RW v Österreichische Post AG.

• Jurisdiction: European Union
• ECLI: ECLI:EU:C:2023:3
• Date: 12 January 2023
• Docket Number: C-154/21
• Celex Number: 62021CJ0154
• Court: Court of Justice (European Union)

Edición provisional

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Primera)

de 12 de enero de 2023 (*)

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 15, apartado 1, letra c) — Derecho de acceso del interesado a sus datos — Información sobre los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales — Limitaciones»

En el asunto C‑154/21,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Oberster Gerichtshof (Tribunal Supremo de lo Civil y Penal, Austria), mediante resolución de 18 de febrero de 2021, recibida en el Tribunal de Justicia el 9 de marzo de 2021, en el procedimiento entre

RW

y

Österreichische Post AG,

EL TRIBUNAL DE JUSTICIA (Sala Primera),

integrado por el Sr. A. Arabadjiev, Presidente de Sala, el Sr. L. Bay Larsen, Vicepresidente del Tribunal de Justicia, en funciones de Juez de la Sala Primera, y los Sres. P. G. Xuereb y A. Kumin y la Sra. I. Ziemele (Ponente), Jueces;

Abogado General: Sr. G. Pitruzzella;

Secretario: Sr. A. Calot Escobar;

habiendo considerado los escritos obrantes en autos;

consideradas las observaciones presentadas:

– en nombre de RW, por el Sr. R. Haupt, Rechtsanwalt;

– en nombre de Österreichische Post AG, por el Sr. R. Marko, Rechtsanwalt;

– en nombre del Gobierno austriaco, por los Sres. G. Kunnert y A. Posch y por la Sra. J. Schmoll, en calidad de agentes;

– en nombre del Gobierno checo, por los Sres. M. Smolek y J. Vláčil, en calidad de agentes;

– en nombre del Gobierno italiano, por la Sra. G. Palmieri, en calidad de agente, asistida por la Sra. M. Russo, avvocato dello Stato;

– en nombre del Gobierno letón, por las Sras. J. Davidoviča, I. Hūna y K. Pommere, en calidad de agentes;

– en nombre del Gobierno rumano, por las Sras. L.‑E. Baţagoi, E. Gane y A. Wellman, en calidad de agentes;

– en nombre del Gobierno sueco, por la Sra. H. Eklinder, el Sr. J. Lundberg, las Sras. C. Meyer-Seitz, A. M. Runeskjöld, M. Salborn Hodgson, R. Shahsavan Eriksson y H. Shev y el Sr. O. Simonsson, en calidad de agentes;

– en nombre de la Comisión Europea, por los Sres. F. Erlbacher y H. Kranenborg, en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 9 de junio de 2022;

dicta la siguiente

Sentencia

1 La petición de decisión prejudicial tiene por objeto la interpretación del artículo 15, apartado 1, letra c), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1, y corrección de errores en DO 2021, L 074, p. 35; en lo sucesivo, «RGPD»).

2 Esta petición se ha presentado en el contexto de un litigio entre RW y Österreichische Post AG (en lo sucesivo, «Österreichische Post») en relación con una solicitud de acceso a datos personales en virtud del artículo 15, apartado 1, letra c), del RGPD.

Marco jurídico

3 Los considerandos 4, 9, 10, 39, 63 y 74 del RGPD están redactados como sigue:

«(4) […] El derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad. […]

[…]

(9) Aunque los objetivos y principios de la Directiva 95/46/CE [del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31)] siguen siendo válidos, ello no ha impedido que la protección de los datos en el territorio de la Unión [Europea] se aplique de manera fragmentada, ni la inseguridad jurídica ni una percepción generalizada entre la opinión pública de que existen riesgos importantes para la protección de las personas físicas, en particular en relación con las actividades en línea. Las diferencias en el nivel de protección de los derechos y libertades de las personas físicas, en particular del derecho a la protección de los datos de carácter personal, en lo que respecta al tratamiento de dichos datos en los Estados miembros pueden impedir la libre circulación de los datos de carácter personal en la Unión. Estas diferencias pueden constituir, por lo tanto, un obstáculo al ejercicio de las actividades económicas a nivel de la Unión, falsear la competencia e impedir que las autoridades cumplan las funciones que les incumben en virtud del Derecho de la Unión. Esta diferencia en los niveles de protección se debe a la existencia de divergencias en la ejecución y aplicación de la Directiva 95/46/CE.

10) Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión, el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. […]

[…]

(39) Todo tratamiento de datos personales debe ser lícito y leal. Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. […]

[…]

(63) Los interesados deben tener derecho a acceder a los datos personales recogidos que le conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento. […] Todo interesado debe, por tanto, tener el derecho a conocer y a que se le comuniquen, en particular, los fines para los que se tratan los datos personales, su plazo de tratamiento, sus destinatarios, la lógica implícita en todo tratamiento automático de datos personales y, por lo menos cuando se base en la elaboración de perfiles, las consecuencias de dicho tratamiento. […] Este derecho no debe afectar negativamente a los derechos y libertades de terceros, incluidos los secretos comerciales o la propiedad intelectual y, en particular, los derechos de propiedad intelectual que protegen programas informáticos. No obstante, estas consideraciones no deben tener como resultado la negativa a prestar toda la información al interesado. […]

[…]

(74) Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas.»

4 El artículo 1 del RGPD, titulado «Objeto», dispone, en su apartado 2:

«El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.»

5 El artículo 5 del RGPD, titulado «Principios relativos al tratamiento», establece:

«1. Los datos personales serán:

a) tratados de manera lícita, leal y transparente en relación con el interesado (“licitud, lealtad y transparencia”);

[…]

2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva”).»

6 El artículo 12 del RGPD, titulado «Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado», dispone:

«1. El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.

2. El responsable del tratamiento facilitará al interesado el ejercicio de sus derechos en virtud de los artículos 15 a 22. En los casos a que se refiere el artículo 11, apartado 2, el responsable no se negará a actuar a petición del interesado con el fin de ejercer sus derechos en virtud de los artículos 15 a 22, salvo que pueda demostrar que no está en condiciones de identificar al interesado.

[…]

5. La información facilitada en virtud de los artículos 13 y 14 así como toda comunicación y cualquier actuación realizada en virtud de los artículos 15 a 22 y 34 serán a título gratuito. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá:

a) cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada, o

b) negarse a actuar respecto de la...