CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:T:2023:219

SENTENCIA DEL TRIBUNAL GENERAL (Sala Octava ampliada)

de 26 de abril de 2023 (*)

«Protección de datos personales — Procedimiento de compensación a los accionistas y acreedores a raíz de la resolución de una entidad de crédito — Decisión del SEPD en la que se declara el incumplimiento por la JUR de sus obligaciones en materia de tratamiento de datos personales — Artículo 15, apartado 1, letra d), del Reglamento (UE) 2018/1725 — Concepto de “datos personales” — Artículo 3, punto 1, del Reglamento 2018/1725 — Derecho de acceso al expediente»

En el asunto T‑557/20,

Junta Única de Resolución (JUR), representada por las Sras. H. Ehlers, M. Fernández Rupérez y A. Lapresta Bienz, en calidad de agentes, asistidas por los Sres. H.‑G. Kamann, M. Braun y F. Louis y la Sra. L. Hesse, abogados,

parte demandante,

contra

Supervisor Europeo de Protección de Datos (SEPD), representado por la Sra. P. Candellier y los Sres. X. Lareo y T. Zerdick, en calidad de agentes,

parte demandada,

EL TRIBUNAL GENERAL (Sala Octava ampliada),

integrado por el Sr. A. Kornezov, Presidente, y los Sres. G. De Baere (Ponente), D. Petrlík y K. Kecsmár y la Sra. S. Kingston, Jueces;

Secretaria: Sra. I. Kurme, administradora;

habiendo considerado los escritos obrantes en autos;

celebrada la vista el 1 de diciembre de 2022;

dicta la siguiente

Sentencia

1 Mediante su recurso, basado en el artículo 263 TFUE, la Junta Única de Resolución (JUR) solicita, por un lado, la anulación de la decisión revisada del Supervisor Europeo de Protección de Datos (SEPD) de 24 de noviembre de 2020 adoptada a raíz de la solicitud de revisión presentada por la JUR de la decisión del SEPD de 24 de junio de 2020 relativa a cinco reclamaciones presentadas por varios reclamantes (asuntos 2019‑947, 2019‑998, 2019‑999, 2019‑1000 y 2019‑1122) (en lo sucesivo, «decisión revisada») y, por otro lado, la declaración de ilegalidad de la decisión del SEPD de 24 de junio de 2020 (en lo sucesivo, «decisión inicial»).

Antecedentes del litigio

2 El 7 de junio de 2017, la sesión ejecutiva de la JUR adoptó la Decisión SRB/EES/2017/08 relativa a un dispositivo de resolución del Banco Popular Español, S. A., sobre la base del Reglamento (UE) n.^o 806/2014 del Parlamento Europeo y del Consejo, de 15 de julio de 2014, por el que se establecen normas uniformes y un procedimiento uniforme para la resolución de entidades de crédito y de determinadas empresas de servicios de inversión en el marco de un Mecanismo Único de Resolución y un Fondo Único de Resolución y se modifica el Reglamento (UE) n.^o 1093/2010 (DO 2014, L 225, p. 1).

3 Ese mismo día, la Comisión Europea adoptó la Decisión (UE) 2017/1246, por la que se aprueba el régimen de resolución (DO 2017, L 178, p. 15).

4 En el régimen de resolución, la JUR, al considerar que se cumplían las condiciones del artículo 18, apartado 1, del Reglamento n.^o 806/2014, decidió someter a resolución al Banco Popular Español (en lo sucesivo, «Banco Popular»). La JUR decidió amortizar y convertir los instrumentos de capital del Banco Popular con arreglo al artículo 21 del Reglamento n.^o 806/2014 y aplicar el instrumento de venta del negocio de conformidad con el artículo 24 del Reglamento n.^o 806/2014 mediante la transmisión de las acciones a un comprador.

5 A raíz de la resolución del Banco Popular, Deloitte remitió a la JUR, el 14 de junio de 2018, la valoración de la diferencia de trato, contemplada en el artículo 20, apartados 16 a 18, del Reglamento n.^o 806/2014, realizada a fin de evaluar si los accionistas y acreedores habrían recibido mejor tratamiento si el Banco Popular hubiera iniciado un procedimiento de insolvencia ordinario (en lo sucesivo, «valoración 3»).

6 El 6 de agosto de 2018, la JUR publicó en su sitio de Internet su Comunicación, de 2 de agosto de 2018, relativa a la decisión preliminar respecto a la potencial concesión de una compensación a los accionistas y acreedores del Banco Popular sobre los que se adoptaron las medidas de resolución, e inicio del proceso para presentar comentarios (derecho de audiencia) (SRB/EES/2018/132) (en lo sucesivo, «decisión preliminar»), y una versión no confidencial de la valoración 3. El 7 de agosto de 2018 se publicó en el Diario Oficial de la Unión Europea (DO 2018, C 277 I, p. 1) un anuncio en relación con la Comunicación de la JUR.

7 En la decisión preliminar, la JUR indicó que, para poder adoptar una decisión final sobre si era necesario conceder una compensación a los accionistas y acreedores afectados por la resolución del Banco Popular en virtud del artículo 76, apartado 1, letra e), del Reglamento n.^o 806/2014, les invitaba a manifestar su interés en ejercer su derecho a ser oídos con arreglo al artículo 41, apartado 2, letra a), de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»).

Sobre el procedimiento relativo al derecho a ser oído

8 En la decisión preliminar, la JUR indicó que el procedimiento relativo al derecho a ser oído se desarrollaría en dos fases. En una primera fase (en lo sucesivo, «fase de registro»), se invitaba a los accionistas y acreedores afectados a manifestar su interés en ejercer su derecho a ser oídos mediante un formulario de registro en línea hasta el 14 de septiembre de 2018. A continuación, la JUR debía comprobar si cada parte que hubiera manifestado su interés tenía efectivamente la condición de accionista o de acreedor afectado. En una segunda fase (en lo sucesivo, «fase de consulta»), los accionistas y acreedores afectados cuya condición había sido verificada por la JUR podían presentar sus comentarios sobre la decisión preliminar, a la que se adjuntaba la valoración 3.

