A lo largo de 2014, un empleado y, a la vez, cliente de Pankki S, tuvo conocimiento de que sus datos personales habían sido consultados, en varias ocasiones, por otros miembros del personal del banco entre el 1 de noviembre y el 31 de diciembre de 2013. Al albergar dudas sobre la licitud de esas consultas, ese empleado, entretanto despedido de su puesto en Pankki S, solicitó a este, el 29 de mayo de 2018, que le comunicara la identidad de las personas que habían consultado sus datos, las fechas exactas de las consultas y los fines del tratamiento de dichos datos.
En su respuesta de 30 de agosto de 2018, Pankki S se negó a comunicar la identidad de los trabajadores que habían llevado a cabo las operaciones de consulta, por considerar que esa información constituía datos personales de esos trabajadores. En cambio, Pankki S detalló las operaciones de consulta efectuadas por su servicio de auditoría interna, indicando que un cliente del banco del que el solicitante era asesor era acreedor de una persona que tenía el mismo apellido que el solicitante. El banco quiso, por tanto, aclarar si el solicitante y el deudor en cuestión eran la misma persona, y si podía haber existido una relación de conflicto de intereses indebida. Pankki S añadió que la respuesta a esa cuestión exigió el tratamiento de los datos de que se trataba, precisando que cada miembro del personal del banco que había tratado esos datos había presentado al servicio de auditoría interna una declaración sobre los motivos del tratamiento de datos. Además, el banco declaró que esas consultas habían permitido descartar cualquier sospecha de conflicto de intereses con respecto al solicitante.
El solicitante acudió a la Oficina del Supervisor de Protección de Datos de Finlandia para que se ordenara a Pankki S que le transmitiera la información solicitada. Al ser denegada esa solicitud, el solicitante interpuso un recurso ante el Tribunal de lo Contencioso-Administrativo de Finlandia Oriental, el cual solicita al Tribunal de Justicia que interprete el artículo 15 del Reglamento general de protección de datos (RGPD).
En su sentencia de hoy, el Tribunal de Justicia observa, de entrada, que el RGPD, aplicable desde el 25 de mayo de 2018, se aplica a una solicitud presentada después de esa fecha cuando esa solicitud se refiere a operaciones de tratamiento de datos personales efectuadas antes de la fecha en que empezó a ser aplicable el RGPD.
A continuación, el Tribunal de Justicia declara que el RGPD debe interpretarse en el sentido de que la información relativa a operaciones de consulta de datos personales de una persona, relativas a las fechas y a los fines de estas operaciones, constituye información que esa persona tiene derecho a obtener del responsable del tratamiento. En cambio, el RGPD no consagra ese derecho en lo que respecta a la información relativa a la identidad de los empleados que llevaron a cabo esas operaciones de conformidad con las instrucciones del responsable del tratamiento, a menos que esa información sea indispensable para permitir al interesado ejercer efectivamente los derechos que le confiere ese Reglamento y siempre bajo la condición de que se tengan en cuenta los derechos y libertades de esos empleados. En efecto, en caso de conflicto entre, por un lado, el ejercicio del derecho de acceso que garantice la eficacia de los derechos reconocidos por el RGPD al interesado y, por otro, los derechos o libertades de otros, debe hacerse una ponderación entre los derechos y libertades en cuestión. Siempre que sea posible, ha de optarse por modalidades que no vulneren esos derechos o esas libertades.
Por último, el Tribunal de Justicia declara que el hecho de que el responsable del tratamiento desarrolle una actividad bancaria en el marco de una actividad reglada, y de que la persona cuyos datos personales fueron tratados en su condición de cliente del responsable del tratamiento también fuera empleada de ese responsable no influye, en principio, en el alcance del derecho del que goza esa persona.
SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Primera)
de 22 de junio de 2023 (*)
“Procedimiento prejudicial - Tratamiento de datos personales - Reglamento (UE) 2016/679 - Artículos 4 y 15 - Alcance del derecho de acceso a la información a que se refiere el artículo 15 - Información contenida en los datos de protocolo generados por un sistema de tratamiento (log data) - Artículo 4 - Concepto de “datos personales” - Concepto de “destinatarios” - Ámbito de aplicación temporal”
En el asunto C-579/21,
que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Itä-Suomen hallinto-oikeus (Tribunal de lo Contencioso-Administrativo de Finlandia Oriental, Finlandia), mediante resolución de 21 de septiembre de 2021, recibida en el Tribunal de Justicia el 22 de septiembre de 2021, en el procedimiento iniciado por
J. M.
con intervención de:
Apulaistietosuojavaltuutettu,
Pankki S,
EL TRIBUNAL DE JUSTICIA (Sala Primera),
integrado por el Sr. A. Arabadjiev, Presidente de Sala, y los Sres. P. G. Xuereb, T. von Danwitz y A. Kumin y la Sra. I. Ziemele (Ponente), Jueces;
Abogado General: Sr. M. Campos Sánchez-Bordona;
Secretaria: Sra. C. Strömholm, administradora;
habiendo considerado los escritos obrantes en autos y celebrada la vista el 12 de octubre de 2022;
consideradas las observaciones presentadas:
- en nombre de J. M., por él mismo;
- en nombre del Apulaistietosuojavaltuutettu, por la Sra. A. Talus, tietosuojavaltuutettu;
- en nombre de Pankki S, por los Sres. T. Kalliokoski y J. Lång, asianajajat, y por la Sra. E.-L. Hokkonen, oikeustieteen maisteri;
- en nombre del Gobierno finlandés, por las Sras. A. Laine y H. Leppo, en calidad de agentes;
- en nombre del Gobierno checo, por la Sra. A. Edelmannová y los Sres. M. Smolek y J. Vláčil, en calidad de agentes;
- en nombre del Gobierno austriaco, por el Sr. A. Posch, en calidad de agente;
- en nombre de la Comisión Europea, por los Sres. A. Bouchagiar y H. Kranenborg y por la Sra. I. Söderlund, en calidad de agentes;
oídas las conclusiones del Abogado General, presentadas en audiencia pública el 15 de diciembre de 2022;
dicta la siguiente
Sentencia
1 La petición de decisión prejudicial tiene por objeto la interpretación del artículo 15, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; corrección de errores en DO 2021, L 74, p. 35; en lo sucesivo, “RGPD”).
2 Esta petición se ha presentado en el contexto de un procedimiento iniciado por J. M. para solicitar la anulación de la decisión del Apulaistietosuojavaltuutettu (Supervisor Adjunto de Protección de Datos, Finlandia) por la que se deniega su solicitud de ordenar a Pankki S, entidad bancaria domiciliada en Finlandia, que le comunique determinada información relativa a operaciones de consulta de sus datos personales.
Marco jurídico
3 Los considerandos 4, 10, 11, 26, 39, 58, 60, 63 y 74 del RGPD tienen el siguiente tenor:
“(4) El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto [].
[]
(10) Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión [Europea], el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. []
(11) La protección efectiva de los datos personales en la Unión exige que se refuercen y especifiquen los derechos de los interesados y las obligaciones de quienes tratan y determinan el tratamiento de los datos de carácter personal [].
[]
(26) [] Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. []
[]
(39) Todo tratamiento de datos personales debe ser lícito y leal. Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales[,] así como del modo de hacer valer sus derechos en relación con el tratamiento. En particular, los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, y deben determinarse en el momento de su recogida. []
[]
(58) El principio de transparencia exige que toda información dirigida al público o al interesado sea concisa, fácilmente accesible y fácil de entender, y que se utilice un lenguaje claro y sencillo, y, además, en su caso, se visualice. Esta información podría facilitarse en forma electrónica, por ejemplo, cuando esté dirigida al público, mediante un sitio web. Ello es especialmente pertinente en situaciones en las que la proliferación de agentes y la complejidad tecnológica de la práctica hagan que sea difícil para el interesado saber y comprender si se están recogiendo, por quién y con qué finalidad, datos personales que le conciernen, como es en el caso de la publicidad en línea. Dado que los niños merecen una protección específica, cualquier información y comunicación cuyo tratamiento les afecte debe facilitarse en un lenguaje claro y sencillo que sea fácil de entender.
[]
(60) Los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de la operación de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales. []
[]
(63) Los interesados deben tener derecho a acceder a los datos personales recogidos que le[s] conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento. [] Todo interesado debe, por tanto, tener el derecho a conocer y a que se le comuniquen, en particular, los fines para los que se tratan los datos personales, su plazo de tratamiento, sus destinatarios, la lógica implícita en todo tratamiento automático de datos personales y, por lo menos cuando se base en la elaboración de perfiles, las consecuencias de dicho tratamiento. [] Este derecho no debe afectar negativamente a los derechos y libertades de terceros, incluidos los secretos comerciales o la propiedad intelectual y, en particular, los derechos de propiedad intelectual que protegen programas informáticos. []
[]
(74) Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento[,] así como el riesgo para los derechos y libertades de las personas físicas.”
4 El artículo 1 del RGPD, titulado “Objeto”, dispone, en su apartado 2:
“El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.”
5 El artículo 4 de ese Reglamento establece lo siguiente:
“A efectos del presente Reglamento se entenderá por:
1) “datos personales”: toda información sobre una persona física identificada o identificable []; se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;
2) “tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;
[]
7) “responsable del tratamiento” o “responsable”: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; []
[]
9) “destinatario”: la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero. []
[]
21) “autoridad de control”: la autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 51;
[]”.
6 El artículo 5 de dicho Reglamento, titulado “Principios relativos al tratamiento”, está redactado en los siguientes términos:
“1. Los datos personales serán:
a) tratados de manera lícita, leal y transparente en relación con el interesado (“licitud, lealtad y transparencia”);
[]
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (“integridad y confidencialidad”).
2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva”).”
7 El artículo 12 del RGPD, titulado “Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado”, dispone:
“1. El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo []. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. []
[]
5. [] Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá:
[]
b) negarse a actuar respecto de la solicitud.
El responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.
[]”
8 El artículo 15 de ese Reglamento, titulado “Derecho de acceso del interesado”, dispone:
“1. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:
a) los fines del tratamiento;
b) las categorías de datos personales de que se trate;
c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros países u organizaciones internacionales;
d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;
f) el derecho a presentar una reclamación ante una autoridad de control;
g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;
h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
[]
3. El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. []
4. El derecho a obtener copia mencionado en el apartado 3 no afectará negativamente a los derechos y libertades de otros.”
9 Los artículos 16 y 17 de dicho Reglamento consagran, respectivamente, el derecho del interesado a obtener la rectificación de los datos personales inexactos (derecho de rectificación), así como el derecho, en determinadas circunstancias, a la supresión de esos datos (derecho de supresión o “derecho al olvido”).
10 El artículo 18 del mismo Reglamento, titulado “Derecho a la limitación del tratamiento”, dispone, en su apartado 1:
“El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes:
a) el interesado impugne la exactitud de los datos personales en un plazo que permita al responsable verificar la exactitud de los mismos;
b) el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;
c) el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones;
d) el interesado se haya opuesto al tratamiento en virtud del artículo 21, apartado 1, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.”
11 El artículo 21 del RGPD, titulado “Derecho de oposición”, establece en su apartado 1:
“El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) o f), incluida la elaboración de perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.”
