CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:958

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Primera)

de 7 de diciembre de 2023 (*)

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 5, apartado 1, letra a) — Principio de “licitud” — Artículo 6, apartado 1, párrafo primero, letra f) — Necesidad del tratamiento para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero — Artículo 17, apartado 1, letra d) — Derecho de supresión en caso de tratamiento ilícito de datos personales — Artículo 40 — Códigos de conducta — Artículo 78, apartado 1 — Derecho a la tutela judicial efectiva frente a una autoridad de control — Decisión adoptada por la autoridad de control sobre una reclamación — Alcance del control jurisdiccional sobre dicha decisión — Agencias de información comercial — Conservación de datos procedentes de un registro público relativos a la exoneración del pasivo insatisfecho en favor de una persona — Duración de la conservación»

En los asuntos acumulados C‑26/22 y C‑64/22,

que tienen por objeto sendas peticiones de decisión prejudicial planteadas, con arreglo al artículo 267 TFUE, por el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso-Administrativo de Wiesbaden, Alemania), mediante resoluciones de 23 de diciembre de 2021 y de 31 de enero de 2022, recibidas en el Tribunal de Justicia el 11 de enero de 2022 y el 2 de febrero de 2022, en los procedimientos entre

UF (C‑26/22),

AB (C‑64/22)

Land Hessen,

con intervención de:

SCHUFA Holding AG,

EL TRIBUNAL DE JUSTICIA (Sala Primera),

integrado por el Sr. A. Arabadjiev, Presidente de Sala, y los Sres. T. von Danwitz, P. G. Xuereb y A. Kumin (Ponente) y la Sra. I. Ziemele, Jueces;

Abogado General: Sr. P. Pikamäe;

Secretaria: Sra. K. Hötzel, administradora;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 26 de enero de 2023;

consideradas las observaciones presentadas:

– en nombre de UF y AB, por los Sres. R. Rohrmoser y S. Tintemann, Rechtsanwälte;

– en nombre del Land Hessen, por los Sres. M. Kottmann y G. Ziegenhorn, Rechtsanwälte;

– en nombre de SCHUFA Holding AG, por los Sres. G. Thüsing y U. Wuermeling, Rechtsanwalt;

– en nombre del Gobierno alemán, por los Sres. J. Möller y P.‑L. Krüger, en calidad de agentes;

– en nombre del Gobierno portugués, por las Sras. P. Barros da Costa, M. J. Ramos y C. Vieira Guerra, en calidad de agentes;

– en nombre de la Comisión Europea, por los Sres. A. Bouchagiar, F. Erlbacher, H. Kranenborg y W. Wils, en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 16 de marzo de 2023;

dicta la siguiente

Sentencia

1 Las presentes peticiones de decisión prejudicial tienen por objeto la interpretación de los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»), así como de los artículos 6, apartado 1, párrafo primero, letra f), 17, apartado 1, letra d), 40, 77, apartado 1, y 78, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (DO 2016, L 119, p. 1; en lo sucesivo, «RGPD»).

2 Estas peticiones se han presentado en el contexto de sendos litigios entre UF (asunto C‑26/22) y AB (asunto C‑64/22), por un lado, y el Land Hessen (estado federado de Hesse, Alemania), por otro, en relación con la negativa del Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Delegado de Protección de Datos y de Libertad de Información del Estado Federado de Hesse, Alemania; en lo sucesivo, «HBDI») a instar a SCHUFA Holding AG (en lo sucesivo, «SCHUFA») a que suprimiera los datos conservados por esta en relación con la exoneración del pasivo insatisfecho concedida a UF y a AB.

Marco jurídico

Derecho de la Unión

Directiva 2008/48/CE

3 Con arreglo a los considerandos 26 y 28 de la Directiva 2008/48/CE del Parlamento Europeo y del Consejo, de 23 de abril de 2008, relativa a los contratos de crédito al consumo y por la que se deroga la Directiva 87/102/CEE del Consejo (DO 2008, L 133, p. 66):

«(26) […] En un mercado crediticio en expansión, en particular, es importante que los prestamistas no concedan préstamos de forma irresponsable o sin haber evaluado previamente la solvencia del prestatario, y que los Estados miembros lleven a cabo el control necesario para evitar tales comportamientos, así como los medios necesarios para sancionar a los prestamistas en caso de que ello ocurra. […] Los prestamistas deben tener la responsabilidad de controlar individualmente la solvencia del consumidor. […]

[…]

(28) Para evaluar la situación financiera de un consumidor, el prestamista debe también consultar las bases de datos pertinentes; Las circunstancias jurídicas y reales pueden requerir que dichas consultas tengan distinto alcance. Para evitar toda distorsión de la competencia entre prestamistas, debe garantizarse su acceso a bases de datos privadas o públicas relativas a los consumidores de un Estado miembro en el que no estén establecidos en condiciones no discriminatorias en comparación con las de los prestamistas de ese Estado miembro.»

4 El artículo 8 de esta Directiva, titulado «Obligación de evaluar la solvencia del consumidor», establece en su apartado 1:

«Los Estados miembros velarán por que, antes de que se celebre el contrato de crédito, el prestamista evalúe la solvencia del consumidor, sobre la base de una información suficiente, facilitada en su caso por el consumidor y, cuando proceda, basándose en la consulta de la base de datos pertinente. Los Estados miembros cuya legislación exija que los prestamistas evalúen la solvencia del consumidor sobre la base de una consulta de la base de datos pertinente deben poder mantener esta obligación.»

Directiva 2014/17/UE

5 A tenor de los considerandos 55 y 59, de la Directiva 2014/17/UE del Parlamento Europeo y del Consejo, de 4 de febrero de 2014, sobre los contratos de crédito celebrados con los consumidores para bienes inmuebles de uso residencial y por la que se modifican las Directivas 2008/48/CE y 2013/36/UE y el Reglamento (UE) n.^o 1093/2010 (DO 2014, L 60, p. 34):

«(55) Resulta fundamental que la capacidad y proclividad del consumidor de saldar el crédito se evalúe y verifique con anterioridad a la celebración de un contrato de crédito. Dicha evaluación de la solvencia debe tomar en consideración la totalidad de los factores necesarios y pertinentes que puedan influir en la capacidad del consumidor para reembolsar el crédito durante el período de vigencia de este. […]

[…]

(59) A la hora de evaluar la solvencia, resulta de utilidad la consulta de bases de datos de crédito. […]»

6 El artículo 18 de esta Directiva, titulado «Obligación de evaluar la solvencia del consumidor», establece en su apartado 1:

«Los Estados miembros velarán por que, antes de celebrar un contrato de crédito, el prestamista evalúe en profundidad la solvencia del consumidor. Dicha evaluación tendrá debidamente en cuenta los factores pertinentes para verificar las perspectivas de cumplimiento por el consumidor de sus obligaciones en virtud del contrato de crédito.»

7 El artículo 21 de dicha Directiva, que se titula «Acceso a bases de datos», dispone en sus apartados 1 y 2:

«1. Cada Estado miembro garantizará que todos los prestamistas de todos los Estados miembros puedan acceder a las bases de datos utilizadas en ese Estado miembro, a efectos de evaluar la solvencia del consumidor y con el fin exclusivo de verificar que este cumple con las obligaciones crediticias durante toda la vigencia del contrato de crédito. Se garantizará que este acceso se haga en condiciones no discriminatorias.

2. El apartado 1 se aplicará tanto a las bases de datos gestionadas por agencias de información crediticia o agencias de referencia de crédito privadas como a los registros públicos.»