9 En la fase de registro, los accionistas y acreedores afectados que desearan ejercer su derecho a ser oídos debían aportar a la JUR documentos justificativos que demostraran que, en la fecha de la resolución, eran titulares de uno o varios instrumentos de capital del Banco Popular que habían sido amortizados o convertidos y transmitidos a Banco Santander, S. A., en el marco de la resolución. Los justificantes que debían presentarse incluían un documento de identidad y una prueba de la titularidad de uno de esos instrumentos de capital a 6 de junio de 2017.

10 El 6 de agosto de 2018, fecha de inicio de la fase de registro, la JUR publicó también, en la página de Internet de registro en el procedimiento relativo al derecho a ser oído y en su sitio de Internet, una declaración de confidencialidad sobre el tratamiento de los datos personales en el procedimiento relativo al derecho a ser oído (en lo sucesivo, «declaración de confidencialidad»).

11 El 16 de octubre de 2018, la JUR anunció en su sitio de Internet que, a partir del 6 de noviembre de 2018, los accionistas y acreedores cualificados serían invitados a presentar sus comentarios escritos sobre la decisión preliminar en la fase de consulta.

12 El 6 de noviembre de 2018, por correo electrónico, la JUR envió a los accionistas y acreedores cualificados un vínculo personal único que les permitía acceder a un formulario en Internet (en lo sucesivo, «formulario»). El formulario contenía siete preguntas, con un espacio de respuesta limitado, para que los accionistas y acreedores afectados pudieran presentar, antes del 26 de noviembre de 2018, comentarios sobre la decisión preliminar y sobre la versión no confidencial de la valoración 3.

13 La JUR examinó los comentarios pertinentes de los accionistas y acreedores afectados relativos a la decisión preliminar. Solicitó a Deloitte que, como asesor independiente, evaluara los comentarios pertinentes relativos a la valoración 3, le facilitara un documento con su evaluación y examinara si la valoración 3 seguía siendo válida a la luz de esos comentarios.

Sobre el tratamiento de los datos recabados por la JUR en el procedimiento relativo al derecho a ser oído

14 Los datos recabados en la fase de registro, a saber, las pruebas de la identidad de los participantes y de la titularidad de instrumentos de capital del Banco Popular amortizados o convertidos y transmitidos, eran accesibles a un número limitado de miembros del personal de la JUR encargados del tratamiento de esos datos para determinar la admisibilidad de los participantes.

15 Estos datos no eran visibles para los miembros del personal de la JUR encargados del tratamiento de los comentarios recibidos en la fase de consulta, en la que únicamente recibieron comentarios identificados con referencia a un código alfanumérico asignado a cada comentario presentado mediante el formulario. El código alfanumérico consistía en un identificador único universal de 33 cifras, generado de forma aleatoria en el momento de la recepción de las respuestas al formulario.

16 En una primera etapa, la JUR realizó un filtrado automático de 23 822 comentarios, cada uno con un código alfanumérico único, presentados por 2 855 participantes en el procedimiento. Dos algoritmos permitieron identificar 20 101 comentarios como idénticos. El comentario presentado en primer lugar se consideró el comentario original, que se examinó en la fase de análisis, y los comentarios idénticos recibidos posteriormente se identificaron como duplicados.

17 En una segunda etapa, la fase de análisis, la JUR examinó los comentarios con el objetivo de garantizar la coherencia en la evaluación de su pertinencia y su categorización o agrupación en temas definidos. De este modo, la JUR identificó comentarios similares, pero no idénticos, que se basaban en las mismas fuentes disponibles en Internet.

18 El personal de la JUR encargado de analizar los comentarios no tenía acceso a los datos recabados en la fase de registro —de modo que esos comentarios estaban disociados de la información personal relativa a quienes los habían presentado—, ni a la clave de datos ni a la información que permitía rastrear la identidad de un participante por referencia al código alfanumérico único asignado a cada comentario.

19 En esta fase de análisis, la JUR comparó todos los comentarios presentados y los clasificó en función de la pregunta del formulario a la que respondían. Acto seguido, los comentarios fueron apreciados en función de su pertinencia y divididos entre, por un lado, los que estaban comprendidos en el ámbito de aplicación del procedimiento relativo al derecho a ser oído por cuanto podían influir en la decisión preliminar o en la valoración 3 y, por otro lado, los que no estaban comprendidos en dicho ámbito por referirse a otros aspectos de la resolución del Banco Popular.

20 A continuación, se asignaba un comentario comprendido en el ámbito de aplicación del procedimiento a uno de los quince temas predefinidos por la JUR. En función del tema al que correspondían, los comentarios se dividieron entre los que debía examinar la JUR por cuanto se referían a la decisión preliminar y los que debía examinar Deloitte por referirse a la valoración 3. La JUR no distinguió, entre los comentarios que debían examinarse, aquellos que únicamente se habían presentado una vez de los que tenían duplicados.

21 Al término de la fase de análisis, la JUR identificó 3 730 comentarios clasificados en función de su pertinencia y de su tema.

22 En una tercera etapa, la fase de examen, los comentarios relativos a la decisión preliminar fueron tratados por la JUR y los relativos a la valoración 3 —a saber, 1 104 comentarios— fueron transmitidos a Deloitte, el 17 de junio de 2019, a través de un servidor virtual de datos seguro y dedicado a la JUR. La JUR descargó los ficheros que debían remitirse a Deloitte en el servidor virtual y dio acceso a esos ficheros a un número limitado y controlado de miembros del personal de Deloitte directamente implicados en este proyecto.

23 Los comentarios transmitidos a Deloitte estaban filtrados, categorizados y agregados. Cuando constituían copias de comentarios anteriores, solamente se transmitía una versión a Deloitte, de modo que los comentarios individuales que habían sido replicados no podían distinguirse dentro de un mismo tema y Deloitte no tenía posibilidad de saber si un comentario había sido realizado por uno o varios participantes en el procedimiento.

