CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2024:7

Edición provisional

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Tercera)

de 11 de enero de 2024 (*)

«Procedimiento prejudicial — Aproximación de las legislaciones — Protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos) — Reglamento (UE) 2016/679 — Artículo 4, punto 7 — Concepto de “responsable del tratamiento” — Diario oficial de un Estado miembro — Obligación de publicar tal como están los actos de sociedades preparados por estas últimas o sus representantes legales — Artículo 5, apartado 2 — Tratamiento sucesivo, por varias personas o entidades distintas, de los datos personales que figuran en tales actos — Determinación de las responsabilidades»

En el asunto C‑231/22,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por la cour d’appel de Bruxelles (Tribunal de Apelación de Bruselas, Bélgica), mediante resolución de 23 de febrero de 2022, recibida en el Tribunal de Justicia el 1 de abril de 2022, en el procedimiento entre

État belge

Autorité de protection des données,

con intervención de:

LM,

EL TRIBUNAL DE JUSTICIA (Sala Tercera),

integrado por la Sra. K. Jürimäe, Presidenta de Sala, y los Sres. N. Piçarra, M. Safjan (Ponente), N. Jääskinen y M. Gavalec, Jueces;

Abogada General: Sra. L. Medina;

Secretaria: Sra. C. Strömholm, administradora;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 23 de marzo de 2023;

consideradas las observaciones presentadas:

– en nombre de la Autorité de protection des données, por las Sras. F. Biebuyck y P. Van Muylder, avocates, y el Sr. Kairis, advocaat;

– en nombre del Gobierno belga, por los Sres. P. Cottin y J.‑C. Halleux y por la Sra. C. Pochet, en calidad de agentes, asistidos por los Sres. S. Kaisergruber y P. Schaffner, avocats;

– en nombre del Gobierno húngaro, por la Sra. Zs. Biró-Tóth y el Sr. M. Z. Fehér, en calidad de agentes;

– en nombre de la Comisión Europea, por los Sres. A. Bouchagiar y H. Kranenborg y por la Sra. A.‑C. Simon, en calidad de agentes;

oídas las conclusiones de la Abogada General, presentadas en audiencia pública el 8 de junio de 2023;

dicta la siguiente

Sentencia

1 La petición de decisión prejudicial tiene por objeto la interpretación de los artículos 4, punto 7, y 5, apartado 2, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (DO 2016, L 119, p. 1; en lo sucesivo, «RGPD»).

2 Esta petición se ha presentado en el contexto de un litigio entre el État belge (Estado belga) y la Autorité de protection des données (Autoridad de Protección de Datos, Bélgica) (en lo sucesivo, «APD»), que es la autoridad de control establecida en Bélgica en virtud del artículo 51 del RGPD, en relación con una decisión por la que dicha autoridad ordenó a la autoridad que gestiona el Moniteur belge, el diario oficial que se encarga, en ese Estado miembro, de la producción y difusión de una amplia gama de publicaciones oficiales y públicas en papel y por vía electrónica, que diera curso al ejercicio, por parte de una persona física, de su derecho a la supresión en relación con varios datos personales que figuran en un acto publicado en ese diario oficial.

Marco jurídico

Derecho de la Unión

3 El artículo 4, puntos 2 y 7, del RGPD dispone:

«A efectos del presente Reglamento se entenderá por:

[…]

2) “tratamiento” cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

[…]

7) “responsable del tratamiento” o “responsable”: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;

[…]».

4 El artículo 5 del RGPD establece:

«1. Los datos personales serán:

a) tratados de manera lícita, leal y transparente en relación con el interesado (“licitud, lealtad y transparencia”);

b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales (“limitación de la finalidad”);

c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (“minimización de datos”);

d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan (“exactitud”);

e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado (“limitación del plazo de conservación”);

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (“integridad y confidencialidad”).

2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva”).»

5 El artículo 17 de la RGPD tiene la siguiente redacción:

«1. El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:

a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;

b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico;

c) el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2;

[…]

3. Los apartados 1 y 2 no se aplicarán cuando el tratamiento sea necesario:

[…]

b) para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable;

[…]

d) con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, […]

[…]».

