CURIA - Documents

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Quinta)

de 4 de mayo de 2023 (*)

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 5 — Principios relativos al tratamiento — Responsabilidad del tratamiento — Artículo 6 — Licitud del tratamiento — Expediente electrónico relativo a una solicitud de asilo elaborado por una autoridad administrativa — Transmisión al órgano jurisdiccional nacional competente a través de un buzón electrónico — Infracción de los artículos 26 y 30 — Inexistencia de acuerdo que determine la corresponsabilidad del tratamiento y no llevanza del registro de las actividades de tratamiento — Consecuencias — Artículo 17, apartado 1 — Derecho de supresión (“derecho al olvido”) — Artículo 18, apartado 1 — Derecho a la limitación del tratamiento — Concepto de “tratamiento ilícito” — Toma en consideración del expediente electrónico por un órgano jurisdiccional nacional — Falta de consentimiento del interesado»

En el asunto C‑60/22,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso-Administrativo de Wiesbaden, Alemania), mediante resolución de 27 de enero de 2022, recibida en el Tribunal de Justicia el 1 de febrero de 2022, en el procedimiento entre

Bundesrepublik Deutschland,

EL TRIBUNAL DE JUSTICIA (Sala Quinta),

integrado por el Sr. E. Regan (Ponente), Presidente de Sala, y los Sres. D. Gratsias, M. Ilešič, I. Jarukaitis y Z. Csehi, Jueces;

Abogada General: Sra. T. Ćapeta;

Secretario: Sr. A. Calot Escobar;

habiendo considerado los escritos obrantes en autos;

consideradas las observaciones presentadas:

– en nombre de UZ, por el Sr. J. Leuschner, Rechtsanwalt;

– en nombre del Gobierno alemán, por los Sres. J. Möller y P.‑L. Krüger, en calidad de agentes;

– en nombre del Gobierno checo, por los Sres. O. Serdula, M. Smolek y J. Vláčil, en calidad de agentes;

– en nombre del Gobierno francés, por la Sra. A.‑L. Desjonquères y el Sr. J. Illouz, en calidad de agentes;

– en nombre del Gobierno austriaco, por el Sr. A. Posch y las Sras. M.‑T. Rappersberger y J. Schmoll, en calidad de agentes;

– en nombre del Gobierno polaco, por el Sr. B. Majczyna, en calidad de agente;

– en nombre de la Comisión Europea por los Sres. A. Bouchagiar, F. Erlbacher y H. Kranenborg, en calidad de agentes;

vista la decisión adoptada por el Tribunal de Justicia, oída la Abogada General, de que el asunto sea juzgado sin conclusiones;

dicta la siguiente

Sentencia

1 La petición de decisión prejudicial tiene por objeto la interpretación de los artículos 5, 17, apartado 1, letra d), 18, apartado 1, letra b), 26 y 30 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; correcciones de errores en DO 2018, L 127, p. 3, y en DO 2021, L 74, p. 35; en lo sucesivo, «RGPD»).

2 Esta petición se ha presentado en el contexto de un litigio entre UZ, nacional de un tercer país, y la Bundesrepublik Deutschland (República Federal de Alemania), representada por el Bundesamt für Migration und Flüchtlinge (Oficina Federal de Migración y Refugiados, Alemania; en lo sucesivo, «Oficina Federal»), en relación con la tramitación de la solicitud de protección internacional presentada por aquel nacional de un tercer país.

Marco jurídico

Derecho de la Unión

Directiva 2013/32/UE

3 El considerando 52 de la Directiva 2013/32/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, sobre procedimientos comunes para la concesión o la retirada de la protección internacional (refundición) (DO 2013, L 180, p. 60), tiene el siguiente tenor:

«La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos [DO 1995, L 281, p. 31], regula el tratamiento de los datos personales que se efectúe en los Estados miembros en aplicación de la presente Directiva.»

RGPD

4 Los considerandos 1, 10, 40, 74, 79 y 82 del RGPD están redactados en los siguientes términos:

«(1) La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea […] y el artículo 16 [TFUE], apartado 1, […] establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.

[…]

(10) Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión [Europea], el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. Debe garantizarse en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea. […]

[…]

(40) Para que el tratamiento sea lícito, los datos personales deben ser tratados con el consentimiento del interesado o sobre alguna otra base legítima establecida conforme a Derecho, ya sea en el presente Reglamento o en virtud de otro Derecho de la Unión o de los Estados miembros a que se refiera el presente Reglamento, incluida la necesidad de cumplir la obligación legal aplicable al responsable del tratamiento o la necesidad de ejecutar un contrato en el que sea parte el interesado o con objeto de tomar medidas a instancia del interesado con anterioridad a la conclusión de un contrato.

[…]

(74) Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas físicas.

[…]

(79) La protección de los derechos y libertades de los interesados, así como la responsabilidad de los responsables y encargados del tratamiento, también en lo que respecta a la supervisión por parte de las autoridades de control y a las medidas adoptadas por ellas, requieren una atribución clara de las responsabilidades en virtud del presente Reglamento, incluidos los casos en los que un responsable determine los fines y medios del tratamiento de forma conjunta con otros responsables, o en los que el tratamiento se lleve a cabo por cuenta de un responsable.

[…]

(82) Para demostrar la conformidad con el presente Reglamento, el responsable o el encargado del tratamiento debe mantener registros de las actividades de tratamiento bajo su responsabilidad. Todos los responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento.»