Reglamento (UE) 2015/848

8 A tenor del considerando 76 del Reglamento (UE) 2015/848 del Parlamento Europeo y del Consejo, de 20 de mayo de 2015, sobre procedimientos de insolvencia (DO 2015, L 141, p. 19):

«A fin de mejorar el suministro de información a los acreedores y órganos jurisdiccionales de que se trate y de impedir la apertura de procedimientos de insolvencia paralelos, debe exigirse a los Estados miembros que publiquen la información pertinente sobre los asuntos de insolvencia transfronteriza en un registro electrónico de acceso público. Para facilitar el acceso a esa información de los acreedores y órganos jurisdiccionales domiciliados o situados en otros Estados miembros, el presente Reglamento debe prever la interconexión de dichos registros de insolvencia a través del Portal Europeo de e‑Justicia. […]»

9 El artículo 79 de este Reglamento, titulado «Funciones de los Estados miembros respecto del tratamiento de datos personales en los registros nacionales de insolvencia», establece, en sus apartados 4 y 5:

«4. Los Estados miembros se encargarán, de conformidad con la Directiva 95/46/CE [del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31)], de la recopilación y almacenamiento de los datos en las bases de datos nacionales y de las decisiones adoptadas para que tales datos estén disponibles en el registro interconectado que se puede consultar a través del Portal Europeo de e‑Justicia.

5. Como parte de la información que debe facilitarse a los titulares de los datos para que puedan ejercer sus derechos, y en particular el derecho a la cancelación de datos, los Estados miembros informarán a dichos titulares acerca del período de accesibilidad establecido para los datos personales almacenados en los registros de insolvencia.»

RGPD

10 A tenor de los considerandos 10, 11, 47, 50, 98, 141 y 143 del RGPD:

«(10) Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión, el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. Debe garantizarse en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea. […]

(11) La protección efectiva de los datos personales en la Unión exige que se refuercen y especifiquen los derechos de los interesados y las obligaciones de quienes tratan y determinan el tratamiento de los datos de carácter personal, y que en los Estados miembros se reconozcan poderes equivalentes para supervisar y garantizar el cumplimiento de las normas relativas a la protección de los datos de carácter personal y las infracciones se castiguen con sanciones equivalentes.

[…]

(47) El interés legítimo de un responsable del tratamiento, incluso el de un responsable al que se puedan comunicar datos personales, o de un tercero, puede constituir una base jurídica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable. Tal interés legítimo podría darse, por ejemplo, cuando existe una relación pertinente y apropiada entre el interesado y el responsable, como en situaciones en las que el interesado es cliente o está al servicio del responsable. En cualquier caso, la existencia de un interés legítimo requeriría una evaluación meticulosa, inclusive si un interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin. En particular, los intereses y los derechos fundamentales del interesado podrían prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento ulterior. […]

[…]

(50) El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. En tal caso, no se requiere una base jurídica aparte, distinta de la que permitió la obtención de los datos personales. […] Con objeto de determinar si el fin del tratamiento ulterior es compatible con el fin de la recogida inicial de los datos personales, el responsable del tratamiento, tras haber cumplido todos los requisitos para la licitud del tratamiento original, debe tener en cuenta, entre otras cosas, cualquier relación entre estos fines y los fines del tratamiento ulterior previsto, el contexto en el que se recogieron los datos, en particular las expectativas razonables del interesado basadas en su relación con el responsable en cuanto a su uso posterior, la naturaleza de los datos personales, las consecuencias para los interesados del tratamiento ulterior previsto y la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento ulterior prevista.

[…]

(98) Se debe incitar a las asociaciones u otros organismos que representen a categorías de responsables o encargados a que elaboren códigos de conducta, dentro de los límites fijados por el presente Reglamento, con el fin de facilitar su aplicación efectiva, teniendo en cuenta las características específicas del tratamiento llevado a cabo en determinados sectores y las necesidades específicas de las microempresas y las pequeñas y medianas empresas. Dichos códigos de conducta podrían en particular establecer las obligaciones de los responsables y encargados, teniendo en cuenta el riesgo probable para los derechos y libertades de las personas físicas que se derive del tratamiento.

[…]

(141) Todo interesado debe tener derecho a presentar una reclamación ante una autoridad de control única, en particular en el Estado miembro de su residencia habitual, y derecho a la tutela judicial efectiva de conformidad con el artículo 47 de la Carta si considera que se vulneran sus derechos con arreglo al presente Reglamento o en caso de que la autoridad de control no responda a una reclamación, rechace o desestime total o parcialmente una reclamación o no actúe cuando sea necesario para proteger los derechos del interesado. La investigación a raíz de una reclamación debe llevarse a cabo, bajo control judicial, si procede en el caso concreto. La autoridad de control debe informar al interesado de la evolución y el resultado de la reclamación en un plazo razonable. […]

[…]

(143) […] Toda persona física o jurídica debe tener derecho a la tutela judicial efectiva ante el tribunal nacional competente contra las decisiones de una autoridad de control que produzcan efectos jurídicos que le afecten. Tales decisiones se refieren en particular al ejercicio de los poderes de investigación, corrección y autorización por parte de la autoridad de control o a la desestimación o rechazo de reclamaciones. No obstante, el derecho a la tutela judicial efectiva no incluye medidas adoptadas por las autoridades de control que no sean jurídicamente vinculantes, como los dictámenes publicados o el asesoramiento facilitado por ellas. Las acciones contra una autoridad de control deben ejercitarse ante los tribunales del Estado miembro en el que esté establecida y tramitarse con arreglo al Derecho procesal de dicho Estado miembro. Dichos tribunales deben tener plena jurisdicción, incluida la competencia para examinar todos los elementos de hecho y de Derecho relativos a la causa de la que conozcan.

Si una autoridad de control rechaza o desestima una reclamación, el reclamante puede ejercitar una acción ante los tribunales del mismo Estado miembro. En el contexto de las acciones judiciales relacionadas con la aplicación del presente Reglamento, los tribunales nacionales que estimen necesaria una decisión al respecto para poder emitir su fallo pueden, o en el caso establecido en el artículo 267 [TFUE], deben solicitar al Tribunal de Justicia que se pronuncie con carácter prejudicial sobre la interpretación del Derecho de la Unión, incluido el presente Reglamento. […]»

11 El artículo 5 de dicho Reglamento, titulado «Principios relativos al tratamiento», tiene el siguiente tenor:

«1. Los datos personales serán:

a) tratados de manera lícita, leal y transparente en relación con el interesado (“licitud, lealtad y transparencia”);

[…]

c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (“minimización de datos”);

[…]

2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva”).»

12 El artículo 6 de dicho Reglamento, cuyo título es «Licitud del tratamiento», establece:

«1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

[…]

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

[…]

4. Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:

a) cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;

b) el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento;

c) la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10;

d) las posibles consecuencias para los interesados del tratamiento ulterior previsto;

e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.»

13 El artículo 17 del RGPD, que se titula «Derecho de supresión (“el derecho al olvido”), establece en su apartado 1:

«El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:

[…]

c) el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2;

d) los datos personales hayan sido tratados ilícitamente;

[…]».

14 El artículo 21 de dicho Reglamento, titulado «Derecho de oposición», dispone, en sus apartados 1 y 2:

«1. El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) o f), incluida la elaboración de perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.

2. Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia.»

15 El artículo 40 del mencionado Reglamento, cuyo título es «Códigos de conducta», establece en sus apartados 1, 2 y 5:

«1. Los Estados miembros, las autoridades de control, el Comité y la Comisión [Europea] promoverán la elaboración de códigos de conducta destinados a contribuir a la correcta aplicación del presente Reglamento, teniendo en cuenta las características específicas de los distintos sectores de tratamiento y las necesidades específicas de las microempresas y las pequeñas y medianas empresas.

2. Las asociaciones y otros organismos representativos de categorías de responsables o encargados del tratamiento podrán elaborar códigos de conducta o modificar o ampliar dichos códigos con objeto de especificar la aplicación del presente Reglamento, como en lo que respecta a:

a) el tratamiento leal y transparente;

b) los intereses legítimos perseguidos por los responsables del tratamiento en contextos específicos;

c) la recogida de datos personales;

[…]

5. Las asociaciones y otros organismos mencionados en el apartado 2 del presente artículo que proyecten elaborar un código de conducta o modificar o ampliar un código existente presentarán el proyecto de código o la modificación o ampliación a la autoridad de control que sea competente con arreglo al artículo 55. La autoridad de control dictaminará si el proyecto de código o la modificación o ampliación es conforme con el presente Reglamento y aprobará dicho proyecto de código, modificación o ampliación si considera suficientes las garantías adecuadas ofrecidas.»

16 El artículo 51 del RGPD, que se titula «Autoridad de control», dispone en su apartado 1:

«Cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes (en adelante “autoridad de control”) supervisar la aplicación del presente Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión.»