6 A tenor del artículo 26 del RGPD:

«1. Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento. Los corresponsables determinarán de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el presente Reglamento, en particular en cuanto al ejercicio de los derechos del interesado y a sus respectivas obligaciones de suministro de información a que se refieren los artículos 13 y 14, salvo, y en la medida en que, sus responsabilidades respectivas se rijan por el Derecho de la Unión o de los Estados miembros que se les aplique a ellos. Dicho acuerdo podrá designar un punto de contacto para los interesados.

2. El acuerdo indicado en el apartado 1 reflejará debidamente las funciones y relaciones respectivas de los corresponsables en relación con los interesados. Se pondrán a disposición del interesado los aspectos esenciales del acuerdo.

3. Independientemente de los términos del acuerdo a que se refiere el apartado 1, los interesados podrán ejercer los derechos que les reconoce el presente Reglamento frente a, y en contra de, cada uno de los responsables.»

7 El artículo 51 del RGPD dispone, en particular, que los Estados miembros deben establecer una o varias autoridades públicas independientes encargadas de supervisar la aplicación de dicho Reglamento.

Derecho belga

8 El artículo 472 de la loi-programme du 24 décembre 2002 (Ley-Programa de 24 de diciembre de 2002) (Moniteur belge de 31 de diciembre de 2002, p. 58686) dispone:

«El Moniteur belge es un diario oficial editado por la Direction du Moniteur belge (Dirección del Moniteur Belge, Bélgica) que reúne todos los textos para los que se prescribe la publicación en este medio.»

9 El artículo 474 de dicha Ley-Programa indica:

«La Dirección del Moniteur Belge llevará a cabo la publicación en el Moniteur belge mediante la impresión de cuatro ejemplares en papel.

[…]

Una copia se almacenará electrónicamente. Mediante real decreto se determinarán las disposiciones de desarrollo del almacenamiento electrónico […]».

10 El artículo 475 de la citada Ley-Programa está redactado como sigue:

«Cualquier otra divulgación pública se hará a través del sitio de Internet de la Dirección del Moniteur Belge.

Las publicaciones disponibles en dicho sitio de Internet serán reproducciones exactas en formato electrónico de los ejemplares en papel a que se refiere en el artículo 474.»

11 A tenor del artículo 475 bis de esta misma Ley-Programa:

«Cualquier ciudadano podrá obtener del Moniteur belge, a precio de coste, a través de una línea telefónica gratuita, una copia de los actos y documentos publicados en el Moniteur belge. Este servicio también se encargará de poner a disposición de los ciudadanos un servicio de ayuda para la búsqueda de documentos.»

12 El artículo 475 ter de la Ley-Programa de 24 de diciembre de 2002 establece:

«Se adoptarán otras medidas complementarias mediante real decreto adoptado en Consejo de Ministros con el fin de garantizar una difusión y un acceso lo más amplios posibles a la información contenida en el Moniteur belge.»

Litigio principal y cuestiones prejudiciales

13 En Bélgica, una persona física poseía la mayoría de las participaciones de una sociedad privada de responsabilidad limitada. Dado que los socios de dicha sociedad decidieron reducir su capital, se modificaron los estatutos de la referida sociedad por un acuerdo de la Junta Extraordinaria de esta de 23 de enero de 2019.

14 Con arreglo al code des sociétés (Código de Sociedades), en su versión resultante de la loi du 7 mai 1999 (Ley de 7 de mayo de 1999) (Moniteur belge de 6 de agosto de 1999, p. 29440), el notario designado por esa persona física preparó un extracto de dicha decisión, que transmitió a la Secretaría del tribunal competente, a saber, el tribunal de l’entreprise (Tribunal de Empresas, Bélgica) en cuya demarcación territorial tiene su domicilio social dicha sociedad. En virtud de las disposiciones legales pertinentes, el tribunal remitió ese extracto para su publicación a la Dirección del Moniteur Belge.

15 El 12 de febrero de 2019, el citado extracto fue publicado tal como estaba, es decir, sin control de su contenido, en los anexos del Moniteur belge de conformidad con las disposiciones legales aplicables.

16 El mismo extracto contiene el acuerdo de reducir el capital de la sociedad, el importe inicial del capital, la cuantía de la reducción de que se trata, así como el nuevo monto del capital social y el nuevo texto de los estatutos de la misma sociedad. También contiene un pasaje en el que se indican el nombre de los dos socios de esta última, entre ellos el de la persona física mencionada en el apartado 13 de la presente sentencia, los importes que se les reembolsaron y sus números de cuenta bancaria (en lo sucesivo, «pasaje objeto del litigio principal»).