24 Los comentarios transmitidos a Deloitte se referían únicamente a los recibidos en la fase de consulta y llevaban un código alfanumérico. Mediante ese código, la JUR era la única que podía relacionar los comentarios con los datos recibidos en la fase de registro. El código alfanumérico se desarrolló con fines de auditoría para poder comprobar y eventualmente demostrar a posteriori que cada comentario había sido tratado y debidamente tenido en cuenta. Deloitte no tenía y sigue sin tener acceso a la base de datos recabados en la fase de registro.

Sobre el procedimiento ante el SEPD

25 Los días 19, 26 y 28 de octubre y 5 de diciembre de 2019, accionistas y acreedores afectados que habían respondido al formulario remitieron al SEPD cinco reclamaciones (asuntos 2019‑947, 2019‑998, 2019‑999, 2019‑1000 y 2019‑1122) (en lo sucesivo, «cinco reclamaciones») con arreglo al Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.^o 45/2001 y la Decisión 1247/2002/CE (DO 2018, L 295, p. 39).

26 Los autores de las cinco reclamaciones (en lo sucesivo, «reclamantes») alegaron que la JUR no les había informado de que los datos obtenidos mediante las respuestas al formulario se transmitirían a terceros, a saber, Deloitte y Banco Santander, infringiendo los términos de la declaración de confidencialidad. Adujeron que, de este modo, la JUR había infringido el artículo 15, apartado 1, letra d), del Reglamento 2018/1725, según el cual, «cuando se obtengan de un interesado sus datos personales, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará […] la información [relativa a] los destinatarios o las categorías de destinatarios de los datos personales, en su caso».

27 El 12 de diciembre de 2019, el SEPD informó a la JUR de que había recibido las cinco reclamaciones y le pidió que presentara observaciones.

28 El 24 de junio de 2020, al término de un procedimiento en el que la JUR proporcionó diversas explicaciones a petición del SEPD y los reclamantes presentaron observaciones, el SEPD adoptó la decisión inicial. El SEPD consideró que la JUR había infringido el artículo 15 del Reglamento 2018/1725 al no haber informado a los reclamantes, en la declaración de confidencialidad, de la posibilidad de que sus datos personales fueran comunicados a Deloitte. En consecuencia, dirigió un apercibimiento a la JUR por ese incumplimiento en virtud del artículo 58, apartado 2, letra b), del Reglamento 2018/1725.

29 El 22 de julio de 2020, la JUR solicitó al SEPD que revisara la decisión inicial en virtud del artículo 18, apartado 1, de la Decisión del SEPD, de 15 de mayo de 2020, por la que se adopta el Reglamento interno del SEPD (DO 2020, L 204, p. 49). La JUR proporcionó una descripción detallada del procedimiento relativo al derecho a ser oído y del análisis de los comentarios presentados, en la fase de consulta, por cuatro de los reclamantes identificados. Alegó que la información transmitida a Deloitte no constituía datos personales en el sentido del artículo 3, punto 1, del Reglamento 2018/1725.

30 El 5 de agosto de 2020, el SEPD informó a la JUR de que, a la vista de los nuevos elementos aportados, había decidido revisar la decisión inicial y de que adoptaría una decisión que la sustituyera.

31 El 24 de noviembre de 2020, al término del procedimiento de revisión, en el que los reclamantes presentaron observaciones y la JUR facilitó información adicional a petición del SEPD, este último adoptó la decisión revisada.

32 El SEPD decidió revisar la decisión inicial en los siguientes términos:

«1. El SEPD considera que los datos que la JUR compartió con Deloitte eran datos seudonimizados, tanto porque los comentarios de la fase [de consulta] eran datos personales como porque la JUR compartió el código alfanumérico que permitía relacionar las respuestas recibidas en la fase [de registro] con las recibidas en la fase [de consulta], a pesar de que los datos facilitados por los participantes para identificarse en la fase [de registro] no se comunicaron a Deloitte.

2. El SEPD considera que Deloitte era destinataria de los datos personales de los reclamantes en el sentido del artículo 3, punto 13, del Reglamento [2018/1725]. El hecho de que Deloitte no fuera mencionada en la declaración de confidencialidad de la JUR como potencial destinataria de los datos personales recabados y tratados por la JUR, en su condición de responsable del tratamiento en el marco del procedimiento relativo al derecho a ser oído, constituye un incumplimiento de la obligación de información establecida en el artículo 15, apartado 1, letra d), [del Reglamento 2018/1725].

3. A la luz de todas las medidas técnicas y organizativas adoptadas por la JUR para mitigar los riesgos para el derecho de las personas a la protección de datos en el marco del procedimiento relativo al derecho a ser oído, el SEPD decide no ejercer sus facultades correctoras establecidas en el artículo 58, apartado 2, del Reglamento [2018/1725].

4. No obstante, el SEPD recomienda a la JUR cerciorarse de que sus declaraciones de confidencialidad en los futuros procedimientos relativos al derecho a ser oído cubran el tratamiento de datos personales tanto en la fase de registro como en la fase de consulta e incluyan a todos los potenciales destinatarios de la información recabada, a fin de cumplir plenamente la obligación de informar a los interesados de conformidad con el artículo 15 [del Reglamento 2018/1725].»

Pretensiones de las partes

33 La JUR solicita, tras adaptar sus pretensiones, al Tribunal General que:

– Anule la decisión revisada.

– Declare ilegal la decisión inicial.

– Condene en costas al SEPD.

34 El SEPD solicita al Tribunal General que:

– Desestime el recurso.

– Condene en costas a la JUR.

Fundamentos de Derecho

Sobre la segunda pretensión, por la que se solicita que el Tribunal General «declare ilegal la decisión inicial»

35 En el presente caso, las partes no discuten que la decisión revisada derogó y sustituyó a la decisión inicial.

36 El SEPD alega que, por ello, la pretensión relativa a la decisión inicial es inadmisible.

37 La JUR sostiene que sigue teniendo interés en que se constaten las irregularidades de procedimiento que llevaron a la adopción de la decisión inicial, a saber, las vulneraciones de su derecho de defensa y de su derecho de acceso al expediente, para que no se repitan en futuros procedimientos. En su respuesta a una diligencia de ordenación del procedimiento, puntualizó que, mediante su segunda pretensión, no solicitaba la anulación de la decisión inicial, que había sido derogada y sustituida por la decisión revisada con efectos ex tunc, sino que se declarara su ilegalidad.

