Asunto T‑557/20
Junta Única de Resolución (JUR)
contra
Supervisor Europeo de Protección de Datos (SEPD)
Sentencia del Tribunal General (Sala Octava ampliada) de 26 de abril de 2023
«Protección de datos personales — Procedimiento de compensación a los accionistas y acreedores a raíz de la resolución de una entidad de crédito — Decisión del SEPD en la que se declara el incumplimiento por la JUR de sus obligaciones en materia de tratamiento de datos personales — Artículo 15, apartado 1, letra d), del Reglamento (UE) 2018/1725 — Concepto de “datos personales” — Artículo 3, punto 1, del Reglamento 2018/1725 — Derecho de acceso al expediente»
1. Recurso de anulación — Actos recurribles — Concepto — Actos que producen efectos jurídicos obligatorios — Actos que modifican la situación jurídica del demandante — Decisión revisada del Supervisor Europeo de Protección de Datos (SEPD) en la que se declara el incumplimiento por la Junta Única de Resolución (JUR) de sus obligaciones en materia de tratamiento de datos personales — Inclusión
[Art. 263 TFUE; Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, art. 15, ap. 1, letra d)]
(véanse los apartados 44 a 46 y 50 a 54)
2. Instituciones de la Unión Europea — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2018/1725 — Concepto de datos personales — Toda información sobre una persona física identificada o identificable — Procedimiento relativo al derecho a ser oído iniciado par la Junta Única de Resolución (JUR) a raíz de la adopción de medidas de resolución de una entidad de crédito — Comentarios formulados ante la JUR por los accionistas y acreedores afectados por dichas medidas — Comentarios transmitidos por la JUR a un tercero independiente para su evaluación — Decisión del Supervisor Europeo de Protección de Datos (SEPD) en la que se declara el incumplimiento por la JUR de sus obligaciones en materia de tratamiento de los datos de dichos accionistas y acreedores — Inexistencia de examen por el SEPD del contenido, finalidad y efectos de los comentarios — Falta de determinación por el SEPD de la posibilidad de que el tercero independiente dispusiera de medios legales y factibles en la práctica para poder acceder a la información adicional necesaria para volver a identificar a los autores de los comentarios transmitidos — Anulación de la decisión del SEPD
[Reglamentos (UE) del Parlamento Europeo y del Consejo n.º 806/2014, art. 20, ap. 16, y 2018/1725, art. 3, punto 1]
(véanse los apartados 64 a 75, 94 a 98 y 100 a 106)
Resumen
En junio de 2017, la Junta Única de Resolución (JUR) adoptó un dispositivo de resolución del Banco Popular Español, S. A., una entidad de crédito, sobre la base del Reglamento n.º 806/2014. (1) A fin de evaluar si los accionistas y acreedores afectados por la medida de resolución habrían recibido mejor tratamiento si dicha entidad hubiera iniciado un procedimiento de insolvencia ordinario, dicho Reglamento impone la intervención de un tercero independiente, al objeto de efectuar una valoración de la diferencia de trato. (2) La JUR encargó al despacho Deloitte esa valoración.
Una vez efectuada dicha valoración, la JUR adoptó una decisión preliminar respecto a la potencial concesión de una compensación a los accionistas y acreedores afectados e inició un procedimiento relativo al derecho a ser oído, para poder adoptar una decisión final. (3) En dicho procedimiento, divido en dos fases, se invitó a los accionistas y acreedores afectados, en un primer momento, a manifestar su interés en ejercer su derecho a ser oídos mediante un formulario de registro en línea y a aportar los documentos justificativos de sus derechos (fase de registro). En un segundo momento, los accionistas y acreedores afectados cuya condición había sido verificada por la JUR podían presentar sus comentarios escritos sobre la decisión preliminar de la JUR y la valoración (fase de consulta). En la fecha de inicio de la fase de registro, la JUR publicó, en la página de Internet de registro en el procedimiento relativo al derecho a ser oído, una declaración de confidencialidad sobre el tratamiento de los datos personales en dicho procedimiento.