17 Tras comprobar que el notario había cometido un error al incluir en el extracto mencionado en el apartado 14 de la presente sentencia el pasaje objeto del litigio principal, pese a que la ley no lo exigía, esa persona física, a través del notario y del delegado de protección de datos de este último, inició actuaciones dirigidas a obtener la supresión de dicho pasaje, de conformidad con su derecho de supresión previsto en el artículo 17 del RGPD.

18 El service public fédéral Justice (Servicio Público Federal de Justicia, Bélgica) (en lo sucesivo, «SPF Justice»), al que está adscrita la Dirección del Moniteur Belge, se negó, fundamentalmente mediante una decisión de 10 de abril de 2019, a atender dicha solicitud de supresión.

19 El 21 de enero de 2020, la referida persona física presentó una denuncia contra el SPF Justice ante la APD para que se declarara que la solicitud de supresión era fundada y que concurrían los requisitos para el ejercicio del derecho de supresión establecidos en el artículo 17, apartado 1, del RGPD.

20 Mediante resolución de 23 de marzo de 2021, la APD dirigió una «amonestación» al SPF Justice, instándolo a estimar dicha solicitud de supresión lo antes posible, a más tardar en el plazo de treinta días a partir de la notificación de esa resolución.

21 El 22 de abril de 2021, el Estado belga interpuso un recurso ante la cour d’appel de Bruxelles (Tribunal de Apelación de Bruselas, Bélgica), que es el órgano jurisdiccional remitente, solicitando la anulación de la citada resolución.

22 Dicho órgano jurisdiccional señala que las partes discrepan sobre cómo debe interpretarse, en el litigio principal, el concepto de «responsable del tratamiento» que figura en el artículo 4, punto 7, del RGPD, dado que los datos personales que constan en el pasaje objeto del litigio principal, cuya publicación no exigía la ley, fueron tratados por varios posibles responsables del tratamiento «sucesivos». Estos son, en primer lugar, el notario que redactó el extracto que contenía el pasaje objeto del litigio principal insertando en él por error esos datos; en segundo lugar, la Secretaría del tribunal en la que el extracto fue presentado posteriormente antes de ser transmitido al Moniteur belge para su publicación, y, en tercer lugar, el Moniteur belge, que, de conformidad con las disposiciones legales que regulan su estatuto y sus funciones, lo publicó tal como estaba, es decir, sin poder de control ni de modificación, tras la recepción por parte del tribunal.

23 En este contexto, el órgano jurisdiccional remitente se pregunta si el Moniteur belge puede ser calificado de «responsable del tratamiento», en el sentido del artículo 4, punto 7, del RGPD. En caso de respuesta afirmativa, dicho órgano jurisdiccional, precisando que las partes en el litigio principal no invocan la corresponsabilidad prevista en el artículo 26 del RGPD, desea saber también si el Moniteur belge debe ser considerado el único responsable, en virtud del artículo 5, apartado 2, de dicho Reglamento, del respeto de los principios establecidos en el artículo 5, apartado 1, del citado Reglamento, o bien si esta responsabilidad incumbe también de forma acumulativa a los órganos públicos que trataron previamente los datos que figuran en el pasaje objeto del litigio principal, a saber, el notario que redactó el extracto que incluía el pasaje y el tribunal de l’entreprise (Tribunal de Empresas) en cuya demarcación tiene su domicilio social la sociedad privada de responsabilidad limitada de que se trata.

24 En esas circunstancias, la cour d’appel de Bruxelles (Tribunal de Apelación de Bruselas) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1) ¿Debe interpretarse el artículo 4, punto 7, del [RGPD] en el sentido de que tiene la condición de responsable del tratamiento un diario oficial de un Estado miembro, encargado del servicio público de publicar y archivar documentos oficiales, al que, en virtud de la normativa nacional aplicable, corresponde la publicación de los actos y documentos oficiales que ordenen organismos públicos terceros, tal como han sido comunicados por esos organismos después de que estos hayan tratado los datos personales contenidos en dichos actos y documentos, y al que el legislador nacional no ha atribuido ninguna facultad de apreciación sobre el contenido de los documentos que se publican [ni] sobre los fines y medios de publicación?

