Nota informativa: sentencia del TJUE que determina que solo una infracción culpable del Reglamento General de Protección de Datos puede dar lugar a la imposición de una multa administrativa

El pasado 5 de diciembre de 2023, el Tribunal de Justicia de la Unión Europea (TJUE) emitió una sentencia en respuesta a la cuestión prejudicial del Tribunal Regional de lo Contencioso-Administrativo de Vilna, Lituania.

Concretamente, la consulta prejudicial plantea, entre otros, la interpretación de los artículos del Reglamento General de Protección de Datos (RGPD) relacionados con la imposición de multas administrativas por parte de las autoridades de control al responsable del tratamiento de datos, con el fin de aclarar cuáles son los criterios que deben seguir la imposición de dichas y en particular, determinar las garantías adecuadas que deben ser tenidas en consideración por las autoridades competentes y los tribunales, así como los criterios para determinar las cuantías de dichas sanciones administrativas, entre otras cuestiones relacionadas.

De esta forma, el TJUE viene a determinar con una claridad más que evidente la manera en la que ha de entenderse e interpretar el RGPD a este respecto.

Condiciones para la imposición de multas administrativas (art. 83)

Con seguridad, lo más relevante en esta sentencia es el pronunciamiento del TJUE lleva a cabo en relación a la interpretación práctica de cómo deben aplicar las Autoridades de Protección de Datos el artículo 83 del RGPD, relativo a las condiciones generales para la imposición de multas administrativas, aclarando varias cuestiones que vienen planteando innumerables litigios con la mayoría de las autoridades de protección de datos de los países miembros de la Unión Europea:

La responsabilidad de una entidad jurídica en el tratamiento de datos no depende de que la infracción sea cometida por su órgano de gestión o que éste tenga conocimiento de esta.

El TJUE señala que la entidad es responsable, tanto de las infracciones realizadas por sus representantes, directores o gestores, como por aquellas llevadas a cabo por cualquier persona en el marco de su actividad empresarial y en su nombre.

Adicionalmente, recalca el TJUE que la imposición de una multa a la entidad como responsable del tratamiento no requiere verificar previamente que la infracción haya sido cometida por una persona física identificada.

El responsable del tratamiento es responsable no solo de los tratamientos de datos personales que realice para sus propias finalidades, sino también de aquellos llevados a cabo por sus encargados.

Sin embargo, aclara que esto no es de aplicación si el encargado ha realizado un tratamiento de datos para sus propios fines o es incompatible con las instrucciones del responsable o se considere que este no hubiera dado su consentimiento. En este caso, el encargado será considerado como responsable del tratamiento.

El TJUE señala expresamente que en el artículo 83 del RGPD se establece que no se puede aplicar una multa administrativa por una infracción del Reglamento sin demostrar que el responsable del tratamiento cometió la infracción de manera intencionada o negligente. Por lo tanto, la culpabilidad, en la comisión de la infracción, ya sea por dolo o negligencia grave, es un requisito indispensable para imponer la multa por la autoridad de control correspondiente, entendida la culpabilidad como la situación en la que el responsable del tratamiento no podía ignorar el carácter infractor de su conducta, fuera o no consciente de la infracción en cuestión.

Sin duda alguna, este último aspecto es el más determinante de todos los aclarados por el TJUE, en tanto es posible que la instrucción de muchos de los procedimientos sancionadores en materia de cumplimiento del Reglamento General de Protección de Datos llevados a cabo hasta el momento, no logren acreditar con el nivel de solvencia exigido que el Responsable, o en su caso el Encargado de Tratamiento ha actuado ante el incumplimiento con dolo o negligencia grave. De esta forma, parece que esta sentencia va a requiere que la labor inspectora de la AEPD pase a ser extraordinariamente más detallada y exigente en lo que a la obtención de pruebas con las que acreditar esta culpabilidad por parte de los Responsables de Tratamiento.

Este hecho, se presenta como una oportunidad más que interesante para muchas de las entidades sancionadas hasta el momento, que cuenten con asuntos actualmente recurridos en vía contencioso administrativo ante la Audiencia Nacional y/o el Tribunal Supremo, en la medida en que les permitiría poder valorar si en sus procedimientos la AEPD logra acreditar que efectivamente, existe culpabilidad por parte de los Responsables de Tratamiento.

