Última revisión
TRIBUNA: La imposición de multas administrativas por infracción del RGPD (SSTJUE «Nacionalinis visuomenés sveikatos centras» y «Deutsche wohnen»
Relacionados:
Autor: Alfonso Ortega Giménez
Titular de Derecho internacional privado de la Universidad Miguel Hernández de Elche
Materia: opinion
Fecha: 24/09/2024
Resumen:
Artículo de tribuna bajo el título de «La imposición de multas administrativas por infracción del Reglamento general de protección de datos (Sentencias del Tribunal de Justicia de la Unión Europea "Nacionalinis visuomenés sveikatos centras" y "Deutsche wohnen").
Alfonso Ortega Giménez
Profesor Titular de Derecho internacional privado
de la Universidad Miguel Hernández de Elche (Alicante)
alfonso.ortega@umh.es
Este somero análisis abordará dos casos emblemáticos de multas por incumplimiento de las leyes de protección de datos, el primero en Lituania (“NACIONALINIS VISUOMENÉS SVEIKATOS CENTRAS”) y el segundo en Alemania (“DEUTSCHE WOHNEN”). Veamos cada uno de ellos:
“NACIONALINIS VISUOMENÉS SVEIKATOS CENTRAS”
En cuanto al primer caso analizado, conviene contextualizar el problema: En diciembre de 2023, fue expedida la sentencia del litigio entre el Nacionalinis visuomenés sveikatos centras prie Sveikatos apsaugos ministerijos (Centro Nacional de Salud Pública adscrito al Ministerio de Sanidad, Lituania; en lo sucesivo, «CNSP») y la Valstybin? duomen? apsaugos inspekcija (National Data Protection Inspectorate, Lithuania; en lo sucesivo, «INPD») en relación a una imposición de una multa administrativa. La cuestión planteada al TJUE se refería a la interpretación y aplicación de las normas de la Unión Europea en materia de protección de datos, especialmente en el contexto de la normativa nacional. Más concretamente, el tribunal nacional lituano pidió al TJUE que aclarara cómo debían interpretarse y aplicarse las normas de la UE en relación con las leyes nacionales implicadas en el caso, así como las responsabilidades de cada parte en el proceso.
En 2020, para gestionar mejor la pandemia de COVID-19, las autoridades lituanas decidieron organizar la adquisición de una aplicación informática móvil. Esta aplicación debía contribuir a un seguimiento epidemiológico, permitiendo registrar y realizar un seguimiento de datos de las personas expuestas al virus de la COVID-19.
A tal fin, el CNSP, encargado de dicha adquisición, se puso en contacto con la sociedad UAB IT sprendimai s?kmei (en lo sucesivo, «sociedad ITSS»), solicitándole la creación de tal aplicación móvil. Posteriormente, los empleados del CNSP remitieron a esta sociedad correos electrónicos, en particular, sobre las cuestiones que debían figurar en dicha aplicación.
Durante el período comprendido entre abril y mayo de 2020, la aplicación móvil creada por la sociedad ITSS se puso a disposición del público. Por consiguiente, 3 802 personas hicieron uso de ella y proporcionaron diversos datos que les concernían, solicitados mediante esta aplicación. Sin embargo, debido a una falta de financiación, el CNSP no adjudicó a la sociedad ITSS ningún contrato público para la adquisición oficial de su aplicación móvil y puso fin al procedimiento correspondiente.
El 18 de mayo de 2020, la Autoridad Nacional de Protección de Datos (INPD) inició una investigación y constató la recogida irregular de datos personales, lo que dio lugar a multas de 12.000 euros para la CNSP y de 3.000 euros para la ITSS en febrero de 2021. El CNSP impugnó esta resolución ante el Vilniaus apygardos administracinis teismas (Tribunal Regional de lo Contencioso-Administrativo de Vilna, Lituania). Al albergar dudas sobre la interpretación de varias disposiciones del
La primera cuestión plantea si el concepto de «responsable del tratamiento», tal como se define en el artículo 4, apartado 7, del
En primer lugar, el Tribunal de Justicia señala que una entidad que ha encargado a una empresa el desarrollo de una aplicación informática móvil y que, en este contexto, ha participado en la determinación de los fines y medios del tratamiento de datos personales realizado mediante esta aplicación puede ser considerada responsable del tratamiento 2. Esta consideración no queda desvirtuada por el hecho de que la propia entidad no haya realizado operaciones de tratamiento de tales datos, de que no haya dado expresamente su consentimiento para la realización de las operaciones concretas de tal tratamiento o para la puesta a disposición del público de dicha aplicación móvil y de que no haya adquirido esa misma aplicación móvil, a menos que, antes de esa puesta a disposición del público, la referida entidad se haya opuesto expresamente a ella y al tratamiento de los datos personales resultante.