17 El artículo 52 de dicho Reglamento, titulado «Independencia», establece en sus apartados 1, 2 y 4:

«1. Cada autoridad de control actuará con total independencia en el desempeño de sus funciones y en el ejercicio de sus poderes de conformidad con el presente Reglamento.

2. El miembro o los miembros de cada autoridad de control serán ajenos, en el desempeño de sus funciones y en el ejercicio de sus poderes de conformidad con el presente Reglamento, a toda influencia externa, ya sea directa o indirecta, y no solicitarán ni admitirán ninguna instrucción.

[…]

4. Cada Estado miembro garantizará que cada autoridad de control disponga en todo momento de los recursos humanos, técnicos y financieros, así como de los locales y las infraestructuras necesarios para el cumplimiento efectivo de sus funciones y el ejercicio de sus poderes, incluidos aquellos que haya de ejercer en el marco de la asistencia mutua, la cooperación y la participación en el Comité.»

18 El artículo 57 del mencionado Reglamento, titulado «Funciones», enuncia, en su apartado 1:

«Sin perjuicio de otras funciones en virtud del presente Reglamento, incumbirá a cada autoridad de control, en su territorio:

a) controlar la aplicación del presente Reglamento y hacerlo aplicar;

[…]

f) tratar las reclamaciones presentadas por un interesado o por un organismo, organización o asociación de conformidad con el artículo 80, e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control;

[…]».

19 El artículo 58 del RGPD, titulado «Poderes», enumera, en su apartado 1, los poderes de investigación de que dispone cada autoridad de control y, en su apartado 2, los poderes correctivos de que dispone.

20 El artículo 77 de dicho Reglamento, cuyo título es «Derecho a presentar una reclamación ante una autoridad de control», enuncia:

«1. Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento.

2. La autoridad de control ante la que se haya presentado la reclamación informará al reclamante sobre el curso y el resultado de la reclamación, inclusive sobre la posibilidad de acceder a la tutela judicial en virtud del artículo 78.»

21 El artículo 78 del mencionado Reglamento, que lleva por título «Derecho a la tutela judicial efectiva contra una autoridad de control», establece, en sus apartados 1 y 2:

«1. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica tendrá derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna.

2. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, todo interesado tendrá derecho a la tutela judicial efectiva en caso de que la autoridad de control que sea competente en virtud de los artículos 55 y 56 no dé curso a una reclamación o no informe al interesado en el plazo de tres meses sobre el curso o el resultado de la reclamación presentada en virtud del artículo 77.»

22 El artículo 79 del RGPD, titulado «Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento», dispone en su apartado 1:

«Sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77, todo interesado tendrá derecho a la tutela judicial efectiva cuando considere que sus derechos en virtud del presente Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales.»

Derecho alemán

23 A tenor del artículo 9, apartado 1, de la Insolvenzordnung (Ley Concursal), de 5 de octubre de 1994 (BGBl. 1994 I, p. 2866), en su versión aplicable a los hechos del litigio principal:

«La comunicación pública se efectuará mediante una publicación centralizada y suprarregional en Internet. Pueden publicarse extractos. A tal fin, deberá identificarse al deudor con precisión, indicando en particular su dirección y el sector de su actividad. La comunicación se considerará efectuada tan pronto como hayan transcurrido dos días adicionales desde la fecha de publicación.»

24 El artículo 3 del Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (Decreto sobre Comunicaciones Públicas en Internet en los Procedimientos de Insolvencia), de 12 de febrero de 2002 (BGBl. I, p. 677; en lo sucesivo, «InsoBekV»), establece, en sus apartados 1 y 2:

«(1) Se suprimirá la publicación efectuada en un sistema de información o de comunicación electrónica de datos procedentes de un procedimiento de insolvencia, incluido el procedimiento de apertura, a más tardar seis meses después del levantamiento o desde la firmeza del archivo del procedimiento de insolvencia. Si no se produce la apertura del procedimiento, el plazo empieza a correr a partir del levantamiento de las medidas cautelares publicadas.

(2) A las publicaciones en el marco del procedimiento de exoneración del pasivo insatisfecho, incluida la resolución a que se refiere el artículo 289 de la Ley Concursal, se les aplicará el apartado 1, primera frase, entendiéndose que el plazo comienza a correr a partir de la firmeza de la resolución relativa a la exoneración del pasivo insatisfecho.»

Litigios principales y cuestiones prejudiciales

25 En el marco de sus respectivos procedimientos de insolvencia, se concedieron a UF y a AB sendas exoneraciones del pasivo insatisfecho mediante resoluciones judiciales dictadas el 17 de diciembre de 2020 y el 23 de marzo de 2021. De conformidad con el artículo 9, apartado 1, de la Ley Concursal y con el artículo 3, apartados 1 y 2, del InsoBekV, la publicación oficial hecha en Internet de estas resoluciones fue suprimida al cabo de seis meses.

26 SCHUFA es una agencia privada de información comercial que almacena y conserva, en sus propias bases de datos, información procedente de registros públicos, en particular la relativa a exoneraciones del pasivo insatisfecho. Dicha agencia procede a la supresión de la mencionada información transcurrido un plazo de tres años desde el registro, de conformidad con el código de conducta elaborado, en Alemania, por la asociación que agrupa a las agencias de información comercial y aprobado por la autoridad de control competente.

27 UF y AB solicitaron a SCHUFA la supresión de las inscripciones relativas a las resoluciones de exoneración del pasivo insatisfecho de las que habían sido objeto. Esta agencia se negó a acceder a sus solicitudes, tras haber explicado que desarrollaba su actividad de conformidad con el RGPD y que el plazo de supresión de seis meses establecido en el artículo 3, apartado 1, del InsoBekV no le era aplicable.

28 UF y AB presentaron sendas reclamaciones ante el HBDI, que es la autoridad de control competente.

29 Mediante decisiones dictadas el 1 de marzo de 2021 y el 9 de julio de 2021, respectivamente, el HBDI consideró que el tratamiento de datos efectuado por SCHUFA era lícito.

30 UF y AB interpusieron, cada uno de ellos, un recurso contra las decisiones del HBDI ante el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso-Administrativo de Wiesbaden, Alemania), que es el órgano jurisdiccional remitente. En apoyo de estos recursos, alegaron que el HBDI estaba obligado, en el marco de sus funciones y de sus facultades, a adoptar medidas contra SCHUFA para exigirle la supresión de las inscripciones referidas a ellos.

31 En su escrito de contestación, el HBDI solicitó que se desestimaran los recursos.

32 Por un lado, el HBDI alegó que el derecho a presentar una reclamación, previsto en el artículo 77, apartado 1, del RGPD, se concibe únicamente como un derecho de petición, de modo que el control jurisdiccional se limita a comprobar que la autoridad de control ha tramitado la reclamación y ha informado a su autor sobre el curso y el resultado de esta. En cambio, a su juicio, no corresponde al juez que conoce del asunto entrar en el fondo de la resolución dictada sobre la reclamación.

33 Por otro lado, el HBDI señaló que los datos a los que tienen acceso las agencias de información comercial pueden conservarse durante tanto tiempo como sea necesario para la consecución de los fines para los que se han conservado. Según HBDI, a falta de una normativa establecida por el legislador nacional, las autoridades de control han adoptado códigos de conducta y el elaborado por la asociación que agrupa a las agencias de información comercial establece la supresión de dichos datos exactamente tres años después de la inscripción en el fichero.

34 A este respecto, en primer lugar, el órgano jurisdiccional remitente considera necesario aclarar cuál es la naturaleza jurídica de la decisión que adopta la autoridad de control cuando recibe una reclamación con arreglo al artículo 77, apartado 1, del RGPD.

35 En particular, dicho órgano jurisdiccional alberga dudas respecto de la alegación del HBDI, ya que, en su opinión, lleva a menoscabar la efectividad del recurso jurisdiccional contemplado en el artículo 78, apartado 1, del RGPD. Por otro lado, estima que, habida cuenta del objetivo de este Reglamento, consistente, en el marco de la aplicación de los artículos 7 y 8 de la Carta, en garantizar una protección eficaz de los derechos y libertades fundamentales de las personas físicas, no puede darse una interpretación restrictiva a los artículos 77 y 78 de dicho Reglamento.