5 El capítulo I del RGPD, titulado «Disposiciones generales», comprende los artículos 1 a 4.

6 A tenor del artículo 1 de este Reglamento, titulado «Objeto»:

«1. El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.

2. El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.

[…]»

7 El artículo 4 del citado Reglamento, titulado «Definiciones», dispone, en sus puntos 2, 7 y 21, lo siguiente:

«2) “tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

[…]

7) “responsable del tratamiento” o “responsable”: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;

[…]

21) “autoridad de control”: la autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 51;

[…]».

8 El capítulo II del RGPD, titulado «Principios», incluye los artículos 5 a 11.

9 El artículo 5 de este Reglamento, titulado «Principios relativos al tratamiento», establece lo siguiente:

«1. Los datos personales serán:

a) tratados de manera lícita, leal y transparente en relación con el interesado (“licitud, lealtad y transparencia”);

b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales (“limitación de la finalidad”);

c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (“minimización de datos”);

d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan (“exactitud”);

e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado (“limitación del plazo de conservación”);

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (“integridad y confidencialidad”).

2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva”).»

10 El artículo 6 del citado Reglamento, titulado «Licitud del tratamiento», dispone lo siguiente en su apartado 1:

«El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.»

11 El artículo 7 del RGPD se refiere a las condiciones para el consentimiento, mientras que el artículo 8 de dicho Reglamento establece las condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información.

12 El artículo 9 de este Reglamento, bajo el título «Tratamiento de categorías especiales de datos personales», prohíbe el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.

13 El artículo 10 de dicho Reglamento, titulado «Tratamiento de datos personales relativos a condenas e infracciones penales», se refiere al tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas sobre la base del artículo 6, apartado 1, del mismo Reglamento.

14 El capítulo III del RGPD, que lleva por título «Derechos del interesado», comprende los artículos 12 a 23.

15 El artículo 17 de este Reglamento, titulado «Derecho de supresión (“el derecho al olvido”)», tiene el siguiente tenor:

«1. El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:

a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;

[…]

d) los datos personales hayan sido tratados ilícitamente;

[…]

3. Los apartados 1 y 2 no se aplicarán cuando el tratamiento sea necesario:

[…]

b) para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable;

[…]

e) para la formulación, el ejercicio o la defensa de reclamaciones.»

16 A tenor del artículo 18 de dicho Reglamento, bajo la rúbrica «Derecho a la limitación del tratamiento»:

«1. El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes:

[…]

b) el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;

[…]

2. Cuando el tratamiento de datos personales se haya limitado en virtud del apartado 1, dichos datos solo podrán ser objeto de tratamiento, con excepción de su conservación, con el consentimiento del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, o con miras a la protección de los derechos de otra persona física o jurídica o por razones de interés público importante de la Unión o de un determinado Estado miembro.

[…]»

17 El capítulo IV del RGPD lleva por título «Responsable del tratamiento y encargado del tratamiento» y engloba los artículos 24 a 43.

18 Incluido en la sección 1 de este capítulo, titulada «Obligaciones generales», el artículo 26 del citado Reglamento, bajo la rúbrica «Corresponsables del tratamiento», está redactado en los siguientes términos:

«1. Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento. Los corresponsables determinarán de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el presente Reglamento, en particular en cuanto al ejercicio de los derechos del interesado y a sus respectivas obligaciones de suministro de información a que se refieren los artículos 13 y 14, salvo, y en la medida en que, sus responsabilidades respectivas se rijan por el Derecho de la Unión o de los Estados miembros que se les aplique a ellos. Dicho acuerdo podrá designar un punto de contacto para los interesados.

2. El acuerdo indicado en el apartado 1 reflejará debidamente las funciones y relaciones respectivas de los corresponsables en relación con los interesados. Se pondrán a disposición del interesado los aspectos esenciales del acuerdo.

3. Independientemente de los términos del acuerdo a que se refiere el apartado 1, los interesados podrán ejercer los derechos que les reconoce el presente Reglamento frente a, y en contra de, cada uno de los responsables.»

19 El artículo 30 del referido Reglamento, titulado «Registro de las actividades de tratamiento», establece lo siguiente:

«1. Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información indicada a continuación:

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;

b) los fines del tratamiento;

c) una descripción de las categorías de interesados y de las categorías de datos personales;

d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

[…]

4. El responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado pondrán el registro a disposición de la autoridad de control que lo solicite.

[…]»

20 Incluido en el capítulo VI del RGPD, bajo la rúbrica, «Autoridades de control independientes», el artículo 58 de este, titulado «Poderes», dispone lo siguiente en su apartado 2:

«Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:

a) dirigir a todo responsable o encargado del tratamiento una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el presente Reglamento;

b) dirigir a todo responsable o encargado del tratamiento un apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;

c) ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento;

d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado;

e) ordenar al responsable del tratamiento que comunique al interesado las violaciones de la seguridad de los datos personales;

f) imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición;

g) ordenar la rectificación o supresión de datos personales o la limitación de tratamiento con arreglo a los artículos 16, 17 y 18 y la notificación de dichas medidas a los destinatarios a quienes se hayan comunicado datos personales con arreglo a al artículo 17, apartado 2, y al artículo 19;

h) retirar una certificación u ordenar al organismo de certificación que retire una certificación emitida con arreglo a los artículos 42 y 43, u ordenar al organismo de certificación que no se emita una certificación si no se cumplen o dejan de cumplirse los requisitos para la certificación;

i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso particular;

j) ordenar la suspensión de los flujos de datos hacia un destinatario situado en un tercer país o hacia una organización internacional.»