Los datos recabados en la fase de registro eran accesibles a un número limitado de miembros del personal de la JUR encargados del tratamiento de esos datos para determinar la admisibilidad de los participantes. Estos datos no eran visibles para los miembros del personal de la JUR encargados del tratamiento de los comentarios recibidos en la fase de consulta, en la que únicamente recibieron comentarios identificados con referencia a un código alfanumérico asignado a cada comentario presentado mediante el formulario.
Tras la agregación, el filtrado automático y la categorización de los comentarios, la JUR transmitió a Deloitte, para su evaluación, los comentarios relativos a la valoración efectuada. Los comentarios transmitidos a Deloitte se referían únicamente a los recibidos en la fase de consulta y llevaban un código alfanumérico. Mediante ese código, la JUR era la única que podía relacionar los comentarios con los datos recibidos en la fase de registro. Deloitte no tenía y sigue sin tener acceso a la base de datos recabados en la fase de registro.
En este contexto, dado que la declaración de confidencialidad sobre el tratamiento de los datos personales publicada por la JUR no contenía mención alguna sobre la transmisión a terceros de los datos recabados mediante el formulario, accionistas y acreedores afectados (en lo sucesivo, «reclamantes») remitieron, con arreglo al Reglamento 2018/1725, (4) cinco reclamaciones al Supervisor Europeo de Protección de Datos (SEPD). Alegaban un incumplimiento por la JUR de sus obligaciones de información en materia de tratamiento de los datos personales con arreglo a ese Reglamento. (5)
El SEPD adoptó una decisión inicial que, a raíz de una solicitud de revisión presentada por la JUR, fue derogada y sustituida por una decisión revisada en la que el SEPD consideró que la JUR había infringido una disposición de dicho Reglamento al no haber informado a los reclamantes, en la declaración de confidencialidad, de la posibilidad de que sus datos personales fueran comunicados a Deloitte. La JUR interpuso entonces un recurso ante el Tribunal General con objeto, entre otras cosas, de obtener la anulación de la decisión revisada del SEPD.
El Tribunal General, constituido en Sala Ampliada, estima este recurso de la JUR y anula la decisión revisada del SEPD, aclarando el concepto de datos personales a la luz de las sentencias Nowak (6) y Breyer (7) dictadas por el Tribunal de Justicia.
Apreciación del Tribunal General
En su sentencia, el Tribunal General aporta precisiones sobre el concepto de datos personales, en el sentido del artículo 3, punto 1, del Reglamento 2018/1725, definidos como «toda información sobre una persona física identificada o identificable». Por lo tanto, para que una información constituya un dato personal, es preciso que se cumplan dos requisitos acumulativos: por un lado, que la información sea «sobre» una persona física y, por otro, que se trate de una persona «identificada o identificable».
En primer lugar, el Tribunal General examina si el SEPD pudo estimar fundadamente que la información transmitida a Deloitte era «sobre» una persona física en el sentido de dicha disposición.
Con carácter preliminar, el Tribunal General señala que, en la decisión revisada, el SEPD calificó como «datos personales» todos los comentarios formulados en la fase de consulta por los accionistas y acreedores afectados y no limitó su apreciación únicamente a la información transmitida a Deloitte. Pues bien, en la medida en que la infracción por la JUR de sus obligaciones en materia de tratamiento de los datos personales con arreglo al Reglamento 2018/1725, constatada en la decisión revisada, se refería únicamente al hecho de que la JUR no mencionara, en la declaración de confidencialidad, que Deloitte era el destinatario potencial de algunos datos, el Tribunal General considera que procede limitarse a examinar si la información transmitida a Deloitte constituía datos personales en el sentido del artículo 3, punto 1, del Reglamento 2018/1725.
En este marco, el Tribunal General recuerda el objetivo del legislador de atribuir un significado muy amplio al concepto de datos personales, que no se ciñe a los datos confidenciales o relacionados con la intimidad, sino que puede abarcar todo género de información, tanto objetiva como subjetiva, como opiniones o apreciaciones, siempre que sean sobre la persona en cuestión.