36 El órgano jurisdiccional remitente se inclina por una interpretación según la cual la decisión sobre el fondo adoptada por la autoridad de control debe ser sometida al pleno control de los tribunales. No obstante, considera que dicha autoridad dispone tanto de una facultad de apreciación como de una potestad discrecional y solo está obligada a actuar cuando no se identifiquen alternativas legalmente admisibles.

37 En segundo lugar, el órgano jurisdiccional remitente se pregunta, desde un doble punto de vista, sobre la licitud de la conservación por las agencias de información comercial de datos relativos a la solvencia de una persona procedentes de registros públicos, como el registro de insolvencia.

38 En primer término, dicho órgano jurisdiccional alberga dudas en cuanto a la licitud de la conservación por una agencia privada como SCHUFA, en sus propias bases de datos, de datos transferidos desde registros públicos.

39 Observa, antes de nada, que dicha conservación se produce no en casos concretos, sino para poder proporcionar tal información en el supuesto de que sus socios contractuales la soliciten y que lleva, en definitiva, a una retención de dichos datos, sobre todo si estos ya han sido suprimidos del registro nacional debido a la expiración del plazo de conservación.

40 Por otro lado, el órgano jurisdiccional remitente afirma que el tratamiento y, por tanto, la conservación de los datos solo están autorizados si se cumple alguno de los requisitos establecidos en el artículo 6, apartado 1, del RGPD. Sostiene que en el presente asunto solo cabe considerar el requisito a que se refiere el artículo 6, apartado 1, párrafo primero, letra f), de este Reglamento. En su opinión, resulta dudoso que una agencia de información comercial como SCHUFA persiga un interés legítimo en el sentido de esa disposición.

41 Por último, dicho órgano jurisdiccional indica que SCHUFA es una agencia de información comercial entre otras tantas, de modo que los datos se conservan en Alemania de diversas formas, lo que implica una vulneración masiva del derecho fundamental consagrado en el artículo 7 de la Carta.

42 En segundo término, el órgano jurisdiccional remitente aduce que, aun suponiendo que la conservación por parte de las agencias privadas de datos procedentes de registros públicos sea en sí misma lícita, surge la cuestión de cuál es el período de conservación permitido.

43 A este respecto, considera que se debe exigir a estas agencias privadas que respeten el plazo de seis meses establecido en el artículo 3 del InsoBekV relativo a la conservación en el registro de insolvencia de las resoluciones de exoneración del pasivo insatisfecho. Así, en su opinión, los datos que deban suprimirse de un registro público deberían a su vez suprimirse al mismo tiempo en todas las agencias privadas de información comercial que los hayan conservado.

44 Por otro lado, según el órgano jurisdiccional remitente, se plantea la cuestión de si un código de conducta aprobado con arreglo al artículo 40 del RGPD, que establece un plazo de supresión de tres años para la inscripción relativa a la exoneración del pasivo insatisfecho, debe tenerse en cuenta a efectos de la ponderación que debe realizarse en el marco de la apreciación exigida por el artículo 6, apartado 1, párrafo primero, letra f), del RGPD.

45 En estas circunstancias, el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso-Administrativo de Wiesbaden) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1) ¿Debe interpretarse el artículo 77, apartado 1, en relación con el artículo 78, apartado 1, del [RGPD] en el sentido de que el resultado [de la reclamación] que la autoridad de control comunica al interesado:

a) tiene la naturaleza de una decisión sobre una petición? (esto tendría como consecuencia que el control judicial de una decisión de la autoridad de control sobre una reclamación con arreglo al artículo 78, apartado 1, del RGPD se limitaría, en principio, a la cuestión de si dicha autoridad ha dado curso a la reclamación, ha examinado adecuadamente el objeto de la reclamación y ha informado al reclamante del resultado del examen):

o bien

b) debe considerarse una decisión administrativa sobre el fondo? (esto tendría como consecuencia que la resolución de una reclamación por parte de la autoridad de control estaría íntegramente sujeta, desde el punto de vista de su contenido, al control judicial con arreglo al artículo 78, apartado 1, del RGPD, debiendo entenderse que, en un caso concreto, por ejemplo, en caso de reducción de la discrecionalidad a cero, la autoridad de control también podría ser obligada por el órgano jurisdiccional a adoptar una medida concreta en el sentido del artículo 58 del RGPD)

2) ¿Una conservación de datos por parte de una agencia privada de información comercial en la que los datos personales de un registro público, como las “bases de datos nacionales” en el sentido del artículo 79, apartados 4 y 5, del [Reglamento 2015/848] se conservan sin motivos específicos para poder proporcionar información en caso de que se solicite, es conforme con los artículos 7 y 8 de la [Carta]?

3) a) ¿Son admisibles, en principio, las bases de datos paralelas privadas (en particular las bases de datos de las agencias de información), creadas al margen de las bases de datos estatales y en las que los datos procedentes de las bases de datos estatales (en el presente caso, comunicaciones relativas a insolvencias) se conservan durante más tiempo de lo previsto en el estricto marco del Reglamento 2015/848, en relación con el Derecho nacional?

b) En caso de respuesta afirmativa a la tercera cuestión, letra a), ¿se deriva del derecho al olvido previsto en el artículo 17, apartado 1, letra d), del [RGPD] que tales datos deben suprimirse cuando haya expirado el período de tratamiento previsto para el registro público?

4) En la medida en que el artículo 6, apartado 1, párrafo primero, letra f), del [RGPD] deba ser considerado la única base jurídica para la conservación de datos en agencias privadas de información comercial en lo concerniente a los datos conservados también en registros públicos, ¿deberá afirmarse en ese caso que existe un interés legítimo de una agencia de información comercial incluso cuando dicha agencia tome los datos del registro público sin un motivo concreto, para que dichos datos estén disponibles en caso de que se soliciten?

5) ¿La ponderación exigida por el artículo 6, apartado 1, párrafo primero, letra f), del [RGPD] puede quedar suspendida por los códigos de conducta aprobados por las autoridades de control con arreglo al artículo 40 del RGPD que establezcan períodos de examen y de supresión que superen los períodos de conservación de los registros públicos?»

46 Mediante decisión del Presidente del Tribunal de Justicia de 11 de febrero de 2022, se acordó la acumulación de los asuntos C‑26/22 y C‑64/22 a efectos de las fases escrita y oral del procedimiento y de la sentencia.

Sobre las cuestiones prejudiciales

Primera cuestión prejudicial

47 Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 78, apartado 1, del RGPD debe interpretarse en el sentido de que el control jurisdiccional ejercido sobre una decisión relativa a una reclamación adoptada por una autoridad de control se limita a determinar si dicha autoridad ha dado curso a la reclamación, ha examinado adecuadamente su objeto y ha informado al reclamante del resultado del examen, o bien si dicha decisión está sujeta a un control jurisdiccional pleno, que incluya la potestad del juez que conoce del asunto de obligar a la autoridad de control a que adopte una medida concreta.

48 Para responder a esta cuestión, procede recordar, con carácter preliminar, que la interpretación de una disposición del Derecho de la Unión requiere tener en cuenta no solo su tenor, sino también el contexto en el que se inscribe, así como los objetivos y la finalidad que persigue el acto del que forma parte (sentencia de 22 de junio de 2023, Pankki S, C‑579/21, EU:C:2023:501, apartado 38 y jurisprudencia citada).

49 Por lo que respecta al tenor del artículo 78, apartado 1, del RGPD, esta disposición establece que, sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica tiene derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna.

50 A este respecto, procede recordar antes de nada que, en el presente asunto, las decisiones adoptadas por el HBDI constituyen decisiones jurídicamente vinculantes, en el sentido del artículo 78, apartado 1. En efecto, tras examinar el fondo de las reclamaciones presentadas ante ella, esta autoridad consideró que el tratamiento de los datos personales impugnado por los demandantes en los procedimientos principales era lícito con arreglo al RGPD. Por lo demás, el carácter jurídicamente vinculante de estas decisiones se ve confirmado por el considerando 143 de dicho Reglamento, según el cual la desestimación o rechazo de una reclamación por una autoridad de control constituye una decisión que produce efectos jurídicos que afectan al reclamante.