38 Por lo tanto, procede considerar que, mediante su segunda pretensión, la JUR pretende obtener una sentencia declarativa y no la anulación de un acto.

39 Pues bien, baste recordar que de reiterada jurisprudencia se desprende que, en el marco del control de legalidad basado en el artículo 263 TFUE, el Tribunal General no es competente para pronunciar sentencias declarativas (véanse las sentencias de 4 de febrero de 2009, Omya/Comisión, T‑145/06, EU:T:2009:27, apartado 23 y jurisprudencia citada, y de 13 de septiembre de 2018, DenizBank/Consejo, T‑798/14, EU:T:2018:546, apartado 135 y jurisprudencia citada).

40 De lo anterior se deduce que procede desestimar la segunda pretensión de la JUR, por la que solicita al Tribunal General que «declare ilegal la decisión inicial», debido a la falta de competencia del Tribunal General para conocer de ella.

Sobre la admisibilidad de la primera pretensión, por la que se solicita la anulación de la decisión revisada

41 La admisibilidad de un recurso constituye una causa de inadmisión de orden público que, en cualquier momento, puede ser invocada de oficio por el juez de la Unión (véase la sentencia de 16 de marzo de 2022, MEKH y FGSZ/ACER, T‑684/19 y T‑704/19, EU:T:2022:138, apartado 29 y jurisprudencia citada; véase también, en este sentido, la sentencia de 24 de marzo de 1993, CIRFS y otros/Comisión, C‑313/90, EU:C:1993:111, apartado 23). En el marco de una diligencia de ordenación del procedimiento, el Tribunal General preguntó a las partes, en particular, sobre si la decisión revisada constituía un acto impugnable en virtud del artículo 263 TFUE.

42 En respuesta a esta pregunta, el SEPD indica que el hecho de que la decisión revisada contenga su posición final y una constatación de infracción no es suficiente para que constituya un acto impugnable. En su opinión, es necesario que dicha posición implique una modificación de la situación jurídica de la JUR. El SEPD estima que, dado que no hizo uso, en la decisión revisada, de sus facultades correctoras establecidas en el artículo 58 del Reglamento 2018/1725, cabe considerar que dicha decisión no produce efectos jurídicos a efectos del control judicial en virtud del artículo 263 TFUE.

43 La JUR, en su respuesta a esa misma pregunta, alega que la decisión revisada produce efectos jurídicos que pueden afectar a sus intereses.

44 De la jurisprudencia se desprende que, en virtud del artículo 263 TFUE, párrafo cuarto, una persona física o jurídica solo puede interponer recurso contra los actos que produzcan efectos jurídicos obligatorios que puedan afectar a sus intereses, modificando sustancialmente su situación jurídica. Así pues, en principio, constituyen actos impugnables las medidas que fijan definitivamente la postura de una institución, órgano u organismo de la Unión al término de un procedimiento administrativo y que tienden a producir efectos jurídicos obligatorios que puedan afectar a los intereses de la parte demandante, con exclusión de las medidas intermedias cuyo objetivo es preparar la decisión final, que carecen de tales efectos (véanse las sentencias de 25 de junio de 2020, CSUE/KF, C‑14/19 P, EU:C:2020:492, apartados 69 y 70 y jurisprudencia citada, y de 6 de mayo de 2021, ABLV Bank y otros/BCE, C‑551/19 P y C‑552/19 P, EU:C:2021:369, apartado 39 y jurisprudencia citada).

45 Para determinar si el acto impugnado produce esos efectos, hay que atenerse a la esencia de dicho acto y apreciar tales efectos en función de criterios objetivos, como el contenido del referido acto, tomando en consideración, en su caso, el contexto en el que se adoptó y las facultades de la institución, órgano u organismo de la Unión que fue su autor (véanse las sentencias de 22 de abril de 2021, thyssenkrupp Electrical Steel y thyssenkrupp Electrical Steel Ugo/Comisión, C‑572/18 P, EU:C:2021:317, apartado 48 y jurisprudencia citada; de 6 de mayo de 2021, ABLV Bank y otros/BCE, C‑551/19 P y C‑552/19 P, EU:C:2021:369, apartado 41 y jurisprudencia citada, y de 6 de octubre de 2021, Tognoli y otros/Parlamento, C‑431/20 P, EU:C:2021:807, apartado 34 y jurisprudencia citada).

46 En primer lugar, es preciso recordar que la decisión revisada fue adoptada por el SEPD a raíz de una solicitud presentada por la JUR de revisión de la decisión inicial. La decisión revisada, adoptada tras un procedimiento administrativo contradictorio, deroga y sustituye a la decisión inicial y constituye una decisión que fija definitivamente la posición del SEPD en relación con las cinco reclamaciones.

47 Pues bien, el artículo 64, apartado 2, del Reglamento 2018/1725, relativo al derecho a la tutela judicial efectiva, establece que las decisiones del SEPD podrán recurrirse ante el Tribunal de Justicia de la Unión Europea.

48 En particular, el artículo 18 del Reglamento interno del SEPD, sobre cuya base se adoptó la decisión revisada, dispone cuanto sigue en su apartado 3:

«Cuando, a raíz de una solicitud de revisión de su decisión sobre una reclamación, el SEPD emita una nueva decisión revisada, informará al reclamante y a la institución interesada de que pueden impugnar esta nueva decisión ante el Tribunal de Justicia de la Unión Europea de conformidad con el artículo 263 [TFUE].»

49 A este respecto, en la carta de acompañamiento de la decisión revisada enviada a la JUR, se indica lo siguiente:

«Tenga presente que esta decisión anula y sustituye a la decisión adoptada el 24 de junio de 2020. Podrá interponer recurso de anulación contra esta decisión ante el Tribunal de Justicia de la Unión Europea, en el plazo de dos meses a partir de la adopción de la presente decisión y en las condiciones establecidas en el artículo 263 [TFUE].»

