Cargando. Por favor, espere

Tribunal de Justicia de la Unión Europea, Sala Primera, Sentencia de 4 May. 2023, C-487/2021

Ponente: Ziemele, Ineta.

Nº de Recurso: C-487/2021

Diario LA LEY, Nº 10297, Sección Sentencias y Resoluciones, 30 de Mayo de 2023, LA LEY

LA LEY 66896/2023

ECLI: EU:C:2023:369

El TJUE precisa el alcance del derecho a obtener una copia de los datos personales objeto de tratamiento

Cabecera

PROTECCIÓN DE DATOS PERSONALES. Derecho de acceso. Interpretación del art. 15.3 Regl. 2016/679. Entrega de una copia de los datos. Concepto de "copia" y de "información". El derecho a obtener del responsable del tratamiento una copia de los datos personales objeto de tratamiento implica que se entregue al interesado una reproducción auténtica e inteligible de todos esos datos, incluyendo copia de extractos de documentos, documentos enteros, o de bases de datos, que contengan, entre otros, dichos datos, y teniendo en cuenta, a este respecto, los derechos y libertades de los terceros.

Resumen de antecedentes y Sentido del fallo

El TJUE resuelve cuestión prejudicial en interpretación del art. 15.3 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 Abr. 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, cuestión suscitada en el contexto de un litigio surgido en Austria en relación con una solicitud de acceso a datos personales.

Texto

En el asunto C-487/21,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE (LA LEY 6/1957), por el Bundesverwaltungsgericht (Tribunal Federal de lo Contencioso-Administrativo, Austria), mediante resolución de 9 de agosto de 2021, recibida en el Tribunal de Justicia el 9 de agosto de 2021, en el procedimiento entre

F. F.

y

Österreichische Datenschutzbehörde,

con intervención de:

CRIF GmbH,

EL TRIBUNAL DE JUSTICIA (Sala Primera),

integrado por el Sr. A. Arabadjiev, Presidente de Sala, y los Sres. P. G. Xuereb, T. von Danwitz y A. Kumin y la Sra. I. Ziemele (Ponente), Jueces;

Abogado General: Sr. G. Pitruzzella;

Secretario: Sr. A. Calot Escobar;

habiendo considerado los escritos obrantes en autos;

consideradas las observaciones presentadas:

- en nombre de F. F., por el Sr. M. Schrems;

- en nombre de la Österreichische Datenschutzbehörde, por la Sra. A. Jelinek y el Sr. M. Schmidl, en calidad de agentes;

- en nombre de CRIF GmbH, por los Sres. L. Feiler y M. Raschhofer, Rechtsanwälte;

- en nombre del Gobierno austriaco, por los Sres. G. Kunnert y A. Posch y por la Sra. J. Schmoll, en calidad de agentes;

- en nombre del Gobierno checo, por los Sres. O. Serdula, M. Smolek y J. Vláčil, en calidad de agentes;

- en nombre del Gobierno italiano, por la Sra. G. Palmieri, en calidad de agente, asistida por la Sra. M. Russo, avvocato dello Stato;

- en nombre de la Comisión Europea, por el Sr. A. Bouchagiar, la Sra. M. Heller y el Sr. H. Kranenborg, en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 15 de diciembre de 2022;

dicta la siguiente

Sentencia

1.

La petición de decisión prejudicial tiene por objeto la interpretación del artículo 15 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (LA LEY 5793/1995) (Reglamento general de protección de datos (LA LEY 6637/2016)) (DO 2016, L 119, p. 1; corrección de errores en DO 2021, L 74, p. 35; en lo sucesivo, «RGPD»).

2. Esta petición se ha presentado en el contexto de un litigio entre F. F. y la Österreichische Datenschutzbehörde (Autoridad Austriaca de Protección de Datos) (en lo sucesivo, «DSB»), en relación con la negativa de esta a obligar a CRIF GmbH a transmitir a F. F. una copia de los documentos y extractos de bases de datos que contenían, entre otros, sus datos personales objeto de tratamiento.