Sobre este particular, el Tribunal General también señala que, en su sentencia Nowak antes citada, el Tribunal de Justicia ya tuvo ocasión de declarar que este requisito se cumple cuando, debido a su contenido, finalidad o efectos, la información está relacionada con una persona concreta. Ahora bien, en la decisión revisada, el SEPD no examinó ni el contenido, ni la finalidad, ni los efectos de la información transmitida a Deloitte. Se limitó a indicar que los comentarios presentados por los reclamantes en la fase de consulta reflejaban sus opiniones o sus puntos de vista y a concluir, sobre esa única base, que constituían información que les concernía, lo que bastaba para calificarlos de datos personales. Es cierto que no cabe excluir que puntos de vista personales u opiniones constituyan datos personales. Sin embargo, de la sentencia Nowak (8) se desprende que tal conclusión no puede basarse en una presunción como la aplicada por el SEPD, sino que debe sustentarse en el examen destinado a determinar si, por su contenido, finalidad o efectos, un punto de vista está relacionado con una persona concreta. De lo anterior se deduce que, al no haber llevado a cabo tal examen, el SEPD no podía concluir que la información transmitida a Deloitte constituía información «sobre» una persona física en el sentido del artículo 3, punto 1, del Reglamento 2018/1725.
En segundo lugar, el Tribunal General examina la apreciación del SEPD relativa a si la información transmitida a Deloitte era sobre una persona física «identificada o identificable» en el sentido de dicha disposición.
Sobre este particular, el Tribunal General señala que no se discute, por un lado, que el código alfanumérico que figura en la información transmitida a Deloitte no permitía por sí solo identificar a los autores de los comentarios y, por otro lado, que Deloitte no tenía acceso a los datos de identificación recibidos en la fase de registro que permitían relacionar a los participantes con sus comentarios gracias a dicho código. El SEPD declaró que la información adicional necesaria para identificar a los autores de los comentarios consistía en el código alfanumérico y la base de datos de identificación. Es cierto que, habida cuenta de la sentencia Breyer antes citada, (9) el hecho de que la información adicional necesaria para identificar a los autores de los comentarios recibidos en la fase de consulta no estuviera en poder de Deloitte, sino de la JUR, no parece excluir a priori que la información transmitida a Deloitte constituyera, para esta, datos personales. Sin embargo, también se desprende de esa misma sentencia que, para determinar si la información transmitida a Deloitte constituía datos personales, es preciso ponerse en el lugar de esta última para determinar si la información que se le transmitió versa sobre «personas identificables».
Por consiguiente, con arreglo a la sentencia Breyer antes citada, (10) correspondía al SEPD examinar si los comentarios transmitidos a Deloitte constituían, para esta, datos personales. Así pues, según el Tribunal General, el SEPD yerra al sostener que no era necesario averiguar si Deloitte podía volver a identificar a los autores de la información que se le había transmitido o si eso era razonablemente posible. El Tribunal General señala que, en la decisión revisada, el SEPD consideró que el hecho de que la JUR dispusiera de la información adicional que permitía volver a identificar a los autores de los comentarios bastaba para concluir que la información transmitida a Deloitte consistía en datos personales, aun cuando reconoció que los datos de identificación recibidos en la fase de registro no se habían comunicado a Deloitte. Por lo tanto, de la decisión revisada se desprende que el SEPD se limitó a examinar la posibilidad de volver a identificar a los autores de los comentarios desde el punto de vista de la JUR y no de Deloitte. Ahora bien, de la sentencia Breyer antes citada, (11) se desprende que correspondía al SEPD determinar si la posibilidad de combinar la información que se había transmitido a Deloitte con la información adicional en poder de la JUR constituía un medio que Deloitte podía razonablemente utilizar para identificar a los autores de los comentarios.
Por lo tanto, al no haber investigado el SEPD si Deloitte disponía de medios legales y factibles en la práctica para poder acceder a la información adicional necesaria para volver a identificar a los autores de los comentarios, el SEPD no podía concluir que la información transmitida a Deloitte constituía información sobre una «persona física identificable» en el sentido del artículo 3, punto 1, del Reglamento 2018/1725. En consecuencia, el Tribunal General anula la decisión revisada del SEPD.