 7, del RGPD.
59. El tribunal remitente no hace referencia a ninguna disposición de Derecho polaco que imponga a la sociedad deudora NMW obligaciones de cooperación con el agente judicial para permitirle estimar el valor de las bases de datos en cuestión con vistas a su venta forzosa.
60. No puede excluirse que tales obligaciones impliquen la realización de otro tratamiento en el sentido del RGPD, del que esa sociedad sea la responsable. Es preciso recordar a este respecto que, en la sentencia Valsts ieņēmumu dienests (Tratamiento de datos personales con fines fiscales), el Tribunal de Justicia declaró que la comunicación de dichos datos y la habilitación del acceso a tales datos a la Administración tributaria de un Estado miembro por parte de un operador económico de datos personales que este último está obligado jurídicamente a facilitar implicaban un tratamiento adicional al tratamiento efectuado por dicha Administración en virtud de una solicitud de información y de habilitación de acceso a tales datos. (23)
61. Menos probable, aunque concebible en términos abstractos, es que el agente judicial y la sociedad deudora NMW puedan ser considerados conjuntamente responsables del tratamiento de los datos personales en cuestión, realizado a efectos de la venta forzosa. Según la sentencia État belge (Datos tratados por una publicación oficial), esta conclusión es posible cuando las diferentes operaciones de tratamiento estén unidas por fines y medios determinados por el Derecho interno y este fije las obligaciones respectivas de cada uno de los corresponsables del tratamiento. (24)
62. Sentado lo anterior, el análisis que sigue se basa, a la luz de los hechos del asunto, en la premisa de que el agente judicial es el único responsable del tratamiento en cuestión en el litigio principal.
63. Como responsable del tratamiento, el agente judicial no solo es responsable del cumplimiento de los principios que rigen el tratamiento de datos personales, (25) sino que también está sujeto a un número considerable de obligaciones, a las que corresponden derechos de los interesados. (26) Estas obligaciones solo pueden ser limitadas por el legislador nacional en las condiciones establecidas en el artículo 23 del RGPD. El Gobierno polaco, al ser interrogado en la vista sobre la existencia de tales disposiciones legislativas en el Derecho nacional, únicamente mencionó el artículo 4 de la Ley de Protección de Datos. No obstante, dicho artículo solo limita el alcance de las obligaciones del responsable del tratamiento que ejerce funciones públicas con arreglo al artículo 14, apartados 1, 2 y 4, del RGPD («Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado»).
Sobre la licitud del tratamiento de datos personales en cuestión
64. Como ha declarado reiteradamente el Tribunal de Justicia, todo tratamiento de datos personales debe, en particular, ser conforme con los principios relativos al tratamiento de datos establecidos en el artículo 5, apartado 1, del RGPD y, a la luz del principio de licitud del tratamiento, cumplir las condiciones de licitud enumeradas en el artículo 6 del mismo Reglamento. (27)
65. El artículo 6, apartado 1, párrafo primero, del citado Reglamento establece una lista exhaustiva y taxativa de los supuestos en los que el tratamiento de datos personales se califica de lícito. Tal calificación implica que el tratamiento esté comprendido en alguno de esos supuestos. Pues bien, es preciso recordar que el tratamiento en cuestión no está comprendido en el supuesto principal contemplado en dicha disposición, a saber, que el interesado haya dado su consentimiento al tratamiento para uno o varios fines específicos. (28) Como se desprende de la resolución de remisión, en el litigio principal no se ha aportado ninguna prueba que demuestre que las personas a quienes conciernen los datos personales recogidos en las bases de datos en cuestión han consentido que sus datos se transfieran a terceros al margen de la actividad vinculada a la plataforma M., en particular que sean vendidos de resultas de un procedimiento de ejecución forzosa.
66. Según el tribunal remitente, el tratamiento efectuado por el agente judicial podría estar comprendido en el ámbito de aplicación del artículo 6, apartado 1, párrafo primero, letra c), del RGPD (tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento) o del artículo 6, apartado 1, párrafo primero, letra e), de dicho Reglamento (tratamiento necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento). (29)
67. Como indica el tribunal remitente, el artículo 3 de la Ley de Agentes Judiciales confiere a los agentes judiciales el estatuto de autoridad pública. En mi opinión, es fácil sostener que las operaciones que se les encomiendan en el contexto de una ejecución forzosa destinada a satisfacer al acreedor están comprendidas en las misiones realizadas en el ejercicio de poderes públicos conferidos a dichos agentes.
