La sentencia de 5 de diciembre de 2023 del Tribunal de Justicia de la Unión Europea (“TJUE”), asunto C-683/21, se pronuncia sobre cuestiones prejudiciales planteadas por el Tribunal Regional de lo Contencioso-Administrativo de Vilna, Lituania, en relación con la imposición de multas administrativas por la infracción del Reglamento General de Protección de Datos (“RGPD”) e interpreta conceptos de gran relevancia, como tratamiento, responsable del tratamiento y corresponsables del tratamiento.
- Imposición de multas administrativas: existencia de culpabilidad
La sentencia se pronuncia sobre cómo deben interpretar las autoridades de control de la Unión Europea (en España, la Agencia Española de Protección de Datos) la aplicación del artículo 83 RGPD relativo a la imposición de multas administrativas por infracciones del RGPD, que en todo caso deberán ser individuales, efectivas, proporcionadas y disuasorias.
El TJUE aclara que únicamente las infracciones a las disposiciones del RGPD cometidas con culpabilidad del responsable del tratamiento (esto es, de forma intencionada o negligente), pueden dar lugar a que se le imponga una multa administrativa.
2. Responsable, corresponsable y tratamiento
En su sentencia, el TJUE también se pronuncia sobre los conceptos de responsable de tratamiento, corresponsable de tratamiento y tratamiento.
- Responsable de tratamiento
El responsable del tratamiento es la persona física o jurídica, pública o privado que determina los fines y medios del tratamiento de los datos de carácter personal.
Teniendo en cuenta el litigio principal, el TJUE señala que puede considerarse responsable de tratamiento a una entidad que contrata a una empresa el desarrollo de una aplicación informática, cuando la entidad contratante: (i) no ha realizado operaciones de tratamiento de datos personales; y (ii) no ha dado expresamente su consentimiento para la realización de las operaciones concretas de ese tratamiento o para poner a disposición del público la aplicación móvil.
El TJUE aclara que en las personas jurídicas, el responsable del tratamiento será responsable no sólo por las infracciones cometidas por su “órgano de gestión” o por las actuaciones de las que tuviera conocimiento dicho órgano, sino también por las actuaciones realizadas por directores o gestores, o cualquier tercero que actúe en su nombre. Por tanto, el responsable del tratamiento puede incurrir en responsabilidad por las actuaciones llevadas a cabo por el encargado del tratamiento.
No se extenderá la responsabilidad del encargado al responsable del tratamiento cuando el encargado haya tratado datos personales: (i) para fines que le sean propios; (ii) los haya tratado de manera incompatible con el marco o las modalidades del tratamiento determinados por el responsable del tratamiento; o (iii) de forma que no pueda considerarse razonablemente que dicho responsable hubiera dado su consentimiento.
Por tanto, el artículo 83 RGPD debe interpretarse en el sentido de que:
(i) Sólo puede imponerse una multa administrativa con arreglo a esta disposición si se demuestra que el responsable del tratamiento actuó de forma culpable, es decir, si cometió, de forma intencionada o negligente, una infracción contra el RGPD.
(ii) Puede imponerse una multa de esta índole a un responsable del tratamiento por operaciones de tratamiento efectuadas por los miembros de la persona jurídica, y también por un encargado del tratamiento cuando actuase por cuenta del responsable del tratamiento.
- Corresponsables del tratamiento
El TJUE aclara que los corresponsables del tratamiento de datos deben determinar de modo transparente sus responsabilidades. Sin embargo, para que dos entidades sean consideradas corresponsables del tratamiento no es necesario que exista ese acuerdo previo. La calificación de corresponsables del tratamiento no deriva de un acuerdo, sino de que varias entidades hayan participado en la determinación de los fines y medios del tratamiento.
- Tratamiento de datos
En su resolución, el TJUE analiza también si el hecho de realizar pruebas informáticas de una aplicación móvil constituye o no un “tratamiento” de datos personales. El TJUE concluye que, a menos que tales datos se hayan anonimizado de modo que el interesado no sea identificable o haya dejado de serlo o se trate de datos ficticios que no se refieran a una persona física existente, tendrá la consideración de tratamiento.
3. Conclusión
El criterio interpretativo del TJUE señala que:
- Sanciones. En los procedimientos sancionadores por infracción del RGPD será necesario apreciar con claridad la culpabilidad del sancionado. En la labor inspectora de la autoridad administrativa competente (en España, la AEPD), deberá quedar acreditada la infracción de manera intencionada o negligente del RGPD por parte de los responsables o encargados del tratamiento. Para sancionar a los responsables de tratamiento, las autoridades competentes deberán llevar a cabo una labor más detallada en la obtención de pruebas para poder probar la culpabilidad.
- Responsable del tratamiento. El responsable del tratamiento será responsable no sólo por las infracciones cometidas por su “órgano de gestión” o por las actuaciones de las que tuviera conocimiento dicho órgano, sino también por las actuaciones realizadas por directores o gestores, o cualquier tercero que actúe en su nombre. Por tanto, el responsable del tratamiento puede incurrir en responsabilidad por las actuaciones llevadas a cabo por el encargado del tratamiento. No se extenderá la responsabilidad si el responsable se opone de manera expresa al dicho tratamiento realizado por el encargado del tratamiento.
- Corresponsabilidad. La corresponsabilidad se produce por la determinación de los fines y medios del tratamiento por los corresponsables, sin que sea requisito para ello la existencia de un acuerdo previo al respecto.
- Tratamiento de datos. El TJUE aclara que salvo que los datos objeto de tratamiento estén anonimizados en sentido estricto o se trate de datos ficticios, aunque se trate de pruebas informáticas se considerará que se está realizando un tratamiento de datos personales conforme al RGPD y le será de aplicación las obligaciones impuestas por la normativa de protección de datos.
Litigio principal
- En época de pandemia, el Ministerio de Sanidad de Lituania encargó al Centro Nacional de Salud Pública adscrito a dicho Ministerio (“CNSP”) que gestionara la adquisición de un sistema informático para el registro y seguimiento de personas expuestas al COVID-19, con fines de seguimiento epidemiológico.
- El 27 de marzo de 2020 CNSP seleccionó a una sociedad para la creación de dicha aplicación móvil y le trasladó instrucciones para su creación y configuración, sin que mediara firma de contrato público.
- Al crearse la aplicación móvil, se elaboró una política de protección a la intimidad en la que se designaba a la sociedad y a CNSP como responsables del tratamiento.
- El 4 de junio de 2020 CNSP informó a la sociedad que debido a falta de financiación se ponía fin al procedimiento.
- Según se determina el 18 de mayo de 2020 se recogieron datos personales de usuarios de la aplicación.
- El 24 de febrero de 2021 la autoridad Lituana de Protección de Datos impone una multa administrativa al CNSP con arreglo al artículo 83 del RGPD. También impone multa a la sociedad desarrolladora como corresponsable del tratamiento.
- CNSP impugna la decisión ante el Tribunal Regional de lo Contencioso-Administrativo de Vilna, Lituania.
