Solo una infracción culpable del Reglamento General de Protección de Datos puede dar lugar a la imposición de una multa administrativa

• Autor: vLex

En las Sentencias del Tribunal de Justicia en los asuntos C-683/21 | Nacionalinis visuomenės sveikatos centras y C-807/21 | Deutsche Wohnen, precisa las condiciones en que las autoridades de control nacionales pueden imponer a uno o varios responsables del tratamiento de datos una multa administrativa por la infracción del Reglamento General de Protección de Datos (RGPD). En particular, considera que la imposición de una multa de este tipo presupone una conducta culpable, es decir, que la infracción se haya cometido de forma intencionada o negligente. Además, cuando el destinatario de la multa forme parte de un grupo de sociedades, el cálculo de la multa debe basarse en el volumen de negocios de todo el grupo

Un órgano jurisdiccional lituano y otro alemán han solicitado al Tribunal de Justicia que interprete el Reglamento General de Protección de Datos (RGPD) 1 en relación con la posibilidad de que las autoridades de control nacionales sancionen la infracción de dicho Reglamento mediante la imposición de una multa administrativa al responsable del tratamiento de los datos.

En el caso lituano, el Centro Nacional de Salud Pública del Ministerio de Sanidad impugna una multa de 12.000 euros que se le impuso en el contexto de la creación, mediante la asistencia de una empresa privada, de una aplicación móvil para el registro y seguimiento de los datos de las personas expuestas al COVID-19.

En el caso alemán, la sociedad inmobiliaria Deutsche Wohnen, que posee indirectamente alrededor de 163.000 viviendas y 3.000 locales comerciales, impugna, entre otras cosas, una multa de más de 14 millones de euros que se le impuso por haber conservado los datos personales de los arrendatarios durante más tiempo del necesario.

El Tribunal de Justicia declara que solo se puede imponer una multa administrativa a un responsable del tratamiento de datos por infracción del RGPD si dicha infracción se ha cometido de forma culpable, es decir, de forma intencionada o negligente. Así ocurre cuando el responsable del tratamiento no podía ignorar el carácter infractor de su conducta, tuviera o no conciencia de la infracción.

Cuando el responsable del tratamiento sea una persona jurídica, no es necesario que la infracción haya sido cometida por su órgano de gestión ni que ese órgano tuviera conocimiento de ella. Por el contrario, una persona jurídica es responsable tanto de las infracciones cometidas por sus representantes, directores o gestores, como de las cometidas por cualquier otra persona que actúe en el marco de su actividad empresarial y en su nombre. Además, la imposición de una multa administrativa a una persona jurídica como responsable del tratamiento no puede estar sujeta a que se compruebe previamente que esa infracción ha sido cometida por una persona física identificada

Asimismo, también se puede imponer una multa a un responsable del tratamiento de datos por las operaciones efectuadas por un encargado del tratamiento, siempre que dichas operaciones puedan imputarse al responsable del tratamiento.

Por lo que respecta a la corresponsabilidad de dos o más entidades, el Tribunal de Justicia señala que esta se deriva del mero hecho de que esas entidades hayan participado en la determinación de los fines y los medios del tratamiento.

La calificación de «corresponsables» no presupone la existencia de un acuerdo formal entre las entidades de que se trate. Basta una decisión conjunta o incluso decisiones convergentes. No obstante, dado que se trata efectivamente de corresponsables, estos deben fijar, mediante acuerdo, sus obligaciones respectivas.

Por último, por lo que se refiere al cálculo de la multa cuando el destinatario sea una empresa o forme parte de ella, la autoridad de control debe basarse en el concepto de «empresa» 2 del Derecho de la competencia. Así pues, el importe máximo de la multa debe calcularse sobre la base de un porcentaje del volumen de negocio total anual global del ejercicio anterior de la empresa considerada en su conjunto.

Fuente: Comunicado de Prensa nº 184/23

Documentos relacionados

Artículos doctrinales

Protección de datos en Europa. Origen, evolución y regulación actual. Año 2021. Escrito por Lucrecio Rebollo

Aproximación al derecho a la protección de datos personales en Europa. El reglamento general de protección de datos personales a debate. Revista de Derecho, Empresa y Sociedad (REDS). Núm 8, Enero 2016. Escrito por Ana Isabel Herrán Ortiz. Profesora Titular de Derecho Civil en Universidad de Deusto

Legislación

Directiva 2002/58/CE del Parlamento Europeo y del Consejo de 12 de julio de 2002 relativa al tratamiento de datos personales y a la protección de la intimidad en el sector de las Comunicaciones electrónicas.

Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales. (Ley Orgánica 3/2018, de 5 de diciembre)

Tratado de la Unión Europea

Tratado de Funcionamiento de la Unión Europea

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos