El Tribunal de Justicia de la Unión Europea (TJUE), ha dictado dos sentencias, en las que fija criterio sobre las condiciones en las que las autoridades de control nacionales pueden imponer a los responsables del tratamiento de datos una multa administrativa por la infracción del Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016).
En concreto, en sus sentencias de fecha 5 de diciembre de 2023, dictadas en los asuntos C-683/21 (Nacionalinis visuomenės sveikatos centras) y C-807/21 (Deutsche Wohnen), el tribunal aborda, por una parte, el criterio de culpabilidad exigible para considerar sancionable una conducta y, por otra, precisa el sistema de cálculo de la multa procedente cuando el infractor forma parte de un grupo de sociedades.
En el caso lituano, el Centro Nacional de Salud Pública del Ministerio de Sanidad impugna una multa de 12.000 euros que se le impuso en el contexto de la creación, mediante la asistencia de una empresa privada, de una aplicación móvil para el registro y seguimiento de los datos de las personas expuestas al COVID-19.
En el caso alemán, la sociedad inmobiliaria Deutsche Wohnen, impugna, entre otras cosas, una multa de más de 14 millones de euros que se le impuso por haber conservado los datos personales de los arrendatarios durante más tiempo del necesario.
El requisito de la culpabilidad del infractor
En la sentencia dictada en el asunto C-683/21, el Tribunal interpreta los artículos 4, apartados 2 y 7 y 26 y 83 del RGPD (LA LEY 6637/2016).
El Tribunal considera que la imposición de una multa de este tipo presupone una conducta culpable, es decir, que la infracción se haya cometido de forma intencionada o negligente.
En concreto, el Tribunal de Justicia declara que solo se puede imponer una multa administrativa a un responsable del tratamiento de datos por infracción del RGPD si dicha infracción se ha cometido de forma culpable, es decir, de forma intencionada o negligente. Así ocurre cuando el responsable del tratamiento no podía ignorar el carácter infractor de su conducta, tuviera o no conciencia de la infracción.
La responsabilidad de la persona jurídica
Por otra parte, cuando el responsable del tratamiento sea una persona jurídica, no es necesario que la infracción haya sido cometida por su órgano de gestión ni que ese órgano tuviera conocimiento de ella. Por el contrario, una persona jurídica es responsable tanto de las infracciones cometidas por sus representantes, directores o gestores, como de las cometidas por cualquier otra persona que actúe en el marco de su actividad empresarial y en su nombre.
Además, la imposición de una multa administrativa a una persona jurídica como responsable del tratamiento no puede estar sujeta a que se compruebe previamente que esa infracción ha sido cometida por una persona física identificada.
Asimismo, también se puede imponer una multa a un responsable del tratamiento de datos por las operaciones efectuadas por un encargado del tratamiento, siempre que dichas operaciones puedan imputarse al responsable del tratamiento.
La responsabilidad del corresponsable
Por lo que respecta a la corresponsabilidad de dos o más entidades, el Tribunal de Justicia señala que esta se deriva del mero hecho de que esas entidades hayan participado en la determinación de los fines y los medios del tratamiento. La calificación de «corresponsables» no presupone la existencia de un acuerdo formal entre las entidades de que se trate. Basta una decisión conjunta o incluso decisiones convergentes. No obstante, dado que se trata efectivamente de corresponsables, estos deben fijar, mediante acuerdo, sus obligaciones respectivas.
En concreto, el fallo de la sentencia C 683/21, declara que el artículo 83 del RGPD (LA LEY 6637/2016) debe interpretarse en el sentido de que:
a. Sólo podrá imponerse una multa administrativa en virtud de esta disposición si se demuestra que el responsable del tratamiento ha cometido, de forma deliberada o negligente, una infracción mencionada en los apartados 4 a 6 del presente artículo y,
b. por otra parte, dicha multa podrá imponerse al responsable del tratamiento en relación con operaciones de tratamiento de datos personales realizadas por un subcontratista por cuenta de este último, excepto en el caso de que, en el marco de estas operaciones, este subcontratista haya realizado tratamientos con fines específicos para él o ha tratado estos datos de forma incompatible con el marco o los métodos de tratamiento determinados por el responsable del tratamiento o de tal manera que no pueda considerarse razonablemente que este responsable hubiera dado su consentimiento.
Por su parte, el fallo de la sentencia C-807/21, declara que el artículo 58, apartado 2, letra i), y el artículo 83, apartados 1 a 6, del RGPD, deben interpretarse en el sentido de que se opone a una norma nacional según la cual sólo se puede imponer una multa administrativa a una persona jurídica en su calidad de responsable del tratamiento por una infracción mencionada en los apartados 4 a 6 del artículo 83, si dicha infracción ha sido previamente atribuida a una persona física identificada.
Cálculo de la multa cuando el infractor es una empresa
A este respecto, el Tribunal establece que, cuando el destinatario de la multa forme parte de un grupo de sociedades, el cálculo del importe de la sanción debe basarse en el volumen de negocios de todo el grupo.
En concreto, la autoridad de control debe basarse en el concepto de «empresa» del Derecho de la competencia. Así pues, el importe máximo de la multa debe calcularse sobre la base de un porcentaje del volumen de negocio total anual global del ejercicio anterior de la empresa considerada en su conjunto.