12 A tenor del artículo 24, apartado 1, de ese Reglamento:
“Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento[,] así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. []”
13 El artículo 29 de dicho Reglamento, titulado “Tratamiento bajo la autoridad del responsable o del encargado del tratamiento”, tiene la siguiente redacción:
“El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable, a no ser que estén obligados a ello en virtud del Derecho de la Unión o de los Estados miembros.”
14 El artículo 30 del RGPD, titulado “Registro de las actividades de tratamiento”, establece:
“1. Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. []
[]
4. El responsable [] del tratamiento y, en su caso, el representante del responsable [] pondrán el registro a disposición de la autoridad de control que lo solicite.
[]”
15 El artículo 58 de ese Reglamento, titulado “Poderes”, establece en su apartado 1:
“Cada autoridad de control dispondrá de todos los poderes de investigación indicados a continuación:
a) ordenar al responsable y al encargado del tratamiento y, en su caso, al representante del responsable o del encargado, que faciliten cualquier información que requiera para el desempeño de sus funciones;
[]”.
16 El artículo 77 de dicho Reglamento, titulado “Derecho a presentar una reclamación ante una autoridad de control”, precisa lo siguiente:
“1. Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento.
2. La autoridad de control ante la que se haya presentado la reclamación informará al reclamante sobre el curso y el resultado de la reclamación, inclusive sobre la posibilidad de acceder a la tutela judicial en virtud del artículo 78.”
17 El artículo 79 del RGPD, titulado “Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento”, establece en su apartado 1:
“Sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77, todo interesado tendrá derecho a la tutela judicial efectiva cuando considere que sus derechos en virtud del presente Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales.”
18 El artículo 82 de ese Reglamento, titulado “Derecho a indemnización y responsabilidad”, establece en su apartado 1:
“Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.”
19 De conformidad con su artículo 99, apartado 2, el RGPD es aplicable desde el 25 de mayo de 2018.
Litigio principal y cuestiones prejudiciales
20 A lo largo de 2014, J. M., entonces empleado y cliente de Pankki S, tuvo conocimiento de que sus propios datos como cliente habían sido consultados, en varias ocasiones, por miembros del personal del banco durante el período comprendido entre el 1 de noviembre y el 31 de diciembre de 2013.
21 Al albergar dudas sobre la licitud de esas consultas, J. M., que entretanto había sido despedido de su puesto en Pankki S, solicitó a esta, el 29 de mayo de 2018, que le comunicara la identidad de las personas que habían consultado sus datos como cliente, las fechas exactas de las consultas y los fines del tratamiento de dichos datos.
22 En su respuesta de 30 de agosto de 2018, Pankki S, en su condición de responsable del tratamiento en el sentido del artículo 4, punto 7, del RGPD, se negó a comunicar la identidad de los trabajadores que habían llevado a cabo las operaciones de consulta por considerar que esa información constituía datos personales de esos trabajadores.
23 Sin embargo, en esa respuesta, Pankki S detalló las operaciones de consulta efectuadas, bajo sus instrucciones, por su servicio de auditoría interna. Explicó, así, que un cliente del banco del que J. M. era asesor era acreedor de una persona que tenía el mismo apellido que J. M., de modo que había querido aclarar si el demandante en el procedimiento principal y el deudor en cuestión eran la misma persona, y si podía haber existido una relación de conflicto de intereses indebida. Pankki S añadió que el esclarecimiento de esa cuestión había exigido el tratamiento de los datos de J. M. y que cada miembro del personal del banco que había tratado esos datos había presentado al servicio de auditoría interna una declaración sobre los motivos del tratamiento de datos. Además, el banco declaró que esas consultas habían permitido descartar cualquier sospecha de conflicto de intereses con respecto a J. M.
24 J. M. acudió al Tietosuojavaltuutetun toimisto (Oficina del Supervisor de Protección de Datos, Finlandia), autoridad de control en el sentido del artículo 4, punto 21, del RGPD, para que se ordenara a Pankki S que le transmitiera la información solicitada.
25 Mediante decisión de 4 de agosto de 2020, el Supervisor Adjunto de Protección de Datos denegó la solicitud de J. M. Explicó que el objeto de tal solicitud era permitirle acceder a los datos de protocolo de los empleados que habían tratado sus datos, cuando, en virtud de su práctica decisoria, tales archivos no constituyen datos personales relativos al interesado, sino a los empleados que trataron los datos de esa persona.
26 J. M. interpuso un recurso contra esa decisión ante el órgano jurisdiccional remitente.
27 Ese órgano jurisdiccional recuerda que el artículo 15 del RGPD establece el derecho del interesado a obtener del responsable del tratamiento el acceso a los datos tratados que le conciernan, así como la información relativa, en particular, a los fines del tratamiento y a los destinatarios de los datos. Se pregunta si la comunicación de los datos de protocolo generados con ocasión de las operaciones de tratamiento, que contienen tal información, en particular, la identidad de los empleados del responsable del tratamiento, está comprendida en el ámbito de aplicación del artículo 15 del RGPD, dado que esos archivos podrían resultar necesarios para que el interesado pudiera apreciar la licitud del tratamiento de que han sido objeto sus datos.
28 En estas circunstancias, el Itä-Suomen hallinto-oikeus (Tribunal de lo Contencioso-Administrativo de Finlandia Oriental, Finlandia) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:
“1) ¿Debe interpretarse el derecho de acceso conferido al interesado por el artículo 15, apartado 1, del [RGPD], en relación con el [concepto de] “datos personales” según el artículo 4, punto 1, de dicho Reglamento, en el sentido de que la información recogida por el responsable del tratamiento de la que resulta quién ha tratado los datos personales del interesado, en qué momento y con qué fines lo ha hecho, no constituye información respecto de la cual el interesado ostente un derecho de acceso, en particular porque se trata de datos que conciernen a los trabajadores del responsable del tratamiento?
