Un ciudadano solicitó a la Autoridad Nacional de Seguridad belga que le expidiera una habilitación de seguridad con fines profesionales. Dicho documento le fue denegado por haber participado en manifestaciones. Invocando el derecho de acceso a sus datos, el ciudadano se dirigió al Órgano de Control de Información Policial, el cual le indicó que solo disponía de un acceso indirecto y que él mismo iba a comprobar la legalidad del tratamiento de sus datos.
Sin embargo, al término de esta comprobación, como permite la Ley belga, dicho órgano se limitó a responderle que había llevado a cabo las comprobaciones necesarias. Dicho ciudadano interpuso entonces un recurso judicial ante el juez de primera instancia, que se declaró incompetente por razón de la materia.
El Tribunal de Apelación de Bruselas, ante el que han acudido el interesado y la Liga de Derechos Humanos, pregunta al Tribunal de Justicia si el Derecho de la Unión obliga a los Estados miembros a prever la posibilidad de que el interesado en el tratamiento de sus datos pueda impugnar la decisión de la autoridad de control cuando esta ejerce los derechos del interesado en relación con el tratamiento de que se trata.
El Tribunal de Justicia considera que, al informar al interesado del resultado de las comprobaciones, la autoridad de control competente adopta una decisión jurídicamente vinculante. Esta decisión debe poder ser objeto de recurso para que el interesado pueda impugnar la apreciación de la autoridad de control sobre la legalidad del tratamiento de datos y la decisión de proceder o no a adoptar medidas correctoras.
El Tribunal de Justicia señala que el Derecho de la Unión obliga a la autoridad de control a informar “al menos” al interesado “de que se han efectuado todas las comprobaciones necesarias o la revisión correspondiente” y de “su derecho a la tutela judicial”. Cuando los objetivos de interés público no se opongan a ello, los Estados miembros deben establecer, no obstante, que la información al interesado pueda ir más allá de esa información mínima, de modo que le permita defender sus derechos y decidir sobre la conveniencia de someter el asunto al juez competente.
Además, en los casos en que la información así facilitada al interesado se haya limitado a lo estrictamente necesario, los Estados miembros deben asegurarse de que el juez competente, para comprobar el fundamento de las razones invocadas para justificar la limitación de esa información, pueda ponderar los objetivos de interés público perseguidos (seguridad del Estado, prevención, detección, investigación o enjuiciamiento de infracciones penales) y la necesidad de garantizar a los ciudadanos el respeto de sus derechos procesales. En el marco de ese control judicial, las normas nacionales deben permitir al juez conocer los motivos y las pruebas que dieron lugar a la resolución de la autoridad de control, así como las conclusiones a las que esta haya llegado.
SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Quinta)
de 16 de noviembre de 2023 (*)
“Procedimiento prejudicial - Protección de las personas físicas en lo que respecta al tratamiento de datos personales - Directiva (UE) 2016/680 - Artículo 17 - Ejercicio de los derechos del interesado a través de la autoridad de control - Comprobación de la licitud del tratamiento de los datos - Artículo 17, apartado 3 - Obligación de información mínima al interesado - Alcance - Validez - Artículo 53 - Derecho a la tutela judicial efectiva contra la autoridad de control - Concepto de “decisión jurídicamente vinculante” - Carta de los Derechos Fundamentales de la Unión Europea - Artículo 8, apartado 3 - Control de una autoridad independiente - Artículo 47 - Derecho a la tutela judicial efectiva”
En el asunto C-333/22,
que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por la cour d’appel de Bruxelles (Tribunal de Apelación de Bruselas, Bélgica), mediante resolución de 9 de mayo de 2022, recibida en el Tribunal de Justicia el 20 de mayo de 2022, en el procedimiento entre
Ligue des droits humains ASBL,
BA
y
Organe de contrôle de l’information policière,
EL TRIBUNAL DE JUSTICIA (Sala Quinta),
integrado por el Sr. E. Regan, Presidente de Sala, y los Sres. Z. Csehi, M. Ileič, I. Jarukaitis y D. Gratsias (Ponente), Jueces;
Abogada General: Sra. L. Medina;
Secretaria: Sra. M. Siekierzyńska, administradora;
habiendo considerado los escritos obrantes en autos y celebrada la vista el 29 de marzo de 2023;
consideradas las observaciones presentadas:
- en nombre de Ligue des droits humains ASBL y BA, por la Sra. C. Forget, avocate;
- en nombre del Organe de contrôle de l’information policière (OCIP), por los Sres. J. Bosquet y J.-F. de Bock, advocaten;
- en nombre del Gobierno belga, por los Sres. P. Cottin y J.-C. Halleux y por las Sras. C. Pochet y A. van Baelen, en calidad de agentes, asistidos por los Sres. N. Cariat, C. Fischer y B. Lombaert y por la Sra. J. Simba, avocats;
- en nombre del Gobierno checo, por los Sres. O. Serdula, M. Smolek y J. Vláčil, en calidad de agentes;
- en nombre del Gobierno francés, por el Sr. J. Illouz, en calidad de agente;
- en nombre del Parlamento Europeo, por el Sr. S. Alonso de León y las Sras. O. Hrstková olcová, P. López-Carceller y M. Thibault, en calidad de agentes;
- en nombre de la Comisión Europea, por los Sres. A. Bouchagiar y H. Kranenborg, la Sra. A.-C. Simon y el Sr. F. Wilman, en calidad de agentes;
oídas las conclusiones de la Abogada General, presentadas en audiencia pública el 15 de junio de 2023;
dicta la siguiente
Sentencia
1 La petición de decisión prejudicial tiene por objeto, por una parte, la interpretación de los artículos 8, apartado 3, y 47 de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, “Carta”) y, por otra parte, la validez, a la luz de las disposiciones antes mencionadas de la Carta, del artículo 17 de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO 2016, L 119, p. 89).
2 Esta petición se ha presentado en el contexto de un litigio entre, por una parte, Ligue des droits humains ASBL y BA y, por otra parte, el Organe de contrôle de l’information policière (OCIP) (Órgano de Control de Información Policial, Bélgica) en relación con el ejercicio, a través de este Órgano, de los derechos de BA relativos a los datos personales que le conciernen, tratados por los servicios de Policía belgas y sobre cuya base la Autorité nationale de sécurité (Autoridad Nacional de Seguridad, Bélgica) denegó una solicitud de habilitación de seguridad presentada por esa persona.