68. Tampoco es fácil considerar que el supuesto contemplado en el artículo 6, apartado 1, párrafo primero, letra c), del RGPD se aplique a la situación del presente asunto. A este respecto, procede señalar que el ámbito de aplicación de esta disposición está estrictamente delimitado. En efecto, como se desprende del Dictamen 6/2014 del Grupo de Trabajo del Artículo 29, (30) la obligación legal a la que está sujeto el responsable del tratamiento debe estar suficientemente clara en lo que respecta al tratamiento de los datos personales que se requiere. Ello implica, en particular, la existencia de disposiciones jurídicas que se refieran expresamente a la naturaleza y el objeto del tratamiento. (31)
69. En el presente asunto, no creo que las disposiciones mencionadas por el tribunal remitente, a saber, los artículos 3, apartado 1, 9, apartado 1, punto 1, y 31, apartado 1, primera frase, de la Ley de Agentes Judiciales, así como los artículos 796, apartado 1, y 799, apartado 1, primera frase, del Código de Procedimiento Civil, puedan considerarse como tales, en la medida en que de ellas únicamente se desprende que el agente judicial, como autoridad pública, está obligado a tramitar cualquier solicitud de ejecución forzosa conforme al procedimiento establecido. Más concretamente, el Derecho polaco no parece imponer al agente judicial la obligación legal de proceder a la venta forzosa de una base de datos que contenga datos personales. A este respecto, he de señalar que el artículo 831, apartado 1, punto 3, del Código de Procedimiento Civil excluye de la ejecución forzosa los «derechos intransferibles», lo que podría entenderse como una prohibición de transmisión de la base de datos en caso de que esta fuera incompatible con el RGPD.
70. En cualquier caso, no es necesario descartar la posibilidad de que este último supuesto sea también pertinente en el presente asunto. Ciertamente, aunque basta con que se aplique un único supuesto de licitud, como confirma el tenor del artículo 6, apartado 1, párrafo primero, del RGPD, el Tribunal de Justicia ha admitido que un mismo y único tratamiento puede estar comprendido en varios de estos supuestos. (32)
71. Por tanto, a mi parecer, el tratamiento que es objeto del presente asunto está incluido en el supuesto de licitud previsto en el artículo 6, apartado 1, párrafo primero, letra e), del RGPD.
72. He de señalar que este supuesto implica que se tenga en cuenta otra condición de licitud del tratamiento. En efecto, el artículo 6, apartado 3, del RGPD establece que la base del tratamiento indicado en el apartado 1, letra e), de ese mismo precepto deberá ser establecida por el Derecho de la Unión o por el Derecho de los Estados miembros que se aplique al responsable del tratamiento y que cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido. (33)
73. Así pues, lo dispuesto en el artículo 6, apartado 1, párrafo primero, letra e), del RGPD, en relación con su artículo 6, apartado 3, exige una base jurídica, en particular nacional, que sirva de fundamento al tratamiento de datos personales por los responsables de ese tratamiento que actúen, en concreto, en el marco de una misión realizada en el ejercicio de poderes públicos, como la garantizada por el agente judicial en el procedimiento de ejecución forzosa de los bienes de una sociedad. (34)
74. En mi opinión, esta base jurídica la forman todas las disposiciones del Derecho polaco mencionadas en la primera frase del punto 69 de las presentes conclusiones, de las que se deduce que el agente judicial, como autoridad pública, está obligado a tramitar cualquier solicitud de ejecución forzosa conforme al procedimiento establecido.
75. Por último, la cuestión de si el tratamiento en cuestión es conforme con el RGPD exige abordar una cuestión jurídica adicional, que constituye el núcleo del presente asunto.
76. He de observar, en efecto, que la finalidad del tratamiento de datos personales efectuado por el agente judicial, a saber, la venta forzosa de bases de datos de usuarios de la plataforma M. con el fin de satisfacer a los acreedores de la sociedad NMW, difiere de la finalidad inicial del tratamiento de los datos personales por esta sociedad, a saber, permitir el uso de la plataforma M. para las necesidades de la actividad de venta en línea de dicha sociedad.
77. A este respecto, procede recordar que, a tenor del artículo 5, apartado 1, letra b), del RGPD, que enuncia el principio de la «limitación de la finalidad», los datos personales deben, por un lado, ser recogidos con fines determinados, explícitos y legítimos, y, por el otro, no ser tratados ulteriormente de manera incompatible con dichos fines. Sin embargo, esta disposición no contiene ninguna indicación acerca de las condiciones en que un tratamiento ulterior de datos personales puede considerarse compatible con los fines de su recogida inicial. (35)
78. Del artículo 6, apartado 4, del RGPD, interpretado a la luz del considerando 50 de dicho Reglamento, (36) se desprende que el examen de tal compatibilidad implica tener en cuenta una serie de criterios no exhaustivos en él enumerados.