2) En caso de respuesta afirmativa a la primera cuestión prejudicial y si, con base en el artículo 15, apartado 1, del [RGPD], el interesado no tiene derecho a acceder a la información mencionada en esa cuestión por no constituir “datos personales” del interesado en el sentido del artículo 4, punto 1, del [RGPD], en el caso de autos también procederá tomar en consideración la información a la que el interesado tiene derecho a acceder de conformidad con el artículo 15, apartado 1, letras [a) a h)], de dicho Reglamento:
a) ¿Cómo debe interpretarse el fin del tratamiento en el sentido del artículo 15, apartado 1, letra a), en lo que se refiere al alcance del derecho de acceso del interesado, es decir, el fin del tratamiento puede dar lugar a un derecho de acceso a los datos de protocolo de usuarios recogidos por el responsable del tratamiento, como, por ejemplo, la información sobre datos personales de las personas que realizan el tratamiento, el momento y el fin del tratamiento de datos personales?
b) En este contexto y conforme a determinados criterios, ¿pueden considerarse destinatarios de datos personales en el sentido del artículo 15, apartado 1, letra c), del [RGPD] las personas que trataron los datos de J. M. como cliente, respecto de los cuales el interesado tendría un derecho de acceso?
3) ¿Es relevante para el procedimiento el hecho de que se trate de un banco que ejerce una actividad reglada o que J. M. haya trabajado para el banco a la vez que era su cliente?
4) ¿Es relevante para la apreciación de las cuestiones que anteceden el hecho de que los datos de J. M. fueran tratados antes de la entrada en vigor del [RGPD]?”
Sobre las cuestiones prejudiciales
Cuarta cuestión prejudicial
29 Mediante su cuarta cuestión prejudicial, que procede examinar de entrada, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 15 del RGPD, en relación con el artículo 99, apartado 2, de ese Reglamento, es aplicable a una solicitud de acceso a la información que contempla la primera de estas disposiciones cuando las operaciones de tratamiento a que se refiere esa solicitud se habían efectuado antes de la fecha en que empezó a ser aplicable dicho Reglamento, pero la solicitud se presentó después de esa fecha.
30 Para responder a esa cuestión prejudicial, procede señalar que, en virtud del artículo 99, apartado 2, del RGPD, este es aplicable desde el 25 de mayo de 2018.
31 Pues bien, en el presente asunto, de la resolución de remisión se desprende que las operaciones de tratamiento de datos personales controvertidas en el litigio principal se efectuaron entre el 1 de noviembre de 2013 y el 31 de diciembre de 2013, es decir, antes de la fecha en que empezó a ser aplicable el RGPD. Sin embargo, también se desprende de esa resolución que J. M. presentó su solicitud de información a Pankki S con posterioridad a esa fecha, a saber, el 29 de mayo de 2018.
32 A este respecto, es preciso recordar que se considera, en general, que las normas de procedimiento son aplicables en la fecha en que entran en vigor, a diferencia de las normas sustantivas, que habitualmente se interpretan en el sentido de que solo contemplan situaciones nacidas y definitivamente consolidadas con anterioridad a su entrada en vigor en la medida en que de sus términos, finalidad o sistema se desprenda claramente que debe atribuírseles dicho efecto (sentencia de 15 de junio de 2021, Facebook Ireland y otros, C-645/19, EU:C:2021:483, apartado 100 y jurisprudencia citada).
33 En el caso de autos, de la resolución de remisión se desprende que la solicitud de J. M. de que se le comunicara la información controvertida en el litigio principal está relacionada con el artículo 15, apartado 1, del RGPD, que establece el derecho del interesado a obtener el acceso a los datos personales que le conciernen y que son objeto de tratamiento, así como a la información a que se refiere esa disposición.
34 Resulta obligado señalar que dicha disposición no se refiere a las condiciones de licitud del tratamiento de que son objeto los datos personales del interesado. En efecto, el artículo 15, apartado 1, del RGPD se limita a precisar el alcance del derecho de acceso de esa persona a los datos y a la información a los que se refiere.
35 De ello resulta, como ha señalado el Abogado General en el punto 33 de sus conclusiones, que el artículo 15, apartado 1, del RGPD confiere a los interesados un derecho de carácter procedimental consistente en obtener información sobre el tratamiento de sus datos personales. En tanto que regla de esa naturaleza, esa disposición se aplica a las solicitudes de acceso presentadas desde el momento en que empezó a ser aplicable ese Reglamento, como la solicitud de J. M.
36 En estas circunstancias, procede responder a la cuarta cuestión prejudicial que el artículo 15 del RGPD, en relación con el artículo 99, apartado 2, de ese Reglamento, debe interpretarse en el sentido de que es aplicable a una solicitud de acceso a la información que contempla esta disposición cuando las operaciones de tratamiento a que se refiere esa solicitud se habían efectuado antes de la fecha en que empezó a ser aplicable dicho Reglamento, pero la solicitud se presentó después de esa fecha.
Cuestiones prejudiciales primera y segunda
37 Mediante sus cuestiones prejudiciales primera y segunda, que procede examinar conjuntamente, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 15, apartado 1, del RGPD debe interpretarse en el sentido de que la información relativa a operaciones de consulta de datos personales de una persona sobre las fechas y los fines de estas operaciones, así como sobre la identidad de las personas físicas que las llevaron a cabo, constituye información que esa persona tiene derecho a obtener del responsable del tratamiento en virtud de la citada disposición.
38 Con carácter preliminar, procede recordar que, según reiterada jurisprudencia, la interpretación de una disposición del Derecho de la Unión requiere tener en cuenta no solo su tenor, sino también el contexto en el que se inscribe, así como los objetivos y la finalidad que persigue el acto del que forma parte [sentencia de 12 de enero de 2023, Österreichische Post (Información relativa a los destinatarios de datos personales), C-154/21, EU:C:2023:3, apartado 29].