51 Asimismo, procede señalar que, de esta disposición, interpretada a la luz del considerando 141 del mencionado Reglamento, se desprende expresamente que todo interesado tiene derecho a la tutela judicial «efectiva», de conformidad con el artículo 47 de la Carta.

52 De esta forma, el Tribunal de Justicia ya ha declarado que del artículo 78, apartado 1, del RGPD, interpretado a la luz del considerando 143 de dicho Reglamento, se desprende que los tribunales que conozcan de un recurso contra una decisión de una autoridad de control deben disponer de una competencia plena y, en particular, de la de examinar todas las cuestiones de hecho y de Derecho relativas al litigio del que conocen (sentencia de 12 de enero de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, apartado 41).

53 Por consiguiente, el artículo 78, apartado 1, del RGPD no puede interpretarse en el sentido de que el control jurisdiccional ejercido sobre una decisión relativa a una reclamación adoptada por una autoridad de control se limite a determinar si dicha autoridad ha dado curso a la reclamación, ha examinado adecuadamente su objeto y ha informado al reclamante del resultado del examen. Por el contrario, para que un recurso jurisdiccional sea «efectivo», tal como exige la citada disposición, esa decisión debe estar sujeta a un control jurisdiccional pleno.

54 Esta interpretación se ve corroborada por el contexto en el que se inscribe el artículo 78, apartado 1, del RGPD, así como por los objetivos y la finalidad que persigue dicho Reglamento.

55 Por lo que respecta al contexto en el que se enmarca esta disposición, es preciso señalar que, conforme al artículo 8, apartado 3, de la Carta y a los artículos 51, apartado 1, y 57, apartado 1, letra a), del RGPD, las autoridades nacionales de control están encargadas del control del cumplimiento de las reglas de la Unión para la protección de las personas físicas frente al tratamiento de datos personales (sentencia de 16 de julio de 2020, Facebook Ireland y Schrems, C‑311/18, EU:C:2020:559, apartado 107).

56 En particular, en virtud del artículo 57, apartado 1, letra f), del RGPD, incumbirá a cada autoridad de control, en su territorio, tratar las reclamaciones que cualquier persona, de conformidad con el artículo 77, apartado 1, del antedicho Reglamento, pueda presentar si considera que el tratamiento de datos personales que le conciernen infringe el referido Reglamento y examinar su objeto en la medida en que sea necesario. La autoridad de control debe proceder al tratamiento de esas reclamaciones con toda la diligencia exigible (sentencia de 16 de julio de 2020, Facebook Ireland y Schrems, C‑311/18, EU:C:2020:559, apartado 109).

57 Para permitirles tratar las reclamaciones presentadas, el artículo 58, apartado 1, del RGPD confiere a cada autoridad de control importantes poderes de investigación. Cuando una de esas autoridades, al finalizar su investigación, constata una infracción de las disposiciones de dicho Reglamento, está obligada a reaccionar de modo adecuado con el fin de subsanar la insuficiencia constatada. A tal efecto, el artículo 58, apartado 2, del referido Reglamento enumera los diferentes poderes correctivos de que dispone la autoridad de control (véase, en este sentido, la sentencia de 16 de julio de 2020, Facebook Ireland y Schrems, C‑311/18, EU:C:2020:559, apartado 111).

58 De ello se deduce, como ha señalado el Abogado General en el punto 42 de sus conclusiones, que el procedimiento de reclamación, que no se asemeja al de una petición, se concibe como un mecanismo capaz de proteger de manera eficaz los derechos y los intereses de los interesados.

59 Pues bien, habida cuenta de los amplios poderes conferidos a la autoridad de control en virtud del RGPD, no se cumpliría la exigencia de tutela judicial efectiva si las decisiones relativas al ejercicio de poderes de investigación o de adopción de medidas correctivas por parte de dicha autoridad de control no estuvieran sujetas sino a un control jurisdiccional limitado.

60 Lo mismo sucede con las decisiones por las que se desestima una reclamación, ya que el artículo 78, apartado 1, del RGPD no hace ninguna distinción en función de la naturaleza de la decisión adoptada por la autoridad de control.

61 En cuanto concierne a los objetivos perseguidos por el RGPD, de su considerando 10 se desprende que este tiene por objeto garantizar un nivel elevado de protección de las personas físicas por lo que se refiere al tratamiento de datos personales en la Unión. El considerando 11 del mismo Reglamento señala, además, que la protección efectiva de estos datos exige que se refuercen los derechos de los interesados.

62 Pues bien, si el artículo 78, apartado 1, de dicho Reglamento debiera interpretarse en el sentido de que el control jurisdiccional a que se refiere se limita a comprobar si la autoridad de control ha dado curso a la reclamación, ha examinado adecuadamente su objeto y ha informado al reclamante del resultado del examen, la realización de los objetivos y la consecución de la finalidad del mencionado Reglamento necesariamente se verían comprometidas.

63 Por otro lado, la interpretación de esta disposición según la cual una decisión relativa a una reclamación adoptada por una autoridad de control está sujeta a un control jurisdiccional pleno no desvirtúa las garantías de independencia de que gozan las autoridades de control ni el derecho a la tutela judicial efectiva frente a un responsable o encargado del tratamiento.

64 En primer lugar, es cierto que, con arreglo al artículo 8, apartado 3, de la Carta, el respeto de las normas en materia de protección de los datos de carácter personal está sujeto al control de una autoridad independiente. En este contexto, el artículo 52 del RGPD precisa, en particular, que cada autoridad de control actuará con total independencia en el desempeño de sus funciones y en el ejercicio de sus poderes de conformidad con dicho Reglamento (apartado 1), que el miembro o los miembros de cada autoridad de control serán ajenos, en el desempeño de sus funciones y en el ejercicio de sus poderes, a toda influencia externa (apartado 2), y que cada Estado miembro garantizará que cada autoridad de control disponga de los recursos necesarios para el cumplimiento efectivo de sus funciones y el ejercicio de sus poderes (apartado 4).

65 No obstante, estas garantías de independencia no se ven comprometidas en modo alguno por el hecho de que las decisiones jurídicamente vinculantes de una autoridad de control estén sujetas a un control jurisdiccional pleno.

66 En segundo lugar, en lo que se refiere al derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento, establecido en el artículo 79, apartado 1, del RGPD, procede señalar que, según la jurisprudencia del Tribunal de Justicia, los recursos previstos en los artículos 78, apartado 1, y 79, apartado 1, respectivamente, del citado Reglamento, pueden ejercerse de manera concurrente e independiente (sentencia de 12 de enero de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, apartado 35 y fallo). En este contexto, el Tribunal de Justicia ha considerado, en particular, que la puesta a disposición de varias vías de recurso refuerza el objetivo enunciado en el considerando 141 del mencionado Reglamento de garantizar a cualquier interesado que estime que se han vulnerado sus derechos con arreglo a ese Reglamento el derecho a la tutela judicial efectiva de conformidad con el artículo 47 de la Carta (sentencia de 12 de enero de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, apartado 44).

67 Por consiguiente, aun cuando corresponde a los Estados miembros, de conformidad con el principio de autonomía procesal, establecer la forma de articular esas vías de recurso (sentencia de 12 de enero de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, apartado 45 y fallo), la existencia del derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento, establecido en el artículo 79, apartado 1, del RGPD, no afecta al alcance del control jurisdiccional ejercido, en el marco de un recurso interpuesto en virtud del artículo 78, apartado 1, de dicho Reglamento, contra una decisión relativa a una reclamación adoptada por una autoridad de control.

68 No obstante, debe añadirse que, si bien, como se señala en el apartado 56 de la presente sentencia, la autoridad de control debe dar curso a una reclamación con toda la diligencia exigible, dicha autoridad dispone, por lo que respecta a las medidas correctivas enumeradas en el artículo 58, apartado 2, del RGPD, de un margen de apreciación en cuanto a la elección de los medios adecuados y necesarios (véase, en este sentido, la sentencia de 16 de julio de 2020, Facebook Ireland y Schrems, C‑311/18, EU:C:2020:559, apartado 112).