2) En caso de respuesta afirmativa a la primera cuestión, ¿debe interpretarse el artículo 5, apartado 2, del [RGPD] en el sentido de que únicamente el diario oficial en cuestión está obligado a cumplir las obligaciones que incumben al responsable del tratamiento con arreglo a esta disposición, con exclusión de los organismos públicos terceros que han tratado previamente los datos contenidos en los actos y documentos oficiales cuya publicación solicitan, o recaen dichas obligaciones de forma acumulativa sobre cada uno de los sucesivos responsables del tratamiento?»

Sobre las cuestiones prejudiciales

Primera cuestión prejudicial

25 Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 4, punto 7, del RGPD debe interpretarse en el sentido de que el servicio o el organismo encargado del diario oficial de un Estado miembro, que está obligado, en particular, en virtud de la legislación de ese Estado, a publicar tal como están actos y documentos oficiales preparados por terceros bajo su propia responsabilidad con arreglo a las normas aplicables y posteriormente presentados ante una autoridad judicial que se los remite para su publicación, puede ser calificado de «responsable del tratamiento» de los datos personales que figuran en esos actos y documentos, en el sentido de dicha disposición.

26 Con carácter preliminar, debe precisarse que el concepto de «responsable del tratamiento», contemplado en el artículo 4, punto 7, del RGPD, presupone la existencia de un «tratamiento» de datos personales, en el sentido del artículo 4, punto 2, de dicho Reglamento. En el caso de autos, de la resolución de remisión se desprende que los datos personales que figuran en el pasaje objeto del litigio principal fueron tratados por el Moniteur belge. Aunque el órgano jurisdiccional remitente no expone detalladamente este tratamiento, de las observaciones escritas concordantes de la APD y del Gobierno belga se desprende que estos datos fueron al menos recogidos, registrados, conservados, comunicados por transmisión y difundidos por el Moniteur belge, operaciones que constituyen un «tratamiento», en el sentido del artículo 4, punto 2, del referido Reglamento.

27 A la luz de esta precisión preliminar, procede recordar que, en virtud del artículo 4, punto 7, del RGPD, el concepto de «responsable del tratamiento» incluye a las personas físicas o jurídicas, autoridades públicas, servicios u otros organismos que solos o junto con otros determinen los fines y medios del tratamiento. Esta disposición establece asimismo que, cuando los fines y medios del tratamiento estén determinados, en particular, por el Derecho de un Estado miembro, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser establecidos por ese Derecho.

28 A este respecto, cabe recordar que, según la jurisprudencia del Tribunal de Justicia, esta disposición tiene por objeto garantizar, mediante una definición amplia del concepto de «responsable del tratamiento», una protección eficaz y completa de los interesados (véanse, en este sentido, las sentencias de 5 de diciembre de 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, apartado 29, y de 5 de diciembre de 2023, Deutsche Wohnen, C‑807/21, EU:C:2023:950, apartado 40 y jurisprudencia citada).

29 Habida cuenta del tenor del artículo 4, punto 7, del RGPD, interpretado a la luz de este objetivo, resulta que, para determinar si una persona o entidad debe ser calificada de «responsable del tratamiento», en el sentido de esta disposición, es preciso averiguar si esa persona o entidad determina, por sí sola o junto con otros, los fines y medios del tratamiento o si estos vienen determinados por el Derecho nacional. Cuando tal determinación se efectúe en virtud del Derecho nacional, deberá comprobarse si dicho Derecho designa al responsable del tratamiento o establece los criterios específicos aplicables a su nombramiento.

30 A este respecto, debe precisarse que, habida cuenta de la definición amplia del concepto de «responsable del tratamiento», en el sentido del artículo 4, punto 7, del RGPD, la determinación de los fines y medios del tratamiento y, en su caso, la designación del responsable por el Derecho nacional pueden ser no solo explícitas, sino también implícitas. En este último caso, se requiere, no obstante, que dicha determinación se desprenda con suficiente certeza del papel, de la misión y de las atribuciones encomendadas a la persona o entidad de que se trate. En efecto, la protección de los interesados se vería menoscabada si el artículo 4, punto 7, del RGPD se interpretara de manera restrictiva para abarcar únicamente los supuestos en los que los fines y medios de un tratamiento de datos realizado por una persona, una autoridad pública, un servicio o un organismo están determinados expresamente por el Derecho nacional, aun cuando tales fines y medios se desprendan, en esencia, de las disposiciones legales que regulan la actividad de la entidad de que se trate.