21 El capítulo VIII de este Reglamento, que lleva por título «Recursos, responsabilidad y sanciones», comprende los artículos 77 a 84.

22 El artículo 77 del citado Reglamento, bajo el título «Derecho a presentar una reclamación ante una autoridad de control», establece lo siguiente en su apartado 1:

«Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento.»

23 El artículo 82 del RGPD, titulado «Derecho a indemnización y responsabilidad», preceptúa, en sus apartados 1 y 2, lo siguiente:

«1. Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.

2. Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento. Un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del presente Reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable.»

24 El artículo 83 de este Reglamento lleva por título «Condiciones generales para la imposición de multas administrativas» y dispone lo siguiente en sus apartados 4, 5 y 7:

«4. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 [euros] como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43;

[…]

5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 [euros] como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9;

[…]

7. Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro.»

25 Dentro del capítulo XI del citado Reglamento, que lleva por título «Disposiciones finales», figura su artículo 94, que, bajo la rúbrica «Derogación de la Directiva 95/46/CE», establece lo siguiente:

«1. Queda derogada la Directiva 95/46/CE con efecto a partir del 25 de mayo de 2018.

2. Toda referencia a la Directiva derogada se entenderá hecha al presente Reglamento. Toda referencia al Grupo de protección de las personas en lo que respecta al tratamiento de datos personales establecido por el artículo 29 de la Directiva 95/46/CE se entenderá hecha al Comité Europeo de Protección de Datos establecido por el presente Reglamento.»

Derecho alemán

26 El artículo 43 de la Bundesdatenschutzgesetz (Ley federal de Protección de Datos), de 20 de diciembre de 1990 (BGBl. 1990 I, p. 2954), en su versión aplicable al litigio principal (en lo sucesivo, «BDSG»), titulado «Disposiciones sobre multas administrativas», establece lo siguiente en su apartado 3:

«No podrá imponerse ninguna multa administrativa a las autoridades públicas ni a otros organismos públicos en el sentido del artículo 2, apartado 1[, de la BDSG].»

Litigio principal y cuestiones prejudiciales

27 El 7 de mayo de 2019, el demandante en el litigio principal presentó una solicitud de protección internacional ante la Oficina Federal, que la denegó.

28 Para adoptar su resolución denegatoria (en lo sucesivo, «resolución controvertida»), la Oficina Federal se basó en el expediente electrónico «MARIS» que ella misma había elaborado, que contiene los datos personales relativos al demandante en el litigio principal.

29 Este interpuso un recurso contra la resolución controvertida ante el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso-Administrativo de Wiesbaden, Alemania), que es el órgano jurisdiccional remitente en el presente asunto. El expediente electrónico «MARIS» fue transmitido entonces a dicho órgano jurisdiccional, en el marco de un procedimiento conjunto con arreglo al artículo 26 del RGPD, a través del buzón electrónico judicial y administrativo (Elektronisches Gerichts- und Verwaltungspostfach), gestionado por un organismo público que forma parte del poder ejecutivo.

30 El órgano jurisdiccional remitente señala que del considerando 52 de la Directiva 2013/32 se desprende que el tratamiento de datos personales efectuado por los Estados miembros en los procedimientos de concesión de protección internacional se rige por el RGPD.

31 Sin embargo, el citado órgano jurisdiccional duda de que la gestión del expediente electrónico elaborado por la Oficina Federal y la transmisión a él de dicho expediente a través del buzón electrónico judicial y administrativo sean conformes con el referido Reglamento.

32 Por una parte, por lo que se refiere a la gestión del expediente electrónico, no se ha demostrado que la Oficina Federal se atenga a lo dispuesto en el artículo 5, apartado 1, del RGPD, en relación con su artículo 30. Afirma el órgano jurisdiccional remitente que, a pesar de una solicitud que él dirigió a tal fin, la Oficina Federal no ha presentado un registro completo de las actividades de tratamiento en relación con dicho expediente. Pues bien, tal registro debería haberse confeccionado en el momento del tratamiento de los datos personales relativos al demandante en el litigio principal, esto es, en la fecha en que este presentó su solicitud de protección internacional. La Oficina Federal debe ser oída sobre la cuestión de su responsabilidad proactiva, con arreglo al artículo 5, apartado 2, del RGPD, una vez que el Tribunal de Justicia se haya pronunciado sobre la presente petición de decisión prejudicial.

33 Por otra parte, por lo que respecta a la transmisión del expediente electrónico a través del buzón electrónico judicial y administrativo, tal transmisión constituye un «tratamiento» de los datos en el sentido del artículo 4, punto 2, del RGPD, que debe ser conforme con los principios enunciados en el artículo 5 de dicho Reglamento. Pues bien, en contra de lo dispuesto en el artículo 26 de ese mismo Reglamento, ninguna normativa nacional regula este procedimiento de transmisión entre las autoridades administrativas y los tribunales definiendo las responsabilidades respectivas de los corresponsables del tratamiento y la Oficina Federal no ha presentado ningún acuerdo en este sentido, a pesar de una solicitud dirigida a tal efecto por el órgano jurisdiccional remitente. Así, este se plantea la cuestión de la licitud de esta transferencia de datos a través del buzón electrónico judicial y administrativo.