69 Pues bien, aun cuando el juez nacional que conoce de un recurso en virtud del artículo 78, apartado 1, del RGPD debe disponer, como se ha señalado en el apartado 52 de la presente sentencia, de plena competencia para examinar todas las cuestiones de hecho y de Derecho relativas al litigio de que se trate, la garantía de la tutela judicial efectiva no implica que esté facultado para sustituir la apreciación realizada por la autoridad de control acerca de cuáles son las medidas correctivas adecuadas y necesarias por la suya propia, sino que exige que dicho juez examine si la autoridad de control ha respetado los límites de su poder de apreciación.

70 Habida cuenta de todas las consideraciones anteriores, procede responder a la primera cuestión prejudicial que el artículo 78, apartado 1, del RGPD debe interpretarse en el sentido de que una decisión relativa a una reclamación adoptada por una autoridad de control está sujeta a un control jurisdiccional pleno.

Cuestiones prejudiciales segunda a quinta

71 Mediante sus cuestiones prejudiciales segunda a quinta, que procede examinar conjuntamente, el órgano jurisdiccional remitente pregunta, en esencia,

– si el artículo 5, apartado 1, letra a), del RGPD, en relación con el artículo 6, apartado 1, párrafo primero, letra f), de dicho Reglamento, debe interpretarse en el sentido de que se opone a una práctica de las agencias privadas de información comercial consistente en conservar, en sus propias bases de datos, información procedente de un registro público relativa a la concesión de una exoneración del pasivo insatisfecho en favor de personas físicas y en suprimir dicha información al término de un período de tres años, de conformidad con un código de conducta en el sentido del artículo 40 de este mismo Reglamento, pese a que el período de conservación de dicha información en el registro público es de seis meses, y

– si el artículo 17, apartado 1, letras c) y d), del RGPD debe interpretarse en el sentido de que una agencia privada de información comercial que ha recabado información relativa a la concesión de una exoneración de pasivo insatisfecho de un registro público está obligada a suprimirla.

Sobre el artículo 5, apartado 1, letra a), del RGPD

72 Con arreglo al artículo 5, apartado 1, letra a), del RGPD, los datos personales han de ser tratados de manera lícita, leal y transparente en relación con el interesado.

73 En este contexto, el artículo 6, apartado 1, párrafo primero, de dicho Reglamento prevé una lista exhaustiva y taxativa de los casos en los que un tratamiento de datos personales puede considerarse lícito. Así pues, para poder ser considerado legítimo, el tratamiento de datos personales debe estar comprendido en alguno de los casos contemplados en esa disposición [sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C‑252/21, EU:C:2023:537, apartado 90 y jurisprudencia citada].

74 En el presente asunto, es pacífico que la licitud del tratamiento de datos personales controvertido en los litigios principales debe apreciarse únicamente a la luz del artículo 6, apartado 1, párrafo primero, letra f), del RGPD. A tenor de esta disposición, el tratamiento de datos personales solo será lícito si es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

75 Así pues, esta disposición establece tres requisitos acumulativos para que el tratamiento de datos personales resulte lícito, a saber, en primer lugar, que el responsable del tratamiento o el tercero persigan un interés legítimo; en segundo lugar, que el tratamiento de los datos personales sea necesario para la satisfacción de ese interés legítimo, y, en tercer lugar, que no prevalezcan los intereses o los derechos y libertades fundamentales del interesado en la protección de los datos [sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C‑252/21, EU:C:2023:537, apartado 106 y jurisprudencia citada].

76 Por lo que respecta, en primer término, al requisito relativo a la persecución de un «interés legítimo», a falta de definición de este concepto por el RGPD, procede subrayar, como señaló el Abogado General en el punto 61 de sus conclusiones, que, en principio, existe una amplia gama de intereses considerados legítimos.

77 Por lo que respecta, en segundo término, al requisito relativo a la necesidad del tratamiento de datos personales para la satisfacción del interés legítimo perseguido, este exige que el órgano jurisdiccional remitente compruebe que el interés legítimo perseguido con el tratamiento de los datos no puede alcanzarse razonablemente de manera tan eficaz por otros medios menos atentatorios respecto de las libertades y los derechos fundamentales de los interesados, en particular respecto de los derechos al respeto de la vida privada y de protección de los datos personales, garantizados por los artículos 7 y 8 de la Carta [sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C‑252/21, EU:C:2023:537, apartado 108 y jurisprudencia citada].

78 En este contexto, procede recordar igualmente que el requisito relativo a la necesidad del tratamiento debe examinarse en relación con el llamado principio de «minimización de los datos», consagrado en el artículo 5, apartado 1, letra c), del RGPD, conforme al cual los datos personales deben ser «adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados» [sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C‑252/21, EU:C:2023:537, apartado 109 y jurisprudencia citada].

79 En tercer término, por lo que respecta al requisito de que los intereses o las libertades y los derechos fundamentales del interesado en la protección de los datos no prevalezcan sobre el interés legítimo del responsable del tratamiento o de un tercero, el Tribunal de Justicia ya ha declarado que dicho requisito implica la ponderación de los derechos e intereses en conflicto, que dependerá, en principio, de las circunstancias concretas del caso particular y que, en consecuencia, corresponde al órgano jurisdiccional remitente efectuar esa ponderación teniendo en cuenta estas circunstancias particulares [sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C‑252/21, EU:C:2023:537, apartado 110 y jurisprudencia citada].

80 Además, como resulta del considerando 47 del RGPD, los intereses y los derechos fundamentales del interesado pueden, en particular, prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de datos personales en circunstancias en las que el interesado no espera razonablemente que se realice tal tratamiento [sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C‑252/21, EU:C:2023:537, apartado 112].

81 Si bien corresponde en definitiva al órgano jurisdiccional remitente apreciar si, en relación con el tratamiento de datos personales controvertido en los litigios principales, se cumplen los tres requisitos mencionados en el apartado 75 de la presente sentencia, el Tribunal de Justicia, al pronunciarse sobre la cuestión prejudicial, puede aportar precisiones destinadas a orientar a dicho órgano jurisdiccional a efectos de proceder a esa determinación (véase, en este sentido, la sentencia de 20 de octubre de 2022, Digi, C‑77/21, EU:C:2022:805, apartado 39 y jurisprudencia citada).

82 En el presente asunto, en lo que se refiere a la persecución de un interés legítimo, SCHUFA alega que las agencias de información comercial tratan datos que son necesarios para la evaluación de la solvencia de personas o empresas, con el fin de poder poner tal información a disposición de sus socios contractuales. En su opinión, además de que esta actividad protege los intereses económicos de las empresas que desean celebrar contratos vinculados a un crédito, la determinación de la solvencia y la aportación de información sobre la solvencia constituyen el fundamento del crédito y de la capacidad de funcionamiento de la economía. SCHUFA sostiene que la actividad de dichas agencias contribuye asimismo a concretar las expectativas comerciales de los interesados en operaciones vinculadas al crédito, dado que la información permite un examen rápido y no burocrático de dichas operaciones.

83 A este respecto, si bien un tratamiento de datos personales como el controvertido en los litigios principales satisface los intereses económicos de SCHUFA, también satisface el interés legítimo de sus socios contractuales, que pretenden celebrar contratos vinculados a un crédito con personas físicas, en poder evaluar la solvencia de estas últimas y, en consecuencia, satisface asimismo los intereses del sector crediticio desde un punto de vista socioeconómico.

84 En efecto, en cuanto atañe a los contratos de crédito al consumo, del artículo 8 de la Directiva 2008/48, interpretado a la luz de su considerando 28, se desprende que, antes de que se celebre el contrato de crédito, el prestamista debe evaluar la solvencia del consumidor sobre la base de una información suficiente, incluida, en su caso, la información procedente de bases de datos públicas y privadas.

85 Además, por lo que respecta a los contratos de crédito celebrados con los consumidores relativos a bienes inmuebles de uso residencial, de los artículos 18, apartado 1, y 21, apartado 1, de la Directiva 2014/17, en relación con sus considerandos 55 y 59, se desprende que el prestamista debe evaluar en profundidad la solvencia del consumidor y que puede acceder a las bases de datos de crédito, ya que a la hora de evaluar la solvencia resulta de utilidad la consulta de dichas bases de datos.

