No puede sancionarse al responsable del tratamiento si no se demuestra que la infracción fue cometida de forma intencionada o negligente. Tratándose de una persona jurídica, no puede exigirse que la infracción haya sido imputada previamente a una persona física determinada.

Relevante sentencia en materia de protección de datos. La Gran Sala del Tribunal de Justicia de la Unión Europea, el máximo intérprete de las normas comunitarias, ha aclarado, en un reciete fallo de 5 de diciembre, que solo las infracciones culpables del Reglamento General de Protección de datos pueden dar lugar a una multa administrativa. Es decir, debe existir una infracción intencionada o negligente.

Una sociedad inmobiliaria domiciliada en Berlín, que posee de forma indirecta, mediante participaciones en diferentes sociedades, aproximadamente 163.000 viviendas y 3.000 locales comerciales, fue sancionada por la Autoridad Competente para la Protección de Datos de Alemania con una multa de más de 14 millones de euros por haber omitido la adopción de las medidas necesarias para permitir la supresión periódica de los datos personales relativos a los arrendatarios que ya no eran necesarios o que se mantenían indebidamente almacenados por otras causas.

En el marco del litigio suscitado en relación con esta decisión, el Tribunal alemán que conoce del asunto plantea dos cuestiones prejudiciales: a) si el RGPD se opone a una normativa nacional en cuya virtud solo puede imponerse una multa administrativa a una persona jurídica en su condición de responsable del tratamiento de datos si dicha infracción ha sido imputada previamente a una persona física concreta, y b) si dicho Reglamento debe interpretarse en el sentido de que solo puede imponerse una multa administrativa si se demuestra que el responsable del tratamiento cometió, de forma intencionada o negligente, la infracción.

La explicación de la Sala

En lo que respecta a la primera cuestión, explica la Sala que el legislador de la Unión no ha establecido, a efectos de la determinación de la responsabilidad en virtud del RGPD, una distinción entre las personas físicas y las personas jurídicas, ya que esta responsabilidad está sujeta únicamente al requisito de que éstas, solas o conjuntamente con otras, determinen los fines y los medios del tratamiento de datos personales.

Indica que de la lectura conjunta de los arts. 4.7, 83 y 58.2, letra i), RGPD se desprende que también puede imponerse una multa administrativa por una infracción contemplada en dicho artículo 83, aps. 4 a 6, a personas jurídicas cuando éstas tengan la condición de responsables del tratamiento. En cambio, ninguna disposición del RGPD permite considerar que la imposición de una multa administrativa a una persona jurídica como responsable del tratamiento esté sujeta a la constatación previa de que esa infracción ha sido cometida por una persona física concreta.

Considera que permitir a los Estados miembros exigir, de manera unilateral y como condición necesaria para la imposición de una multa administrativa a un responsable del tratamiento que es una persona jurídica, que la infracción en cuestión sea imputada o imputable, con carácter previo, a una persona física concreta, sería contrario a la finalidad del RGPD y, además, podría debilitar la efectividad y el efecto disuasorio de las multas.

En consecuencia, responde a la primera cuestión prejudicial señalando que los arts. 58.2, letra i), y 83.1 a 6 RGPD deben interpretarse en el sentido de que se oponen a una normativa nacional en virtud de la cual solo puede imponerse una multa administrativa a una persona jurídica en su condición de responsable del tratamiento por una infracción contemplada en los aps. 4 a 6 del referido art. 83 si dicha infracción ha sido imputada previamente a una persona física concreta.

A continuación, en cuanto a la segunda cuestión, recuerda que del art. 83 RGPD se desprende que las multas administrativas deben ser efectivas, proporcionadas y disuasorias. Y subraya que ese precepto no precisa expresamente que las infracciones contempladas en sus aps. 4 a 6 únicamente puedan sancionarse con una multa de este tipo si se han cometido de forma intencionada o, al menos, negligente.

No obstante, pone de manifiesto que el ap. 2 de ese artículo sí enumera, entre los factores que la autoridad de control debe tener en cuenta para imponer una multa administrativa al responsable del tratamiento, la intencionalidad o negligencia en la infracción, sin que, por el contrario, mencione la posibilidad de que se genere la responsabilidad del responsable del tratamiento sin una conducta culpable de éste.

Considera por ello que del tenor del art. 83.2 RGPD se desprende que únicamente las infracciones de las disposiciones del Reglamento cometidas con culpabilidad por el responsable del tratamiento, a saber, las cometidas de forma intencionada o negligente, pueden dar lugar a que se le imponga una multa administrativa con arreglo a dicho artículo.

Concluye así que el art. 83 RGPD no permite imponer una multa administrativa por una infracción contemplada en sus aps. 4 a 6 sin que se demuestre que dicha infracción fue cometida de forma intencionada o negligente por el responsable del tratamiento y que, por lo tanto, la culpabilidad en la comisión de la infracción constituye un requisito para la imposición de la multa.

Partiendo de estas consideraciones, el TJUE da respuesta a la segunda cuestión prejudicial y declara que el art. 83 RGPD debe interpretarse en el sentido de que solo puede imponerse una multa administrativa con arreglo a esa disposición si se demuestra que el responsable del tratamiento, que es a la vez una persona jurídica y una empresa, cometió, de forma intencionada o negligente, una infracción contemplada en los aps. 4 a 6 de dicho artículo.

(Noticia extraída de Noticias Jurídicas)