TRIBUNA: La imposición de multas administrativas por infracción del RGPD (SSTJUE «Nacionalinis visuomenés sveikatos centras» y «Deutsche wohnen»

Alfonso Ortega Giménez

Profesor Titular de Derecho internacional privado

 de la Universidad Miguel Hernández de Elche (Alicante)

alfonso.ortega@umh.es

Este somero análisis abordará dos casos emblemáticos de multas por incumplimiento de las leyes de protección de datos, el primero en Lituania (“NACIONALINIS VISUOMENÉS SVEIKATOS CENTRAS”) y el segundo en Alemania (“DEUTSCHE WOHNEN”). Veamos cada uno de ellos:

“NACIONALINIS VISUOMENÉS SVEIKATOS CENTRAS”

En cuanto al primer caso analizado, conviene contextualizar el problema: En diciembre de 2023, fue expedida la sentencia del litigio entre el Nacionalinis visuomenés sveikatos centras prie Sveikatos apsaugos ministerijos (Centro Nacional de Salud Pública adscrito al Ministerio de Sanidad, Lituania; en lo sucesivo, «CNSP») y la Valstybin? duomen? apsaugos inspekcija (National Data Protection Inspectorate, Lithuania; en lo sucesivo, «INPD») en relación a una imposición de una multa administrativa. La cuestión planteada al TJUE se refería a la interpretación y aplicación de las normas de la Unión Europea en materia de protección de datos, especialmente en el contexto de la normativa nacional. Más concretamente, el tribunal nacional lituano pidió al TJUE que aclarara cómo debían interpretarse y aplicarse las normas de la UE en relación con las leyes nacionales implicadas en el caso, así como las responsabilidades de cada parte en el proceso.

En 2020, para gestionar mejor la pandemia de COVID-19, las autoridades lituanas decidieron organizar la adquisición de una aplicación informática móvil. Esta aplicación debía contribuir a un seguimiento epidemiológico, permitiendo registrar y realizar un seguimiento de datos de las personas expuestas al virus de la COVID-19.

A tal fin, el CNSP, encargado de dicha adquisición, se puso en contacto con la sociedad UAB IT sprendimai s?kmei (en lo sucesivo, «sociedad ITSS»), solicitándole la creación de tal aplicación móvil. Posteriormente, los empleados del CNSP remitieron a esta sociedad correos electrónicos, en particular, sobre las cuestiones que debían figurar en dicha aplicación.

Durante el período comprendido entre abril y mayo de 2020, la aplicación móvil creada por la sociedad ITSS se puso a disposición del público. Por consiguiente, 3 802 personas hicieron uso de ella y proporcionaron diversos datos que les concernían, solicitados mediante esta aplicación. Sin embargo, debido a una falta de financiación, el CNSP no adjudicó a la sociedad ITSS ningún contrato público para la adquisición oficial de su aplicación móvil y puso fin al procedimiento correspondiente.

El 18 de mayo de 2020, la Autoridad Nacional de Protección de Datos (INPD) inició una investigación y constató la recogida irregular de datos personales, lo que dio lugar a multas de 12.000 euros para la CNSP y de 3.000 euros para la ITSS en febrero de 2021. El CNSP impugnó esta resolución ante el Vilniaus apygardos administracinis teismas (Tribunal Regional de lo Contencioso-Administrativo de Vilna, Lituania). Al albergar dudas sobre la interpretación de varias disposiciones del RGPD 1, dicho órgano jurisdiccional planteó una petición de decisión prejudicial al Tribunal de Justicia.

La primera cuestión plantea si el concepto de «responsable del tratamiento», tal como se define en el artículo 4, apartado 7, del RGPD, debe incluir a una persona que tiene previsto adquirir una herramienta de recopilación de datos (como una aplicación móvil) mediante contratación pública, aunque no se haya adjudicado ningún contrato ni se haya entregado el producto. La segunda pregunta investiga si un poder adjudicador que no ha adquirido la propiedad del producto informático, pero tiene vínculos o interfaces con él, puede ser considerado responsable del tratamiento de datos, aunque la declaración de confidencialidad no haya sido aprobada oficialmente. Por último, la tercera pregunta aborda si una persona que no ha realizado operaciones reales de tratamiento de datos o que no ha dado un consentimiento claro para hacerlo debe considerarse responsable, y si la creación del producto informático a instancias del poder adjudicador es relevante para esta interpretación.