Marco jurídico
Derecho de la Unión
3 Los considerandos 7, 10, 43, 46, 48, 75, 82, 85 y 86 de la Directiva 2016/680 indican lo siguiente:
“(7) Para garantizar la eficacia de la cooperación judicial en materia penal y de la cooperación policial, es esencial asegurar un nivel uniforme y elevado de protección de los datos personales de las personas físicas y facilitar el intercambio de datos personales entre las autoridades competentes de los Estados miembros. A tal efecto, el nivel de protección de los derechos y libertades de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas para la seguridad pública, debe ser equivalente en todos los Estados miembros. La protección eficaz de los datos personales en toda la Unión [Europea] requiere tanto el fortalecimiento de los derechos de los interesados y de las obligaciones de quienes tratan dichos datos personales, como el fortalecimiento de los poderes equivalentes para supervisar y garantizar el cumplimiento de las normas relativas a la protección de los datos personales en los Estados miembros.
[]
(10) En la Declaración n.º 21 relativa a la protección de datos de carácter personal en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial, aneja al acta final de la Conferencia Intergubernamental que adoptó el Tratado de Lisboa, la Conferencia reconoció que podrían requerirse normas específicas sobre protección de datos personales y libre circulación de los mismos en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial basada en el artículo 16 [TFUE], en razón de la naturaleza específica de dichos ámbitos.
[]
(43) Toda persona física debe tener derecho a acceder a los datos que se hayan recopilado en relación con ella y a poder ejercer este derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento. []
[]
(46) Toda restricción de los derechos del interesado debe cumplir con lo dispuesto en la Carta y el [Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, hecho en Roma el 4 de noviembre de 1950], según los ha interpretado la jurisprudencia del Tribunal de Justicia y del Tribunal Europeo de Derechos Humanos, respectivamente, y, en particular, respetar el contenido esencial de los citados derechos y libertades.
[]
(48) Si el responsable del tratamiento deniega al interesado sus derechos de información, acceso a los datos personales, o rectificación o supresión de estos, o la limitación de su tratamiento, el interesado debe tener derecho a solicitar que la autoridad nacional de control verifique la licitud del tratamiento. []
[]
(75) La creación en los Estados miembros de autoridades de control que ejerzan sus funciones con plena independencia constituye un elemento esencial de la protección de las personas físicas en lo que respecta al tratamiento de datos personales. Las autoridades de control deben supervisar la aplicación de las disposiciones adoptadas en aplicación de la presente Directiva y deben contribuir a su aplicación coherente en toda la Unión, con el fin de proteger a las personas físicas en relación con el tratamiento de sus datos personales. []
[]
(82) Para garantizar una supervisión del cumplimiento y una ejecución eficaces, fiables y coherentes de la presente Directiva en toda la Unión con arreglo al [Tratado FUE] a tenor de la interpretación del Tribunal de Justicia, las autoridades de control deben tener en cada Estado miembro las mismas funciones y los mismos poderes efectivos, incluidos los poderes de investigación, los poderes de corrección y los poderes consultivos que constituyan los medios necesarios para el desempeño de sus funciones. []
[]
(85) Todo interesado debe tener derecho a presentar una reclamación ante una única autoridad de control y a presentar un recurso judicial efectivo de conformidad con el artículo 47 de la Carta si considera que se vulneran sus derechos según las disposiciones adoptadas en virtud de la presente Directiva o en caso de que la autoridad de control no reaccione ante una reclamación, rechace o desestime total o parcialmente una reclamación o no actúe cuando su actuación sea necesaria para proteger los derechos del interesado. []
(86) Toda persona física o jurídica debe tener derecho a presentar un recurso judicial efectivo ante el órgano jurisdiccional nacional competente contra las decisiones de una autoridad de control que produzcan efectos jurídicos que le conciernan. Tales decisiones se refieren en particular al ejercicio de los poderes de investigación, corrección y autorización por parte de la autoridad de control o a la desestimación o rechazo de las reclamaciones. No obstante, este derecho no incluye otras medidas de las autoridades de control que no sean jurídicamente vinculantes, como los dictámenes publicados o el asesoramiento facilitado por la autoridad de control. Las acciones legales contra una autoridad de control deben ejercerse ante los órganos jurisdiccionales del Estado miembro en el que esté establecida la autoridad de control y conducirse con arreglo al Derecho del Estado miembro. Esos órganos jurisdiccionales deben ejercer la plena jurisdicción, que debe incluir la jurisdicción para examinar todas las circunstancias de hecho y de Derecho relativas al litigio en el que entiendan.”
4 El artículo 1 de esta Directiva, titulado “Objeto y objetivos”, dispone lo siguiente en sus apartados 1 y 2:
“1. La presente Directiva establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales por parte de las autoridades competentes, con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública.
2. De conformidad con la presente Directiva, los Estados miembros deberán:
a) proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales, y
b) garantizar que el intercambio de datos personales por parte de las autoridades competentes en el interior de la Unión, en caso de que el Derecho de la Unión o del Estado miembro exijan dicho intercambio, no quede restringido ni prohibido por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.”
5 Dicha Directiva contiene un capítulo III, titulado “Derechos del interesado”, que incluye, en particular, los artículos 13 a 17. El artículo 13, denominado “Información que debe ponerse a disposición del interesado o que se le debe proporcionar”, impone en su apartado 1 a los Estados la obligación de establecer que el responsable del tratamiento de los datos ponga a disposición del interesado cierta información mínima, como, en particular, la identidad y los datos de contacto del responsable del tratamiento. Además, enumera, en su apartado 2, la información adicional que los Estados miembros deben exigir por ley que el responsable del tratamiento proporcione al interesado a fin de permitir el ejercicio de sus derechos. En sus apartados 3 y 4, establece:
“3. Los Estados miembros podrán adoptar medidas legislativas por las que se retrase, limite u omita la puesta a disposición del interesado de la información en virtud del apartado 2 siempre y cuando dicha medida constituya una medida necesaria y proporcional en una sociedad democrática, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos de la persona física afectada, para:
a) evitar que se obstaculicen indagaciones, investigaciones o procedimientos oficiales o judiciales;
b) evitar que se cause perjuicio a la prevención, detección, investigación o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales;
c) proteger la seguridad pública;
d) proteger la seguridad nacional;
e) proteger los derechos y libertades de otras personas.
4. Los Estados miembros podrán adoptar medidas legislativas para determinar las categorías de tratamiento que pueden incluirse, total o parcialmente, en cualquiera de las letras del apartado 3.”
6 El artículo 14 de la misma Directiva, titulado “Derecho de acceso del interesado a los datos personales”, tiene el siguiente tenor:
“Con sujeción a lo dispuesto en el artículo 15, los Estados miembros reconocerán el derecho del interesado a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en caso de que se confirme el tratamiento, acceso a dichos datos personales []”.
7 A tenor del artículo 15 de la Directiva 2016/680, cuyo título es “Limitaciones al derecho de acceso”:
“1. Los Estados miembros podrán adoptar medidas legislativas por las que se restrinja, total o parcialmente, el derecho de acceso del interesado siempre y cuando dicha restricción parcial o completa constituya una medida necesaria y proporcional en una sociedad democrática, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos de la persona física afectada, para:
a) evitar que se obstaculicen indagaciones, investigaciones o procedimientos oficiales o judiciales;
b) evitar que se cause perjuicio a la prevención, detección, investigación o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales;
c) proteger la seguridad pública;
d) proteger la seguridad nacional;
e) proteger los derechos y libertades de otras personas.