31 En el caso de autos, en primer lugar, el órgano jurisdiccional remitente precisa que, en el litigio principal, el Derecho nacional no parece conferir al Moniteur belge la facultad de determinar los fines y medios de los tratamientos de datos que efectúa, premisa de la que parte la primera cuestión prejudicial. Por otra parte, de las explicaciones concordantes de la APD y del Gobierno belga en la vista se desprende que el Derecho nacional tampoco parece conferir tal facultad a la autoridad pública que gestiona el Moniteur belge, a saber, el SPF Justice.

32 En segundo lugar, de los autos que obran en poder del Tribunal de Justicia se desprende que los datos personales que figuran en los actos y documentos transmitidos al Moniteur belge para su publicación se recogen, registran, conservan y publican tal como están con el fin de informar oficialmente al público de la existencia de tales actos y documentos y de hacerlos oponibles frente a terceros.

33 Además, de las explicaciones dadas por el órgano jurisdiccional remitente se desprende que el tratamiento se efectúa esencialmente con medios automatizados: en particular, los datos de que se trata se reproducen en ejemplares impresos en papel, uno de los cuales se conserva electrónicamente, los ejemplares en papel se reproducen en formato electrónico en el sitio de Internet del Moniteur belge y puede obtenerse una copia a través de un servicio de ayuda telefónica, encargado además de proporcionar a los ciudadanos un servicio de ayuda a la búsqueda de documentos.

34 Así pues, de los autos que obran en poder del Tribunal de Justicia se desprende que el Derecho belga ha determinado, al menos implícitamente, los fines y medios del tratamiento de datos personales efectuado por el Moniteur belge.

35 En estas circunstancias, procede señalar que puede considerarse que el Moniteur belge, como servicio u organismo encargado de tratar los datos personales que figuran en sus publicaciones de conformidad con los fines y medios de tratamiento prescritos por la legislación belga, es «responsable del tratamiento», en el sentido del artículo 4, punto 7, del RGPD.

36 Esta conclusión no queda desvirtuada por la circunstancia de que el Moniteur belge, como subdivisión del SPF Justice, carezca de personalidad jurídica. En efecto, del tenor claro de esta disposición se desprende que puede ser responsable del tratamiento no solo una persona física o jurídica, sino también una autoridad pública, un servicio o un organismo, entidades que no están necesariamente dotadas de personalidad jurídica en función del Derecho nacional.

37 Asimismo, el hecho de que, en virtud del Derecho nacional, el Moniteur belge no controle, antes de su publicación en ese diario oficial, los datos personales que figuran en los actos y documentos recibidos por el citado diario oficial no puede influir en la cuestión de si el Moniteur belge puede ser calificado de responsable del tratamiento.

38 En efecto, si bien es cierto que el Moniteur belge debe publicar el documento en cuestión tal como está, solo él asume esta tarea y difunde a continuación el acto o el documento de que se trate. Por una parte, la publicación de tales actos y documentos sin posibilidad de control ni de modificación de su contenido está intrínsecamente vinculada a los fines y medios del tratamiento determinados por el Derecho nacional, en la medida en que la función de un diario oficial como el Moniteur belge se limita a informar al público de la existencia de esos actos y documentos, tal como se transmiten a ese diario oficial en forma de copia con arreglo al Derecho nacional aplicable, de modo que puedan oponerse a terceros. Por otra parte, sería contrario al objetivo del artículo 4, punto 7, del RGPD, mencionado en el apartado 28 de la presente sentencia, excluir del concepto de «responsable del tratamiento» al diario oficial de un Estado miembro debido a que no ejerce control alguno sobre los datos personales que figuran en sus publicaciones (véase, por analogía, la sentencia de 13 de mayo de 2014, Google Spain y Google, C‑131/12, EU:C:2014:317, apartado 34).