50 En segundo lugar, por lo que respecta a la esencia de la decisión revisada, procede recordar, por un lado, que el SEPD concluyó que la JUR había incumplido la obligación de información establecida en el artículo 15, apartado 1, letra d), del Reglamento 2018/1725 y, por otro, que le recomendó fundamentalmente cerciorarse de no repetir tal incumplimiento en sus futuras declaraciones de confidencialidad.

51 Por un lado, procede señalar que, con arreglo al artículo 65 del Reglamento 2018/1725, tal infracción puede generar la responsabilidad de la JUR, como responsable del tratamiento de los datos en cuestión, siempre que se cumplan las demás condiciones previstas en los Tratados.

52 Por otro lado, con arreglo al artículo 66, apartado 1, del Reglamento 2018/1725, el SEPD, al decidir la imposición de una multa administrativa a una institución u organismo de la Unión y su cuantía, tiene en cuenta, entre otras cosas, toda infracción anterior similar cometida por dicha institución u organismo. Por consiguiente, si la JUR no siguiera la recomendación del SEPD de modificar en el futuro sus declaraciones de confidencialidad en los procedimientos relativos al derecho a ser oído, podría constatarse una infracción similar del artículo 15, apartado 1, letra d), del Reglamento 2018/1725 por parte de la JUR y dar lugar a la imposición de una multa.

53 De lo anterior se deduce que la constatación, en la decisión revisada, de que la JUR infringió el artículo 15, apartado 1, letra d), del Reglamento 2018/1725 produce efectos jurídicos obligatorios, aun cuando el SEPD indicara que renunciaba a ejercer sus facultades correctoras establecidas en el artículo 58, apartado 2, del Reglamento 2018/1725.

54 Habida cuenta de lo anterior, la decisión revisada es un acto de la Unión que puede afectar a los intereses de su destinatario, modificando sustancialmente su situación jurídica. Así pues, constituye un acto impugnable en el sentido del artículo 263 TFUE.

55 Por lo tanto, procede declarar la admisibilidad de la primera pretensión, que tiene por objeto la anulación de la decisión revisada.

Sobre el fondo

56 En apoyo de su recurso, la JUR invoca dos motivos. El primer motivo se basa en la infracción del artículo 3, punto 1, del Reglamento 2018/1725, en la medida en que la información transmitida a Deloitte no constituía datos personales. El segundo motivo se basa en la vulneración del derecho a una buena administración, reconocido en el artículo 41 de la Carta.

57 Mediante el primer motivo, la JUR alega que el SEPD infringió el artículo 3, punto 1, del Reglamento 2018/1725 al estimar, en la decisión revisada, que la información transmitida a Deloitte constituía datos personales de los reclamantes.

58 En el artículo 3, punto 1, del Reglamento 2018/1725, los datos personales se definen como «toda información sobre una persona física identificada o identificable [e indica que] se considerará persona física identificable a toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, unos datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona».

59 De esta definición se desprende que una información constituye un dato personal, en particular, si se cumplen dos requisitos acumulativos, a saber, por un lado, que sea una información «sobre» una persona física y, por otro, que se trate de una persona «identificada o identificable».

Sobre el requisito establecido en el artículo 3, punto 1, del Reglamento 2018/1725 según el cual la información debe ser «sobre» una persona física

60 La JUR alega que los comentarios recibidos en la fase de consulta y comunicados a Deloitte no se referían a personas concretas en el sentido del artículo 3, punto 1, del Reglamento 2018/1725. Considera que el razonamiento seguido en la sentencia de 20 de diciembre de 2017, Nowak (C‑434/16, EU:C:2017:994), no se aplica a los comentarios de los reclamantes. Sostiene que la información contenida en los comentarios de los reclamantes era información fáctica y jurídica independiente de las personas o de las cualidades personales de los reclamantes y ajena a sus vidas privadas. Considera que el objetivo del procedimiento relativo al derecho a ser oído era evaluar argumentos de hecho y de Derecho relativos a la decisión preliminar y a la valoración 3 procedentes de un gran número de partes interesadas, cuya personalidad e identidad eran irrelevantes a efectos de evaluar sus comentarios.

61 El SEPD alega que el contenido de los comentarios de los accionistas y acreedores afectados es una información que les «concierne», dado que sus respuestas contenían y reflejaban sus puntos de vista personales, aunque se basaran en información públicamente disponible. En su opinión, las respuestas al formulario dadas por los reclamantes y los demás participantes constituyen datos personales, con independencia de si son expresión de un punto de vista original o compartido con otros y de si la JUR los considera información independiente de los derechos específicos en materia de respeto de la vida privada de los accionistas y acreedores afectados.

62 Asimismo, el SEPD estima que los comentarios constituyen datos personales debido a sus efectos. En su opinión, la apreciación de estos comentarios, destinada a verificar la validez de la valoración 3 y la legalidad de la decisión preliminar, podía haber afectado a los intereses y derechos de los participantes en materia de compensación financiera. Por último, alega que la finalidad de la recogida de comentarios era conceder derechos procesales a cada parte, con el fin de recabar puntos de vista individuales.

63 En la decisión revisada, el SEPD indicó que las respuestas recibidas en la fase de consulta constituían datos personales de los reclamantes, en la medida en que contenían sus puntos de vista personales y, por lo tanto, constituían información sobre ellos, aun cuando se basaran en información públicamente disponible para expresar sus puntos de vista. Estimó que el hecho de que los reclamantes hubieran expresado puntos de vista similares, pero no idénticos, a los de otros participantes no significaba que sus respuestas no reflejaran su propia opinión. En consecuencia, el SEPD consideró que todas las respuestas proporcionadas en los campos de texto libre por los reclamantes y los demás participantes debían considerarse datos personales, ya se tratara de la expresión de un punto de vista original y único o de uno compartido con otros o inspirado o extraído de información públicamente disponible. Añadió que no contradecía esta conclusión la sentencia de 20 de diciembre de 2017, Nowak (C‑434/16, EU:C:2017:994), en la que el Tribunal de Justicia no había distinguido entre las respuestas elaboradas íntegramente por quienes respondían y las respuestas extraídas de otras fuentes de conocimiento.

64 Es preciso examinar si el SEPD pudo estimar fundadamente que la información transmitida a Deloitte era «sobre» una persona física en el sentido del artículo 3, punto 1, del Reglamento 2018/1725.

65 Con carácter preliminar, debe señalarse que, en la decisión revisada, el SEPD calificó de datos personales todos los comentarios formulados en la fase de consulta por los accionistas y acreedores afectados y no limitó su apreciación únicamente a la información transmitida a Deloitte.

66 Pues bien, en la medida en que la infracción del artículo 15, apartado 1, letra d), del Reglamento 2018/1725 constatada en la decisión revisada se refería únicamente al hecho de que la JUR no mencionara, en la declaración de confidencialidad, que Deloitte era el destinatario potencial de algunos datos, procede limitarse a examinar si la información transmitida a Deloitte constituía datos personales en el sentido del artículo 3, punto 1, del Reglamento 2018/1725.

67 A este respecto, el artículo 3, punto 13, del Reglamento 2018/1725 define al «destinatario» como «la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo al que se comuniquen datos personales, se trate o no de un tercero».

68 Según la jurisprudencia, el empleo de la expresión «toda información» en la definición del concepto de «datos personales», que figura en el artículo 3, punto 1, del Reglamento 2018/1725, evidencia el objetivo del legislador de la Unión de atribuir a este concepto un significado muy amplio, que no se ciñe a los datos confidenciales o relacionados con la intimidad, sino que puede abarcar todo género de información, tanto objetiva como subjetiva, en forma de opiniones o apreciaciones, siempre que sean «sobre» la persona en cuestión (véase, por analogía, la sentencia de 20 de diciembre de 2017, Nowak, C‑434/16, EU:C:2017:994, apartado 34).

69 Por lo que respecta a este último requisito, el Tribunal de Justicia ha declarado que se cumple cuando, debido a su contenido, finalidad o efectos, la información está relacionada con una persona concreta (sentencia de 20 de diciembre de 2017, Nowak, C‑434/16, EU:C:2017:994, apartado 35).

70 Sin embargo, en la decisión revisada, el SEPD no examinó ni el contenido, ni la finalidad, ni los efectos de la información transmitida a Deloitte.

71 Se limitó a indicar que los comentarios presentados por los reclamantes en la fase de consulta reflejaban sus opiniones o sus puntos de vista y a concluir, sobre esa única base, que constituían información que les concernía, lo que bastaba para calificarlos de datos personales.

72 En la vista, el SEPD confirmó que, a su juicio, cualquier opinión personal constituye un dato personal. También admitió no haber examinado el contenido de los comentarios presentados por los reclamantes en la fase de consulta.

73 Es cierto que no cabe excluir que puntos de vista personales u opiniones constituyan datos personales. Sin embargo, de los apartados 34 y 35 de la sentencia de 20 de diciembre de 2017, Nowak (C‑434/16, EU:C:2017:994), citados en los anteriores apartados 68 y 69, se desprende que tal conclusión no puede basarse en una presunción como la descrita en los anteriores apartados 71 y 72, sino que debe sustentarse en el examen destinado a determinar si, por su contenido, finalidad o efectos, un punto de vista está relacionado con una persona concreta.

74 De lo anterior se deduce que, al no haber llevado a cabo tal examen, el SEPD no podía concluir que la información transmitida a Deloitte constituía información «sobre» una persona física en el sentido del artículo 3, punto 1, del Reglamento 2018/1725.

75 A continuación, el Tribunal General examinará la apreciación del SEPD relativa a si la información transmitida a Deloitte era sobre una persona física «identificada o identificable».

Sobre el requisito establecido en el artículo 3, punto 1, del Reglamento 2018/1725 según el cual la información debe ser sobre una persona física «identificada o identificable»

76 La JUR alega que, contrariamente a lo que consideró el SEPD, la comunicación del código alfanumérico a Deloitte no llevó a «seudonimizar» los datos. Considera que estos siguieron siendo anónimos, en la medida en que la JUR no compartió con Deloitte la información que permitía volver a identificar a los autores de los comentarios.

77 La JUR sostiene que los datos se convierten en anónimos para un tercero, aun cuando la información que permite volver a conocer la identidad no se elimine irrevocablemente y sea conservada por el encargado del tratamiento inicial, si el formato en el que se comunican los datos a ese tercero ya no permite la identificación del autor de los comentarios o no la hace razonablemente probable. La JUR alega que, contrariamente a lo que estimó el SEPD en la decisión revisada, el Reglamento 2018/1725 y la jurisprudencia del Tribunal de Justicia exigen una evaluación del riesgo de desanonimización.

78 Más concretamente, la JUR alega que en el presente caso no se cumplen las condiciones establecidas por la jurisprudencia del Tribunal de Justicia en relación con la existencia de un riesgo de desanonimización cuando toda la información que puede permitir la identificación no obra en poder de una sola persona, sino de varias partes. Por un lado, considera que el código alfanumérico asignado a los comentarios individuales no permite a Deloitte volver a identificar a las personas que presentaron comentarios. La información adicional mencionada en el artículo 3, punto 6, del Reglamento 2018/1725 está constituida por la base de datos que permite la descodificación a la que solo tiene acceso la JUR. Por otro lado, estima que, en cuanto al criterio de probabilidad razonable de combinación de la información, Deloitte no tenía y sigue sin tener medios legales para acceder a la información adicional e identificativa.

79 El SEPD sostiene que el hecho de que Deloitte no tuviera acceso a la información en poder de la JUR que permitía la desanonimización no implica que los datos «seudonimizados» transmitidos a Deloitte se convirtieran en datos anónimos. En su opinión, no es necesario determinar si Deloitte podía volver a identificar a los autores de la información que se le había transmitido o si eso era razonablemente probable. Considera que los datos «seudonimizados» siguen siéndolo aunque se transmitan a un tercero que no disponga de la información adicional.

