(+34) 954 29 30 31

STJUE C‑683/21: Un responsable no puede ser sancionado si no existe una conducta culpable por su parte

El Tribunal de Justicia de la Unión Europea ha declarado en su sentencia del asunto C‑683/21 que, en virtud del artículo 83 del RGPD, solo puede imponerse una multa administrativa a un responsable del tratamiento si se demuestra que ha cometido de forma intencionada o negligente una infracción de las normas contenidas en dicho Reglamento.

A este respecto, el Tribunal de Justicia precisa que el legislador de la Unión no ha dejado a los Estados miembros un margen de apreciación en lo que respecta a los requisitos materiales que debe respetar una autoridad de control cuando decide imponer una multa administrativa a un responsable del tratamiento en virtud de dicha disposición. El hecho de que el RGPD conceda a los Estados miembros la posibilidad de establecer excepciones en relación con las autoridades públicas y los organismos públicos establecidos en su territorio, así como requisitos relativos al procedimiento que deben seguir las autoridades de control para imponer una multa administrativa, no significa que también estén facultados para establecer tales requisitos materiales.

Por lo que respecta a estos requisitos, el Tribunal de Justicia señala que entre los elementos enumerados en el RGPD para que la autoridad de control pueda imponer al responsable del tratamiento una multa administrativa figura «la intencionalidad o negligencia en la infracción». En cambio, entre estos elementos no se menciona posibilidad alguna de exigir la responsabilidad del responsable del tratamiento cuando no exista una conducta culpable por su parte. Por lo tanto, solo las infracciones de las disposiciones del RGPD cometidas por el responsable del tratamiento de forma intencionada o negligente pueden dar lugar a que se le imponga una multa administrativa con arreglo al artículo 83 de dicho Reglamento.

El Tribunal de Justicia añade que esta interpretación se ve corroborada por la estructura general y la finalidad del RGPD. En este contexto, precisa que la existencia de un sistema de sanciones que permita imponer, cuando las circunstancias específicas de cada caso lo justifiquen, una multa administrativa con arreglo al RGPD crea un incentivo para que los responsables y encargados del tratamiento cumplan el Reglamento y que, por su efecto disuasorio, las multas administrativas contribuyen a reforzar la protección de las personas afectadas. Sin embargo, el legislador de la Unión no consideró necesario prever la imposición de multas administrativas cuando no exista culpabilidad. Toda vez que el RGPD tiene por objeto un nivel de protección tanto equivalente como homogéneo y que, a tal fin, debe aplicarse de manera coherente en toda la Unión, sería contrario a esta finalidad permitir a los Estados miembros establecer un régimen de esta índole para la imposición de una multa.

Resumimos a continuación el asunto C‑683/21:

En 2020, para gestionar mejor la pandemia de COVID-19, las autoridades lituanas decidieron organizar la adquisición de una aplicación informática móvil. Esta aplicación debía contribuir a un seguimiento epidemiológico, permitiendo registrar y realizar un seguimiento de datos de las personas expuestas al virus de la COVID-19.

A tal fin, el Centro Nacional de Salud Pública adscrito al Ministerio de Sanidad, Lituania (CNSP), encargado de dicha adquisición, se puso en contacto con la sociedad ITSS, solicitándole la creación de tal aplicación móvil. Posteriormente, los empleados del CNSP remitieron a esta sociedad correos electrónicos, en particular, sobre las cuestiones que debían figurar en dicha aplicación.

Durante el período comprendido entre abril y mayo de 2020, la aplicación móvil creada por la empresa ITSS se puso a disposición del público. Por consiguiente, 3.802 personas hicieron uso de ella y proporcionaron diversos datos que les concernían, solicitados mediante esta aplicación. Sin embargo, debido a una falta de financiación, el CNSP no adjudicó a la sociedad ITSS ningún contrato público para la adquisición oficial de su aplicación móvil y puso fin al procedimiento correspondiente.

Mientras tanto, la autoridad nacional de control inició una investigación sobre el tratamiento de los datos personales resultantes de la utilización de dicha aplicación. Mediante decisión de dicha autoridad, adoptada al término de la investigación, se impusieron multas administrativas tanto al CNSP como a la sociedad ITSS, considerada corresponsable del tratamiento.