Marco jurídico

3. Los considerandos 10, 11, 26, 58, 60 y 63 del RGPD están redactados como sigue:

«(10) Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión, el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. Debe garantizarse en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea. […]

(11) La protección efectiva de los datos personales en la Unión exige que se refuercen y especifiquen los derechos de los interesados y las obligaciones de quienes tratan y determinan el tratamiento de los datos de carácter personal […]

[…]

(26) Los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable. […] Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. […]

[…]

(58) El principio de transparencia exige que toda información dirigida al público o al interesado sea concisa, fácilmente accesible y fácil de entender, y que se utilice un lenguaje claro y sencillo […]

[…]

(60) Los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de la operación de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales. […]

[…]

(63) Los interesados deben tener derecho a acceder a los datos personales recogidos que le[s] conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento. […] Todo interesado debe, por tanto, tener el derecho a conocer y a que se le comuniquen, en particular, los fines para los que se tratan los datos personales, su plazo de tratamiento, sus destinatarios, la lógica implícita en todo tratamiento automático de datos personales y, por lo menos cuando se base en la elaboración de perfiles, las consecuencias de dicho tratamiento. Si es posible, el responsable del tratamiento debe estar facultado para facilitar acceso remoto a un sistema seguro que ofrezca al interesado un acceso directo a sus datos personales. Este derecho no debe afectar negativamente a los derechos y libertades de terceros, incluidos los secretos comerciales o la propiedad intelectual y, en particular, los derechos de propiedad intelectual que protegen programas informáticos. […]»

4. El artículo 4 de ese Reglamento dispone:

«A efectos del presente Reglamento se entenderá por:

1) “datos personales”: toda información sobre una persona física identificada o identificable […]; se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

2) “tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no […]

[…]».

5. El artículo 12 de dicho Reglamento, titulado «Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado», dispone:

«1. El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.

[…]

3. El responsable del tratamiento facilitará al interesado información relativa a sus actuaciones sobre la base de una solicitud con arreglo a los artículos 15 a 22, sin dilación indebida y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. […] Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo.

[…]»

6. A tenor del artículo 15 del RGPD (LA LEY 6637/2016), titulado «Derecho de acceso del interesado»:

«1. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:

a) los fines del tratamiento;

b) las categorías de datos personales de que se trate;

c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros países u organizaciones internacionales;

d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;

e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;

f) el derecho a presentar una reclamación ante una autoridad de control;

g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;

h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

2. Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 46 relativas a la transferencia.

3. El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.

4. El derecho a obtener copia mencionado en el apartado 3 no afectará negativamente a los derechos y libertades de otros.»

7. El artículo 16 de ese Reglamento, titulado «Derecho de rectificación», establece lo siguiente:

«El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.»

8. El artículo 17 de dicho Reglamento, titulado «Derecho de supresión (“el derecho al olvido”)», enuncia en su apartado 1:

«El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales […]

[…]».

Litigio principal y cuestiones prejudiciales

9.

CRIF es una agencia de asesoramiento comercial que facilita, a solicitud de sus clientes, información sobre la solvencia de terceros. A tal fin, procedió al tratamiento de datos personales del recurrente en el litigio principal.

10. El 20 de diciembre de 2018, este solicitó a CRIF, sobre la base del artículo 15 del RGPD (LA LEY 6637/2016), acceso a los datos personales que le concernían. Además, pidió que se le facilitara una copia de los documentos, a saber, los correos electrónicos y los extractos de bases de datos, que contenían, entre otras cosas, sus datos, «en un formato técnico habitual».

11. En respuesta a esta solicitud, CRIF transmitió al recurrente en el litigio principal, en forma resumida, la lista de sus datos personales objeto de tratamiento.

12. Al considerar que CRIF debería haberle remitido una copia de todos los documentos que contenían sus datos, como los correos electrónicos y los extractos de bases de datos, el recurrente en el litigio principal presentó una reclamación ante la DSB.

