El TJUE ha resuelto dos cuestiones prejudiciales acerca de ciertos criterios a tener en cuenta para la imposición de multas administrativas por violaciones al RGPD.
El fallo responde a dos solicitudes de interpretación, una de un órgano jurisdiccional lituano y otro alemán. Los asuntos C-683/21 y C-807/21 pretenden esclarecer los criterios para aplicar multas por violación del RGPD.
A través de la sentencia, establece qué condiciones deben darse para que una administración pueda imponer multas administrativas a los responsables del tratamiento por infracción del RGPD. La primera consideración a tener en cuenta es que la conducta debe ser culpable, es decir, haberse cometido de manera negligente. La segunda, que en el caso de que el culpable forme parte de un grupo de sociedades, el cálculo de la multa se basará en el volumen de negocios del grupo.
El caso lituano
Este caso involucra al Centro Nacional de Salud Pública del Ministerio de Sanidad, que impugna una multa de 12.000 euros. El motivo, la creación de una aplicación móvil para el registro de datos de personas expuestas al COVID-19.
El caso alemán
En el caso alemán, una sociedad inmobiliaria impugna una multa de más de 14 millones de euros. El motivo, la retención de datos personales de arrendatarios más allá del tiempo necesario.
Interpretación del TJUE
El TJUE destaca que sólo una infracción culpable del RGPD puede dar lugar a la imposición de una multa administrativa. Para considerarlo como tal, debe producirse una conducta intencionada o negligente por parte del responsable del tratamiento de datos. Esto implica que el responsable, independientemente de su conciencia sobre la infracción, no podía ignorar el carácter infractor de su conducta.
Por otro lado, señala que una persona jurídica es responsable de las infracciones cometidas por sus representantes, directores o gestores, así como por cualquier otra persona que actúe en el marco de su actividad empresarial y en su nombre. No es necesario que la infracción se cometa por el órgano de gestión. Además, puede existir corresponsabilidad si están implicadas dos sociedades o más, no es necesario que exista un pacto formal en las decisiones de tratamiento de datos.
Por último, sobre el cálculo de multas, establece que, en el caso de que el destinatario de la multa forme parte de un grupo de sociedades, se calculará en base a su volumen de negocios. El importe máximo de la multa se calculará sobre la base de un porcentaje del volumen de negocio total anual global del ejercicio anterior de la empresa considerada en su conjunto.
Otras noticias de interés:
Acoso sexual | El Tribunal Supremo especifica las tres condiciones que deben darse
