El considerando 20 del RGPD -cuyo objeto se limita a la protección de las
personas físicas (art. 1)- señala que este instrumento “no regula el
tratamiento de datos personales relativos a personas jurídicas y en particular
a empresas constituidas como personas jurídicas, incluido el nombre y la forma
de la persona jurídica y sus datos de contacto”. En su sentencia de ayer, Ministerstvo
zdravotnictví (Données relatives au représentant d’une personne morale),
C-710/23, EU:C:2025:231, el Tribunal de Justicia confirma que lo anterior no es
obstáculo para apreciar que la información relativa a las personas físicas que,
como órgano de una sociedad o miembro de este, tengan poder para obligar a una
sociedad con respecto a terceros constituye «datos personales», siempre que
se trate de datos vinculados a una
persona física identificada o identificable. Por lo tanto, es necesario diferenciar
entre los datos de contacto de la persona física que representa a la persona
jurídica y los datos de contacto de la propia persona jurídica. A diferencia de
estos últimos, los primeros pueden ir referidos a personas físicas identificadas
o identificables y en esa medida quedan comprendidos dentro del RGPD. En consecuencia,
la comunicación a terceros de datos personales -como el nombre, la firma o los
datos de contacto- de tales personas físicas representantes de la persona
jurídica constituyen un tratamiento de datos personales conforme al artículo
4.2 RGPD.
Se trata de un criterio coherente con su jurisprudencia previa, y la amplitud que atribuye a los conceptos de “datos personales” y de “tratamiento”. En la que en relación ya con el marco previo al RGPD, el TJUE había establecido ya que la información personal que figura en los registros de sociedades no pierde su calificación como datos personales por integrarse en el contexto de una actividad profesional, así como que la actividad de tales registros implica propiamente un tratamiento de datos personales sometido a la Directiva 95/46, antecedente del RGPD (véase aquí).
Cabe recordar que, en España, el artículo 19 de la LO 3/2018, de protección de datos personales y garantía de los derechos digitales, introdujo ciertas reglas específicas en relación con “los datos de contacto y en su caso los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica”. En la medida en que se pretende facilitar la apreciación de la licitud del tratamiento de tales datos personales con base en la necesidad para la satisfacción de intereses legítimos cuando concurren determinadas circunstancias, deben ser interpretadas de conformidad con el artículo 6.1.f) RGPD.
En el litigio principal en el asunto C-710/23, la relevancia de la comunicación de esos datos personales de representantes de sociedades en el marco del acceso del público a ciertos documentos oficiales, se vincula con que la normativa societaria de la Unión no resultaba de aplicación a las concretas sociedades implicadas.
El Derecho de la Unión impone a las sociedades obligaciones de publicidad, entre otras, acerca de la identidad de las personas que, como órgano legalmente previsto, o como miembros de tal órgano, tengan el poder de obligar a la sociedad con respecto a terceros o participen en la administración, la vigilancia o el control de la sociedad. Al tratarse en el litigio principal de sociedades establecidas en China y el Reino Unido, el Tribunal constata, en el apdo. 19 de la sentencia, que no parece que les resulten de aplicación las disposiciones sobre publicidad obligatoria de esa información establecidas en la Directiva (UE) 2017/1132 sobre determinados aspectos del Derecho de sociedades (cuyo art. 161 confirma que el tratamiento de datos personales efectuado en el contexto de la Directiva está sujeto al RGPD). En la medida en que el responsable del tratamiento de datos personales tiene su establecimiento en un Estado miembro (en realidad, es una autoridad pública de un Estado miembro), en ningún momento se cuestiona la aplicación del RGPD, conforme a lo dispuesto en su artículo 3, aunque se traten datos personales de representantes de sociedades de terceros Estados.
Por último, en relación con la conciliación entre el derecho de acceso del público a documentos oficiales y el derecho a la protección de datos personales (art. 86 RGPD), el Tribunal aborda si el tratamiento para cumplir una obligación legal del responsable (art. 6.1.c) RGPD) o para el cumplimiento de una misión realizada en interés público (art. 6.1.e) RGPD), se opone a una jurisprudencia nacional que obliga a una autoridad pública responsable del tratamiento a informar y consultar a la persona física interesada antes de comunicar documentos oficiales que contengan datos personales
De conformidad con el artículo 6.3 RGPD, los Estados miembros pueden introducir disposiciones específicas para garantizar un tratamiento lícito y equitativo en situaciones concretas, como para conciliar el acceso del público a documentos oficiales con el derecho a la protección de los datos personales prevé el artículo 86 RGPD (apdo. 44 de la sentencia). Por ello, concluye el Tribunal que la imposición de esa obligación al responsable, incluso por la jurisprudencia nacional, es compatible con el RGPD, pero únicamente en la medida en que no sea imposible de poner en práctica ni exija esfuerzos desproporcionados -por ejemplo, en relación con la eventual localización de la persona física interesada- y, por tanto, no conlleve una restricción desproporcionada del derecho de acceso del público a esos documentos (apdo. 46).