13. Mediante decisión de 11 de septiembre de 2019, la DSB desestimó esa reclamación, al considerar que CRIF no había vulnerado el derecho de acceso a los datos personales del recurrente en el litigio principal.

14. El órgano jurisdiccional remitente, que conoce del recurso interpuesto por el recurrente en el litigio principal contra esta decisión, se pregunta sobre el alcance del artículo 15, apartado 3, primera frase, del RGPD. Se pregunta, en particular, si la obligación establecida en esta disposición de facilitar una «copia» de los datos personales se cumple cuando el responsable del tratamiento transmite los datos personales en forma de cuadro sintético o si esta obligación implica también la transmisión de extractos de documentos, o incluso de documentos enteros, así como de extractos de bases de datos, en los que se reproducen esos datos.

15. Más concretamente, ese órgano jurisdiccional plantea la cuestión de si el artículo 15, apartado 3, primera frase, del RGPD se limita a definir la forma en que debe garantizarse el derecho de acceso a la información a que se refiere el artículo 15, apartado 1, de ese Reglamento, o si esta primera disposición consagra un derecho autónomo del interesado al acceso a la información relativa al contexto en el que se tratan los datos de esa persona, en forma de copia de los extractos de documentos, o incluso de documentos enteros, o de extractos de bases de datos, que contengan, entre otros, esos datos.

16. El órgano jurisdiccional remitente se pregunta, además, si el concepto de «información» que figura en el artículo 15, apartado 3, tercera frase, del RGPD incluye también la información a que se refiere el artículo 15, apartado 1, letras a) a h), de ese Reglamento, o incluso información adicional como los metadatos relacionados con los datos, o si incluye únicamente los «datos personales objeto de tratamiento» a que se refiere el artículo 15, apartado 3, primera frase, de dicho Reglamento.

17. En estas circunstancias, el Bundesverwaltungsgericht (Tribunal Federal de lo Contencioso-Administrativo, Austria) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1) El término “copia” que figura en el artículo 15, apartado 3, del [RGPD (LA LEY 6637/2016)], ¿debe interpretarse en el sentido de que se refiere a una fotocopia o, en su caso, un facsímil o una copia electrónica de un dato (electrónico) o comprende también, siguiendo la definición de dicho término en los diccionarios alemanes, franceses e ingleses, una “Abschrift” [(reproducción)], un “double” (“duplicata”) o un “transcript”?

2) El artículo 15, apartado 3, primera frase, del RGPD, a tenor del cual “el responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento”, ¿debe interpretarse en el sentido de que incluye un derecho subjetivo general de un interesado a la entrega de una copia, también de documentos enteros en que se tratan datos personales del interesado, o a la entrega de una copia de un extracto de una base de datos en caso de tratamiento de los datos personales en una base de datos o, en cambio, el interesado -solamente- tiene un derecho subjetivo a obtener una reproducción auténtica de los datos personales a los que solicita acceso con arreglo al artículo 15, apartado 1, del RGPD?

3) En caso de que se responda a la segunda cuestión prejudicial en el sentido de que el interesado solo tiene un derecho a una reproducción auténtica de los datos personales a los que solicita acceso con arreglo al artículo 15, apartado 1, del RGPD, ¿debe interpretarse el artículo 15, apartado 3, primera frase, [de este] en el sentido de que, dependiendo de la naturaleza de los datos tratados [por ejemplo, por lo que respecta a los diagnósticos, los resultados de exámenes, las evaluaciones, que se mencionan en el considerando 63 del RGPD, o también la documentación relacionada con un examen en el sentido de la sentencia del Tribunal de Justicia de 20 de diciembre de 2017, Nowak (C-434/16, EU:C:2017:994 (LA LEY 177514/2017)),] y de la obligación de transparencia del artículo 12, apartado 1, del RGPD, en casos concretos puede no obstante resultar necesario facilitar al interesado pasajes de textos o documentos enteros?