79. Es evidente que tener en cuenta estos criterios en el presente asunto no podría conducir a una respuesta afirmativa en cuanto a la compatibilidad de los fines en cuestión. Como ha declarado recientemente el Tribunal de Justicia, tales criterios reflejan la necesidad de que exista una relación concreta, lógica y suficientemente estrecha entre los fines de la recogida inicial de los datos personales y su tratamiento ulterior, y permiten asegurarse de que el tratamiento ulterior no se aparte de las expectativas legítimas de los interesados en cuanto a la utilización ulterior de sus datos. (37) Pues bien, esta relación no puede considerarse acreditada en el presente asunto.
80. En cualquier caso, de conformidad con la primera frase del artículo 6, apartado 4, del RGPD, solo es necesario apreciar la compatibilidad de los fines «cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, [del RGPD]».
81. En el presente asunto, consta que los usuarios de la plataforma M. no dieron su consentimiento a que el tratamiento de sus datos personales se efectuase con un fin distinto de aquel para el que fueron recogidos esos datos. Por tanto, cabe preguntarse si dicho tratamiento se basa en el Derecho nacional o en el de la Unión y si puede considerarse una medida necesaria y proporcionada en una sociedad democrática para garantizar alguno de los objetivos enumerados en el artículo 23, apartado 1, del RGPD.
82. A este respecto, me parece necesario precisar que ese supuesto ha sido interpretado por el Tribunal de Justicia en el sentido de que constituye una auténtica excepción al principio de limitación de la finalidad. Sobre la base del considerando 50 del RGPD, el Tribunal de Justicia señaló que el responsable del tratamiento está facultado para el tratamiento ulterior de los datos en cuestión, con independencia de la compatibilidad del referido tratamiento con los fines para los que se recogieron inicialmente los datos personales, con el fin de salvaguardar los objetivos importantes de interés público general mencionados en el artículo 23, apartado 1, del RGPD. De este modo, concluyó que el artículo 6, apartado 4, primera frase, de dicho Reglamento se aplica a la presentación como prueba de un documento que contenga datos personales de terceros recogidos principalmente con fines de inspección fiscal, ordenada por un órgano jurisdiccional en el marco de un procedimiento judicial civil. (38)
83. A mi juicio, aunque esta interpretación puede no complacer a quienes estimen que el derecho a la protección de los datos personales debería poder limitarse únicamente mediante medidas legislativas nacionales, es plenamente conforme con la intención del legislador de la Unión. En efecto, cabe recordar que la exposición de motivos relativa a la posición del Consejo en los trabajos preparatorios del RGPD expone, quizás con mayor claridad si cabe que el considerando 50 de dicho Reglamento, la opción de permitir al responsable del tratamiento un margen, cuidadosamente delimitado, para efectuar un tratamiento incompatible con los fines indicados en el momento de la recogida de los datos personales objeto de dicho tratamiento. (39)
84. Dado que ya ha quedado acreditada la existencia de una base jurídica para el tratamiento en cuestión en el presente asunto, procede determinar a continuación si dicho tratamiento tiene la finalidad de salvaguardar los objetivos indicados en el artículo 23 del RGPD.
85. He de observar que, con arreglo al apartado 1, letra j), de dicha disposición, entre tales objetivos se incluye «la ejecución de demandas civiles». Me parece que el tratamiento de los datos personales en cuestión es adecuado para garantizar la consecución de este objetivo. A este respecto, es preciso señalar que, según el tribunal remitente, la finalidad de ese tratamiento resulta de la lectura conjunta del artículo 911 del Código de Procedimiento Civil y del artículo 31, apartado 1, primera frase, de la Ley de Agentes Judiciales, que facultan al agente judicial a llevar a cabo la venta de la base de datos y, en consecuencia, a transferir al acreedor la suma de dinero obtenida de dicha venta forzosa.
86. La cuestión de si el tratamiento efectuado por el agente judicial en el procedimiento de ejecución forzosa constituye una medida necesaria y proporcionada en una sociedad democrática para alcanzar el objetivo de salvaguardar la ejecución de demandas civiles es competencia del tribunal remitente. No obstante, compete al Tribunal de Justicia proporcionarle, sobre la base de la información disponible, todas las indicaciones necesarias al respecto relativas al Derecho de la Unión. (40)
87. En lo tocante al requisito de necesidad, no se discute que una medida es necesaria cuando el objetivo legítimo que se persigue no puede lograrse a través de una medida igual de adecuada pero menos restrictiva. Dicho de otro modo, ¿puede garantizarse la ejecución de la demanda de la sociedad acreedora por otros medios igualmente eficaces, pero menos atentatorios respecto de los derechos de los usuarios de la plataforma M. al respeto de la vida privada y de la protección de los datos personales? A este respecto, me limitaré a observar que, según el tribunal remitente, no es posible satisfacer a la sociedad acreedora con el patrimonio de la sociedad deudora, a menos que se proceda a la venta forzosa de las bases de datos en cuestión.