39 Por lo que respecta, en primer lugar, a los términos del artículo 15, apartado 1, del RGPD, esta disposición establece que el interesado tiene derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la información relativa, en particular, a los fines del tratamiento y a los destinatarios o a las categorías de destinatarios a los que se comunicaron o serán comunicados esos datos personales.
40 A este respecto, ha de subrayarse que los conceptos que figuran en el artículo 15, apartado 1, del RGPD se definen en el artículo 4 de ese Reglamento.
41 Así, en primer lugar, el artículo 4, punto 1, del RGPD indica que constituye un dato personal “toda información sobre una persona física identificada o identificable” y precisa que “se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.
42 El empleo de la expresión “toda información” en la definición del concepto de “datos personales”, que figura en esa disposición, evidencia el objetivo del legislador de la Unión de atribuir a este concepto un significado muy amplio, que puede abarcar todo género de información, tanto objetiva como subjetiva, en forma de opiniones o apreciaciones, siempre que sean “sobre” la persona en cuestión (sentencia de 4 de mayo de 2023, Österreichische Datenschutzbehörde y CRIF, C-487/21, EU:C:2023:369, apartado 23).
43 A este respecto, se ha declarado que una información se refiere a una persona física identificada o identificable cuando, debido a su contenido, finalidad o efectos, la información está relacionada con una persona identificable (sentencia de 4 de mayo de 2023, Österreichische Datenschutzbehörde y CRIF, C-487/21, EU:C:2023:369, apartado 24).
44 En cuanto al carácter “identificable” de una persona, el considerando 26 del RGPD precisa que deben tenerse en cuenta “todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física”.
45 De ello resulta que la definición amplia del concepto de “datos personales” no abarca únicamente los datos recabados y conservados por el responsable del tratamiento, sino que incluye también toda la información resultante de un tratamiento de datos personales que se refiera a una persona identificada o identificable (véase, en este sentido, la sentencia de 4 de mayo de 2023, Österreichische Datenschutzbehörde y CRIF, C-487/21, EU:C:2023:369, apartado 26).
46 En segundo lugar, por lo que respecta al concepto de “tratamiento”, tal como se define en el artículo 4, punto 2, del RGPD, procede señalar que, al utilizar la expresión “cualquier operación”, el legislador de la Unión quiso dar a este concepto un alcance amplio, al emplear una enumeración no exhaustiva de operaciones aplicadas a datos personales o conjuntos de datos personales, que comprenden, entre otras cosas, la recogida, el registro, la conservación o incluso la consulta (véase, en este sentido, la sentencia de 4 de mayo de 2023, Österreichische Datenschutzbehörde y CRIF, C-487/21, EU:C:2023:369, apartado 27).
47 En tercer lugar, el artículo 4, punto 9, del RGPD precisa que por “destinatario” debe entenderse “la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero”.
48 A este respecto, el Tribunal de Justicia ha declarado que el interesado tiene derecho a obtener del responsable del tratamiento información sobre los destinatarios concretos a los que hayan sido o vayan a ser comunicados los datos personales que le conciernen [sentencia de 12 de enero de 2023, Österreichische Post (Información relativa a los destinatarios de datos personales), C-154/21, EU:C:2023:3, apartado 46].
49 Por lo tanto, del análisis textual del artículo 15, apartado 1, del RGPD y de los conceptos que recoge se desprende que el derecho de acceso que esta disposición reconoce al interesado se caracteriza por el amplio alcance de la información que el responsable del tratamiento de los datos debe facilitar esa persona.
50 A continuación, por lo que respecta al contexto en el que se inscribe el artículo 15, apartado 1, del RGPD, es preciso recordar, en primer lugar, que el considerando 63 de ese Reglamento establece que todo interesado debe tener el derecho a conocer y a que se le comuniquen, en particular, los fines para los que se tratan los datos personales, su plazo de tratamiento y sus destinatarios.
51 En segundo lugar, el considerando 60 del RGPD establece que los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de la operación de tratamiento y sus fines, destacando que el responsable del tratamiento debe facilitar cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales. Por otra parte, de conformidad con el principio de transparencia, mencionado por el órgano jurisdiccional remitente, al que hace referencia el considerando 58 del RGPD y que consagra expresamente el artículo 12, apartado 1, de ese Reglamento, toda información dirigida al interesado debe ser concisa, de fácil acceso y fácil de entender, y debe utilizarse un lenguaje claro y sencillo.
52 A este respecto, el artículo 12, apartado 1, del RGPD precisa que la información deberá facilitarse por el responsable del tratamiento por escrito o por otros medios, inclusive, si procede, por medios electrónicos, a menos que sea el interesado quien solicite que esta se facilite verbalmente. La citada disposición, expresión del principio de transparencia, tiene como objetivo garantizar que el interesado esté en condiciones de comprender plenamente la información que se le envíe (sentencia de 4 de mayo de 2023, Österreichische Datenschutzbehörde y CRIF, C-487/21, EU:C:2023:369, apartado 38 y jurisprudencia citada).
53 Del análisis contextual que precede se desprende que el artículo 15, apartado 1, del RGPD constituye una de las disposiciones que tienen por objeto garantizar, en favor del interesado, la transparencia de los modos de tratamiento de los datos personales.
54 Por último, esta interpretación del alcance del derecho de acceso recogido en el artículo 15, apartado 1, del RGPD se ve corroborada por los objetivos que persigue ese Reglamento.
55 En efecto, en primer lugar, este tiene como finalidad, como indican sus considerandos 10 y 11, garantizar un nivel uniforme y elevado de protección de las personas físicas dentro de la Unión y reforzar y especificar los derechos de los interesados.
