Nota informativa: sentencia del TJUE que determina que solo una infracción culpable del Reglamento General de Protección de Datos puede dar lugar a la imposición de una multa administrativa

El pasado 5 de diciembre de 2023, el Tribunal de Justicia de la Unión Europea (TJUE) emitió una sentencia en respuesta a la cuestión prejudicial del Tribunal Regional de lo Contencioso-Administrativo de Vilna, Lituania.

Concretamente, la consulta prejudicial plantea, entre otros, la interpretación de los artículos del Reglamento General de Protección de Datos (RGPD) relacionados con la imposición de multas administrativas por parte de las autoridades de control al responsable del tratamiento de datos, con el fin de aclarar cuáles son los criterios que deben seguir la imposición de dichas y en particular, determinar las garantías adecuadas que deben ser tenidas en consideración por las autoridades competentes y los tribunales, así como los criterios para determinar las cuantías de dichas sanciones administrativas, entre otras cuestiones relacionadas.

De esta forma, el TJUE viene a determinar con una claridad más que evidente la manera en la que ha de entenderse e interpretar el RGPD a este respecto.

1. Condiciones para la imposición de multas administrativas (art. 83)

Con seguridad, lo más relevante en esta sentencia es el pronunciamiento del TJUE lleva a cabo en relación a la interpretación práctica de cómo deben aplicar las Autoridades de Protección de Datos el artículo 83 del RGPD, relativo a las condiciones generales para la imposición de multas administrativas, aclarando varias cuestiones que vienen planteando innumerables litigios con la mayoría de las autoridades de protección de datos de los países miembros de la Unión Europea:

• La responsabilidad de una entidad jurídica en el tratamiento de datos no depende de que la infracción sea cometida por su órgano de gestión o que éste tenga conocimiento de esta.

El TJUE señala que la entidad es responsable, tanto de las infracciones realizadas por sus representantes, directores o gestores, como por aquellas llevadas a cabo por cualquier persona en el marco de su actividad empresarial y en su nombre.

Adicionalmente, recalca el TJUE que la imposición de una multa a la entidad como responsable del tratamiento no requiere verificar previamente que la infracción haya sido cometida por una persona física identificada.

• El responsable del tratamiento es responsable no solo de los tratamientos de datos personales que realice para sus propias finalidades, sino también de aquellos llevados a cabo por sus encargados.

Sin embargo, aclara que esto no es de aplicación si el encargado ha realizado un tratamiento de datos para sus propios fines o es incompatible con las instrucciones del responsable o se considere que este no hubiera dado su consentimiento. En este caso, el encargado será considerado como responsable del tratamiento.

• El TJUE señala expresamente que en el artículo 83 del RGPD se establece que no se puede aplicar una multa administrativa por una infracción del Reglamento sin demostrar que el responsable del tratamiento cometió la infracción de manera intencionada o negligente. Por lo tanto, la culpabilidad, en la comisión de la infracción, ya sea por dolo o negligencia grave, es un requisito indispensable para imponer la multa por la autoridad de control correspondiente, entendida la culpabilidad como la situación en la que el responsable del tratamiento no podía ignorar el carácter infractor de su conducta, fuera o no consciente de la infracción en cuestión.

Sin duda alguna, este último aspecto es el más determinante de todos los aclarados por el TJUE, en tanto es posible que la instrucción de muchos de los procedimientos sancionadores en materia de cumplimiento del Reglamento General de Protección de Datos llevados a cabo hasta el momento, no logren acreditar con el nivel de solvencia exigido que el Responsable, o en su caso el Encargado de Tratamiento ha actuado ante el incumplimiento con dolo o negligencia grave. De esta forma, parece que esta sentencia va a requiere que la labor inspectora de la AEPD pase a ser extraordinariamente más detallada y exigente en lo que a la obtención de pruebas con las que acreditar esta culpabilidad por parte de los Responsables de Tratamiento.

Este hecho, se presenta como una oportunidad más que interesante para muchas de las entidades sancionadas hasta el momento, que cuenten con asuntos actualmente recurridos en vía contencioso administrativo ante la Audiencia Nacional y/o el Tribunal Supremo, en la medida en que les permitiría poder valorar si en sus procedimientos la AEPD logra acreditar que efectivamente, existe culpabilidad por parte de los Responsables de Tratamiento.

4. Concepto de «responsable del tratamiento» (art. 4.7)

Adicionalmente, se plantea en la consulta prejudicial si, a tenor del artículo 4.7 del RGPD, podría considerarse responsable del tratamiento de datos a una organización que encarga a otra entidad el desarrollo de una aplicación móvil, y no ha realizado ningún tipo de actividad de tratamiento y no ha dado órdenes concretas para la realización de operaciones de tratamiento por parte de dicha entidad contratada.