39 Habida cuenta de las consideraciones anteriores, procede responder a la primera cuestión prejudicial que el artículo 4, punto 7, del RGPD debe interpretarse en el sentido de que el servicio u organismo encargado del diario oficial de un Estado miembro, que está obligado, en particular, en virtud de la legislación de ese Estado, a publicar tal como están actos y documentos oficiales preparados por terceros bajo su propia responsabilidad con arreglo a las normas aplicables y presentados posteriormente ante una autoridad judicial que se los remite para su publicación, puede ser calificado, pese a su falta de personalidad jurídica, de «responsable del tratamiento» de los datos personales que figuran en esos actos y documentos, cuando el Derecho nacional de que se trate determine los fines y medios del tratamiento de datos personales efectuado por ese diario oficial.

Segunda cuestión prejudicial

40 Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 5, apartado 2, del RGPD debe interpretarse en el sentido de que el servicio o el organismo encargado del diario oficial de un Estado miembro, calificado de «responsable del tratamiento», en el sentido del artículo 4, punto 7, del RGPD, debe ser considerado el único responsable del respeto de los principios contemplados en el artículo 5, apartado 1, del RGPD o bien si ese respeto incumbe de manera acumulativa a dicho servicio u organismo y a las entidades públicas terceras que hayan tratado previamente los datos personales que figuran en los actos y documentos publicados por dicho diario oficial.

41 De entrada, procede recordar que, en virtud del artículo 5, apartado 2, del RGPD, el responsable del tratamiento es responsable del cumplimiento de los principios establecidos en forma de obligaciones en el apartado 1 de dicho artículo y debe poder demostrar que se cumplen estos principios.

42 En el presente asunto, de los autos que obran en poder del Tribunal de Justicia se desprende que el tratamiento de los datos personales objeto del litigio principal que se confió al Moniteur belge es a la vez posterior al tratamiento efectuado por el notario y por la Secretaría del tribunal competente y técnicamente diferente del tratamiento efectuado por estas dos entidades en la medida en que viene a añadirse a él. En efecto, las operaciones efectuadas por el Moniteur belge le son confiadas por la legislación nacional e implican, en particular, la transformación digital de los datos que figuran en los actos o extractos de actos que se le presentan, la publicación de estos, su puesta a disposición para un público amplio y su conservación.

43 Por consiguiente, debe considerarse que el Moniteur belge es, en virtud del artículo 5, apartado 2, del RGPD, responsable del respeto de los principios contemplados en el apartado 1 de dicho artículo, en lo que respecta a los tratamientos que debe efectuar en virtud del Derecho nacional, y, por tanto, de todas las obligaciones que el RGPD impone al responsable del tratamiento.

44 A continuación, habida cuenta de las dudas del órgano jurisdiccional remitente acerca de si tal diario oficial es el único responsable de esos tratamientos, procede recordar que, como resulta del tenor del artículo 4, punto 7, del RGPD, esta disposición establece no solo que los fines y medios del tratamiento de datos personales pueden ser determinados conjuntamente por varias personas como responsables del tratamiento, sino también que el propio Derecho nacional puede determinar dichos fines y medios y designar al responsable del tratamiento o los criterios específicos para su nombramiento.

45 De este modo, en el marco de una cadena de tratamientos efectuados por distintas personas o entidades y relativos a los mismos datos personales, el Derecho nacional puede determinar los fines y medios del conjunto de los tratamientos llevados a cabo sucesivamente por esas diferentes personas o entidades, de forma que estas sean consideradas corresponsables del tratamiento.

46 Por otra parte, procede recordar que el artículo 26, apartado 1, del RGPD establece una corresponsabilidad cuando dos o más responsables del tratamiento determinan conjuntamente los objetivos y los medios del tratamiento de datos personales. Esta disposición establece asimismo que los corresponsables del tratamiento deben determinar de modo transparente, de mutuo acuerdo, sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por dicho Reglamento, salvo y en la medida en que sus responsabilidades respectivas se rijan por el Derecho de la Unión o del Estado miembro que se les aplique.

47 Así pues, de dicha disposición se desprende que las responsabilidades respectivas de los corresponsables del tratamiento de datos personales no dependen necesariamente de la existencia de un acuerdo entre los diferentes responsables (véase, en este sentido, la sentencia de 5 de diciembre de 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, apartados 44 y 45), sino que pueden derivarse del Derecho nacional.