4) El concepto de “información” que, a tenor del artículo 15, apartado 3, tercera frase, del RGPD, cuando el interesado presenta la solicitud por medios electrónicos, “se facilitará en un formato electrónico de uso común”, “a menos que este solicite que se facilite de otro modo”, ¿debe interpretarse en el sentido de que se refiere únicamente a “los datos personales objeto de tratamiento” que se mencionan en el artículo 15, apartado 3, primera frase, del RGPD?

a) En caso de respuesta negativa a la cuarta cuestión prejudicial: el concepto de “información” que, a tenor del artículo 15, apartado 3, tercera frase, del RGPD, cuando el interesado presenta la solicitud por medios electrónicos, “se facilitará en un formato electrónico de uso común”, “a menos que este solicite que se facilite de otro modo”, ¿debe interpretarse en el sentido de que se refiere también a la información que menciona el artículo 15, apartado 1, letras a) a h), del RGPD?

b) En caso de respuesta negativa también a la letra a) de la cuarta cuestión prejudicial: el concepto de “información” que, a tenor del artículo 15, apartado 3, tercera frase, del RGPD, cuando el interesado presenta la solicitud por medios electrónicos, “se facilitará en un formato electrónico de uso común”, “a menos que este solicite que se facilite de otro modo”, ¿debe interpretarse en el sentido de que se refiere, además de a “los datos personales objeto de tratamiento” y a la información que menciona el artículo 15, apartado 1, letras a) a h), del RGPD, también, por ejemplo, a los metadatos correspondientes a esos datos e información?»

Sobre las cuestiones prejudiciales

Cuestiones prejudiciales primera a tercera

18. Mediante sus cuestiones prejudiciales primera a tercera, que procede examinar conjuntamente, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 15, apartado 3, primera frase, del RGPD, interpretado a la luz del principio de transparencia establecido en el artículo 12, apartado 1, de ese Reglamento, debe interpretarse en el sentido de que el derecho a obtener una copia de los datos personales objeto de tratamiento implica que se entregue al interesado no solo una copia de esos datos, sino también una copia de los extractos de documentos, o incluso de documentos enteros, o de extractos de bases de datos, que contengan, entre otros, dichos datos. Ese órgano jurisdiccional se pregunta, en particular, sobre el alcance del referido derecho.

19. Con carácter preliminar, procede recordar que, según reiterada jurisprudencia del Tribunal de Justicia, para interpretar una disposición del Derecho de la Unión, han de tenerse en cuenta no solo el tenor de esta conforme a su sentido habitual en el lenguaje corriente, sino también su contexto y los objetivos que pretende alcanzar la normativa de la que forma parte [véanse, en este sentido, las sentencias de 2 de diciembre de 2021, Vodafone Kabel Deutschland, C-484/20, EU:C:2021:975 (LA LEY 209766/2021), apartado 19 y jurisprudencia citada, y de 7 de septiembre de 2022, Staatssecretaris van Justitie en Veiligheid (Naturaleza del derecho de residencia en virtud del artículo 20 TFUE (LA LEY 6/1957)), C-624/20, EU:C:2022:639 (LA LEY 184807/2022), apartado 28].

20. Por lo que respecta al tenor del artículo 15, apartado 3, primera frase, del RGPD, esta disposición establece que el responsable del tratamiento «facilitará una copia de los datos personales objeto de tratamiento».

21. Si bien el RGPD no contiene ninguna definición del concepto de «copia» así empleado, debe tenerse en cuenta el sentido habitual de este término, que designa, como ha señalado el Abogado General en el punto 30 de sus conclusiones, la reproducción o transcripción auténtica de un original, de modo que una descripción puramente general de los datos objeto de tratamiento o una remisión a categorías de datos personales no se correspondería con esta definición. Además, del tenor del artículo 15, apartado 3, primera frase, de ese Reglamento se desprende que la obligación de comunicación está vinculada a los datos personales que son objeto del tratamiento en cuestión.