34 En particular, según el órgano jurisdiccional remitente, ha de determinarse si el incumplimiento de las obligaciones establecidas en los artículos 5, 26 y 30 del RGPD, de donde derivaría la ilicitud del tratamiento de los datos personales, debe sancionarse con la supresión de tales datos, de conformidad con el artículo 17, apartado 1, letra d), de dicho Reglamento, o con una limitación del tratamiento con arreglo a su artículo 18, apartado 1, letra b). Tales sanciones deberían contemplarse, al menos, en caso de que lo solicite el interesado. De no ser así, el citado órgano jurisdiccional se vería obligado a participar en un tratamiento ilícito de esos datos en el contexto del procedimiento judicial. En ese supuesto, solamente la autoridad de control podría intervenir, con arreglo al artículo 58 del RGPD, imponiendo a las autoridades públicas afectadas una multa administrativa, en virtud del artículo 83, apartado 5, letra a), del citado Reglamento. No obstante, de conformidad con el artículo 43, apartado 3, de la BDSG, que transpone el artículo 83, apartado 7, del referido Reglamento, no puede imponerse ninguna multa administrativa a nivel nacional a las autoridades públicas ni a otros organismos públicos. De ello se deriva, a su juicio, que no se cumplen ni la Directiva 2013/32 ni el RGPD.

35 Por lo demás, el órgano jurisdiccional remitente considera que el tratamiento controvertido en el litigio principal no está comprendido en el ámbito de aplicación del artículo 17, apartado 3, letra e), del RGPD, que permite la utilización de datos personales para la formulación, el ejercicio o la defensa de reclamaciones por la parte demandada. Es cierto que, en el presente asunto, la Oficina Federal utiliza los datos para cumplir, con arreglo al artículo 17, apartado 3, letra b), de dicho Reglamento, una obligación legal que requiere el tratamiento impuesta por el Derecho de la Unión o de los Estados miembros que se aplica al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable. No obstante, si se aplicara esta disposición, ello equivaldría a legalizar de forma duradera una práctica contraria a la normativa en materia de protección de datos.

36 Por consiguiente, el citado órgano jurisdiccional se pregunta en qué medida puede tener en cuenta, en el marco de su actividad judicial, los datos personales aportados en el contexto de tal procedimiento del poder ejecutivo. Afirma que, si la gestión del expediente electrónico o su transmisión a través del buzón electrónico judicial y administrativo debiera calificarse de tratamiento ilícito a la luz del RGPD, el órgano jurisdiccional remitente contribuiría, en caso de tenerlo en cuenta, al tratamiento ilícito en cuestión, lo cual iría en contra del objetivo perseguido por dicho Reglamento, que consiste en proteger las libertades y los derechos fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.

37 A este respecto, el órgano jurisdiccional remitente se pregunta además si el hecho de que el interesado haya dado su consentimiento expreso o de que se oponga a la utilización de sus datos personales en el marco de un procedimiento judicial puede influir en la posibilidad de tener en cuenta tales datos. En el supuesto de que el citado órgano jurisdiccional no pudiera tener en cuenta los datos contenidos en el expediente electrónico «MARIS» debido a las ilegalidades que vician la gestión y la transmisión de ese expediente, no existiría base jurídica alguna, a la espera de una eventual subsanación de tales ilegalidades, para decidir acerca de la solicitud del demandante en el litigio principal de que se le conceda el estatuto de refugiado. En consecuencia, el órgano jurisdiccional remitente debería anular la resolución controvertida.

38 En estas circunstancias, el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso-Administrativo de Wiesbaden) ha decidido suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1) ¿Implica la ausencia total o parcial de responsabilidad proactiva de un responsable del tratamiento en el sentido del artículo 5 del [RGPD], por ejemplo, por la ausencia total o parcial de un registro de actividades de tratamiento con arreglo al artículo 30 del RGPD o por falta de un acuerdo sobre un procedimiento conjunto con arreglo al artículo 26 del RGPD, la ilicitud del tratamiento a efectos de los artículos 17, apartado 1, letra d), y 18, apartado 1, letra b), del RGPD, de modo que asiste al interesado un derecho de supresión o limitación?

2) En caso de respuesta afirmativa a la primera cuestión: ¿Implica la existencia de un derecho de supresión o limitación que los datos tratados no deban ser tenidos en cuenta en un procedimiento judicial? ¿Es así, al menos, cuando el interesado se ha opuesto a la utilización de los datos en el procedimiento judicial?

3) En caso de respuesta negativa a la primera cuestión: ¿Implica la infracción de los artículos 5, 30 o 26 del RGPD por parte del responsable del tratamiento que, a efectos de la utilización judicial del tratamiento de datos, un órgano jurisdiccional nacional solo puede tener en cuenta los datos si el interesado ha dado su consentimiento expreso al tratamiento?»

Sobre las cuestiones prejudiciales

Sobre la admisibilidad

39 Sin proponer formalmente una excepción de inadmisibilidad, el Gobierno alemán manifiesta sus dudas acerca de la pertinencia de las cuestiones prejudiciales para la resolución del litigio principal. Antes de nada, según el Gobierno alemán, de la resolución de remisión se desprende que la infracción, por parte de la Oficina Federal, del artículo 5, apartado 2, del RGPD no ha quedado acreditada con carácter definitivo, ya que el órgano jurisdiccional remitente se limita a presumir la existencia de dicha infracción. Además, el citado órgano jurisdiccional no ha señalado que los expedientes de la Oficina Federal, suponiendo que no esté autorizado a utilizarlos, sean los únicos decisivos para la resolución de este litigio. Afirma el Gobierno alemán que el órgano jurisdiccional remitente dispone también de otras fuentes de información, de las que, en virtud del principio de instrucción de oficio, debe hacer pleno uso cuando una autoridad no aporte expedientes o estos sean incompletos. Por último, a juicio del citado Gobierno, la tercera cuestión prejudicial es manifiestamente hipotética, ya que de la resolución de remisión no se desprende que el demandante en el litigio principal haya dado o dé su consentimiento a la utilización, por parte del órgano jurisdiccional remitente, del tratamiento de sus datos personales.