80 El SEPD alega que la utilización del término «indirectamente» en el artículo 3, punto 1, del Reglamento 2018/1725 significa que, para que una información se califique de dato personal, no es necesario que permita por sí sola identificar al interesado. Añade que, por lo que respecta a los medios que razonablemente puede utilizar tanto el responsable del tratamiento como cualquier otra persona, no se exige que toda la información que permita identificar al interesado deba estar en manos de una sola persona.

81 En la decisión revisada, el SEPD consideró que la información transmitida a Deloitte consistía en datos «seudonimizados». A este respecto, indicó que la diferencia entre los datos «seudonimizados» y los datos anónimos radica en que, en el caso de datos anónimos, no existe «información adicional» que pueda utilizarse para atribuir los datos a un interesado concreto, mientras que en el caso de datos «seudonimizados», sí existe tal información adicional. Por consiguiente, para evaluar si los datos eran anónimos o «seudonimizados», debía examinarse si existía «información adicional» que pudiera utilizarse para atribuir los datos a interesados concretos.

82 Señaló que la JUR había transmitido a Deloitte no solo algunos comentarios de los accionistas y acreedores afectados, sino también el código alfanumérico correspondiente, y que Deloitte no había tenido acceso a las respuestas dadas en la fase de registro. Afirmó que, como había explicado la JUR, «era imposible para Deloitte rastrear la identidad de cualquier parte que utilizara ese código por referencia a los datos concretos facilitados por las partes cualificadas en el marco de la fase de registro (que siempre conservó la JUR)». No obstante, el SEPD consideró que los datos facilitados en la fase de registro con el identificador único, a saber, el código alfanumérico asignado a cada participante cualificado, constituían un ejemplo perfecto de «información adicional» a efectos del artículo 3, punto 6, del Reglamento 2018/1725, porque podían ser utilizados por la JUR para atribuir los datos a un interesado concreto.

83 El SEPD explicó que el Reglamento 2018/1725 no distingue entre quienes conservan los datos «seudonimizados» y quienes poseen información adicional y que el hecho de que se trate de entidades diferentes no convierte en anónimos los datos «seudonimizados». Añadió que el hecho de que Deloitte no pudiera atribuir por sí sola los comentarios a los datos recibidos en la fase de registro no excluía que los datos que había recibido estuvieran «seudonimizados». En opinión del SEPD, los datos que la JUR había compartido con Deloitte eran datos «seudonimizados», tanto porque los comentarios recibidos en la fase de consulta eran datos personales como porque la JUR compartió el código alfanumérico que permitía relacionar las respuestas dadas en la fase de registro con las dadas en la fase de consulta, a pesar de que los datos facilitados por los participantes para identificarse en la fase de registro no se comunicaron a Deloitte. De ello dedujo que la información transmitida a Deloitte consistía en datos «seudonimizados» y, por lo tanto, datos personales en el sentido del artículo 3, punto 1, del Reglamento 2018/1725.

84 Con carácter preliminar, procede señalar que, habida cuenta de los mecanismos establecidos por la JUR en relación con el tratamiento de los datos recabados en el marco del procedimiento relativo al derecho a ser oído, descritos en los anteriores apartados 14 a 24, la información transmitida a Deloitte no se refería a personas «identificadas».

85 Por lo tanto, es preciso examinar si el SEPD pudo considerar fundadamente que la información transmitida a Deloitte se refería a una persona física «identificable» en el sentido del artículo 3, punto 1, del Reglamento 2018/1725.

86 Según dicha disposición, se considera «persona física identificable» a toda persona cuya identidad pueda determinarse, directa o indirectamente.

87 Según el considerando 16 del Reglamento 2018/1725:

«[…] Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable. Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos. […]»

88 Procede señalar que, en la sentencia de 19 de octubre de 2016, Breyer (C‑582/14, EU:C:2016:779), el Tribunal de Justicia interpretó el concepto de datos personales en el sentido del artículo 2, letra a), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31), que contiene una disposición equivalente al artículo 3, punto 1, del Reglamento 2018/1725.

89 Dicho asunto planteaba el tema de si una dirección de protocolo de Internet (en lo sucesivo, «dirección IP») dinámica constituía un dato personal respecto al proveedor de servicios de medios en línea que la había registrado. El Tribunal de Justicia consideró que debía comprobarse si dicha dirección IP podía calificarse de información sobre una «persona física identificable», teniendo en cuenta, por un lado, el hecho de que no permitía, por sí sola, a ese proveedor identificar al usuario que había consultado el sitio de Internet y, por otro, el hecho de que la información adicional necesaria que, si se combinara con esa dirección IP, permitiría identificar a dicho usuario, la tenía el proveedor de acceso a Internet.

90 En la medida en que el considerando 16 del Reglamento 2018/1725 hace referencia a los medios que puedan ser razonablemente utilizados tanto por el responsable del tratamiento como por «cualquier otra persona», su tenor sugiere que, para que un dato pueda ser calificado de «dato personal», en el sentido del artículo 3, punto 1, del Reglamento 2018/1725, no es necesario que toda la información que permita identificar al interesado deba estar en manos de una sola persona (véase, por analogía, la sentencia de 19 de octubre de 2016, Breyer, C‑582/14, EU:C:2016:779, apartado 43).

91 Sin embargo, el Tribunal de Justicia añadió que el hecho de que la información adicional necesaria para identificar al usuario de un sitio de Internet no estuviera en poder del proveedor de servicios de medios en línea, sino del proveedor de acceso a Internet de ese usuario, no parecía que pudiera excluir que las direcciones IP dinámicas registradas por el proveedor de servicios de medios en línea constituyeran, para este, datos personales (sentencia de 19 de octubre de 2016, Breyer, C‑582/14, EU:C:2016:779, apartado 44).

92 El Tribunal de Justicia consideró que debía no obstante determinarse si la posibilidad de combinar una dirección IP dinámica con dicha información adicional en poder del proveedor de acceso a Internet constituía un medio que pudiera ser razonablemente utilizado para identificar al interesado (sentencia de 19 de octubre de 2016, Breyer, C‑582/14, EU:C:2016:779, apartado 45).