56 Además, como se desprende del considerando 63 del RGPD, el derecho de una persona a tener acceso a sus propios datos personales y a la otra información a que se refiere el artículo 15, apartado 1, de ese Reglamento tiene por objeto, de entrada, permitir a esa persona conocer y verificar la licitud del tratamiento. De ello se deduce, según ese considerando y como se ha indicado en el apartado 50 de la presente sentencia, que todo interesado debe tener el derecho a conocer y a que se le comuniquen, en particular, los fines para los que se tratan los datos personales, su plazo de tratamiento, sus destinatarios y la lógica implícita en todo tratamiento de datos personales.
57 A este respecto, procede recordar, en segundo lugar, que el Tribunal de Justicia ya ha declarado que el derecho de acceso contemplado en el artículo 15 del RGPD debe permitir al interesado cerciorarse de que los datos personales que le conciernen son exactos y de que son tratados lícitamente (sentencia de 4 de mayo de 2023, Österreichische Datenschutzbehörde y CRIF, C-487/21, EU:C:2023:369, apartado 34).
58 En particular, este derecho de acceso es necesario para permitir al interesado ejercer, en su caso, su derecho de rectificación, su derecho de supresión (“derecho al olvido”) y su derecho a la limitación del tratamiento, reconocidos, respectivamente, en los artículos 16 a 18 del RGPD, su derecho de oposición al tratamiento de sus datos personales, contemplado en el artículo 21 del RGPD, así como su derecho a recurrir por los daños sufridos, previsto en los artículos 79 y 82 del RGPD (sentencia de 4 de mayo de 2023, Österreichische Datenschutzbehörde y CRIF, C-487/21, EU:C:2023:369, apartado 35 y jurisprudencia citada).
59 Por lo tanto, el artículo 15, apartado 1, del RGPD constituye una de las disposiciones que tienen por objeto garantizar, en favor del interesado, la transparencia de los modos de tratamiento de los datos personales [sentencia de 12 de enero de 2023, Österreichische Post (Información relativa a los destinatarios de datos personales), C-154/21, EU:C:2023:3, apartado 42], transparencia sin la cual este no podría apreciar la licitud del tratamiento de sus datos ni ejercer las prerrogativas previstas, en particular, en los artículos 16 a 18, 21, 79 y 82 de ese Reglamento.
60 En el caso de autos, de la resolución de remisión se desprende que J. M. solicitó a Pankki S que le comunicara información relativa a las operaciones de consulta de que fueron objeto sus datos personales entre el 1 de noviembre de 2013 y el 31 de diciembre de 2013, información relativa a las fechas de esas consultas, sus fines y la identidad de las personas que llevaron a cabo dichas consultas. El órgano jurisdiccional remitente indica que la transmisión de los datos de protocolo generados con ocasión de dichas operaciones permitiría responder a la solicitud de J. M.
61 En el caso de autos, no se discute que las operaciones de consulta de las que fueron objeto los datos personales del demandante en el litigio principal constituyen un “tratamiento”, en el sentido del artículo 4, punto 2, del RGPD, de modo que confieren a aquel, en virtud del artículo 15, apartado 1, de ese Reglamento, no solo un derecho de acceso a esos datos personales, sino también un derecho a que se le comunique la información relacionada con esas operaciones, tal y como se menciona en esta última disposición.
62 Por lo que respecta a información como la solicitada por J. M., la comunicación, de entrada, de las fechas de las operaciones de consulta puede permitir al interesado obtener la confirmación de que sus datos personales han sido efectivamente objeto de tratamiento en un momento determinado. Además, dado que las condiciones de licitud establecidas en los artículos 5 y 6 del RGPD deben cumplirse en el momento del propio tratamiento, la fecha de este constituye un elemento que permite verificar su licitud. A continuación, es preciso señalar que la información relativa a los fines de los tratamientos está expresamente prevista en el artículo 15, apartado 1, letra a), de ese Reglamento. Por último, el artículo 15, apartado 1, letra c), de dicho Reglamento establece que el responsable del tratamiento informará al interesado de los destinatarios a quienes se comunicaron sus datos.
63 Por lo que respecta, más concretamente, a la comunicación de toda esta información mediante el suministro de los datos de protocolo relativos a las operaciones de tratamiento controvertidas en el litigio principal, debe señalarse que el artículo 15, apartado 3, primera frase, del RGPD establece que el responsable del tratamiento “facilitará una copia de los datos personales objeto de tratamiento”.
64 A este respecto, el Tribunal de Justicia ya ha declarado que el concepto de “copia” así empleado designa la reproducción o transcripción auténtica de un original, de modo que una descripción puramente general de los datos objeto de tratamiento o una remisión a categorías de datos personales no se correspondería con esta definición. Además, del tenor del artículo 15, apartado 3, primera frase, de ese Reglamento se desprende que la obligación de comunicación está vinculada a los datos personales que son objeto del tratamiento en cuestión (véase, en este sentido, la sentencia de 4 de mayo de 2023, Österreichische Datenschutzbehörde y CRIF, C-487/21, EU:C:2023:369, apartado 21).
65 La copia que el responsable del tratamiento tiene que facilitar debe contener todos los datos personales objeto de tratamiento, presentar todas las características que permitan al interesado ejercer efectivamente sus derechos en virtud de dicho Reglamento y, por consiguiente, reproducir de forma íntegra y auténtica esos datos (véase, en este sentido, la sentencia de 4 de mayo de 2023, Österreichische Datenschutzbehörde y CRIF, C-487/21, EU:C:2023:369, apartados 32 y 39).