40 Es preciso recordar que, según reiterada jurisprudencia del Tribunal de Justicia, las cuestiones relativas al Derecho de la Unión gozan de una presunción de pertinencia. El Tribunal de Justicia solo puede abstenerse de pronunciarse sobre una cuestión prejudicial planteada por un órgano jurisdiccional nacional cuando resulte evidente que la interpretación del Derecho de la Unión solicitada no guarda relación alguna ni con la realidad ni con el objeto del litigio principal, cuando el Tribunal de Justicia no disponga de los elementos de hecho y de Derecho necesarios para dar una respuesta útil a las cuestiones que se le hayan planteado o cuando el problema sea de naturaleza hipotética. Además, en el marco del procedimiento al que se refiere el artículo 267 TFUE, basado en una clara separación de funciones entre los órganos jurisdiccionales nacionales y el Tribunal de Justicia, solo el juez nacional es competente para comprobar y apreciar los hechos del litigio principal (véanse, entre otras, la sentencia de 24 de marzo de 2022, Autoriteit Persoonsgegevens, C‑245/20, EU:C:2022:216, apartados 20 y 21, y jurisprudencia citada).

41 Como se desprende claramente del párrafo segundo del artículo 267 TFUE, en el marco de la estrecha cooperación entre los órganos jurisdiccionales nacionales y el Tribunal de Justicia, basada en un reparto de funciones entre ellos, incumbe al órgano jurisdiccional nacional decidir en qué fase del procedimiento procede plantear una cuestión prejudicial al Tribunal de Justicia (sentencia de 17 de julio de 2008, Coleman, C‑303/06, EU:C:2008:415, apartado 29 y jurisprudencia citada).

42 En particular, el Tribunal de Justicia ya ha declarado, a este respecto, que el hecho de que las cuestiones fácticas no hayan sido objeto, hasta el presente, de un procedimiento contradictorio de administración de la prueba no hace inadmisible, como tal, una cuestión prejudicial (véase, en este sentido, la sentencia de 11 de septiembre de 2014, Österreichischer Gewerkschaftsbund, C‑328/13, EU:C:2014:2197, apartado 19 y jurisprudencia citada).

43 Pues bien, en el presente asunto, aun cuando de la petición de decisión prejudicial se desprende que el órgano jurisdiccional remitente no se ha pronunciado definitivamente sobre la existencia de un incumplimiento, por parte de la Oficina Federal, de las obligaciones que le incumben en virtud del artículo 5, apartado 2, del RGPD, en relación con los artículos 26 y 30 de dicho Reglamento, dado que este aspecto del litigio principal aún debe, según las indicaciones facilitadas en la citada petición, ser objeto de un debate contradictorio, lo cierto es que el referido órgano jurisdiccional ha comprobado que la Oficina Federal, como responsable del tratamiento, no ha presentado ni el acuerdo relativo al tratamiento conjunto de los datos ni el registro de las actividades de tratamiento a los que se refieren estas dos últimas disposiciones, a pesar de la solicitud que se le dirigió a tal fin.

44 Por lo demás, de la resolución de remisión se desprende que, en opinión del órgano jurisdiccional remitente, el único a quien incumbe comprobar y apreciar los hechos, la resolución controvertida se adoptó sobre la base exclusivamente del expediente electrónico elaborado por la Oficina Federal, cuya gestión y transmisión podrían infringir las normas establecidas en el RGPD, de modo que dicha resolución podría tener que ser anulada por este motivo.

45 Por último, en cuanto al consentimiento del demandante en el litigio principal a la utilización de sus datos personales en el marco del procedimiento judicial, basta con señalar que la tercera cuestión prejudicial tiene por objeto precisamente determinar si es necesario, en el presente asunto, que tal consentimiento se manifieste para que el órgano jurisdiccional remitente esté autorizado a tomar en consideración tales datos.

46 En estas circunstancias, dado que se ha sometido al Tribunal de Justicia una petición de interpretación del Derecho de la Unión que no está manifiestamente desprovista de relación con la realidad o el objeto del litigio en el procedimiento principal y que este Tribunal dispone de los datos necesarios para responder de modo útil a las cuestiones prejudiciales que se le han planteado, relativas a la incidencia del RGPD en el litigio principal, debe responder a la mencionada petición sin tener que pronunciarse acerca de la presunción de hechos en la que se ha basado el órgano jurisdiccional remitente, presunción cuya validez habrá de comprobar posteriormente este último órgano jurisdiccional si ello resulta necesario (véase, por analogía, la sentencia de 17 de julio de 2008, Coleman, C‑303/06, EU:C:2008:415, apartado 31 y jurisprudencia citada).

47 En consecuencia, debe considerarse que la presente petición de decisión prejudicial es admisible y responder a las cuestiones prejudiciales planteadas por el órgano jurisdiccional remitente, sabiendo, no obstante, que incumbe a este comprobar si la Oficina Federal incumplió las obligaciones establecidas en los artículos 26 y 30 del RGPD.