93 El Tribunal de Justicia indicó que no sucedería así si la identificación del interesado estuviese prohibida por la ley o fuese irrealizable en la práctica, por ejemplo, porque implicara un esfuerzo desmesurado en términos de tiempo, coste y mano de obra, de modo que el riesgo de identificación resultara en realidad insignificante (sentencia de 19 de octubre de 2016, Breyer, C‑582/14, EU:C:2016:779, apartado 46).

94 En el presente caso, no se discute, por un lado, que el código alfanumérico que figura en la información transmitida a Deloitte no permitía por sí solo identificar a los autores de los comentarios y, por otro lado, que Deloitte no tenía acceso a los datos de identificación recibidos en la fase de registro que permitían relacionar a los participantes con sus comentarios gracias al código alfanumérico.

95 El SEPD declaró en la decisión revisada, y confirmó en la vista, que la información adicional necesaria para identificar a los autores de los comentarios consistía en el código alfanumérico y la base de datos de identificación.

96 Es cierto que, como sostiene el SEPD, habida cuenta del apartado 43 de la sentencia de 19 de octubre de 2016, Breyer (C‑582/14, EU:C:2016:779), citado en el anterior apartado 90, el hecho de que la información adicional necesaria para identificar a los autores de los comentarios recibidos en la fase de consulta no estuviera en poder de Deloitte, sino de la JUR, no parece excluir a priori que la información transmitida a Deloitte constituyera, para esta, datos personales.

97 Sin embargo, también se desprende de la sentencia de 19 de octubre de 2016, Breyer (C‑582/14, EU:C:2016:779), que, para determinar si la información transmitida a Deloitte constituía datos personales, es preciso ponerse en el lugar de esta última para determinar si la información que se le transmitió versa sobre «personas identificables».

98 En efecto, procede recordar, en primer término, que la infracción del artículo 15, apartado 1, letra d), del Reglamento 2018/1725 constatada por el SEPD en la decisión revisada se refería a la remisión por parte de la JUR a Deloitte de algunos comentarios y no a la mera tenencia de estos por la JUR.

99 En segundo término, por un lado, la situación de Deloitte puede compararse a la del prestador de servicios de medios en línea contemplada en la sentencia de 19 de octubre de 2016, Breyer (C‑582/14, EU:C:2016:779), dado que disponía de información —a saber, los comentarios relativos a la valoración 3— que no constituía información sobre una «persona física identificada», en la medida en que el código alfanumérico que figuraba en cada respuesta no permitía revelar directamente la identidad de la persona física que había cumplimentado el formulario. Por otro lado, la situación de la JUR puede compararse a la del proveedor de acceso a Internet en ese asunto, en la medida en que queda acreditado que era el único que disponía de la información adicional que permitía identificar a los accionistas y acreedores afectados que respondieron al formulario, a saber, el código alfanumérico y la base de datos de identificación.

100 Por consiguiente, con arreglo al apartado 44 de la sentencia de 19 de octubre de 2016, Breyer (C‑582/14, EU:C:2016:779), citado en el anterior apartado 91, correspondía al SEPD examinar si los comentarios transmitidos a Deloitte constituían, para esta, datos personales.

101 Así pues, el SEPD yerra al sostener que no era necesario averiguar si Deloitte podía volver a identificar a los autores de la información que se le había transmitido o si eso era razonablemente posible.

102 Hay que señalar que, en la decisión revisada, el SEPD consideró que el hecho de que la JUR dispusiera de la información adicional que permitía volver a identificar a los autores de los comentarios bastaba para concluir que la información transmitida a Deloitte consistía en datos personales, aun cuando reconoció que los datos de identificación recibidos en la fase de registro no se habían comunicado a Deloitte.

103 Por lo tanto, de la decisión revisada se desprende que el SEPD se limitó a examinar la posibilidad de volver a identificar a los autores de los comentarios desde el punto de vista de la JUR y no de Deloitte.

104 Ahora bien, del apartado 45 de la sentencia de 19 de octubre de 2016, Breyer (C‑582/14, EU:C:2016:779), citado en el anterior apartado 92, se desprende que correspondía al SEPD determinar si la posibilidad de combinar la información que se había transmitido a Deloitte con la información adicional en poder de la JUR constituía un medio que Deloitte podía razonablemente utilizar para identificar a los autores de los comentarios.

105 Por lo tanto, al no haber investigado el SEPD si Deloitte disponía de medios legales y factibles en la práctica para poder acceder a la información adicional necesaria para volver a identificar a los autores de los comentarios, el SEPD no podía concluir que la información transmitida a Deloitte constituía información sobre una «persona física identificable» en el sentido del artículo 3, punto 1, del Reglamento 2018/1725.

106 De todo lo anterior se desprende que procede estimar el primer motivo y, por lo tanto, anular la decisión revisada, sin que sea necesario examinar el segundo motivo.

Costas

107 A tenor del artículo 134, apartado 1, del Reglamento de Procedimiento del Tribunal General, la parte que haya visto desestimadas sus pretensiones será condenada en costas, si así lo hubiera solicitado la otra parte.

108 Por haber sido desestimadas en lo esencial las pretensiones del SEPD, procede condenarlo en costas, conforme a lo solicitado por la JUR.

En virtud de todo lo expuesto,

EL TRIBUNAL GENERAL (Sala Octava ampliada)

decide:

1) Anular la decisión revisada del Supervisor Europeo de Protección de Datos (SEPD) de 24 de noviembre de 2020, adoptada a raíz de la solicitud de revisión presentada por la Junta Única de Resolución (JUR) de la decisión del SEPD de 24 de junio de 2020 relativa a cinco reclamaciones presentadas por varios reclamantes (asuntos 2019‑947, 2019‑998, 2019‑999, 2019‑1000 y 2019‑1122).

2) Desestimar el recurso en todo lo demás.

3) Condenar en costas al SEPD.

Kornezov

De Baere

Petrlík

Kecsmár

Kingston

Pronunciada en audiencia pública en Luxemburgo, a 26 de abril de 2023.

Firmas

* Lengua de procedimiento: inglés.