2. Los Estados miembros podrán adoptar medidas legislativas para determinar las categorías de tratamiento que pueden acogerse, total o parcialmente, a las exenciones del apartado 1.
3. En los casos contemplados en los apartados 1 y 2, los Estados miembros dispondrán que el responsable del tratamiento informe por escrito al interesado, sin dilación indebida, de cualquier denegación o limitación de acceso, y de las razones de la denegación o de la restricción. Esta información podrá omitirse cuando el suministro de dicha información pueda comprometer uno de los fines contemplados en el apartado 1. Los Estados miembros dispondrán que el responsable del tratamiento informe al interesado de las posibilidades de presentar una reclamación ante la autoridad de control y de interponer un recurso judicial.
4. Los Estados miembros velarán por que el responsable del tratamiento documente los fundamentos de hecho o de Derecho en los que se sustente la decisión. Dicha información se pondrá a disposición de las autoridades de control.”
8 El artículo 16 de esta Directiva, bajo el epígrafe “Derecho de rectificación o supresión de datos personales y limitación de su tratamiento”, dispone:
1. Los Estados miembros reconocerán el derecho del interesado a obtener del responsable del tratamiento sin dilación indebida la rectificación de los datos personales que le conciernan cuando tales datos resulten inexactos. Teniendo en cuenta la finalidad del tratamiento, los Estados miembros dispondrán que el interesado tenga derecho a que se completen los datos personales cuando estos resulten incompletos [].
2. Los Estados miembros exigirán al responsable del tratamiento suprimir los datos personales sin dilación indebida y dispondrán el derecho del interesado a obtener del responsable del tratamiento la supresión de los datos personales que le conciernan sin dilación indebida cuando el tratamiento infrinja los artículos 4, 8 o 10, o cuando los datos personales deban ser suprimidos en virtud de una obligación legal a la que esté sujeto el responsable del tratamiento.
3. En lugar de proceder a la supresión, el responsable del tratamiento limitará el tratamiento de los datos personales cuando:
a) el interesado ponga en duda la exactitud de los datos personales y no pueda determinarse la exactitud o inexactitud, o
b) los datos personales hayan de conservarse a efectos probatorios.
[]
4. Los Estados miembros dispondrán que el responsable del tratamiento informe al interesado por escrito de cualquier denegación de rectificación o supresión de los datos personales, o de limitación de su tratamiento, y de las razones de la denegación. Los Estados miembros podrán adoptar medidas legislativas por las que se restrinja, total o parcialmente, la obligación de proporcionar tal información, siempre y cuando dicha limitación del tratamiento constituya una medida necesaria y proporcional en una sociedad democrática, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos de la persona física afectada, para:
a) evitar que se obstaculicen indagaciones, investigaciones o procedimientos oficiales o judiciales;
b) evitar que se cause perjuicio a la prevención, detección, investigación o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales;
c) proteger la seguridad pública;
d) proteger la seguridad nacional;
e) proteger los derechos y libertades de otras personas.
Los Estados miembros dispondrán que el responsable del tratamiento informe al interesado de las posibilidades de presentar una reclamación ante la autoridad de control y de interponer un recurso judicial.
[]”
9 El artículo 17 de dicha Directiva, titulado “Ejercicio de los derechos del interesado y comprobación por la autoridad de control”, establece:
“1. En los casos contemplados en el artículo 13, apartado 3, en el artículo 15, apartado 3, y en el artículo 16, apartado 4, los Estados miembros adoptarán medidas por las que se disponga que los derechos del interesado también puedan ejercerse a través de la autoridad de control competente.
2. Los Estados miembros dispondrán que el responsable del tratamiento informe al interesado de la posibilidad de ejercer sus derechos a través de la autoridad de control con arreglo a lo dispuesto en el apartado 1.
3. Cuando se ejerza el derecho contemplado en el apartado 1, la autoridad de control informará, al menos, al interesado de que se han efectuado todas las comprobaciones necesarias o la revisión correspondiente. La autoridad de control informará también al interesado de su derecho a la tutela judicial.”
10 El artículo 42 de la misma Directiva, bajo el epígrafe “Independencia”, indica en su apartado 1:
“Los Estados miembros velarán por que cada autoridad de control actúe con total independencia en el desempeño de sus funciones y en el ejercicio de sus poderes de conformidad con la presente Directiva.”
11 El artículo 46 de la Directiva 2016/680, titulado “Funciones”, dispone en su apartado 1:
“Los Estados miembros dispondrán que cada autoridad de control esté facultada en su territorio para:
a) supervisar y hacer cumplir la aplicación de las disposiciones adoptadas con arreglo a la presente Directiva y sus medidas de ejecución;
[]
f) tratar las reclamaciones presentadas por un interesado [], e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable [];
g) controlar la licitud del tratamiento con arreglo a lo dispuesto en el artículo 17 e informar al interesado en un plazo razonable sobre el resultado del control, de conformidad con el artículo 17, apartado 3, o sobre los motivos por los que no se ha llevado a cabo;
[]”.
12 De conformidad con el artículo 47 de esta Directiva, titulado “Poderes”:
“1. Cada Estado miembro dispondrá por ley que su autoridad de control tenga poderes de investigación efectivos. Dichos poderes incluirán al menos el poder de obtener del responsable y del encargado del tratamiento el acceso a todos los datos personales que se están tratando y a toda la información necesaria para el desempeño de sus funciones.
2. Cada Estado miembro dispondrá por ley que su autoridad de control tenga poderes correctivos efectivos como, por ejemplo:
a) formular a todo responsable o encargado del tratamiento una advertencia cuando las operaciones de tratamiento previstas puedan infringir las disposiciones adoptadas con arreglo a la presente Directiva;
b) ordenar al responsable o encargado del tratamiento que haga conformes las operaciones de tratamiento a las disposiciones adoptadas con arreglo a la presente Directiva, si procede, de una determinada manera y dentro de un plazo especificado, en particular ordenando la rectificación o la supresión de datos personales, o la limitación de su tratamiento con arreglo al artículo 16;
c) imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición.
[]
4. El ejercicio de los poderes conferidos a la autoridad de control en virtud del presente artículo estará sujeto a las garantías adecuadas, incluida la tutela judicial efectiva y al respeto de las garantías procesales, establecidas en el Derecho de la Unión y del Estado miembro de conformidad con la Carta.
[]”
13 El artículo 52 de dicha Directiva, titulado “Derecho a presentar una reclamación ante una autoridad de control”, establece en su apartado 1:
“Sin perjuicio de cualquier otro recurso administrativo o acción judicial, los Estados miembros dispondrán que todo interesado tenga derecho a presentar una reclamación ante una única autoridad de control, si considera que el tratamiento de sus datos personales infringe las disposiciones adoptadas en virtud de la presente Directiva.”