Concepto de «responsable del tratamiento» (art. 4.7)

Adicionalmente, se plantea en la consulta prejudicial si, a tenor del artículo 4.7 del RGPD, podría considerarse responsable del tratamiento de datos a una organización que encarga a otra entidad el desarrollo de una aplicación móvil, y no ha realizado ningún tipo de actividad de tratamiento y no ha dado órdenes concretas para la realización de operaciones de tratamiento por parte de dicha entidad contratada.

En este sentido, el TJUE, concluye con que, «a menos que, antes de la puesta a disposición del público de la aplicación móvil, dicha empresa se haya opuesto expresamente a esta y al tratamiento de los datos personales resultante de ella», será considerada como responsable del tratamiento, algo que parece razonable en tanto la responsabilidad del tratamiento se realiza ya sea por acción o por omisión, en este caso teniendo conocimiento (y no oponiéndose) a dicho tratamiento.

Corresponsables del tratamiento (art. 26.1)

Al hilo de la explicación del apartado anterior y con respecto a la presunción de la existencia de un acuerdo sobre la determinación de los fines y medios del tratamiento de los datos personales para que se les considere a ambas entidades como corresponsables, el TJUE señala que, si bien es cierto que el artículo 26.1 del RGPD, indica que los corresponsables del tratamiento deben determinar de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas, […] no es requisito previo para que dos o más entidades sean calificadas de corresponsables del tratamiento», puesto que dicha calificación «se deriva del mero hecho de que varias entidades hayan participado en la determinación de los fines y medios del tratamiento.»

Es decir, en este aspecto parece que el TJUE ponga de relieve algo que ya han venido manteniendo nuestros tribunales a nivel nacional, basta con que existan evidencias y pruebas suficientes que permitan acreditar que, ya sea por acción u omisión (teniendo conocimiento de ello) las entidades hayan participado en la determinación de los fines y medios del tratamiento. De nuevo, se convierte en determinante, como no podía ser de otra forma, la práctica y aportación de la prueba correspondiente por parte de las autoridades en materia de protección de datos.

Concepto de «tratamiento» (art. 4.2)

Por último, el TJUE viene aclarar cuándo existe tratamiento de datos, de conformidad con lo dispuesto en el artículo 4.2 del RGPD, aclarando que para que exista, deben darse dos condiciones:

Que sólo un tratamiento que tenga por objeto «datos personales» constituye un «tratamiento» a tenor del artículo;
Que los datos que se pueden atribuir a una persona física mediante la utilización de información adicional (seudonimización), son datos personales y le son aplicables los principios en materia de protección de datos.

A raíz de estas aclaraciones, el TJUE señala que, salvo que los datos hayan sido anonimizados «de modo que el interesado no sea identificable o haya dejado de serlo o se trate de datos ficticios que no se refieran a una persona física existente» las actividades u operaciones que se realicen con dichos datos, constituirá un tratamiento de datos personales en el sentido del artículo 4.2 del RGPD.

Sin duda alguna esta cuestión es, probablemente, de todas las analizadas por esta STJUE la que, al menos en España ha planteado menos litigiosidad, en la medida en que viene siendo interpretación más que reiterada por parte de la Agencia Española de Protección de Datos (AEPD), así como por parte de los Tribunales que únicamente dejan de ser datos personales cuando éstos pasan a estar anonimizados, considerándose que los datos seudoanonimizados son datos personales.

Conclusión

En conclusión, el TJUE ha asentado criterios interpretativos de mucha relevancia en el día a día de aplicación de la normativa de protección de datos personales, declarando que sólo se puede imponer una multa administrativa a un responsable del tratamiento de datos por infracción del RGPD si dicha infracción se ha cometido de forma culpable, es decir, de forma intencionada o negligente.

Del mismo modo, el TJUE determina que cuando el responsable del tratamiento sea una persona jurídica, no es necesario que la infracción haya sido cometida por su órgano de gestión, ni que ese órgano tuviera conocimiento de ella, asumiendo dicha persona jurídica tanto de las infracciones cometidas por sus representantes, directores o gestores, como de las cometidas por cualquier otra persona que actúe en el marco de su actividad empresarial y en su nombre, no quedando sujeta la imposición de la multa administrativa a que se compruebe previamente que esa infracción ha sido cometida por una persona física identificada. Del mismo modo, también será responsable por las operaciones efectuadas por un encargado del tratamiento, siempre que dichas operaciones puedan imputarse al responsable del tratamiento.

Del mismo modo, determina el TJUE que una entidad puede ser considerada como responsable del tratamiento aunque no realice el tratamiento directamente, a no ser que se oponga de manera expresa ha dicho tratamiento; la corresponsabilidad se produce por la determinación de los fines y medios del tratamiento por los corresponsables, sin ser requisito previo para ello la existencia de un acuerdo previo al respecto.