En este sentido, el TJUE, concluye con que, «a menos que, antes de la puesta a disposición del público de la aplicación móvil, dicha empresa se haya opuesto expresamente a esta y al tratamiento de los datos personales resultante de ella», será considerada como responsable del tratamiento, algo que parece razonable en tanto la responsabilidad del tratamiento se realiza ya sea por acción o por omisión, en este caso teniendo conocimiento (y no oponiéndose) a dicho tratamiento.

• Corresponsables del tratamiento (art. 26.1)

Al hilo de la explicación del apartado anterior y con respecto a la presunción de la existencia de un acuerdo sobre la determinación de los fines y medios del tratamiento de los datos personales para que se les considere a ambas entidades como corresponsables, el TJUE señala que, si bien es cierto que el artículo 26.1 del RGPD, indica que los corresponsables del tratamiento deben determinar de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas, […] no es requisito previo para que dos o más entidades sean calificadas de corresponsables del tratamiento», puesto que dicha calificación «se deriva del mero hecho de que varias entidades hayan participado en la determinación de los fines y medios del tratamiento.»

Es decir, en este aspecto parece que el TJUE ponga de relieve algo que ya han venido manteniendo nuestros tribunales a nivel nacional, basta con que existan evidencias y pruebas suficientes que permitan acreditar que, ya sea por acción u omisión (teniendo conocimiento de ello) las entidades hayan participado en la determinación de los fines y medios del tratamiento. De nuevo, se convierte en determinante, como no podía ser de otra forma, la práctica y aportación de la prueba correspondiente por parte de las autoridades en materia de protección de datos.

4. Concepto de «tratamiento» (art. 4.2)

Por último, el TJUE viene aclarar cuándo existe tratamiento de datos, de conformidad con lo dispuesto en el artículo 4.2 del RGPD, aclarando que para que exista, deben darse dos condiciones:

• Que sólo un tratamiento que tenga por objeto «datos personales» constituye un «tratamiento» a tenor del artículo;
• Que los datos que se pueden atribuir a una persona física mediante la utilización de información adicional (seudonimización), son datos personales y le son aplicables los principios en materia de protección de datos.

A raíz de estas aclaraciones, el TJUE señala que, salvo que los datos hayan sido anonimizados «de modo que el interesado no sea identificable o haya dejado de serlo o se trate de datos ficticios que no se refieran a una persona física existente» las actividades u operaciones que se realicen con dichos datos, constituirá un tratamiento de datos personales en el sentido del artículo 4.2 del RGPD.

Sin duda alguna esta cuestión es, probablemente, de todas las analizadas por esta STJUE la que, al menos en España ha planteado menos litigiosidad, en la medida en que viene siendo interpretación más que reiterada por parte de la Agencia Española de Protección de Datos (AEPD), así como por parte de los Tribunales que únicamente dejan de ser datos personales cuando éstos pasan a estar anonimizados, considerándose que los datos seudoanonimizados son datos personales.

1. Conclusión

En conclusión, el TJUE ha asentado criterios interpretativos de mucha relevancia en el día a día de aplicación de la normativa de protección de datos personales, declarando que sólo se puede imponer una multa administrativa a un responsable del tratamiento de datos por infracción del RGPD si dicha infracción se ha cometido de forma culpable, es decir, de forma intencionada o negligente.

Del mismo modo, el TJUE determina que cuando el responsable del tratamiento sea una persona jurídica, no es necesario que la infracción haya sido cometida por su órgano de gestión, ni que ese órgano tuviera conocimiento de ella, asumiendo dicha persona jurídica tanto de las infracciones cometidas por sus representantes, directores o gestores, como de las cometidas por cualquier otra persona que actúe en el marco de su actividad empresarial y en su nombre, no quedando sujeta la imposición de la multa administrativa a que se compruebe previamente que esa infracción ha sido cometida por una persona física identificada. Del mismo modo, también será responsable por las operaciones efectuadas por un encargado del tratamiento, siempre que dichas operaciones puedan imputarse al responsable del tratamiento.

Del mismo modo, determina el TJUE que una entidad puede ser considerada como responsable del tratamiento aunque no realice el tratamiento directamente, a no ser que se oponga de manera expresa ha dicho tratamiento; la corresponsabilidad se produce por la determinación de los fines y medios del tratamiento por los corresponsables, sin ser requisito previo para ello la existencia de un acuerdo previo al respecto.

Por último, se aclara que salvo que los datos objeto de tratamiento estén anonimizados en sentido estricto, se considerará que se está realizando un tratamiento de datos personales conforme al RGPD y le será de aplicación las obligaciones impuestas por la normativa.

Área de Protección de Datos de ECIJA

info@ecija.com

Telf: + 34 91.781.61.60