En primer lugar, el Tribunal de Justicia señala que una entidad que ha encargado a una empresa el desarrollo de una aplicación informática móvil y que, en este contexto, ha participado en la determinación de los fines y medios del tratamiento de datos personales realizado mediante esta aplicación puede ser considerada responsable del tratamiento 2. Esta consideración no queda desvirtuada por el hecho de que la propia entidad no haya realizado operaciones de tratamiento de tales datos, de que no haya dado expresamente su consentimiento para la realización de las operaciones concretas de tal tratamiento o para la puesta a disposición del público de dicha aplicación móvil y de que no haya adquirido esa misma aplicación móvil, a menos que, antes de esa puesta a disposición del público, la referida entidad se haya opuesto expresamente a ella y al tratamiento de los datos personales resultante.

En segundo lugar, el Tribunal de Justicia señala que la calificación de dos entidades como corresponsables del tratamiento no presupone ni la existencia de un acuerdo entre esas entidades sobre la determinación de los fines y medios del tratamiento de datos personales ni la existencia de un acuerdo que establezca los requisitos relativos a la corresponsabilidad del tratamiento. Ciertamente, en virtud del RGPD 3, los corresponsables del tratamiento deben, mediante acuerdo entre ellos, definir de manera transparente sus obligaciones respectivas con el fin de garantizar el cumplimiento de los requisitos de dicho Reglamento. Sin embargo, la existencia de tal acuerdo no constituye un requisito previo para que dos o más entidades sean calificadas de «corresponsables del tratamiento», sino una obligación que el RGPD impone a los corresponsables del tratamiento, una vez calificados de tales, con el fin de garantizar el cumplimiento de los requisitos de dicho Reglamento que les incumben. Así pues, esta calificación se deriva del mero hecho de que varias entidades hayan participado en la determinación de los fines y medios del tratamiento.

En tercer lugar, el Tribunal de Justicia indica que la utilización de datos personales para pruebas informáticas de una aplicación móvil constituye un tratamiento 4. Sin embargo, no sucede lo mismo si tales datos se hubieran anonimizado de modo que la persona a la que conciernen no sea o ya no sea identificable o si se trata de datos ficticios que no se refieren a una persona física existente. En efecto, por una parte, la cuestión de si los datos personales se utilizan para realizar pruebas informáticas o para otro fin carece de incidencia en la calificación de la operación de «tratamiento». Por otra parte, solo un tratamiento que tenga por objeto datos personales puede calificarse de «tratamiento» en el sentido del RGPD. Pues bien, los datos ficticios o anónimos no constituyen datos personales.

En cuarto y último lugar, el Tribunal de Justicia declara que, en virtud del artículo 83 del RGPD, solo puede imponerse una multa administrativa a un responsable del tratamiento si se demuestra que ha cometido de forma intencionada o negligente una infracción de las normas contenidas en dicho Reglamento.

En sus conclusiones, el Tribunal también presenta la idea de «corresponsabilidad», según el art. 26 del Reglamento General de Protección de Datos (RGPD), dejando claro que no es necesario un acuerdo formal para que dos entidades sean consideradas corresponsables, siempre que determinen conjuntamente los fines y los medios del tratamiento. Esto deja claro que las responsabilidades de cada parte deben delimitarse desde el principio, de modo que los daños causados y las multas impuestas puedan definirse equitativamente.