66 Para garantizar que la información así facilitada sea fácil de entender, como exige el artículo 12, apartado 1, del RGPD, en relación con el considerando 58 de ese Reglamento, la reproducción de extractos de documentos, o incluso de documentos enteros, o de extractos de bases de datos, que contengan, entre otros, los datos personales objeto de tratamiento puede resultar indispensable en el supuesto de que la contextualización de los datos tratados sea necesaria para garantizar su inteligibilidad. En particular, cuando se generan datos personales a partir de otros datos o cuando tales datos se derivan de campos libres, a saber, una falta de indicación que revele una información sobre el interesado, el contexto en el que esos datos son objeto de tratamiento es un elemento indispensable para permitir al interesado disponer de un acceso transparente y una presentación inteligible de esos datos (sentencia de 4 de mayo de 2023, Österreichische Datenschutzbehörde y CRIF, C-487/21, EU:C:2023:369, apartados 41 y 42).
67 En el caso de autos, como ha señalado el Abogado General en los puntos 88 a 90 de sus conclusiones, los datos de protocolo, que contienen la información solicitada por J. M., corresponden a registros de actividades, en el sentido del artículo 30 del RGPD. Debe considerarse que forman parte de las medidas, mencionadas en el considerando 74 de ese Reglamento, aplicadas por el responsable del tratamiento para demostrar la conformidad de las actividades de tratamiento con dicho Reglamento. El artículo 30, apartado 4, del mismo Reglamento precisa, en particular, que se pondrán a disposición de la autoridad de control que lo solicite.
68 En la medida en que esos registros de actividades no contengan información relativa a una persona física identificada o identificable en el sentido de la jurisprudencia recordada en los apartados 42 y 43 de la presente sentencia, únicamente permiten al responsable del tratamiento cumplir sus obligaciones frente a la autoridad de control que solicite su suministro.
69 Por lo que respecta, más concretamente, a los datos de protocolo del responsable del tratamiento, la comunicación de una copia de la información que figura en esos archivos puede resultar necesaria para que se cumpla la obligación de facilitar al interesado el acceso a toda la información a que se refiere el artículo 15, apartado 1, del RGPD y para garantizar un tratamiento de datos leal y transparente, permitiéndole así hacer valer plenamente los derechos que le confiere ese Reglamento.
70 En efecto, en primer lugar, tales archivos revelan la existencia de un tratamiento de datos, información a la que el interesado debe tener acceso en virtud del artículo 15, apartado 1, del RGPD. Además, informan sobre la frecuencia e intensidad de las operaciones de consulta, permitiendo así al interesado asegurarse de que el tratamiento efectuado está efectivamente motivado por los fines expuestos por el responsable del tratamiento.
71 En segundo lugar, esos archivos contienen la información relativa a la identidad de las personas que llevaron a cabo las operaciones de consulta.
72 En el caso de autos, de la resolución de remisión se desprende que las personas que llevaron a cabo las operaciones de consulta controvertidas en el litigio principal son empleados de Pankki S que actuaron bajo su autoridad y de conformidad con sus instrucciones.
73 Si bien del artículo 15, apartado 1, letra c), del RGPD se desprende que el interesado tiene derecho a obtener del responsable del tratamiento la información relativa a los destinatarios o a las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, los empleados del responsable del tratamiento no pueden considerarse “destinatarios”, en el sentido del artículo 15, apartado 1, letra c), del RGPD, tal como se ha recordado en los apartados 47 y 48 de la presente sentencia, cuando traten datos personales bajo la autoridad de dicho responsable y de conformidad con sus instrucciones, como ha señalado el Abogado General en el punto 63 de sus conclusiones.
74 A este respecto, es importante subrayar que, de conformidad con el artículo 29 del RGPD, cualquier persona que actúe bajo la autoridad del responsable del tratamiento y tenga acceso a datos personales solo podrá tratarlos siguiendo instrucciones de dicho responsable.
75 Dicho esto, la información contenida en los datos de protocolo relativa a las personas que llevaron a cabo la consulta de los datos personales del interesado podría constituir información comprendida en el ámbito de aplicación del artículo 4, punto 1, del RGPD, tal como se ha recordado en el apartado 41 de la presente sentencia, que le permitiría verificar la licitud del tratamiento de que fueron objeto sus datos y, en particular, asegurarse de que las operaciones de tratamiento se han realizado efectivamente bajo la autoridad del responsable del tratamiento y de conformidad con sus instrucciones.
76 No obstante, en primer término, de la resolución de remisión se desprende que la información que figura en datos de protocolos como los controvertidos en el litigio principal permite identificar a los empleados que llevaron a cabo las operaciones de tratamiento e incluye datos personales de esos trabajadores, en el sentido del artículo 4, punto 1, del RGPD.
77 A este respecto, procede recordar que, por lo que se refiere al derecho de acceso contemplado en el artículo 15 del RGPD, el considerando 63 de ese Reglamento precisa que “este derecho no debe afectar negativamente a los derechos y libertades de terceros”.
78 En efecto, en virtud del considerando 4 del RGPD, el derecho a la protección de los datos personales no es un derecho absoluto, puesto que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales (véase, en este sentido, la sentencia de 16 de julio de 2020, Facebook Ireland y Schrems, C-311/18, EU:C:2020:559, apartado 172).
79 Pues bien, aun suponiendo que la comunicación de la información relativa a la identidad de los empleados del responsable del tratamiento al interesado en el tratamiento sea necesaria para que este se asegure de la licitud del tratamiento de sus datos personales, dicha comunicación puede, sin embargo, vulnerar los derechos y libertades de esos empleados.
80 En estas circunstancias, en caso de conflicto entre, por un lado, el ejercicio del derecho de acceso que garantice la eficacia de los derechos reconocidos por el RGPD al interesado y, por otro, los derechos o libertades de otros, procede efectuar una ponderación entre los derechos y libertades en cuestión. Siempre que sea posible, ha de optarse por modalidades que no vulneren los derechos o libertades de otros, teniendo en cuenta que, como se desprende del considerando 63 del RGPD, esas consideraciones no deben “tener como resultado la negativa a prestar toda la información al interesado” (véase, en este sentido, la sentencia de 4 de mayo de 2023, Österreichische Datenschutzbehörde y CRIF, C-487/21, EU:C:2023:369, apartado 44).
