J.M. v Apulaistietosuojavaltuutettu and Pankki S.

• Jurisdiction: European Union
• ECLI: ECLI:EU:C:2023:501
• Date: 22 June 2023
• Docket Number: C-579/21
• Celex Number: 62021CJ0579
• Court: Court of Justice (European Union)

Edición provisional

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Primera)

de 22 de junio de 2023 (*)

«Procedimiento prejudicial — Tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículos 4 y 15 — Alcance del derecho de acceso a la información a que se refiere el artículo 15 — Información contenida en los datos de protocolo generados por un sistema de tratamiento (log data) — Artículo 4 — Concepto de “datos personales” — Concepto de “destinatarios” — Ámbito de aplicación temporal»

En el asunto C‑579/21,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Itä-Suomen hallinto-oikeus (Tribunal de lo Contencioso-Administrativo de Finlandia Oriental, Finlandia), mediante resolución de 21 de septiembre de 2021, recibida en el Tribunal de Justicia el 22 de septiembre de 2021, en el procedimiento iniciado por

J. M.

con intervención de:

Apulaistietosuojavaltuutettu,

Pankki S,

EL TRIBUNAL DE JUSTICIA (Sala Primera),

integrado por el Sr. A. Arabadjiev, Presidente de Sala, y los Sres. P. G. Xuereb, T. von Danwitz y A. Kumin y la Sra. I. Ziemele (Ponente), Jueces;

Abogado General: Sr. M. Campos Sánchez-Bordona;

Secretaria: Sra. C. Strömholm, administradora;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 12 de octubre de 2022;

consideradas las observaciones presentadas:

– en nombre de J. M., por él mismo;

– en nombre del Apulaistietosuojavaltuutettu, por la Sra. A. Talus, tietosuojavaltuutettu;

– en nombre de Pankki S, por los Sres. T. Kalliokoski y J. Lång, asianajajat, y por la Sra. E.‑L. Hokkonen, oikeustieteen maisteri;

– en nombre del Gobierno finlandés, por las Sras. A. Laine y H. Leppo, en calidad de agentes;

– en nombre del Gobierno checo, por la Sra. A. Edelmannová y los Sres. M. Smolek y J. Vláčil, en calidad de agentes;

– en nombre del Gobierno austriaco, por el Sr. A. Posch, en calidad de agente;

– en nombre de la Comisión Europea, por los Sres. A. Bouchagiar y H. Kranenborg y por la Sra. I. Söderlund, en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 15 de diciembre de 2022;

dicta la siguiente

Sentencia

1 La petición de decisión prejudicial tiene por objeto la interpretación del artículo 15, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; corrección de errores en DO 2021, L 74, p. 35; en lo sucesivo, «RGPD»).

2 Esta petición se ha presentado en el contexto de un procedimiento iniciado por J. M. para solicitar la anulación de la decisión del Apulaistietosuojavaltuutettu (Supervisor Adjunto de Protección de Datos, Finlandia) por la que se deniega su solicitud de ordenar a Pankki S, entidad bancaria domiciliada en Finlandia, que le comunique determinada información relativa a operaciones de consulta de sus datos personales.

Marco jurídico

3 Los considerandos 4, 10, 11, 26, 39, 58, 60, 63 y 74 del RGPD tienen el siguiente tenor:

«(4) El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto […].

[…]

(10) Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión [Europea], el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. […]

(11) La protección efectiva de los datos personales en la Unión exige que se refuercen y especifiquen los derechos de los interesados y las obligaciones de quienes tratan y determinan el tratamiento de los datos de carácter personal […].

[…]

(26) […] Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. […]

[…]

(39) Todo tratamiento de datos personales debe ser lícito y leal. Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales[,] así como del modo de hacer valer sus derechos en relación con el tratamiento. En particular, los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida. […]

[…]

(58) El principio de transparencia exige que toda información dirigida al público o al interesado sea concisa, fácilmente accesible y fácil de entender, y que se utilice un lenguaje claro y sencillo, y, además, en su caso, se visualice. Esta información podría facilitarse en forma electrónica, por ejemplo, cuando esté dirigida al público, mediante un sitio web. Ello es especialmente pertinente en situaciones en las que la proliferación de agentes y la complejidad tecnológica de la práctica hagan que sea difícil para el interesado saber y comprender si se están recogiendo, por quién y con qué finalidad, datos personales que le conciernen, como es en el caso de la publicidad en línea. Dado que los niños merecen una protección específica, cualquier información y comunicación cuyo tratamiento les afecte debe facilitarse en un lenguaje claro y sencillo que sea fácil de entender.

[…]

(60) Los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de la operación de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales. […]

[…]

(63) Los interesados deben tener derecho a acceder a los datos personales recogidos que le[s] conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento. […] Todo interesado debe, por tanto, tener el derecho a conocer y a que se le comuniquen, en particular, los fines para los que se tratan los datos personales, su plazo de tratamiento, sus destinatarios, la lógica implícita en todo tratamiento automático de datos personales y, por lo menos cuando se base en la elaboración de perfiles, las consecuencias de dicho tratamiento. […] Este derecho no debe afectar negativamente a los derechos y libertades de terceros, incluidos los secretos comerciales o la propiedad intelectual y, en particular, los derechos de propiedad intelectual que protegen programas informáticos. […]

[…]

(74) Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento[,] así como el riesgo para los derechos y libertades de las personas físicas.»

4 El artículo 1 del RGPD, titulado «Objeto», dispone, en su apartado 2:

«El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.»

5 El artículo 4 de ese Reglamento establece lo siguiente:

«A efectos del presente Reglamento se entenderá por:

1) “datos personales”: toda información sobre una persona física identificada o identificable […]; se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

2) “tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

[…]

7) “responsable del tratamiento” o “responsable”: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; […]

[…]

9) “destinatario”: la persona física o jurídica, autoridad pública, servicio u otro organismo...