 “DEUTSCHE WOHNEN”

A continuación, otra situación en un litigio sobre protección de datos obtuvo sentencia el mismo día que el caso anterior, en relación con una multa administrativa impuesta a Deutsche Wohnen SE (en lo sucesivo, «DW») por la Staatsanwaltschaft Berlin (Agencia Tributaria de Berlín, Alemania). Básicamente, DW es una gran empresa inmobiliaria europea con sede en Berlín, que posee aproximadamente 163.000 viviendas y 3.000 locales comerciales a través de empresas filiales. A su vez, estas filiales gestionan los inmuebles, mientras que DW supervisa la gestión central del grupo, actuando como «coordinador». En el ejercicio de sus actividades, DW y sus filiales tratan datos personales de los inquilinos, incluidos datos de identidad, fiscales y del seguro de enfermedad.

A raíz de dos inspecciones realizadas en 2017 y 2019, la Berliner Beauftragte für den Datenschutz (Autoridad de Control de Berlín, Alemania) constató que DW había cometido varias infracciones del RGPD 5. Mediante decisión de 30 de octubre de 2019, esta Autoridad de Control le impuso por esa razón una serie de multas administrativas.

DW interpuso recurso contra esta decisión ante el Landgericht Berlin (Tribunal Regional de lo Civil y Penal de Berlín, Alemania), que archivó el procedimiento. Dicho tribunal señaló que, en virtud de la ley alemana 6, solo puede constatarse una infracción administrativa con respecto a una persona física y no con respecto a una persona jurídica. Además, en el supuesto de que se genere la responsabilidad de una persona jurídica, solo se le puede imputar la actuación de los miembros de sus órganos o de sus representantes.

La Staatsanwaltschaft Berlin (Fiscalía de Berlín, Alemania) interpuso un recurso contra esta resolución ante el Kammergericht Berlin (Tribunal Superior Regional de lo Civil y Penal de Berlín, Alemania). En este contexto, dicho órgano jurisdiccional planteó al Tribunal de Justicia una petición de decisión prejudicial sobre la interpretación del RGPD 7, cuestionando que se pudiera imponer una multa a una persona jurídica sin que la infracción se atribuyera a una persona física. El tribunal argumentó que la jurisprudencia nacional, que limita la responsabilidad de las personas jurídicas, entra en conflicto con el régimen de responsabilidad directa previsto en el RGPD, que permite imponer multas a las empresas sin vincularlas a acciones específicas de sus representantes.

Por lo que respecta a la imposición de una multa administrativa en virtud del RGPD a una persona jurídica, el Tribunal de Justicia señaló, para empezar, que los principios, prohibiciones y obligaciones previstos en el RGPD se dirigen, en particular, a los «responsables del tratamiento», cuya responsabilidad se extiende a cualquier tratamiento de datos personales realizado por ellos mismos o por su cuenta. Es esa responsabilidad la que constituye, cuando se infringen las disposiciones del RGPD, el fundamento de la imposición de una multa administrativa al responsable del tratamiento con arreglo al artículo 83 de dicho Reglamento. Sin embargo, el legislador de la Unión no ha establecido, a efectos de la determinación de tal responsabilidad, una distinción entre las personas físicas y las personas jurídicas, ya que esta responsabilidad está sujeta únicamente al requisito de que estas, solas o conjuntamente con otras, determinen los fines y los medios del tratamiento de datos personales 8. Por tanto, en principio, toda persona que cumpla este requisito será responsable, en particular, de cualquier infracción del RGPD, cometida por ella misma o en su nombre. Ello implica, por una parte, que las personas jurídicas son responsables no solo de las infracciones cometidas por sus representantes, directores o gestores, sino también por cualquier otra persona que actúe en el ámbito de la actividad empresarial de esas personas jurídicas y en su nombre. Por otra parte, las multas administrativas previstas en el RGPD en caso de que se produzcan tales infracciones deben poder imponerse directamente a personas jurídicas cuando estas puedan ser calificadas de responsables del tratamiento.