14 El artículo 53 de la misma Directiva, bajo el título “Derecho a la tutela judicial efectiva contra una autoridad de control”, precisa en su apartado 1:
“Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, los Estados miembros dispondrán que toda persona física o jurídica tenga derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna.”
15 A tenor del artículo 54 de la Directiva 2016/680, titulado “Derecho a la tutela judicial efectiva contra el responsable o el encargado del tratamiento”:
“Sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control con arreglo al artículo 52, los Estados miembros reconocerán el derecho que asiste a todo interesado a la tutela judicial efectiva si considera que sus derechos establecidos en disposiciones adoptadas con arreglo a la presente Directiva han sido vulnerados como consecuencia de un tratamiento de sus datos personales no conforme con esas disposiciones.”
Derecho belga
16 La loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (Ley relativa a la Protección de las Personas Físicas en relación con el Tratamiento de Datos Personales), de 30 de julio de 2018 (Moniteur belge, 5 de septiembre de 2018, p. 68616) (en lo sucesivo, “LPD”), transpone en su título 2 al Derecho belga la Directiva 2016/680. Los derechos enunciados en los artículos 13 a 16 de esa Directiva se establecen en el capítulo III de dicho título, más concretamente en los artículos 37 a 39 de la citada Ley.
17 El artículo 42 de la LPD dispone:
“La solicitud de ejercicio de los derechos contemplados en este capítulo frente a los servicios de la Policía [] o a la Inspection générale de la police fédérale et de la police locale [(Inspección General de la Policía Federal y de la Policía Local, Bélgica)] deberá dirigirse a la autoridad de control a que hace referencia el artículo 71.
En los supuestos previstos en los artículos 37, apartado 2, 38, apartado 2, [y] 39, apartado 4 [], la autoridad de control a que se refiere el artículo 71 únicamente comunicará al interesado que ha efectuado las comprobaciones necesarias.
Sin perjuicio de lo dispuesto en el párrafo segundo, la autoridad de control a que se refiere el artículo 71 podrá comunicar cierta información contextual al interesado.
El rey determinará, previo dictamen de la autoridad de control a que se refiere el artículo 71, las categorías de información contextual que esta autoridad podrá comunicar al interesado.”
18 Según la cour d’appel de Bruxelles (Tribunal de Apelación de Bruselas, Bélgica), órgano jurisdiccional remitente, no se ha adoptado ningún real decreto de aplicación del artículo 42, párrafo cuarto, de la LPD.
19 Conforme al artículo 71, apartado 1, de la LPD:
“Se constituirá en el seno de la Chambre des représentants [(Cámara de Representantes, Bélgica)] una autoridad de control independiente de la información policial, que se denominará Órgano de Control de la Información Policial.
[]
Será [] responsable de:
1.º supervisar la aplicación del presente título [];
2.º controlar el tratamiento de la información y de los datos personales a que se refieren los artículos 44/1 a 44/11/13 de la loi du 5 août 1992 sur la fonction de police [(Ley, de 5 de agosto de 1992, sobre la Función de Policía)], incluidos los integrados en las bases de datos mencionadas en el artículo 44/2 de la misma Ley;
3.º cualquier otra función ordenada por otras leyes o en virtud de ellas.”
20 El capítulo I del título 5 de la LPD lleva por título “Acción de cesación”. El artículo 209, incluido en ese capítulo, tiene el siguiente tenor:
“Sin perjuicio de cualquier otro recurso judicial, administrativo o extrajudicial, el presidente del tribunal de primera instancia, actuando en procedimiento sobre medidas cautelares, declarará la existencia de un tratamiento que infringe las disposiciones legales o reglamentarias en materia de protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y ordenará su cese.
El presidente del tribunal de primera instancia, actuando en procedimiento sobre medidas cautelares, conocerá de las solicitudes relativas al derecho reconocido o atribuido por ley a obtener información de los datos personales, así como de las solicitudes de rectificación, supresión o prohibición de uso de datos personales incorrectos o, a la luz de la finalidad del tratamiento, incompletos o no pertinentes, o cuyo registro, comunicación o conservación estén prohibidos, a cuyo tratamiento se haya opuesto el interesado o que se hayan conservado durante un plazo superior al autorizado.”
21 El artículo 240, apartado 4, de la LPD dispone:
“[El OCIP]
[]
4.º tratará las reclamaciones, investigará en la medida precisa el motivo de la reclamación e informará al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o la coordinación con otra autoridad de control. []”
Litigio principal y cuestiones prejudiciales
22 En 2016, BA, entonces empleado a tiempo parcial de una asociación sin ánimo de lucro, solicitó una habilitación de seguridad a la Autoridad Nacional de Seguridad para poder participar en el montaje y el desmontaje de las instalaciones para la décima edición de las “Jornadas Europeas del Desarrollo” en Bruselas (Bélgica).
23 Mediante escrito de 22 de junio de 2016, esta autoridad denegó a BA la concesión de una habilitación de seguridad, debido a que de los datos personales que se habían puesto a su disposición resultaba que esa persona había participado en diez manifestaciones entre los años 2007 y 2016 y a que esas consideraciones no permitían atribuirle tal habilitación en el marco de la normativa aplicable, en particular por razones de seguridad del Estado y de preservación del orden democrático constitucional. Contra esta resolución no se interpuso recurso alguno.
24 El 4 de febrero de 2020, el abogado de BA solicitó al OCIP que identificara a los responsables del tratamiento de datos personales de que se trata y les ordenara que permitieran a su cliente acceder a toda la información que le concerniera para poder ejercer sus derechos en los plazos oportunos.
25 Mediante correo electrónico de 6 de febrero de 2020, el OCIP acusó recibo de dicha solicitud. Indicó que BA solo disponía de un derecho indirecto de acceso a esos datos, garantizando al mismo tiempo que él mismo iba a comprobar la licitud de un eventual tratamiento de datos en la Banque de données nationale générale (Base de Datos Nacional General, Bélgica), a saber, la base de datos utilizada por el conjunto de los servicios nacionales de Policía. Además, precisó que estaba facultado para ordenar a la Policía que suprimiera o modificara datos en caso necesario y que, al término de dicho control, informaría a BA de que se habían efectuado las comprobaciones necesarias.
26 Mediante correo electrónico de 22 de junio de 2020, el OCIP indicó al abogado de BA:
“[]
Conforme al artículo 42 de la [LPD], le comunico que el [OCIP] ha efectuado las comprobaciones necesarias.
Esto significa que se han comprobado los datos personales de su cliente que figuran en las bases de datos policiales con el fin de garantizar la licitud de un posible tratamiento.
En caso necesario, los datos personales han sido modificados o suprimidos.