48 Además, el Tribunal de Justicia ha declarado, por una parte, que basta con que una persona influya, con sus propios fines, en el tratamiento de datos personales y participe por ello en la determinación de los fines y medios de dicho tratamiento para poder ser considerada corresponsable del tratamiento y, por otra parte, que la corresponsabilidad de varios agentes por un mismo tratamiento no presupone que cada uno de ellos tenga acceso a los datos personales de que se trate (véase, en este sentido, la sentencia de 5 de diciembre de 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, apartados 40 a 43 y jurisprudencia citada).

49 De los apartados 44 a 48 de la presente sentencia se desprende que, en virtud de lo dispuesto en el artículo 26, apartado 1, en relación con el artículo 4, punto 7, del RGPD, la corresponsabilidad de varios agentes de una cadena de tratamiento relativa a los mismos datos personales puede establecerse por el Derecho nacional siempre que las diferentes operaciones de tratamiento estén unidas por fines y medios determinados por ese Derecho y que este fije las obligaciones respectivas de cada uno de los corresponsables del tratamiento.

50 Debe precisarse que tal determinación de los fines y medios que unen los diferentes tratamientos efectuados por varios agentes de una cadena, así como de sus obligaciones respectivas, puede efectuarse no solo de manera directa, sino también indirecta por el Derecho nacional, siempre que, en este último supuesto, pueda deducirse de manera suficientemente explícita de las disposiciones legales que regulan las personas o entidades afectadas y el tratamiento de los datos personales que estas efectúan en el marco de la cadena de tratamiento impuesta por ese Derecho.

51 Por último, y a todos los efectos pertinentes, debe precisarse que, en el supuesto de que el órgano jurisdiccional remitente llegara a la conclusión de que el servicio u organismo encargado del Moniteur belge no es responsable exclusivo, sino corresponsable, del cumplimiento de los principios contemplados en el artículo 5, apartado 1, del RGPD en lo que respecta a los datos que figuran en el pasaje objeto del litigio principal, tal conclusión no prejuzgaría en modo alguno la cuestión de si, a la luz, en particular, de las excepciones previstas en el artículo 17, apartado 3, letras b) y d), del RGPD, procede estimar la solicitud de supresión presentada por la persona física mencionada en el apartado 13 de la presente sentencia.

52 Habida cuenta de las consideraciones anteriores, procede responder a la segunda cuestión prejudicial que el artículo 5, apartado 2, del RGPD, en relación con los artículos 4, punto 7, y 26, apartado 1, de este, debe interpretarse en el sentido de que el servicio u organismo encargado del diario oficial de un Estado miembro, calificado de «responsable del tratamiento», en el sentido del artículo 4, punto 7, de dicho Reglamento, es el único responsable del cumplimiento de los principios contemplados en el artículo 5, apartado 1, de este en lo que atañe a las operaciones de tratamiento de datos personales que debe realizar en virtud del Derecho nacional, a menos que de ese Derecho se derive la corresponsabilidad con otras entidades respecto de esas operaciones.

Costas

53 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Tercera) declara:

1) El artículo 4, punto 7, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),

debe interpretarse en el sentido de que

el servicio u organismo encargado del diario oficial de un Estado miembro, que está obligado, en particular, en virtud de la legislación de ese Estado, a publicar tal como están actos y documentos oficiales preparados por terceros bajo su propia responsabilidad con arreglo a las normas aplicables y presentados posteriormente ante una autoridad judicial que se los remite para su publicación, puede ser calificado, pese a su falta de personalidad jurídica, de «responsable del tratamiento» de los datos personales que figuran en esos actos y documentos, cuando el Derecho nacional de que se trate determine los fines y medios del tratamiento de datos personales efectuado por ese diario oficial.

2) El artículo 5, apartado 2, del Reglamento 2016/679, en relación con los artículos 4, punto 7, y 26, apartado 1, de este,

debe interpretarse en el sentido de que

el servicio u organismo encargado del diario oficial de un Estado miembro, calificado de «responsable del tratamiento», en el sentido del artículo 4, punto 7, de dicho Reglamento, es el único responsable del cumplimiento de los principios contemplados en el artículo 5, apartado 1, de este en lo que atañe a las operaciones de tratamiento de datos personales que debe realizar en virtud del Derecho nacional, a menos que de ese Derecho se derive la corresponsabilidad con otras entidades respecto de esas operaciones.

Firmas

* Lengua de procedimiento: francés.