22. El artículo 4, punto 1, del RGPD define el concepto de «datos personales» como «toda información sobre una persona física identificada o identificable» y precisa que «se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona».

23. El empleo de la expresión «toda información» en la definición del concepto de «datos personales», que figura en esa disposición, evidencia el objetivo del legislador de la Unión de atribuir a este concepto un significado muy amplio, que puede abarcar todo género de información, tanto objetiva como subjetiva, en forma de opiniones o apreciaciones, siempre que sean «sobre» la persona en cuestión (véase, por analogía, la sentencia de 20 de diciembre de 2017, Nowak, C-434/16, EU:C:2017:994 (LA LEY 177514/2017), apartado 34).

24. A este respecto, se ha declarado que una información se refiere a una persona física identificada o identificable cuando, debido a su contenido, finalidad o efectos, la información está relacionada con una persona identificable (véase, en este sentido, la sentencia de 20 de diciembre de 2017, Nowak, C-434/16, EU:C:2017:994 (LA LEY 177514/2017), apartado 35).

25.

En cuanto al carácter «identificable» de una persona física, el considerando 26 del RGPD precisa que deben tenerse en cuenta «todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física».

26. Así, como ha señalado, en esencia, el Abogado General en los puntos 36 a 39 de sus conclusiones, la definición amplia del concepto de «datos personales» no abarca únicamente los datos recabados y conservados por el responsable del tratamiento, sino que incluye también toda la información resultante de un tratamiento de datos personales que se refiera a una persona identificada o identificable, como la apreciación de su solvencia o la capacidad de pago.

27. En este contexto, es preciso añadir que el legislador de la Unión quiso dar al concepto de «tratamiento», tal como se define en el artículo 4, punto 2, del RGPD, un alcance amplio, al emplear una enumeración de operaciones no exhaustiva [véase, en este sentido, la sentencia de 24 de febrero de 2022, Valsts ieņēmumu dienests (Tratamiento de datos personales con fines fiscales), C-175/20, EU:C:2022:124 (LA LEY 12885/2022), apartado 35].

28. Por lo tanto, del análisis literal del artículo 15, apartado 3, primera frase, del RGPD resulta que esta disposición confiere al interesado el derecho a obtener una reproducción auténtica de sus datos personales, entendidos en un sentido amplio, que sean objeto de operaciones que deben calificarse de tratamiento por parte del responsable de ese tratamiento.

29. Dicho esto, debe señalarse que el tenor de esta misma disposición no permite, por sí solo, responder a las tres primeras cuestiones prejudiciales, en la medida en que no contiene ninguna indicación en cuanto a un eventual derecho a obtener no solo una copia de los datos personales objeto de tratamiento, sino también una copia de los extractos de documentos, o incluso de documentos enteros, o de extractos de bases de datos, que contengan, entre otros, esos datos.

30. Por lo que respecta al contexto en el que se inscribe el artículo 15, apartado 3, primera frase, del RGPD, procede señalar que el artículo 15 del RGPD (LA LEY 6637/2016), titulado «Derecho de acceso del interesado», define, en su apartado 1, el objeto y el ámbito de aplicación del derecho de acceso reconocido al interesado y consagra el derecho de este a obtener del responsable del tratamiento el acceso a sus datos personales y la información mencionada en las letras a) a h) de ese apartado.

31. El artículo 15, apartado 3, del RGPD precisa las modalidades prácticas de ejecución de la obligación que incumbe al responsable del tratamiento, especificando, en particular, en su primera frase, la forma en que dicho responsable debe facilitar los «datos personales objeto de tratamiento», es decir, en forma de «copia». Además, este apartado establece, en su tercera frase, que la información se facilitará en un formato electrónico de uso común cuando la solicitud se presente por medios electrónicos, a menos que el interesado solicite que se facilite de otro modo.