Por último, se aclara que salvo que los datos objeto de tratamiento estén anonimizados en sentido estricto, se considerará que se está realizando un tratamiento de datos personales conforme al RGPD y le será de aplicación las obligaciones impuestas por la normativa.

Área de Protección de Datos de ECIJA

info@ecija.com

Telf: + 34 91.781.61.60

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-necessary	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-performance	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
PHPSESSID		Esta cookie es nativa de las aplicaciones PHP. La cookie se utiliza para almacenar e identificar el ID de sesión único de un usuario con el propósito de administrar la sesión del usuario en el sitio web. La cookie es una cookie de sesión y se borra cuando todas las ventanas del navegador se cierran.
viewed_cookie_policy	11 months	La cookie es establecida por el plugin de Consentimiento de la Cookie de RGPD y es usada para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Cookie	Tipo	Duración	Descripción
__stid	0	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	0	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_ls	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_svref	0	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_ga	0	2 years	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones, campañas y para hacer un seguimiento del uso del sitio para el informe analítico del mismo. Las cookies almacenan información de forma anónima y asignan un número generado al azar para identificar a los visitantes únicos.
_gat	0	1 minute	Estas cookies son instaladas por Google Universal Analytics para reducir la tasa de solicitudes y limitar la recolección de datos en sitios de alto tráfico.
_gid	0	1 day	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información de cómo los visitantes utilizan un sitio web y ayuda en la creación de un informe analítico de cómo el sitio web está funcionando. Los datos recogidos incluyen el número de visitantes, la fuente de donde vienen y las páginas visitadas de forma anónima.
ad-id	1	6 months	Proporcionado por amazon-adsystem.com para el seguimiento de las acciones de los usuarios en otros sitios web para proporcionar contenido específico
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0
audience	0	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
demdex	0	5 months	Esta cookie se establece bajo el dominio demdex.net y es utilizada por Adobe Audience Manager para ayudar a identificar un visitante único a través de los dominios.
dextp	0	5 months	Cookie establecida por el gerente de audiencias de Adobe. Las cookies almacenan un nombre o ID de proveedor de datos y una marca de tiempo UTC de UNIX. El propósito de la cookie es registrar la última vez que hizo una llamada de sincronización de datos.
GPS	0	30 minutes	Esta cookie es establecida por Youtube y registra una identificación única para rastrear a los usuarios en base a su ubicación geográfica
idsync-qs	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-uuid	0
lsdStats	0	3 months
pbw	0	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	0	1 year	Cookie para recoger información con fines publicitarios
pid	0	1 year	Ayuda a los usuarios a identificarles y les permite utilizar funciones relacionadas con Twitter de la página web que están visitando.
pxcelPage_c010	0	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_cc	0		Esta cookie es establecida por Adobe Analytics. El propósito de la cookie es determinar si las cookies están habilitadas o no en un navegador.
s_fid	0	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	0	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_nr	0	4 weeks	Esta cookie es establecida por Adobe Analytics con el propósito de almacenar las fechas en que los usuarios visitan el sitio web y si el usuario es un visitante nuevo o recurrente.
s_vnum	0	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	0	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookie	0		Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	0	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	0	2 months
UIDR	0	1 year	Esta cookie se establece bu scorecardresearch.com. La cookie se utiliza para rastrear la actividad de los usuarios a través de Internet en el navegador, como la marca de tiempo de la visita, la dirección IP y las páginas web visitadas más recientemente. y puede que los datos se envíen a terceros para su análisis e informe, con el fin de ayudar a sus clientes a comprender mejor las preferencias de los usuarios.
YSC	1		Estas cookies son establecidas por Youtube y se usan para rastrear las vistas de los videos incrustados.
zc	0	9 years

Cookie	Duración	Descripción
__stid	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb_svref	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg
audience	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-qs		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
lsdStats	3 months
pbw	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	1 year	Cookie para recoger información con fines publicitarios
pxcelPage_c010	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_fid	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_vnum	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	2 months
zc	9 years

Sala de Prensa

Nota informativa: sentencia del TJUE que determina que solo una infracción culpable del Reglamento General de Protección de Datos puede dar lugar a la imposición de una multa administrativa

El pasado 5 de diciembre de 2023, el Tribunal de Justicia de la Unión Europea (TJUE) emitió una sentencia en respuesta a la cuestión prejudicial del Tribunal Regional de lo Contencioso-Administrativo de Vilna, Lituania.