Como le indiqué en mi correo electrónico del [2 de] junio pasado, el artículo 42 de la LPD no permite al [OCIP] comunicar más información.”
27 El 2 de septiembre de 2020, Ligue des droits humains y BA interpusieron ante el tribunal de première instance francophone de Bruxelles (Tribunal de Primera Instancia francófono de Bruselas, Bélgica) una solicitud de medidas cautelares en virtud del artículo 209, párrafo segundo, de la LPD.
28 En primer lugar, los demandantes en el litigio principal solicitaban a dicho órgano jurisdiccional que declarase la admisibilidad de su solicitud de medidas cautelares y, con carácter subsidiario, que preguntara al Tribunal de Justicia, en esencia, si el artículo 47, apartado 4, de la Directiva 2016/680, a la luz de los considerandos 85 y 86 de esta Directiva y en relación con los artículos 8, apartado 3, y 47 de la Carta, se oponía a los artículos 42 y 71 de la LPD, en la medida en que estos no preveían ningún recurso judicial contra las decisiones adoptadas por el OCIP.
29 En segundo lugar, en cuanto al fondo, solicitaban el acceso a la totalidad de los datos personales concernientes a BA, a través del OCIP, y la identificación, por este último, de los responsables del tratamiento y de los eventuales destinatarios de dichos datos.
30 Para el supuesto de que el órgano jurisdiccional que conoce del asunto considerase que el artículo 42, apartado 2, de la LPD permitía limitar sistemáticamente el acceso a los datos personales tratados por los servicios de la Policía, solicitaban, con carácter subsidiario, que se planteara al Tribunal de Justicia, en esencia, la cuestión de si los artículos 14, 15 y 17 de la Directiva 2016/680, en relación con los artículos 8, 47 y 52, apartado 1, de la Carta, debían interpretarse en el sentido de que se oponían a una normativa nacional que admitiese una excepción general y sistemática del derecho de acceso a los datos personales, en la medida en que, por una parte, ese derecho se ejercía a través de la autoridad de control y, por otra parte, esta podía limitarse a indicar al interesado que había realizado todas las comprobaciones necesarias sin informarle de los datos personales objeto de tratamiento ni de los destinatarios e independientemente del objetivo perseguido.
31 Mediante auto de 17 de mayo de 2021, el tribunal de première instance francophone de Bruxelles (Tribunal de Primera Instancia francófono de Bruselas) se declaró “incompetente” para conocer de esta solicitud de medidas cautelares.
32 Mediante escrito de 15 de junio de 2021 ante la cour d’appel de Bruxelles (Tribunal de Apelación de Bruselas), los demandantes en el litigio principal interpusieron recurso de apelación contra dicho auto. En esencia, reiteraron las pretensiones previamente formuladas en primera instancia.
33 En este contexto, el órgano jurisdiccional remitente señala, concretamente, en esencia, que, en el supuesto de que una persona no disponga del derecho a ejercer personalmente los derechos establecidos en la Directiva 2016/680, la acción de cesación prevista en los artículos 209 y siguientes de la LPD no puede ejercitarse. En primer lugar, tal acción puede ejercitarse contra el responsable del tratamiento, pero no contra la propia autoridad de control. Subsiguientemente, tampoco puede ser ejercitada por esa persona, en el presente asunto BA, contra el responsable del tratamiento, puesto que el ejercicio de sus derechos se confía a dicha autoridad. Por último, la información particularmente sucinta facilitada por el OCIP a BA no permite ni a este último ni a un órgano jurisdiccional apreciar si dicha autoridad de control ha ejercido correctamente los derechos de esta persona. Dicho órgano jurisdiccional añade que, si bien la LPD establece que dicha acción de cesación se entiende sin perjuicio de cualquier otro recurso judicial, administrativo o extrajudicial, ese otro recurso interpuesto por BA tropezaría con las mismas dificultades.
34 En estas circunstancias, la cour d’appel de Bruxelles (Tribunal de Apelación de Bruselas) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:
“1) ¿Exigen los artículos 47 y 8, apartado 3, de la [Carta] que se prevea un recurso judicial contra una autoridad de control independiente, como el [OCIP], cuando esta ejerce los derechos del interesado frente al responsable del tratamiento?
2) ¿Es conforme el artículo 17 de la Directiva [2016/680] con los artículos 47 y 8, apartado 3, de la [Carta], según los interpreta el Tribunal de Justicia, en la medida en que únicamente obliga a la autoridad de control -que ejerce los derechos del interesado frente al responsable del tratamiento- a informar a dicho interesado de que “se han efectuado todas las comprobaciones necesarias o la revisión correspondiente” y de “su derecho a la tutela judicial”, aunque esa información no permita ningún control a posteriori de la actuación y de la apreciación de la autoridad de control con respecto a los datos del interesado y a las obligaciones que incumben al responsable del tratamiento?”
Sobre las cuestiones prejudiciales
Primera cuestión prejudicial
35 Con carácter preliminar, de la petición de decisión prejudicial se desprende que las dudas que alberga el órgano jurisdiccional remitente se refieren a la existencia, sobre la base del artículo 53, apartado 1, de la Directiva 2016/680, en relación con el artículo 47 de la Carta, de la obligación de los Estados miembros de disponer el derecho a un recurso judicial efectivo contra la autoridad nacional de control competente, cuando se aplica una disposición de Derecho nacional que transpone el artículo 17 de esta Directiva, según el cual, en los casos contemplados en los artículos 13, apartado 3, 15, apartado 3, y 16, apartado 4, de dicha Directiva, los derechos del interesado pueden ejercerse a través de tal autoridad de control.
36 Además, procede señalar que la respuesta a esta cuestión depende de la naturaleza y del alcance de las funciones y de las potestades de la autoridad de control en el ejercicio de los derechos del interesado, previsto en el artículo 17 de la Directiva 2016/680. Pues bien, estos se precisan en los artículos 46, apartado 1, letra g), y 47, apartados 1 y 2, de esa Directiva y deben analizarse en relación con el artículo 8, apartado 3, de la Carta, que exige que el respeto de las normas relativas a la protección de datos de carácter personal, establecidas en los apartados 1 y 2 de ese artículo 8, esté sujeto al control de una autoridad independiente.
37 Por consiguiente, procede entender que, mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 17 de la Directiva 2016/680, en relación con los artículos 46, apartado 1, letra g), 47, apartados 1 y 2, y 53, apartado 1, de esta Directiva, así como con los artículos 8, apartado 3, y 47 de la Carta, debe interpretarse en el sentido de que, cuando los derechos de un interesado se han ejercido, con arreglo a dicho artículo 17, a través de la autoridad de control competente, ese interesado debe disponer de un recurso judicial efectivo contra dicha autoridad.
38 De entrada, procede recordar que, en virtud del artículo 53, apartado 1, de la Directiva 2016/680, los Estados miembros deben disponer que una persona física o jurídica tenga derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna.