32. Por consiguiente, el artículo 15 del RGPD (LA LEY 6637/2016) no puede interpretarse en el sentido de que consagra, en su apartado 3, primera frase, un derecho distinto del previsto en su apartado 1. Por otra parte, como ha señalado la Comisión Europea en sus observaciones escritas, el término «copia» no se refiere a un documento como tal, sino a los datos personales que contiene y que deben ser completos. Por lo tanto, la copia debe contener todos los datos personales objeto de tratamiento.

33. Por lo que respecta a los objetivos perseguidos por el artículo 15 del RGPD (LA LEY 6637/2016), procede señalar que este tiene como finalidad, como precisa su considerando 11, reforzar y especificar los derechos de los interesados. El artículo 15 de ese Reglamento establece, a este respecto, un derecho a obtener una copia, a diferencia del artículo 12, letra a) (LA LEY 5793/1995), segundo guion, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 (LA LEY 5793/1995), relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31), que se limitaba a exigir una «comunicación, en forma inteligible, de los datos objeto de los tratamientos». El considerando 63 del RGPD precisa, por su parte, que «los interesados deben tener derecho a acceder a los datos personales recogidos que le[s] conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento».

34. Así pues, el derecho de acceso contemplado en el artículo 15 del RGPD (LA LEY 6637/2016) debe permitir al interesado cerciorarse de que los datos personales que le conciernen son exactos y de que son tratados lícitamente [véase, en este sentido, la sentencia de 12 de enero de 2023, Österreichische Post (Información relativa a los destinatarios de datos personales), C-154/21, EU:C:2023:3 (LA LEY 11/2023), apartado 37 y jurisprudencia citada].

35. En particular, este derecho de acceso es necesario para permitir al interesado ejercer, en su caso, su derecho de rectificación, su derecho de supresión («derecho al olvido») y su derecho a la limitación del tratamiento, reconocidos, respectivamente, en los artículos 16 (LA LEY 6637/2016), 17 (LA LEY 6637/2016) y 18 del RGPD (LA LEY 6637/2016), su derecho de oposición al tratamiento de sus datos personales, contemplado en el artículo 21 del RGPD (LA LEY 6637/2016), así como su derecho a recurrir por los daños sufridos, previsto en los artículos 79 (LA LEY 6637/2016) y 82 del RGPD (LA LEY 6637/2016) [sentencia de 12 de enero de 2023, Österreichische Post (Información relativa a los destinatarios de datos personales), C-154/21, EU:C:2023:3 (LA LEY 11/2023), apartado 38 y jurisprudencia citada].

36. Procede señalar asimismo que el considerando 60 del RGPD establece que los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de la operación de tratamiento y sus fines, destacando que el responsable del tratamiento debe facilitar cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales.

37. Por otra parte, de conformidad con el principio de transparencia, mencionado por el órgano jurisdiccional remitente, al que hace referencia el considerando 58 del RGPD y que consagra expresamente el artículo 12, apartado 1, de ese Reglamento, toda información dirigida al interesado debe ser concisa, fácilmente accesible y fácil de entender, y debe utilizarse un lenguaje claro y sencillo.

38. Como ha señalado el Abogado General en los puntos 54 y 55 de sus conclusiones, de esta disposición se desprende que el responsable del tratamiento deberá tomar las medidas oportunas para facilitar al interesado toda información indicada, en particular, en el artículo 15 del RGPD (LA LEY 6637/2016), en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, y que la información deberá facilitarse por escrito o por otros medios, inclusive, si procede, por medios electrónicos, a menos que sea el interesado quien solicite que esta se facilite verbalmente. La citada disposición, expresión del principio de transparencia, tiene como objetivo garantizar que el interesado esté en condiciones de comprender plenamente la información que se le envíe.