Sobre el fondo

Primera cuestión prejudicial

48 Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si los artículos 17, apartado 1, letra d), y 18, apartado 1, letra b), del RGPD deben interpretarse en el sentido de que el incumplimiento, por parte del responsable del tratamiento, de las obligaciones establecidas en los artículos 26 y 30 de dicho Reglamento, relativas, respectivamente, a la celebración de un acuerdo que determine la corresponsabilidad del tratamiento y a la llevanza de un registro de las actividades de tratamiento, constituye un tratamiento ilícito que confiera al interesado un derecho de supresión o un derecho a la limitación del tratamiento, en la medida en que tal incumplimiento suponga la vulneración, por parte del responsable del tratamiento, del principio de «responsabilidad proactiva», tal como se enuncia en el artículo 5, apartado 2, de dicho Reglamento.

49 Según jurisprudencia reiterada del Tribunal de Justicia, para interpretar una disposición del Derecho de la Unión, han de tenerse en cuenta no solo su tenor, sino también el contexto en el que se inserta y los objetivos perseguidos por la normativa de la que forma parte (véase, en este sentido, entre otras, la sentencia de 12 de enero de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, apartado 32 y jurisprudencia citada).

50 Por lo que respecta, en primer lugar, al tenor de las disposiciones pertinentes del Derecho de la Unión, debe recordarse que, de conformidad con el artículo 17, apartado 1, letra d), del RGPD, el interesado tiene derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan y que el responsable del tratamiento está obligado a suprimir sin dilación indebida tales datos cuando hayan sido «tratados ilícitamente».

51 Asimismo, en virtud del artículo 18, apartado 1, letra b), del RGPD, si el interesado se opone a la supresión de esos datos y solicita en su lugar la limitación de su uso, tiene derecho a obtener del responsable del tratamiento la limitación del tratamiento cuando el «tratamiento sea ilícito».

52 Las disposiciones mencionadas en los dos apartados anteriores deben interpretarse en relación con el artículo 5, apartado 1, de dicho Reglamento, según el cual el tratamiento de datos personales debe respetar una serie de principios enunciados en esa misma disposición, entre ellos el que figura en el artículo 5, apartado 1, letra a), del citado Reglamento, que precisa que los datos personales deben ser tratados «de manera lícita, leal y transparente en relación con el interesado».

53 A tenor del apartado 2 del artículo 5 del RGPD, el responsable del tratamiento, conforme al principio de «responsabilidad proactiva» enunciado en dicha disposición, es responsable del cumplimiento de lo dispuesto en el apartado 1 de ese mismo artículo y debe ser capaz de demostrar que respeta cada uno de los principios establecidos en ese apartado 1, de modo que recae sobre él la carga de tal prueba [véase, en este sentido, la sentencia de 24 de febrero de 2022, Valsts ieņēmumu dienests (Tratamiento de datos personales con fines fiscales), C‑175/20, EU:C:2022:124, apartados 77, 78 y 81].

54 De ello se deduce que, con arreglo al apartado 2 del artículo 5 del citado Reglamento, en relación con el apartado 1, letra a), de ese mismo artículo, el responsable del tratamiento debe cerciorarse del carácter «lícito» del tratamiento de datos que efectúa.

55 Pues bien, procede señalar que la licitud del tratamiento es precisamente objeto, como se desprende de su propio título, del artículo 6 del RGPD, que establece que el tratamiento solo es lícito si se cumple al menos una de las condiciones enunciadas en el apartado 1, párrafo primero, letras a) a f), de dicho artículo, esto es, como se deduce también del considerando 40 de ese mismo Reglamento, bien que el interesado haya dado su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos, bien que el tratamiento sea necesario para uno de los fines que se mencionan, que se refieren, respectivamente, a la ejecución de un contrato en el que el interesado es parte o a la aplicación a petición de este de medidas precontractuales; al cumplimiento de una obligación legal aplicable al responsable del tratamiento; a la protección de intereses vitales del interesado o de otra persona física; al cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, y a la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado.

56 Esta lista de supuestos en los que un tratamiento de datos personales puede considerarse lícito es exhaustiva y taxativa, de modo que, para que pueda considerarse lícito, un tratamiento debe estar comprendido en uno de los casos previstos en el artículo 6, apartado 1, párrafo primero, del RGPD [véanse, en este sentido, las sentencias de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartado 99 y jurisprudencia citada, y de 8 de diciembre de 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Fines del tratamiento de datos personales — Instrucción penal), C‑180/21, EU:C:2022:967, apartado 83].

57 Así, según la jurisprudencia del Tribunal de Justicia, todo tratamiento de datos personales debe ser conforme con los principios relativos al tratamiento de datos enunciados en el artículo 5, apartado 1, de dicho Reglamento y debe cumplir las condiciones de licitud del tratamiento enumeradas en el artículo 6 de ese mismo Reglamento [véanse, entre otras, las sentencias de 6 de octubre de 2020, La Quadrature du Net y otros, C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791, apartado 208; de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartado 96, y de 20 de octubre de 2022, Digi, C‑77/21, EU:C:2022:805, apartados 49 y 56].

58 Por lo demás, dado que los artículos 7 a 11 del RGPD —que figuran, al igual que los artículos 5 y 6 de este, en el capítulo II de ese Reglamento, relativo a los principios— tienen por objeto precisar el alcance de las obligaciones que incumben al responsable del tratamiento en virtud de los artículos 5, apartado 1, letra a), y 6, apartado 1, del RGPD, el tratamiento de datos personales, para ser lícito, también debe respetar, como se desprende de la jurisprudencia del Tribunal de Justicia, esas otras disposiciones de dicho capítulo que se refieren, en esencia, al consentimiento, al tratamiento de categorías especiales de datos personales sensibles y al tratamiento de datos personales relativos a condenas e infracciones penales [véanse, en este sentido, las sentencias de 24 de septiembre de 2019, GC y otros (Retirada de enlaces a datos sensibles), C‑136/17, EU:C:2019:773, apartados 72 a 75, y de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartados 100, 102 y 106].