39 Por lo tanto, es preciso determinar si una autoridad de control adopta una decisión de esa índole cuando, con arreglo al artículo 17 de esa Directiva, los derechos de los interesados establecidos en dicha Directiva se ejercen a través de esa autoridad de control.
40 A este respecto, procede señalar que, a tenor del artículo 17, apartado 1, de la Directiva 2016/680, “en los casos contemplados en el artículo 13, apartado 3, en el artículo 15, apartado 3, y en el artículo 16, apartado 4”, de esta Directiva, los Estados miembros tienen la obligación de adoptar medidas “por las que se disponga que los derechos del interesado también puedan ejercerse a través de la autoridad de control competente”.
41 Como indica el uso del adverbio “también” y como ha señalado, en esencia, la Abogada General, en los puntos 41 y 42 de sus conclusiones, el ejercicio indirecto de los derechos del interesado a través de la autoridad de control competente, previsto en dicha disposición, constituye una garantía adicional que se ofrece a esa persona de que sus datos personales son tratados lícitamente cuando las disposiciones legales nacionales limitan el ejercicio directo ante el responsable del tratamiento del derecho a recibir información adicional, contemplado en el artículo 13, apartado 2, de la Directiva 2016/680, del derecho de acceso a esos datos, establecido en el artículo 14 de esta Directiva, o del derecho a obtener su rectificación, supresión o limitación del tratamiento en las condiciones previstas en el artículo 16, apartados 1 a 3, de dicha Directiva.
42 En efecto, habida cuenta de la naturaleza específica de los fines para los que se efectúan los tratamientos de datos comprendidos en el ámbito de aplicación de la misma Directiva, destacados, en particular, en el considerando 10 de esta, los artículos 13, apartado 3, y 15, apartado 1, de la Directiva 2016/680 autorizan al legislador nacional a limitar el ejercicio directo, por una parte, del derecho de información y, por otra, del derecho de acceso, “siempre y cuando dicha medida constituya una medida necesaria y proporcional en una sociedad democrática, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos de la persona física”, para “evitar que se obstaculicen indagaciones, investigaciones o procedimientos oficiales o judiciales”, “evitar que se cause perjuicio a la prevención, detección, investigación o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales”, “proteger la seguridad pública”, “proteger la seguridad nacional” o “proteger los derechos y libertades de otras personas”. Además, el artículo 15, apartado 3, de esta Directiva establece que el responsable del tratamiento podrá no informar al interesado de cualquier denegación o limitación de acceso, así como de los motivos de la denegación o restricción, cuando el suministro de dicha información pueda comprometer uno de los fines de interés público mencionados.
43 Asimismo, el artículo 16, apartado 4, de dicha Directiva autoriza al legislador nacional a limitar la obligación del responsable del tratamiento de “inform[ar] al interesado por escrito de cualquier denegación de rectificación o supresión de los datos personales, o de limitación de su tratamiento, y de las razones de la denegación” para los mismos fines de interés público, “siempre y cuando dicha limitación del tratamiento constituya una medida necesaria y proporcional en una sociedad democrática, teniendo debidamente en cuenta los derechos fundamentales y los intereses legítimos de la persona física afectada”.
44 Por consiguiente, en este contexto, como pone de manifiesto el considerando 48 de la misma Directiva, el ejercicio indirecto de los derechos a que se refiere el apartado 41 de la presente sentencia a través de la autoridad de control competente debe considerarse necesario para la protección de tales derechos, ya que su ejercicio directo ante el responsable del tratamiento resulta difícil o incluso imposible.
45 A tal efecto, el artículo 46, apartado 1, letra g), de la Directiva 2016/680 exige que a toda autoridad nacional competente se le otorgue la facultad de controlar la licitud del tratamiento con arreglo a lo dispuesto en el artículo 17 de esta Directiva, es decir, previa solicitud basada en esta última disposición.
46 Por otra parte, del artículo 47, apartados 1 y 2, de dicha Directiva se desprende, en particular, que cada autoridad de control deberá tener, en virtud de la legislación nacional, no solo “poderes de investigación efectivos”, sino también “poderes correctivos efectivos”.
47 Estas disposiciones deben interpretarse a la luz del requisito establecido en el artículo 8, apartado 3, de la Carta, según el cual el respeto de las normas relativas al derecho de toda persona a la protección de los datos de carácter personal, establecidas en los apartados 1 y 2 de dicho artículo, debe estar “sujeto al control de una autoridad independiente” y, en particular, del establecido en la segunda frase de dicho apartado 2, en virtud de la cual “toda persona tiene derecho a acceder a los datos recogidos que le conciernan y a obtener su rectificación”. En efecto, como confirma una jurisprudencia reiterada, la institución de una autoridad de control independiente pretende asegurar un control eficaz y fiable del respeto de la normativa en materia de protección de las personas físicas frente al tratamiento de datos personales y debe interpretarse a la luz de dicho objetivo [véase, en este sentido, el dictamen 1/15 (Acuerdo PNR UE - Canadá), de 26 de julio de 2017, EU:C:2017:592, apartado 229 y jurisprudencia citada].
48 Así pues, cuando tal autoridad de control actúa para garantizar el ejercicio de los derechos del interesado sobre la base del artículo 17 de la Directiva 2016/680, su misión se circunscribe plenamente a la definición, por el Derecho primario de la Unión, de su función, puesto que esta definición implica, en particular, el control del respeto de los derechos de acceso y de rectificación del interesado. De ello se deduce que, en el cumplimiento de esta misión específica, como en el marco de cualquier otra misión, la autoridad de control debe poder ejercer las potestades que le confiere el artículo 47 de esta Directiva actuando con total independencia, de conformidad con la Carta y tal como expone el considerando 75 de esa Directiva.
49 Además, tras la comprobación de la licitud del tratamiento, la autoridad de control competente deberá, conforme al artículo 17, apartado 3, primera frase, de dicha Directiva, informar “al menos” al interesado “de que se han efectuado todas las comprobaciones necesarias o la revisión correspondiente”.
50 Como señala, en esencia, la Abogada General en el punto 65 de sus conclusiones, del conjunto de estas disposiciones debe deducirse que, cuando la autoridad de control competente informa al interesado del resultado de las comprobaciones realizadas, pone en su conocimiento la decisión que ha adoptado respecto a él de poner fin al proceso de comprobación, decisión que afecta necesariamente a la situación jurídica de esa persona. Por lo tanto, esta decisión constituye, respecto a él, una “decisión jurídicamente vinculante”, en el sentido del artículo 53, apartado 1, de la Directiva 2016/680, con independencia de si y en qué medida esa autoridad ha constatado la licitud del tratamiento de datos relativos a esa persona y ha adoptado medidas correctoras.