86 Es preciso añadir que la obligación de evaluar la solvencia de los consumidores, tal como se establece en las Directivas 2008/48 y 2014/17, no solo tiene por objeto proteger al solicitante del crédito, sino también, como se señala en el considerando 26 de la Directiva 2008/48, garantizar el buen funcionamiento del sistema crediticio en su conjunto.

87 Tal tratamiento tiene además que ser necesario para la satisfacción de los intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, sin que los intereses o las libertades y los derechos fundamentales del interesado puedan prevalecer sobre dichos intereses. En esta ponderación de los derechos e intereses en conflicto de que se trata, a saber, los del responsable del tratamiento y de los terceros implicados, por una parte, y los del interesado, por otra, es preciso tener en cuenta, tal como se ha señalado en el apartado 80 de la presente sentencia, en particular, las expectativas razonables del interesado, así como el alcance del tratamiento en cuestión y el impacto de este sobre ese interesado [véase la sentencia de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C‑252/21, EU:C:2023:537, apartado 116].

88 En lo concerniente al artículo 6, apartado 1, párrafo primero, letra f), del RGPD, el Tribunal de Justicia ha declarado que esta disposición debe interpretarse en el sentido de que tal tratamiento solo puede considerarse necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, con arreglo a esa disposición, si el referido tratamiento se lleva a cabo dentro de los límites de lo estrictamente necesario para la satisfacción de ese interés legítimo y si de una ponderación de los intereses en conflicto se desprende, habida cuenta de todas las circunstancias pertinentes, que los intereses o las libertades y los derechos fundamentales de los interesados por el tratamiento de que se trate no prevalecen sobre el citado interés legítimo del responsable del tratamiento o de un tercero [véanse, en este sentido, las sentencias de 4 de mayo de 2017, Rīgas satiksme, C‑13/16, EU:C:2017:336, apartado 30, y de 4 de julio de 2023, Meta Platforms y otros (Condiciones generales del servicio de una red social), C‑252/21, EU:C:2023:537, apartado 126].

89 En este contexto, el órgano jurisdiccional remitente hace referencia a dos aspectos del tratamiento de datos personales controvertido en los litigios principales. En primer lugar, afirma que este tratamiento implica una conservación multiforme de los datos, a saber, no solo en un registro público, sino también en las bases de datos de las agencias de información comercial, y señala que dichas agencias proceden a dicha conservación no por un motivo concreto, sino para poder proporcionar tal información en el supuesto de que sus socios contractuales la soliciten. En segundo lugar, el órgano jurisdiccional remitente afirma que estas agencias conservan esos datos durante tres años, sobre la base de un código de conducta en el sentido del artículo 40 del RGPD, cuando la legislación nacional establece, para el registro público, un período de conservación de solo seis meses.

90 En lo tocante al primero de estos aspectos, SCHUFA alega que sería imposible facilitar información a su debido tiempo si una agencia de información comercial estuviera obligada a esperar una solicitud concreta antes de poder comenzar a recabar datos.

91 A este respecto, corresponde al órgano jurisdiccional remitente comprobar si la conservación de los datos de que se trata por SCHUFA en sus propias bases de datos se limita a lo estrictamente necesario en relación con la satisfacción del interés legítimamente perseguido, cuando los datos de que se trata pueden consultarse en el registro público y sin que una empresa comercial haya solicitado información en un caso concreto. De no ser así, la conservación de esos datos por SCHUFA no podría considerarse necesaria durante el período en el que dichos datos están a disposición del público.

92 Por lo que respecta al período de conservación de los datos, es preciso considerar que el examen de los requisitos segundo y tercero recordados en el apartado 75 de la presente sentencia se confunde en la medida en que la apreciación de si, en el presente asunto, los intereses legítimos perseguidos por el tratamiento de datos personales de que se trata en los litigios principales pueden alcanzarse razonablemente con un período de conservación de los datos más corto requiere una ponderación de los derechos e intereses en conflicto.

93 En lo que se refiere a la ponderación de los intereses legítimos perseguidos, procede señalar que, en la medida en que el análisis aportado por una agencia de información comercial hace posible la evaluación objetiva y fiable de la solvencia de los potenciales clientes de los socios contractuales de la agencia de información comercial, dicha ponderación permite compensar las disparidades en la información y, por tanto, reducir los riesgos de fraude y otras incertidumbres.

94 Sin embargo, en lo que se refiere a los derechos e intereses del interesado, el tratamiento de datos relativos a la concesión de una exoneración del pasivo insatisfecho por una agencia de información comercial, como la conservación, el análisis y la comunicación de dichos datos a un tercero, constituye una injerencia grave en los derechos fundamentales del interesado, consagrados en los artículos 7 y 8 de la Carta. En efecto, tales datos se configuran como un factor negativo a la hora de evaluar la solvencia del interesado y, por tanto, constituyen información sensible sobre su vida privada (véase, en este sentido, la sentencia de 13 de mayo de 2014, Google Spain y Google, C‑131/12, EU:C:2014:317, apartado 98). Su tratamiento puede perjudicar considerablemente los intereses del interesado, ya que la comunicación de dicha información puede dificultar sensiblemente el ejercicio de sus libertades, en particular cuando se trata de cubrir necesidades básicas.

95 Asimismo, como ha puesto de relieve la Comisión, cuanto más tiempo conservan las agencias de información comercial los datos de que se trate, más importantes son las consecuencias sobre los intereses y sobre la vida privada del interesado y mayores las exigencias relativas a la licitud de la conservación de esta información.

96 Es preciso asimismo señalar que, como se desprende del considerando 76 del Reglamento 2015/848, el objetivo de un registro público de insolvencia es mejorar el suministro de información a los acreedores y órganos jurisdiccionales de que se trate. En este contexto, el artículo 79, apartado 5, de dicho Reglamento se limita a preceptuar que los Estados miembros deben informar a los interesados acerca del período de accesibilidad establecido para los datos personales almacenados en los registros de insolvencia, sin determinar un plazo para la conservación de dichos datos. Sin embargo, del artículo 79, apartado 4, del mismo Reglamento se desprende que los Estados miembros se encargan, de conformidad con este, de la recopilación y almacenamiento de los datos en las bases de datos nacionales. El plazo de conservación de estos datos debe fijarse en consecuencia de conformidad con el citado Reglamento.

97 En cuanto atañe al presente asunto, el legislador alemán dispone que la información relativa a la concesión de una exoneración del pasivo insatisfecho solo se conserva en el registro de insolvencia durante seis meses. Por lo tanto, dicho legislador considera que, una vez transcurrido un plazo de seis meses, los derechos y los intereses del interesado prevalecen sobre los intereses del público en disponer de esa información.

98 Además, como ha señalado el Abogado General en el punto 75 de sus conclusiones, la exoneración del pasivo insatisfecho debe permitir al beneficiario volver a participar en la vida económica y, por lo tanto, generalmente reviste una importancia vital para esa persona. Pues bien, la consecución de este objetivo se vería comprometida si las agencias de información comercial, para evaluar la situación económica de una persona, pudieran conservar datos relativos a una exoneración del pasivo insatisfecho y utilizarlos una vez que han sido suprimidos del registro público de insolvencia, puesto que dichos datos siempre se emplean como un factor negativo a la hora de evaluar la solvencia de una persona.

99 En estas circunstancias, los intereses del sector crediticio en disponer de información sobre una exoneración del pasivo insatisfecho no pueden justificar un tratamiento de datos personales como el controvertido en los litigios principales más allá del plazo de conservación de los datos en el registro público de insolvencia, de forma que la conservación de esos datos por una agencia de información comercial con posterioridad a la supresión de dichos datos de un registro público de insolvencia no puede basarse en el artículo 6, apartado 1, párrafo primero, letra f), del RGPD.