59 Pues bien, procede señalar, al igual que todos los Gobiernos que han presentado observaciones escritas y que la Comisión Europea, que el cumplimiento, por parte del responsable del tratamiento, de la obligación de celebrar un acuerdo que establezca la corresponsabilidad del tratamiento, prevista en el artículo 26 del RGPD, y de la de llevar un registro de las actividades de tratamiento, establecida en el artículo 30 de dicho Reglamento, no figura entre los motivos de licitud del tratamiento enunciados en el artículo 6, apartado 1, párrafo primero, de ese mismo Reglamento.

60 Además, a diferencia de los artículos 7 a 11 del RGPD, los artículos 26 y 30 del referido Reglamento no tienen por objeto precisar el alcance de los requisitos establecidos en los artículos 5, apartado 1, letra a), y 6, apartado 1, del citado Reglamento.

61 Por consiguiente, del propio tenor de los artículos 5, apartado 1, letra a), y 6, apartado 1, párrafo primero, del RGPD se deduce que el incumplimiento por parte del responsable del tratamiento de las obligaciones establecidas en los artículos 26 y 30 de dicho Reglamento no constituye un «tratamiento ilícito» a los efectos de los artículos 17, apartado 1, letra d), y 18, apartado 1, letra b), de ese mismo Reglamento, que se derivaría de la vulneración por parte de este del principio de «responsabilidad proactiva» enunciado en el artículo 5, apartado 2, del citado Reglamento.

62 Esta interpretación se ve corroborada, en segundo lugar, por el contexto en el que se insertan estas diferentes disposiciones. En efecto, de la propia estructura del RGPD y, por tanto, de su lógica interna se desprende claramente que este distingue entre, por un lado, los «principios», objeto de su capítulo II, que incluye, entre otros, los artículos 5 y 6 de dicho Reglamento, y, por otro lado, las «obligaciones generales», que forman parte de la sección 1 del capítulo IV del citado Reglamento, relativo a los responsables del tratamiento, entre las que figuran las obligaciones contempladas en los artículos 26 y 30 de ese mismo Reglamento.

63 Por lo demás, esta distinción se refleja en el capítulo VIII del RGPD, relativo a las sanciones: la infracción de los artículos 26 y 30 del referido Reglamento, por una parte, y de los artículos 5 y 6 de este, por otra parte, es objeto, respectivamente, en los apartados 4 y 5 del artículo 83 de ese mismo Reglamento, de multas administrativas que pueden ascender hasta un determinado importe, diferente según el apartado de que se trate, debido al nivel de gravedad de las respectivas infracciones reconocido por el legislador de la Unión.

64 En tercer y último lugar, la interpretación literal del RGPD expuesta en el apartado 61 de la presente sentencia se ve respaldada por el objetivo perseguido por dicho Reglamento, que se desprende de su artículo 1 y de sus considerandos 1 y 10 y que consiste, en particular, en garantizar un nivel elevado de protección de los derechos y libertades fundamentales de las personas físicas, sobre todo de su derecho a la vida privada respecto del tratamiento de los datos personales, consagrado en el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea y en el artículo 16 TFUE, apartado 1 (véase, en este sentido, la sentencia de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, apartado 125 y jurisprudencia citada).

65 En efecto, la inexistencia de un acuerdo que determine la corresponsabilidad, con arreglo al artículo 26 del RGPD, o de un registro de las actividades de tratamiento, en el sentido del artículo 30 de dicho Reglamento, no basta por sí sola para acreditar la existencia de una vulneración del derecho fundamental a la protección de los datos de carácter personal. Concretamente, si bien es cierto que, como se desprende de sus considerandos 79 y 82, el reparto claro de responsabilidades entre los corresponsables del tratamiento y el registro de las actividades de tratamiento constituyen medios para asegurar el respeto, por parte de esos responsables, de las garantías previstas por el citado Reglamento para la protección de los derechos y libertades de los interesados, no es menos cierto que la inexistencia de tal registro o de tal acuerdo no demuestra, como tal, que se hayan vulnerado esos derechos y libertades.

66 De ello resulta que la infracción de los artículos 26 y 30 del RGPD por parte del responsable del tratamiento no constituye un «tratamiento ilícito» a los efectos de los artículos 17, apartado 1, letra d), o 18, apartado 1, letra b), de dicho Reglamento, en relación con los artículos 5, apartado 1, letra a), y 6, apartado 1, párrafo primero, de este, que confiera al interesado un derecho de supresión o un derecho a la limitación del tratamiento.

67 Por tanto, como han alegado todos los Gobiernos que han presentado observaciones escritas y la Comisión, tal incumplimiento debe subsanarse recurriendo a otras medidas previstas en el RGPD, como el ejercicio, por parte de la autoridad de control, de «poderes correctivos», en el sentido del artículo 58, apartado 2, de dicho Reglamento, en particular, de conformidad con la letra d) de la citada disposición, el ajuste de las operaciones de tratamiento, la presentación de una reclamación ante la autoridad de control, con arreglo al artículo 77, apartado 1, de ese mismo Reglamento, o la indemnización de los daños y perjuicios eventualmente ocasionados por el responsable del tratamiento, en virtud del artículo 82 de este.