En segundo lugar, el Tribunal de Justicia señala que la calificación de dos entidades como corresponsables del tratamiento no presupone ni la existencia de un acuerdo entre esas entidades sobre la determinación de los fines y medios del tratamiento de datos personales ni la existencia de un acuerdo que establezca los requisitos relativos a la corresponsabilidad del tratamiento. Ciertamente, en virtud del
En tercer lugar, el Tribunal de Justicia indica que la utilización de datos personales para pruebas informáticas de una aplicación móvil constituye un tratamiento 4. Sin embargo, no sucede lo mismo si tales datos se hubieran anonimizado de modo que la persona a la que conciernen no sea o ya no sea identificable o si se trata de datos ficticios que no se refieren a una persona física existente. En efecto, por una parte, la cuestión de si los datos personales se utilizan para realizar pruebas informáticas o para otro fin carece de incidencia en la calificación de la operación de «tratamiento». Por otra parte, solo un tratamiento que tenga por objeto datos personales puede calificarse de «tratamiento» en el sentido del
En cuarto y último lugar, el Tribunal de Justicia declara que, en virtud del artículo 83 del
En sus conclusiones, el Tribunal también presenta la idea de «corresponsabilidad», según el art. 26 del Reglamento General de Protección de Datos (RGPD), dejando claro que no es necesario un acuerdo formal para que dos entidades sean consideradas corresponsables, siempre que determinen conjuntamente los fines y los medios del tratamiento. Esto deja claro que las responsabilidades de cada parte deben delimitarse desde el principio, de modo que los daños causados y las multas impuestas puedan definirse equitativamente.
“DEUTSCHE WOHNEN”
A continuación, otra situación en un litigio sobre protección de datos obtuvo sentencia el mismo día que el caso anterior, en relación con una multa administrativa impuesta a Deutsche Wohnen SE (en lo sucesivo, «DW») por la Staatsanwaltschaft Berlin (Agencia Tributaria de Berlín, Alemania). Básicamente, DW es una gran empresa inmobiliaria europea con sede en Berlín, que posee aproximadamente 163.000 viviendas y 3.000 locales comerciales a través de empresas filiales. A su vez, estas filiales gestionan los inmuebles, mientras que DW supervisa la gestión central del grupo, actuando como «coordinador». En el ejercicio de sus actividades, DW y sus filiales tratan datos personales de los inquilinos, incluidos datos de identidad, fiscales y del seguro de enfermedad.
A raíz de dos inspecciones realizadas en 2017 y 2019, la Berliner Beauftragte für den Datenschutz (Autoridad de Control de Berlín, Alemania) constató que DW había cometido varias infracciones del
DW interpuso recurso contra esta decisión ante el Landgericht Berlin (Tribunal Regional de lo Civil y Penal de Berlín, Alemania), que archivó el procedimiento. Dicho tribunal señaló que, en virtud de la ley alemana 6, solo puede constatarse una infracción administrativa con respecto a una persona física y no con respecto a una persona jurídica. Además, en el supuesto de que se genere la responsabilidad de una persona jurídica, solo se le puede imputar la actuación de los miembros de sus órganos o de sus representantes.
La Staatsanwaltschaft Berlin (Fiscalía de Berlín, Alemania) interpuso un recurso contra esta resolución ante el Kammergericht Berlin (Tribunal Superior Regional de lo Civil y Penal de Berlín, Alemania). En este contexto, dicho órgano jurisdiccional planteó al Tribunal de Justicia una petición de decisión prejudicial sobre la interpretación del
Por lo que respecta a la imposición de una multa administrativa en virtud del
A continuación, el Tribunal de Justicia observó que ninguna disposición del
En este contexto, el Tribunal de Justicia precisó que permitir a los Estados miembros exigir, de manera unilateral y como condición necesaria para la imposición de una multa administrativa con arreglo al artículo 83 del
Además, el Tribunal de Justicia subrayó que el concepto de «empresa», en el sentido de los artículos 101 TFUE y 102 TFUE 10, no tiene incidencia sobre si puede imponerse una multa administrativa en virtud del
Por último, el Tribunal de Justicia señaló que, entre los factores enumerados en el
CONCLUSIÓN
Las sentencias tienen importantes repercusiones en la forma en que los Estados miembros de la UE aplican e interpretan sus normativas nacionales en relación con las normas de la Unión Europea. Refuerza la importancia de que las legislaciones nacionales estén en consonancia con las directivas y reglamentos de la UE, garantizando la protección de los derechos de los consumidores y la salud pública de manera coherente en toda la Unión.
1
2 En el sentido del artículo 4, punto 7, del
3 Artículo 26, apartado 1, del
4 En el sentido del artículo 4, punto 2, del
5
6 Gesetz über Ordnungswidrigkeiten (Ley de Infracciones Administrativas), de 24 de mayo de 1968 (BGBl. I, p. 481), en la versión de la comunicación de 19 de febrero de 1987 (BGBl. I, p. 602), adaptada por la Ley de 19 de junio de 2020 (BGBl. I, p. 1350).
7 Artículos 58, apartado 2, y 83 del
8 Conforme al artículo 4, punto 7, del
9 Como se desprende de los artículos 58, apartado 4, y 83, apartado 8, del
10 Al que se remite el considerando 150 del
11 Artículo 83, apartado 2, letra b), del