100 Por lo que respecta al período de seis meses durante el cual los datos de que se trate están también disponibles en dicho registro público, procede señalar que, si bien las repercusiones de una conservación paralela de esos datos en las bases de datos de las mencionadas agencias pueden considerarse menos graves que una vez transcurridos los seis meses, tal conservación constituye, no obstante, una injerencia en los derechos consagrados en los artículos 7 y 8 de la Carta. A este respecto, el Tribunal de Justicia ya ha declarado que la presencia de los mismos datos personales en varias fuentes refuerza la injerencia en el derecho del individuo a la vida privada (véase la sentencia de 13 de mayo de 2014, Google Spain y Google, C‑131/12, EU:C:2014:317, apartados 86 y 87). Corresponde al órgano jurisdiccional remitente ponderar los intereses en juego y las repercusiones en el interesado, con el fin de determinar si puede considerarse que la conservación paralela de esos datos por agencias de información comercial se limita a lo estrictamente necesario, como exige la jurisprudencia del Tribunal de Justicia citada en el apartado 88 de la presente sentencia.

101 Por último, en lo que se refiere a la existencia, como en el presente asunto, de un código de conducta que establece que las agencias de información comercial deben suprimir los datos relativos a la exoneración del pasivo insatisfecho transcurrido un plazo de tres años, procede recordar que, de conformidad con el artículo 40, apartados 1 y 2, del RGPD, los códigos de conducta están destinados a contribuir a la correcta aplicación de dicho Reglamento, teniendo en cuenta las características específicas de los distintos sectores de tratamiento y las necesidades específicas de las microempresas y las pequeñas y medianas empresas. Así, las asociaciones y otros organismos representativos de categorías de responsables o encargados del tratamiento pueden elaborar códigos de conducta o modificar o ampliar tales códigos con objeto de especificar la aplicación de dicho Reglamento, como el tratamiento leal y transparente, los intereses legítimos perseguidos por los responsables del tratamiento en contextos específicos y la recogida de datos personales.

102 Además, en virtud del artículo 40, apartado 5, del RGPD, se presenta un proyecto de código a la autoridad de control competente, que lo aprueba si considera suficientes las garantías adecuadas ofrecidas.

103 En el presente asunto, el código de conducta controvertido en los litigios principales fue elaborado por la asociación que agrupa a las agencias alemanas de información comercial y aprobado por la autoridad de control competente.

104 Dicho esto, si bien es cierto que, de conformidad con el artículo 40, apartados 1 y 2, del RGPD, los códigos de conducta están destinados a contribuir a la correcta aplicación de dicho Reglamento y a especificar su aplicación, no es menos cierto que, como ha señalado el Abogado General en los puntos 103 y 104 de sus conclusiones, las condiciones de licitud de un tratamiento de datos personales establecidas por tal código no pueden diferir de las previstas en el artículo 6, apartado 1, del RGPD.

105 De esta forma, un código de conducta que dé lugar a una apreciación diferente de la obtenida aplicando el artículo 6, apartado 1, párrafo primero, letra f), del RGPD no puede tomarse en consideración en la ponderación efectuada en virtud de esta disposición.

Sobre el artículo 17 RGPD

106 Por último, el órgano jurisdiccional remitente se pregunta, en esencia, sobre las obligaciones que incumben a una agencia de información comercial en virtud del artículo 17 del RGPD.

107 A este respecto, procede recordar que, de conformidad con el artículo 17, apartado 1, letra d), del RGPD, al que se refiere el órgano jurisdiccional remitente, el interesado tiene derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual está obligado a suprimir sin dilación indebida los datos personales cuando hayan sido tratados ilícitamente.

108 Por consiguiente, según el claro tenor de esta disposición, en el supuesto de que el órgano jurisdiccional remitente debiera concluir, al término de su apreciación acerca de la licitud del tratamiento de datos personales controvertido en los litigios principales, que dicho tratamiento no es lícito, incumbiría al responsable del tratamiento, en este caso SCHUFA, suprimir los datos de que se trata sin dilación. Tal sería el caso, como se ha señalado en el apartado 99 de la presente sentencia, de un tratamiento de datos personales efectuado más allá del plazo de conservación de datos de seis meses en el registro público de insolvencia.

109 Por lo que respecta al tratamiento de datos personales que tiene lugar durante el período de seis meses en el que los datos están disponibles en el registro público de insolvencia, en el supuesto de que el órgano jurisdiccional remitente debiera concluir que es conforme con el artículo 6, apartado 1, párrafo primero, letra f), del RGPD, el artículo 17, apartado 1, letra c), de dicho Reglamento sería aplicable.

110 La referida disposición establece el derecho a la supresión de los datos personales cuando el interesado se oponga a su tratamiento con arreglo al artículo 21, apartado 1, del RGPD y no prevalezcan otros «motivos legítimos imperiosos para el tratamiento». En virtud de esta última disposición, el interesado tiene derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, párrafo primero, letras e) o f), del RGPD. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite que existen motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.

111 De la lectura conjunta de estas disposiciones se desprende, como ha señalado el Abogado General en el punto 93 de sus conclusiones, que el interesado dispone de un derecho a oponerse al tratamiento y de un derecho a la supresión a menos que existan motivos legítimos imperiosos que prevalezcan sobre los intereses y sobre los derechos y las libertades del interesado en el sentido del artículo 21, apartado 1, del RGPD, lo cual corresponde demostrar al responsable del tratamiento.

112 Por consiguiente, si el responsable del tratamiento no aporta prueba de ello, el interesado tendrá derecho a solicitar la supresión de los datos en virtud del artículo 17, apartado 1, letra c), del RGPD, cuando se oponga al tratamiento de conformidad con el artículo 21, apartado 1, de dicho Reglamento. Corresponde al órgano jurisdiccional remitente examinar si existen, con carácter excepcional, motivos legítimos imperiosos que justifiquen el tratamiento en cuestión.

113 Habida cuenta de todas las consideraciones anteriores, procede responder a las cuestiones prejudiciales planteadas como sigue a continuación:

– El artículo 5, apartado 1, letra a), del RGPD, en relación con el artículo 6, apartado 1, párrafo primero, letra f), de dicho Reglamento, debe interpretarse en el sentido de que se opone a una práctica de las agencias de información comercial consistente en conservar, en sus propias bases de datos, información procedente de un registro público relativa a la concesión de una exoneración del pasivo insatisfecho en favor de personas físicas con el fin de poder proporcionar información sobre la solvencia de dichas personas, durante un período que exceda del de conservación de los datos en el registro público.

– El artículo 17, apartado 1, letra c), del RGPD debe interpretarse en el sentido de que el interesado tiene derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan cuando se oponga al tratamiento de conformidad con el artículo 21, apartado 1, de dicho Reglamento y no existan motivos legítimos imperiosos que justifiquen, con carácter excepcional, el tratamiento en cuestión.

– El artículo 17, apartado 1, letra d), del RGPD debe interpretarse en el sentido de que el responsable del tratamiento está obligado a suprimir sin dilación los datos personales que hayan sido tratados ilícitamente.

Costas

114 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Primera) declara:

1) El artículo 78, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos),

debe interpretarse en el sentido de que

una decisión relativa a una reclamación adoptada por una autoridad de control está sujeta a un control jurisdiccional pleno.

2) El artículo 5, apartado 1, letra a), del Reglamento 2016/679, en relación con el artículo 6, apartado 1, párrafo primero, letra f), de dicho Reglamento,

debe interpretarse en el sentido de que

se opone a una práctica de las agencias de información comercial consistente en conservar, en sus propias bases de datos, información procedente de un registro público relativa a la concesión de una exoneración del pasivo insatisfecho en favor de personas físicas con el fin de poder proporcionar información sobre la solvencia de dichas personas, durante un período que exceda del de conservación de los datos en el registro público.

3) El artículo 17, apartado 1, letra c), del Reglamento 2016/679

debe interpretarse en el sentido de que

el interesado tiene derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan cuando se oponga al tratamiento de conformidad con el artículo 21, apartado 1, de dicho Reglamento y no existan motivos legítimos imperiosos que justifiquen, con carácter excepcional, el tratamiento en cuestión.

4) El artículo 17, apartado 1, letra d), del Reglamento 2016/679

debe interpretarse en el sentido de que

el responsable del tratamiento está obligado a suprimir sin dilación indebida los datos personales que hayan sido tratados ilícitamente.

Firmas

* Lengua de procedimiento: alemán.