81 Sin embargo, en segundo término, de la resolución de remisión se desprende que J. M. no solicita la comunicación de la información relativa a la identidad de los empleados de Pankki S que llevaron a cabo las operaciones de consulta de sus datos personales por pensar que no actuaran efectivamente bajo la autoridad y de conformidad con las instrucciones del responsable del tratamiento, sino que parece dudar de la veracidad de la información relativa al fin de esas consultas que le comunicó Pankki S.
82 En tales circunstancias, si el interesado considerase que la información comunicada por el responsable del tratamiento es insuficiente para permitirle disipar las dudas que alberga en cuanto a la licitud del tratamiento de que han sido objeto sus datos personales, dispone, sobre la base del artículo 77, apartado 1, del RGPD, del derecho a presentar una reclamación ante la autoridad de control, autoridad que ostenta la facultad, en virtud del artículo 58, apartado 1, letra a), de ese Reglamento, de solicitar al responsable del tratamiento que le facilite cualquier información que requiera para examinar la reclamación del interesado.
83 De las consideraciones anteriores resulta que el artículo 15, apartado 1, del RGPD debe interpretarse en el sentido de que la información relativa a operaciones de consulta de datos personales de una persona, relativas a las fechas y a los fines de estas operaciones, constituye información que esa persona tiene derecho a obtener del responsable del tratamiento en virtud de esa disposición. En cambio, dicha disposición no consagra tal derecho en lo que respecta a la información relativa a la identidad de los empleados de dicho responsable que llevaron a cabo esas operaciones bajo su autoridad y de conformidad con sus instrucciones, a menos que esa información sea indispensable para permitir al interesado ejercer efectivamente los derechos que le confiere ese Reglamento y siempre bajo la condición de que se tengan en cuenta los derechos y libertades de esos empleados.
Tercera cuestión prejudicial
84 Mediante su tercera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el hecho, por una parte, de que el responsable del tratamiento desarrolle un negocio bancario en el marco de una actividad reglada y, por otra parte, de que la persona cuyos datos personales fueron tratados en su condición de cliente del responsable del tratamiento también fuera empleada de ese responsable es relevante a efectos de la definición del alcance del derecho de acceso que le reconoce el artículo 15, apartado 1, del RGPD.
85 De entrada, es preciso subrayar que, por lo que respecta al ámbito de aplicación del derecho de acceso contemplado en el artículo 15, apartado 1, del RGPD, ninguna disposición de ese Reglamento distingue en función de la naturaleza de las actividades del responsable del tratamiento o de la condición de la persona cuyos datos personales son objeto de tratamiento.
86 En lo que atañe, por una parte, al carácter reglado de la actividad de Pankki S, es cierto que el artículo 23 del RGPD permite a los Estados miembros limitar, a través de medidas legislativas, el alcance de las obligaciones y de los derechos establecidos, en particular, en el artículo 15 de ese Reglamento.
87 Sin embargo, de la resolución de remisión no se desprende que la actividad de Pankki S esté sujeta a tal legislación.
88 Por otra parte, en lo que atañe al hecho de que J. M. fuera a la vez cliente y empleado de Pankki S, procede señalar que, habida cuenta no solo de los objetivos del RGPD, sino también del alcance del derecho de acceso del que goza el interesado, tal como se han recordado en los apartados 49 y 55 a 59 de la presente sentencia, el contexto en el que esa persona solicita acceso a la información a que se refiere el artículo 15, apartado 1, del RGPD no puede influir en modo alguno en el alcance de ese derecho.
89 Por consiguiente, el artículo 15, apartado 1, del RGPD debe interpretarse en el sentido de que el hecho de que el responsable del tratamiento desarrolle un negocio bancario en el marco de una actividad reglada y de que la persona cuyos datos personales fueron tratados en su condición de cliente del responsable del tratamiento también fuera empleada de ese responsable no influye, en principio, en el alcance del derecho del que goza esa persona en virtud de la citada disposición.
Costas
90 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.
En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Primera) declara:
1) El artículo 15 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), en relación con el artículo 99, apartado 2, de ese Reglamento,
debe interpretarse en el sentido de que
es aplicable a una solicitud de acceso a la información que contempla esta disposición cuando las operaciones de tratamiento a que se refiere esa solicitud se habían efectuado antes de la fecha en que empezó a ser aplicable dicho Reglamento, pero la solicitud se presentó después de esa fecha.
2) El artículo 15, apartado 1, del Reglamento 2016/679
debe interpretarse en el sentido de que
la información relativa a operaciones de consulta de datos personales de una persona, relativas a las fechas y a los fines de estas operaciones, constituye información que esa persona tiene derecho a obtener del responsable del tratamiento en virtud de esa disposición. En cambio, dicha disposición no consagra tal derecho en lo que respecta a la información relativa a la identidad de los empleados de dicho responsable que llevaron a cabo esas operaciones bajo su autoridad y de conformidad con sus instrucciones, a menos que esa información sea indispensable para permitir al interesado ejercer efectivamente los derechos que le confiere ese Reglamento y siempre bajo la condición de que se tengan en cuenta los derechos y libertades de esos empleados.
3) El artículo 15, apartado 1, del Reglamento 2016/679
debe interpretarse en el sentido de que
el hecho de que el responsable del tratamiento desarrolle un negocio bancario en el marco de una actividad reglada y de que la persona cuyos datos personales fueron tratados en su condición de cliente del responsable del tratamiento también fuera empleada de ese responsable no influye, en principio, en el alcance del derecho del que goza esa persona en virtud de la citada disposición.