68 Por último, habida cuenta de las inquietudes expresadas por el órgano jurisdiccional remitente, debe precisarse además que el hecho de que, en el presente asunto, la imposición de una multa administrativa, en virtud de los artículos 58, apartado 2, letra i), y 83 del RGPD, esté excluida, toda vez que el Derecho nacional prohíbe tal sanción en el caso de la Oficina Federal, no impide la aplicación efectiva de dicho Reglamento. En efecto, basta con señalar, a este respecto, que el artículo 83, apartado 7, del citado Reglamento confiere expresamente a los Estados miembros la facultad de disponer si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos. Por lo demás, las diferentes medidas alternativas previstas por el RGPD, recordadas en el apartado precedente, permiten garantizar tal aplicación efectiva.

69 En consecuencia, procede responder a la primera cuestión prejudicial que los artículos 17, apartado 1, letra d), y 18, apartado 1, letra b), del RGPD deben interpretarse en el sentido de que el incumplimiento, por parte del responsable del tratamiento, de las obligaciones establecidas en los artículos 26 y 30 de dicho Reglamento, relativas, respectivamente, a la celebración de un acuerdo que determine la corresponsabilidad del tratamiento y a la llevanza de un registro de las actividades de tratamiento, no constituye un tratamiento ilícito que confiera al interesado un derecho de supresión o un derecho a la limitación del tratamiento, dado que tal incumplimiento no supone la vulneración, como tal, por parte del responsable del tratamiento, del principio de «responsabilidad proactiva», tal como se enuncia en el artículo 5, apartado 2, de dicho Reglamento, en relación con los artículos 5, apartado 1, letra a), y 6, apartado 1, párrafo primero, de este.

Segunda cuestión prejudicial

70 A la vista de la respuesta dada a la primera cuestión prejudicial, no procede responder a la segunda.

Tercera cuestión prejudicial

71 Mediante su tercera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el Derecho de la Unión debe interpretarse en el sentido de que, cuando el responsable del tratamiento de datos personales ha incumplido las obligaciones que le incumben en virtud de los artículos 26 o 30 del RGPD, la licitud de la toma en consideración de tales datos por un órgano jurisdiccional nacional está supeditada al consentimiento del interesado.

72 A este respecto, ha de señalarse que del propio tenor del párrafo primero del apartado 1 del artículo 6 de dicho Reglamento se desprende claramente que el consentimiento del interesado, mencionado en la letra a) de ese párrafo, es solo uno de los motivos que hacen que el tratamiento sea lícito, sin que, en cambio, los otros motivos de licitud enunciados en las letras b) a f) de ese mismo párrafo, que se refieren, en esencia, a la necesidad del tratamiento para la consecución de determinados fines, exijan tal consentimiento (véase, por analogía, la sentencia de 11 de diciembre de 2019, Asociaţia de Proprietari bloc M5A-ScaraA, C‑708/18, EU:C:2019:1064, apartado 41).

73 Pues bien, cuando un órgano jurisdiccional ejerce las competencias jurisdiccionales que le confiere el Derecho nacional, el tratamiento de datos personales que dicho órgano jurisdiccional ha de efectuar debe considerarse necesario para la finalidad enunciada en el artículo 6, apartado 1, párrafo primero, letra e), del RGPD, relativa al cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

74 Dado que, por una parte, basta con que concurra una de las condiciones recogidas en el artículo 6, apartado 1, del RGPD para que un tratamiento de datos personales pueda considerarse lícito y que, por otra parte, como se ha concluido en el apartado 61 de la presente sentencia, la infracción de los artículos 26 y 30 de dicho Reglamento no constituye un tratamiento ilícito, la toma en consideración, por el órgano jurisdiccional remitente, de datos personales que hayan sido tratados por la Oficina Federal incumpliendo las obligaciones establecidas en esos últimos artículos no está supeditada al consentimiento del interesado.

75 En consecuencia, procede responder a la tercera cuestión prejudicial que el Derecho de la Unión debe interpretarse en el sentido de que, cuando el responsable del tratamiento de datos personales ha incumplido las obligaciones que le incumben en virtud de los artículos 26 o 30 del RGPD, la licitud de la toma en consideración de tales datos por un órgano jurisdiccional nacional no está supeditada al consentimiento del interesado.

Costas

76 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional nacional, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Quinta) declara:

1) Los artículos 17, apartado 1, letra d), y 18, apartado 1, letra b), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),

deben interpretarse en el sentido de que

el incumplimiento, por parte del responsable del tratamiento, de las obligaciones establecidas en los artículos 26 y 30 de dicho Reglamento, relativas, respectivamente, a la celebración de un acuerdo que determine la corresponsabilidad del tratamiento y a la llevanza de un registro de las actividades de tratamiento, no constituye un tratamiento ilícito que confiera al interesado un derecho de supresión o un derecho a la limitación del tratamiento, dado que tal incumplimiento no supone la vulneración, como tal, por parte del responsable del tratamiento, del principio de «responsabilidad proactiva», tal como se enuncia en el artículo 5, apartado 2, de dicho Reglamento, en relación con los artículos 5, apartado 1, letra a), y 6, apartado 1, párrafo primero, de este.

2) El Derecho de la Unión debe interpretarse en el sentido de que, cuando el responsable del tratamiento de datos personales ha incumplido las obligaciones que le incumben en virtud de los artículos 26 o 30 del Reglamento 2016/679, la licitud de la toma en consideración de tales datos por un órgano jurisdiccional nacional no está supeditada al consentimiento del interesado.

Firmas

* Lengua de procedimiento: alemán.