A continuación, el Tribunal de Justicia observó que ninguna disposición del RGPD permite considerar que la imposición de una multa administrativa a una persona jurídica como responsable del tratamiento esté sujeta a la constatación previa de que esa infracción ha sido cometida por una persona física concreta. Además, el legislador de la Unión no ha dejado a los Estados miembros un margen de apreciación a este respecto. El hecho de que el RGPD conceda a estos la posibilidad de establecer requisitos relativos al procedimiento que deben seguir las autoridades de control para imponer una multa administrativa 9  no significa en modo alguno que también estén facultados para establecer requisitos materiales adicionales a los fijados en el RGPD.

En este contexto, el Tribunal de Justicia precisó que permitir a los Estados miembros exigir, de manera unilateral y como condición necesaria para la imposición de una multa administrativa con arreglo al artículo 83 del RGPD a un responsable del tratamiento que es una persona jurídica, que la infracción en cuestión sea imputada o imputable, con carácter previo, a una persona física concreta sería contrario a la finalidad del RGPD. Además, tal exigencia adicional podría, en definitiva, debilitar la efectividad y el efecto disuasorio de las multas administrativas impuestas a personas jurídicas como responsables del tratamiento.

Además, el Tribunal de Justicia subrayó que el concepto de «empresa», en el sentido de los artículos 101 TFUE y 102 TFUE 10, no tiene incidencia sobre si puede imponerse una multa administrativa en virtud del RGPD a un responsable del tratamiento que es una persona jurídica y en qué condiciones y solo es pertinente para determinar el importe de tal multa.

Por último, el Tribunal de Justicia señaló que, entre los factores enumerados en el RGPD que la autoridad de control debe tener en cuenta a la hora de imponer tal multa, figura «la intencionalidad o negligencia en la infracción» 11. Sin embargo, en lo que respecta a la imposición de una multa administrativa, el TJUE aclara que sólo puede imponerse al responsable del tratamiento si se demuestra que la infracción se cometió intencionadamente o por negligencia. La interpretación del artículo 83 del RGPD aclara que la culpabilidad es un requisito para la imposición de multas, y que el responsable del tratamiento puede ser considerado responsable de las operaciones de tratamiento llevadas a cabo por un encargado, siempre que el encargado no haya actuado para sus propios fines o de forma incompatible con las instrucciones del responsable. Además, para que se imponga una multa a una empresa determinada, debe demostrarse que la infracción se cometió deliberadamente o por descuido, es decir, de forma culpable. En consecuencia, esto establece que la responsabilidad no surge automáticamente, sino a través de pruebas claras de que la empresa ha incumplido sus obligaciones legales.

CONCLUSIÓN

Las sentencias tienen importantes repercusiones en la forma en que los Estados miembros de la UE aplican e interpretan sus normativas nacionales en relación con las normas de la Unión Europea. Refuerza la importancia de que las legislaciones nacionales estén en consonancia con las directivas y reglamentos de la UE, garantizando la protección de los derechos de los consumidores y la salud pública de manera coherente en toda la Unión.

1 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (DO 2016, L 119, p. 1; en lo sucesivo, «RGPD»).

2 En el sentido del artículo 4, punto 7, del RGPD.

3 Artículo 26, apartado 1, del RGPD, interpretado a la luz de su considerando 79.

4 En el sentido del artículo 4, punto 2, del RGPD.

5 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (DO 2016, L 119, p. 1; en lo sucesivo, «RGPD»).

6 Gesetz über Ordnungswidrigkeiten (Ley de Infracciones Administrativas), de 24 de mayo de 1968 (BGBl. I, p. 481), en la versión de la comunicación de 19 de febrero de 1987 (BGBl. I, p. 602), adaptada por la Ley de 19 de junio de 2020 (BGBl. I, p. 1350).

7 Artículos 58, apartado 2, y 83 del RGPD.

8 Conforme al artículo 4, punto 7, del RGPD.

9 Como se desprende de los artículos 58, apartado 4, y 83, apartado 8, del RGPD, interpretados a la luz de su considerando 129.

10 Al que se remite el considerando 150 del RGPD.

11 Artículo 83, apartado 2, letra b), del RGPD.