88. En cuanto a la proporcionalidad, la apreciación de este requisito exige una ponderación de los intereses contrapuestos en función de las circunstancias concretas del caso particular examinado.
89. En el presente asunto, el primero de estos intereses, que constituye un derecho fundamental consagrado en el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta») y en el artículo 16 TFUE, es la protección de los usuarios de la plataforma M. en lo que respecta al tratamiento de sus datos personales. Este interés está estrechamente relacionado con el derecho al respeto de la vida privada, garantizado por el artículo 7 de la Carta. Como dispone el considerando 4 del RGPD, el derecho a la protección de los datos personales no es un derecho absoluto, sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad. Uno de esos derechos es el derecho a la propiedad, recogido en el artículo 17 de la Carta. Pues bien, la venta, en un procedimiento de ejecución, de una base de datos perteneciente al deudor contribuye, a mi parecer, al respeto del derecho a la propiedad del titular de un crédito reconocido judicialmente.
90. A este respecto, he de recordar que el artículo 17 de la Carta se corresponde con el artículo 1 del Protocolo Adicional al Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, hecho en Roma el 4 de noviembre de 1950 (en lo sucesivo, «CEDH»), de modo que, en virtud del artículo 52, apartado 3, de la Carta, su sentido y alcance son iguales a los que les confiere el CEDH en dicho artículo 1.
91. Según la jurisprudencia del Tribunal Europeo de Derechos Humanos, el derecho de propiedad impone a los Estados la obligación positiva de aplicar un sistema de ejecución de las resoluciones judiciales que sea efectivo en la práctica y en Derecho, y que permita garantizar que los procedimientos de ejecución de resoluciones judiciales firmes previstos por la ley se llevan a cabo sin dilaciones indebidas. (41) Cuando el acreedor es un operador privado, el Estado debe prestar la asistencia necesaria a los acreedores en la ejecución de las resoluciones judiciales en cuestión, por ejemplo, mediante el servicio de agentes judiciales. (42) En este contexto, cuando las autoridades están obligadas a tomar acciones para garantizar la ejecución de una sentencia, pero no las toman, su inactividad puede conllevar la responsabilidad del Estado, con arreglo, en particular, al artículo 1 del Protocolo Adicional n.º 1 al CEDH. (43)
92. Al realizar esta ponderación entre el derecho a la propiedad, por un lado, y los derechos a la protección de datos personales y al respeto de la vida privada, por el otro, debe tenerse en cuenta, en mi opinión, un elemento específico que se desprende de los autos.
93. Según la resolución de remisión, en el Derecho polaco no existen disposiciones que introduzcan restricciones subjetivas en cuanto al adquirente de la base de datos, siendo la única condición la posesión de plena capacidad jurídica, lo que significa que el tercero adquirente también podría ser una entidad establecida fuera de la Unión Europea, que, como tal, no está obligada a respetar las normas sobre el tratamiento de datos personales del RGPD.
94. En esta situación, me parece que el tratamiento en cuestión supondría un sacrificio excesivo del derecho a la protección de datos personales y, por tanto, no podría considerarse una medida proporcionada. Este resultado podría evitarse, por ejemplo, mediante una norma jurídica nacional que obligue al agente judicial a incluir en el pliego de condiciones elaborado a efectos de la subasta una cláusula que obligue al tercero adquirente a cumplir las normas del RGPD.
Conclusión
95. A la luz de las consideraciones precedentes, propongo al Tribunal de Justicia que responda del siguiente modo a la cuestión prejudicial planteada por el Sąd Rejonowy dla m. st. Warszawy w Warszawie (Tribunal de Distrito de la Ciudad de Varsovia, Polonia):
«El artículo 6, apartados 1, párrafo primero, letra e), 3 y 4, primera frase, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos),
debe interpretarse en el sentido de que
no se opone a una normativa nacional que permite a los agentes judiciales vender, en el contexto de un procedimiento de ejecución forzosa, una base de datos que contiene datos personales, cuando las personas a quienes conciernen dichos datos no han dado su consentimiento a tal venta, siempre que el tratamiento de dichos datos por tales agentes judiciales constituya una medida necesaria y proporcionada en una sociedad democrática para salvaguardar la ejecución de una demanda civil.»