51 Por otra parte, el considerando 86 de esta Directiva indica que el concepto de “decisión jurídicamente vinculante”, en el sentido de dicha Directiva, debe entenderse como una decisión que produce efectos jurídicos frente al interesado, en particular, una decisión que se refiera al ejercicio de los poderes de investigación, corrección y autorización por parte de la autoridad de control o a la desestimación o rechazo de las reclamaciones.
52 Por consiguiente, el interesado debe poder obtener un control judicial del fundamento de tal decisión sobre la base del artículo 53, apartado 1, de la Directiva 2016/680 y, en particular, del modo en que la autoridad de control ha cumplido su obligación, derivada del artículo 17 de dicha Directiva y al que remite su artículo 46, apartado 1, letra g), de “efectu[ar] todas las comprobaciones necesarias” y, en su caso, del ejercicio de sus facultades en materia de adopción de medidas correctoras.
53 Por otra parte, esta conclusión se ve corroborada por el considerando 85 de la Directiva 2016/680, del que se desprende que todo interesado debe tener derecho a un recurso judicial efectivo contra una autoridad de control si esa autoridad “no actú[a] cuando su actuación sea necesaria para proteger los derechos del interesado”.
54 Por último, tal interpretación es conforme con el artículo 47 de la Carta, puesto que, como se desprende de reiterada jurisprudencia, ha de reconocerse este derecho a toda persona que se ampare en derechos o libertades garantizados por el Derecho de la Unión contra una decisión que le sea lesiva y que pueda menoscabar tales derechos o libertades [véase, en este sentido, la sentencia de 26 de enero de 2023, Ministerstvo na vatreshnite raboti (Registro de datos biométricos y genéticos por la Policía), C-205/21, EU:C:2023:49, apartado 87 y jurisprudencia citada].
55 Habida cuenta de todas las consideraciones anteriores, procede responder a la primera cuestión prejudicial que el artículo 17 de la Directiva 2016/680, en relación con los artículos 46, apartado 1, letra g), 47, apartados 1 y 2, y 53, apartado 1, de esta Directiva, así como con los artículos 8, apartado 3, y 47 de la Carta, debe interpretarse en el sentido de que, cuando los derechos de un interesado se han ejercido, con arreglo a dicho artículo 17, a través de la autoridad de control competente y esta autoridad informa a ese interesado del resultado de las comprobaciones realizadas, este debe disponer de un recurso judicial efectivo contra la decisión de esa autoridad de poner fin al proceso de comprobación.
Segunda cuestión prejudicial
56 Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 17, apartado 3, de la Directiva 2016/680 es válido a la luz de los artículos 8, apartado 3, y 47 de la Carta, en la medida en que únicamente obliga a la autoridad de control a informar al interesado, por una parte, de que ha realizado todas las comprobaciones necesarias o la revisión correspondiente y, por otra parte, de que ese interesado tiene derecho a la tutela judicial, cuando tal información no permita un control judicial de la acción de la autoridad de control y de sus apreciaciones, teniendo en cuenta los datos tratados y las obligaciones del responsable del tratamiento.
57 A este respecto, por un lado, es preciso recordar que, según un principio general de interpretación, los actos de la Unión deben interpretarse, en la medida de lo posible, de un modo que no cuestione su validez y de conformidad con el conjunto del Derecho primario y, en particular, con las disposiciones de la Carta. Así, cuando un texto de Derecho derivado de la Unión es susceptible de varias interpretaciones, procede dar preferencia a aquella que hace que la disposición se ajuste al Derecho primario, y no a la que conduce a considerarla incompatible con él (sentencia de 21 de junio de 2022, Ligue des droits humains, C-817/19, EU:C:2022:491, apartado 86 y jurisprudencia citada).
58 Por otra parte, el derecho a la tutela judicial efectiva, garantizado en el artículo 47 de la Carta, exige, en principio, que el interesado pueda conocer los motivos de la resolución adoptada con respecto a él, a fin de permitir que este defienda sus derechos en las mejores condiciones posibles y decida con pleno conocimiento de causa sobre la conveniencia de someter el asunto al juez competente, así como para poner a este último en condiciones de ejercer plenamente el control de la legalidad de esa resolución (véase, en este sentido, la sentencia de 4 de junio de 2013, ZZ, C-300/11, EU:C:2013:363, apartado 53 y jurisprudencia citada).
59 Si bien este derecho no constituye una prerrogativa absoluta y, de conformidad con el artículo 52, apartado 1, de la Carta, podrá ser objeto de limitaciones, es a condición de que tales limitaciones estén establecidas por la ley, respeten el contenido esencial de los derechos y libertades en cuestión y, con sujeción al principio de proporcionalidad, sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás [sentencia de 26 de enero de 2023, Ministerstvo na vatreshnite raboti (Registro de datos biométricos y genéticos por la Policía), C-205/21, EU:C:2023:49, apartado 89 y jurisprudencia citada].
60 En el presente asunto, procede señalar que, por lo que respecta a la decisión de la autoridad de control competente identificada en el apartado 50 de la presente sentencia, el artículo 17, apartado 3, de la Directiva 2016/680 establece, respecto a dicha autoridad de control, una obligación mínima de información, al establecer que informará “al menos” al interesado “de que se han efectuado todas las comprobaciones necesarias o la revisión correspondiente” y de “su derecho a la tutela judicial”.
61 De ello se deduce que, dado que esta disposición no se opone a que, en determinados casos, de conformidad con las normas adoptadas por el legislador nacional para aplicarla, la autoridad de control pueda tener la facultad, o incluso la obligación, de limitarse a la información mínima mencionada en el apartado anterior, sin mayores precisiones, en particular cuando esas normas pretendan evitar poner en peligro los objetivos de interés público contemplados en los artículos 13, apartado 3, 15, apartado 1, y 16, apartado 4, de dicha Directiva, como se ha expuesto en los apartados 42 y 43 de la presente sentencia, puede generar una limitación del derecho a la tutela judicial efectiva, garantizado en el artículo 47 de la Carta.
62 Dicho esto, en primer lugar, procede señalar que tal limitación está expresamente prevista en la Directiva 2016/680 y que, de este modo, cumple el requisito establecido en el artículo 52, apartado 1, de la Carta, según el cual cualquier limitación del ejercicio de un derecho fundamental debe ser “establecida por la ley”.
63 En segundo lugar, el hecho de que el artículo 17, apartado 3, de la Directiva 2016/680 permita a los Estados miembros limitar, en determinados casos, la motivación de dicha decisión a los elementos mínimos enunciados en dicha disposición no significa, como indica, en esencia, la Abogada General, en el punto 89 de sus conclusiones, que sea posible, en cualquier circunstancia, reducir la información al interesado únicamente a esos elementos.