39. De ello resulta que la copia de los datos personales objeto de tratamiento, que el responsable del tratamiento debe facilitar en virtud del artículo 15, apartado 3, primera frase, del RGPD, debe presentar todas las características que permitan al interesado ejercer efectivamente sus derechos en virtud de ese Reglamento y, por consiguiente, debe reproducir de forma íntegra y auténtica esos datos.

40. Esta interpretación se ajusta al objetivo de ese Reglamento, que tiene como finalidad, en particular, tal y como se desprende de su considerando 10, garantizar un nivel elevado de protección de las personas físicas dentro de la Unión y, a tal efecto, garantizar en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de esas personas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea (véase, en este sentido, la sentencia de 9 de febrero de 2023, X-FAB Dresden, C-453/21, EU:C:2023:79 (LA LEY 7668/2023), apartado 25 y jurisprudencia citada).

41. En efecto, para garantizar que la información así facilitada sea fácil de entender, como exige el artículo 12, apartado 1, del RGPD, en relación con el considerando 58 de ese Reglamento, la reproducción de extractos de documentos, o incluso de documentos enteros, o de extractos de bases de datos, que contengan, entre otros, los datos personales objeto de tratamiento puede resultar indispensable, como ha señalado el Abogado General en los puntos 57 y 58 de sus conclusiones, en el supuesto de que la contextualización de los datos tratados sea necesaria para garantizar su inteligibilidad.

42.

En particular, cuando se generan datos personales a partir de otros datos o cuando tales datos se derivan de campos libres, a saber, una falta de indicación que revele una información sobre el interesado, el contexto en el que esos datos son objeto de tratamiento es un elemento indispensable para permitir al interesado disponer de un acceso transparente y una presentación inteligible de esos datos.

43. Por otra parte, de conformidad con el artículo 15, apartado 4, del RGPD, en relación con el considerando 63 de ese Reglamento, el derecho a obtener copia mencionado en el apartado 3 no debe afectar negativamente a los derechos y libertades de terceros, incluidos los secretos comerciales o la propiedad intelectual y, en particular, los derechos de propiedad intelectual que protegen programas informáticos.

44. Por lo tanto, como ha subrayado el Abogado General en el punto 61 de sus conclusiones, en caso de conflicto entre, por un lado, el ejercicio del derecho de acceso pleno y completo a los datos personales y, por otro, los derechos o libertades de otros, procede efectuar una ponderación entre los derechos y libertades en cuestión. Siempre que sea posible, ha de optarse por modalidades de comunicación de datos personales que no vulneren los derechos o libertades de otros, teniendo en cuenta que, como se desprende del considerando 63 del RGPD, esas consideraciones no deben «tener como resultado la negativa a prestar toda la información al interesado».

45. Habida cuenta de las consideraciones anteriores, procede responder a las cuestiones prejudiciales primera a tercera que el artículo 15, apartado 3, primera frase, del RGPD

debe interpretarse en el sentido de que

el derecho a obtener del responsable del tratamiento una copia de los datos personales objeto de tratamiento implica que se entregue al interesado una reproducción auténtica e inteligible de todos esos datos. Este derecho incluye el de obtener copia de extractos de documentos, o incluso de documentos enteros, o de extractos de bases de datos, que contengan, entre otros, dichos datos, si la entrega de tal copia es indispensable para permitir al interesado ejercer efectivamente los derechos que le confiere ese Reglamento. Debe subrayarse asimismo la necesidad de que se tengan en cuenta, a este respecto, los derechos y libertades de los terceros.

Cuarta cuestión prejudicial

46. Mediante esta cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 15, apartado 3, tercera frase, del RGPD debe interpretarse en el sentido de que el concepto de «información» que contempla se refiere exclusivamente a los datos personales de los que el responsable del tratamiento debe facilitar una copia con arreglo a la primera frase de ese apartado, o si se remite también a toda la información mencionada en el apartado 1 de ese artículo, o incluso si abarca elementos que van más allá, como los metadatos.

