El Tribunal de Justicia de la Unión Europea (TJUE) se ha pronunciado sobre las multas administrativas que las autoridades de una nación pueden imponer tras una infracción del Reglamento General de Protección de Datos (RGPD). Una decisión en la que el tribunal europeo ha establecido la intencionalidad de esta violación del reglamento como un elemento diferenciador.
Según el reglamento UE 2016/679, “la protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental”.
Un derecho fundamental de los ciudadanos que también viene marcado por la Directiva sobre protección de datos en el ámbito penal, que establece el tratamiento de datos por parte de las autoridades para fines policiales.
Normativas que ahora han sido interpretadas por el TJUE, ante la petición de un órgano jurisdiccional lituano y otro alemán.
En concreto, ambos órganos solicitaban al tribunal europeo que interpretara el RGPD en relación a la posibilidad de que las autoridades de control nacionales sancionaran a un presunto responsable de violación de este reglamento con una multa administrativa.
La decisión del TJUE, centrada en la intencionalidad de la infracción
Ante la petición de estos dos órganos, el TJUE ha declarado que la multa administrativa sólo se puede imponer a un responsable de tratamiento de datos si la infracción se ha cometido “de forma culpable”.
Así pues, la multa se podría imponer al infractor si éste “no podía ignorar el carácter infractor de su conducta, tuviera o no conciencia de la infracción”.
Del mismo modo, el tribunal europeo señala que, en el caso de las personas jurídicas, no es necesario que la infracción haya sido cometida por su órgano de gestión, ni que éste tuviera conocimiento de la violación del RGPD.
Una afirmación que implica que una persona jurídica es responsable tanto de las infracciones cometidas por sus representantes, directores o gestores, como de las cometidas por cualquier otra persona que actúe en el marco de su actividad empresarial y en su nombre.
Sanciones acotadas por el TJUE que, eso sí, podrían ser costosas en el caso de las personas jurídicas y empresas.
Y es que el tribunal europeo ha determinado que el cálculo de la multa cuando el destinatario sea una empresa debe hacerse en base a un porcentaje del volumen de negocio total anual global del ejercicio anterior de la empresa considerada en su conjunto.
Dos casos concretos de multas por violación del RGPD
Así se ha pronunciado el TJUE ante la interpretación del RGPD ante la pregunta de dos instituciones, de Lituania y Alemania respectivamente, sobre las sanciones administrativas imponibles ante la violación de este reglamento.
Instituciones que, además, han compartido con el TJUE dos supuestos concretos de actuación a nivel nacional, siendo responsabilidad última de los Estados miembros la resolución de los litigios nacionales.
En el primer caso, perteneciente a Lituania, el Centro Nacional de Salud Pública del Ministerio de Sanidad impugna una multa de 12.000 euros que se le impuso en el contexto de la creación, mediante la asistencia de una empresa privada, de una aplicación móvil para el registro y seguimiento de los datos de las personas expuestas al COVID-19.
Por su parte, el caso alemán se centra en la sociedad inmobiliaria Deutsche Wohnen, que posee indirectamente alrededor de 163.000 viviendas y 3.000 locales comerciales, impugna, entre otras cosas, una multa de más de 14 millones de euros que se le impuso por haber conservado los datos personales de los arrendatarios durante más tiempo del necesario.