El CNSP impugnó esta resolución ante el Tribunal Regional de lo Contencioso-Administrativo de Vilna, Lituania. Al albergar dudas sobre la interpretación de varias disposiciones del RGPD, dicho órgano jurisdiccional planteó una petición de decisión prejudicial al Tribunal de Justicia.

En su sentencia, el Tribunal de Justicia, constituido en Gran Sala, aporta también precisiones sobre los conceptos de «responsable del tratamiento», de «corresponsables del tratamiento» y de «tratamiento». El Tribunal de Justicia señala que una entidad que ha encargado a una empresa el desarrollo de una aplicación informática móvil y que, en este contexto, ha participado en la determinación de los fines y medios del tratamiento de datos personales realizado mediante esta aplicación puede ser considerada responsable del tratamiento. Esta consideración no queda desvirtuada por el hecho de que la propia entidad no haya realizado operaciones de tratamiento de tales datos, de que no haya dado expresamente su consentimiento para la realización de las operaciones concretas de tal tratamiento o para la puesta a disposición del público de dicha aplicación móvil y de que no haya adquirido esa misma aplicación móvil, a menos que, antes de esa puesta a disposición del público, la referida entidad se haya opuesto expresamente a ella y al tratamiento de los datos personales resultante.

Además, el Tribunal de Justicia señala que la calificación de dos entidades como corresponsables del tratamiento no presupone ni la existencia de un acuerdo entre esas entidades sobre la determinación de los fines y medios del tratamiento de datos personales ni la existencia de un acuerdo que establezca los requisitos relativos a la corresponsabilidad del tratamiento. Ciertamente, en virtud del RGPD, los corresponsables del tratamiento deben, mediante acuerdo entre ellos, definir de manera transparente sus obligaciones respectivas con el fin de garantizar el cumplimiento de los requisitos de dicho Reglamento. Sin embargo, la existencia de tal acuerdo no constituye un requisito previo para que dos o más entidades sean calificadas de «corresponsables del tratamiento», sino una obligación que el RGPD impone a los corresponsables del tratamiento, una vez calificados de tales, con el fin de garantizar el cumplimiento de los requisitos de dicho Reglamento que les incumben. Así pues, esta calificación se deriva del mero hecho de que varias entidades hayan participado en la determinación de los fines y medios del tratamiento.

En cuanto a la determinación conjunta, por las entidades de que se trate, de los fines y medios del tratamiento, el Tribunal de Justicia señala que su participación en esta determinación puede adoptar distintas formas y resultar tanto de una decisión común como de decisiones convergentes. Pues bien, en este último caso, tales decisiones deben complementarse, de modo que cada una de ellas tenga un efecto concreto en la determinación de los fines y medios del tratamiento.

El Tribunal de Justicia indica también que la utilización de datos personales para pruebas informáticas de una aplicación móvil constituye un tratamiento. Sin embargo, no sucede lo mismo si tales datos se hubieran anonimizado de modo que la persona a la que conciernen no sea o ya no sea identificable o si se trata de datos ficticios que no se refieren a una persona física existente

En efecto, por una parte, la cuestión de si los datos personales se utilizan para realizar pruebas informáticas o para otro fin carece de incidencia en la calificación de la operación de «tratamiento». Por otra parte, solo un tratamiento que tenga por objeto datos personales puede calificarse de «tratamiento» en el sentido del RGPD. Pues bien, los datos ficticios o anónimos no constituyen datos personales.

Además, es importante destacar que el Tribunal de Justicia concluye que tal multa puede imponerse a un responsable del tratamiento en relación con las operaciones de tratamiento de datos personales efectuadas por un encargado del tratamiento por cuenta de este, salvo si, en el marco de esas operaciones, dicho encargado ha efectuado tratamientos para sus propios fines o ha tratado esos datos de manera incompatible con el marco o las modalidades del tratamiento tal como hayan sido determinados por el responsable del tratamiento, o de manera que no pueda considerarse razonablemente que dicho responsable hubiera dado su consentimiento. En este supuesto, debe considerarse que el encargado del tratamiento es responsable de tal tratamiento.

López de Lemus Abogados

Sin comentarios

Lo sentimos, no se permiten comentarios en este momento