47. Como se ha recordado en el apartado 19 de la presente sentencia, para la interpretación de una disposición de Derecho de la Unión, procede tener en cuenta no solo su tenor, sino también su contexto y los objetivos que pretende alcanzar la normativa de la que forma parte.

48. A este respecto, si bien el artículo 15, apartado 3, tercera frase, del RGPD se limita a indicar que, «cuando el interesado presente la solicitud por medios electrónicos, […] la información se facilitará en un formato electrónico de uso común», sin precisar qué debe entenderse por «información», la primera frase de ese apartado establece que «el responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento».

49. Por lo tanto, del contexto del artículo 15, apartado 3, tercera frase, del RGPD se desprende que la «información» a la que se refiere corresponde necesariamente a los datos personales de los que el responsable del tratamiento debe facilitar una copia de conformidad con la primera frase de ese apartado.

50. Esta interpretación se ve confirmada por los objetivos que pretende alcanzar el artículo 15, apartado 3, del RGPD, que son, como se ha recordado en el apartado 31 de la presente sentencia, definir las modalidades prácticas de ejecución de la obligación que incumbe al responsable del tratamiento de facilitar una copia de los datos personales objeto de tratamiento. Por consiguiente, esta disposición no crea un derecho distinto de aquel del que goza el interesado a obtener una reproducción auténtica e inteligible de esos datos que le permita ejercer efectivamente los derechos que le confiere ese Reglamento.

51. Pues bien, procede señalar que ninguna disposición de dicho Reglamento establece una diferencia de trato de una solicitud en función de la forma en que se presente, de modo que el alcance del derecho a obtener una copia no puede variar en función de esa forma.

52. Por otra parte, conviene precisar asimismo que, de conformidad con el artículo 12, apartado 3, del RGPD, cuando la solicitud se haya presentado por medios electrónicos, la información a que se refiere este artículo 15, incluida la mencionada en las letras a) a h) del apartado 1 de dicho artículo, se facilitará por medios electrónicos, salvo que el interesado indique lo contrario.

53. Habida cuenta de las consideraciones anteriores, procede responder a la cuarta cuestión prejudicial que el artículo 15, apartado 3, tercera frase, del RGPD

debe interpretarse en el sentido de que

el concepto de «información» que contempla se refiere exclusivamente a los datos personales de los que el responsable del tratamiento debe facilitar una copia con arreglo a la primera frase de dicho apartado.

Costas

54. Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto,

FALLO

el Tribunal de Justicia (Sala Primera) declara:

1) El artículo 15, apartado 3 (LA LEY 6637/2016), primera frase, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (LA LEY 5793/1995) (Reglamento general de protección de datos (LA LEY 6637/2016)),

debe interpretarse en el sentido de que

el derecho a obtener del responsable del tratamiento una copia de los datos personales objeto de tratamiento implica que se entregue al interesado una reproducción auténtica e inteligible de todos esos datos. Este derecho incluye el de obtener copia de extractos de documentos, o incluso de documentos enteros, o de extractos de bases de datos, que contengan, entre otros, dichos datos, si la entrega de tal copia es indispensable para permitir al interesado ejercer efectivamente los derechos que le confiere ese Reglamento. Debe subrayarse asimismo la necesidad de que se tengan en cuenta, a este respecto, los derechos y libertades de los terceros.

2) El artículo 15, apartado 3, tercera frase, del Reglamento 2016/679 (LA LEY 6637/2016)

debe interpretarse en el sentido de que

el concepto de «información» que contempla se refiere exclusivamente a los datos personales de los que el responsable del tratamiento debe facilitar una copia con arreglo a la primera frase de dicho apartado.

(*) Lengua de procedimiento: alemán.

Queremos saber tu opiniónNombreE-mail (no será publicado)ComentarioLA LEY no se hace responsable de las opiniones vertidas en los comentarios. Los comentarios en esta página están moderados, no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor de la página o a cualquier otro comentarista.
Introduce el código que aparece en la imagencaptcha
Enviar
Scroll