64 En efecto, esta disposición debe interpretarse a la luz del artículo 52, apartado 1, de la Carta, de modo que se cumplan los demás criterios en él formulados. Ello implica considerar que la Carta exige a los Estados miembros que velen por que las disposiciones de Derecho nacional que la aplican, por un lado, respeten el contenido esencial de su derecho a la tutela judicial efectiva y, por otro lado, se basen en una ponderación de los objetivos de interés público que justifiquen una limitación de dicha información, así como de los derechos fundamentales y de los intereses legítimos de esa persona, respetando los principios de necesidad y proporcionalidad, al igual que la ponderación que debe efectuar el legislador nacional al aplicar las limitaciones previstas en los artículos 13, apartado 3, 15, apartado 3, y 16, apartado 4, de la misma Directiva.
65 En particular, cuando, por una parte, la protección del derecho a la tutela judicial efectiva del interesado contra la decisión de poner fin al proceso de comprobación lo exige y, por otra parte, los objetivos de interés público contemplados en el artículo 13, apartado 3, 15, apartado 3, y 16, apartado 4, de la Directiva 2016/680 no se oponen a ello, corresponde a los Estados miembros establecer que la información al interesado pueda ir más allá de la información mínima prevista en el artículo 17, apartado 3, de esa Directiva, de modo que le permita defender sus derechos y decidir con pleno conocimiento de causa sobre la conveniencia de someter el asunto al juez competente.
66 Asimismo, las medidas nacionales que aplican esta última disposición deben dejar, en la medida de lo posible, a la autoridad de control competente, conforme a la independencia que la caracteriza en virtud del artículo 8, apartado 3, de la Carta, cierto margen de apreciación para determinar si el marco definido por la legislación nacional conforme a los requisitos señalados en el apartado 65 de la presente sentencia no se opone a que comunique a esa persona, al menos sucintamente, el resultado de sus comprobaciones y, en su caso, las medidas correctoras que haya adoptado. A este respecto, como ha indicado la Abogada General, en esencia, en los puntos 73 y 74 de sus conclusiones, corresponde a esa autoridad, respetando ese marco legislativo nacional, entablar con el responsable del tratamiento un diálogo confidencial y, al término de ese diálogo, decidir cuál es la información necesaria para que el interesado ejerza su derecho a la tutela judicial efectiva que puede comunicarle sin comprometer los objetivos de interés público mencionados en el apartado 65 de la presente sentencia.
67 Por otra parte, en los casos en que dicho marco exija que la información facilitada por la autoridad de control se limite a lo previsto en el artículo 17, apartado 3, de la Directiva 2016/680, corresponde, no obstante, a los Estados miembros, en el ejercicio de su autonomía procesal, aplicar las medidas necesarias para garantizar, de conformidad con el artículo 53, apartado 1, de esa Directiva, un control judicial efectivo tanto de la existencia y fundamento de las razones invocadas para justificar la limitación de esa información como de la correcta ejecución, por parte de la autoridad de control, de su función de comprobación de la licitud del tratamiento. A este respecto, el concepto de “tutela judicial efectiva” contemplado en esta última disposición debe interpretarse a la luz del considerando 86 de dicha Directiva, a tenor del cual los órganos jurisdiccionales ante los que se ejerciten las acciones contra una autoridad de control “deben ejercer la plena jurisdicción, que debe incluir la [competencia] para examinar todas las circunstancias de hecho y de Derecho relativas al litigio en el que entiendan.”
68 En particular, los Estados miembros deben asegurarse de que el juez competente tenga a su disposición y aplique técnicas y normas de Derecho procesal que le permitan conciliar, por un lado, las legítimas consideraciones relativas a los objetivos de interés público contemplados en los artículos 13, apartado 3, 15, apartado 3, y 16, apartado 4, de la Directiva 2016/680, objetivos tomados en consideración por la legislación nacional para limitar la información facilitada al interesado y, por otro lado, la necesidad de garantizar en grado suficiente al justiciable el respeto de sus derechos procesales, tales como el derecho a ser oído y el principio de contradicción (véase, en este sentido, la sentencia de 4 de junio de 2013, ZZ, C-300/11, EU:C:2013:363, apartado 57 y jurisprudencia citada).
69 En el marco del control judicial de la correcta aplicación del artículo 17 de esta Directiva por la autoridad de control, incumbe a los Estados miembros establecer normas que permitan que el juez competente conozca tanto la totalidad de los motivos que justificaron su adopción como las correspondientes pruebas en las que esa autoridad haya basado, en ese contexto, la comprobación de la licitud del tratamiento de datos en cuestión y las conclusiones a las que haya llegado (véase, en este sentido, la sentencia de 4 de junio de 2013, ZZ, C-300/11, EU:C:2013:363, apartado 59 y jurisprudencia citada).
70 A este respecto, como ha señalado el Parlamento Europeo en sus observaciones, el artículo 15, apartado 4, de la Directiva 2016/680 establece que el responsable del tratamiento documentará los fundamentos de hecho o de Derecho en los que sustente la decisión por la que haya limitado, total o parcialmente, los derechos de acceso del interesado y que dicha información se pondrá a disposición de las autoridades de control. Como ha sugerido dicha institución, esta disposición, en relación con los artículos 17 y 53 de esa Directiva y a la luz del artículo 47 de la Carta tal como ha sido interpretada por la jurisprudencia recordada en los apartados 68 y 69 de la presente sentencia, implica que esa información también debe ponerse a disposición del órgano jurisdiccional que conoce de un recurso contra la autoridad de control cuyo objeto es comprobar la correcta aplicación de dicho artículo 17.
71 Así pues, de los apartados 63 a 70 de la presente sentencia se desprende que la limitación establecida en el artículo 17 de la Directiva 2016/680 respeta el contenido del derecho del interesado a la tutela judicial efectiva contra la decisión de la autoridad de control de poner fin al procedimiento previsto en dicha disposición, así como los principios de necesidad y de proporcionalidad, de conformidad con el artículo 52, apartado 1, de la Carta.
72 A la vista de todas las consideraciones anteriores, procede concluir que el examen de la segunda cuestión prejudicial no ha revelado ningún elemento que pueda afectar a la validez del artículo 17, apartado 3, de la Directiva 2016/680.
Costas
73 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.
En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Quinta) declara:
1) El artículo 17 de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, en relación con los artículos 46, apartado 1, letra g), 47, apartados 1 y 2, y 53, apartado 1, de esta Directiva, así como con los artículos 8, apartado 3, y 47 de la Carta de los Derechos Fundamentales de la Unión Europea,
debe interpretarse en el sentido de que,
cuando los derechos de un interesado se han ejercido, con arreglo a dicho artículo 17, a través de la autoridad de control competente y esta autoridad informa a ese interesado del resultado de las comprobaciones realizadas, este debe disponer de un recurso judicial efectivo contra la decisión de esa autoridad de poner fin al proceso de comprobación.
2) El examen de la segunda cuestión prejudicial no ha revelado ningún elemento que pueda afectar a la validez del artículo 17, apartado 3, de la Directiva 2016/680.
