Estrella Arana, responsable del área de Privacidad y Protección de Datos en PONS IP
Introducción | Antecedentes
El Tribunal de Justicia de la Unión Europea ha establecido en una reciente Sentencia (asunto C-768/21, de 12 de septiembre) en la que resuelve una cuestión prejudicial que una autoridad de control no está obligada a imponer una multa administrativa si dicha medida no es adecuada, necesaria o proporcionada para subsanar los efectos de una brecha de seguridad y garantizar así el pleno respeto del RGPD.
Una Caja de Ahorros notificó a la autoridad de protección de datos del Estado Federado de Hesse, Alemania, (en lo sucesivo, “HBDI”) una violación de la seguridad de datos personales, consistente en que una de sus empleadas había consultado en varias ocasiones, sin estar autorizada para ello, datos personales de uno de sus clientes. La Caja de Ahorros se abstuvo de comunicar al cliente la violación de sus datos personales, si bien dicho cliente – al enterarse de lo sucedido accidentalmente – presentó reclamación ante la HBDI por infracción del artículo 34 del RGPD. La HBDI consideró que no había existido infracción, puesto que, aunque los datos se habían consultado por la empleada, nada indicaba que los hubiera utilizado en detrimento del cliente o los hubiera comunicado a terceros, por lo que no existía obligación por parte de la Caja de Ahorros de comunicar la violación al interesado y había obrado conforme a Derecho.
No obstante, el interesado recurrió la resolución de la HBDI ante el órgano jurisdiccional competente (Tribunal de la Contencioso-Administrativo de Wiesbaden) indicando que la autoridad de protección de datos no trató su reclamación teniendo en cuenta todas las circunstancias de hecho y añadió que debería haber impuesto una multa administrativa a la Caja de Ahorros.
Así las cosas, el órgano jurisdiccional remitente decide plantear cuestión prejudicial en la que se pregunta esencialmente si, en caso de infracción comprobada de disposiciones relativas a la protección de datos personales (en este caso, una violación de la seguridad de datos personales), el RGPD debe interpretarse en el sentido de que la autoridad de control está obligada a adoptar medidas correctoras en virtud del artículo 58, apartado 2, de ese Reglamento, como una multa administrativa, o bien en el sentido de que dicha autoridad dispone de una facultad de apreciación que le permite, según las circunstancias, abstenerse de adoptar tales medidas.
Análisis
En primer lugar, el TJUE indica que el RGPD deja a la autoridad de control un margen de apreciación en cuanto a la manera en que debe subsanar la deficiencia constatada (por ejemplo, una vulneración de seguridad), puesto que el artículo 58, apartado 2 del RGPD confiere a dicha autoridad la facultad de adoptar diversas medidas correctoras. Así, el Tribunal de Justicia recuerda que ya ha declarado en anteriores ocasiones que la elección del medio adecuado y necesario corresponde a la autoridad de control, que tal elección debe realizarse tomando en consideración todas las circunstancias del caso concreto y cumpliendo con toda la diligencia requerida con el fin de velar por el pleno respeto del RGPD.
En segundo lugar, y por lo que se refiere concretamente a las multas administrativas contempladas en el artículo 58. 2, letra i) del RGPD y del artículo 83. 2 del mismo Reglamento, el TJUE establece que aquellas se imponen, según las características propias de cada caso, con carácter adicional o en sustitución de las demás medidas previstas en el citado artículo 58. 2. Además, ese mismo artículo 83.2 precisa que, al decidir la imposición de una multa administrativa y su cuantía en cada caso individual, la autoridad de control debe tener debidamente en cuenta ciertos elementos como la naturaleza, la gravedad y la duración de la infracción.
A este respecto, no se excluye que, con carácter excepcional y habida cuenta de las circunstancias particulares del caso concreto, la autoridad de control pueda abstenerse de adoptar una medida correctora, aunque se haya constatado una violación de la seguridad de datos personales. Este caso puede darse cuando la violación constatada no haya persistido o, por ejemplo, cuando el responsable del tratamiento, que, en principio, había aplicado medidas técnicas y organizativas apropiadas en el sentido del artículo 24 del RGPD, haya adoptado, tan pronto como haya tenido conocimiento de dicha violación, las medidas adecuadas y necesarias para que la violación finalice y no vuelva a producirse, de conformidad con las obligaciones que le incumben en virtud de los artículos 5.2 (“responsabilidad proactiva”) y 24 (“responsabilidad del responsable del tratamiento”) del mencionado RGPD.
En consecuencia, el TJUE establece a través de esta Sentencia que la adopción de una multa a un responsable puede, con carácter excepcional y habida cuenta de las circunstancias particulares del caso concreto, no imponerse cuando se cumplan los siguientes requisitos:
- que la situación de infracción del RGPD ya haya sido subsanada,
- que se garantice la conformidad de los tratamientos de datos personales con dicho Reglamento por su responsable, y
- que tal abstención de la autoridad de control no menoscabe la exigencia de una aplicación rigurosa de las normas, esto es, garantizando un nivel coherente y elevado de protección de los datos personales.
Conclusiones
En conclusión, el TJUE ha dejado claro que una autoridad de control no estará obligada a imponer una multa administrativa, aunque se haya constatado una violación de seguridad, siempre y cuando dicha infracción haya sido subsanada a través de otros medios, se tenga en consideración las circunstancias del caso concreto, y finalmente cuando tal intervención no sea adecuada, necesaria o proporcionada para subsanar la deficiencia constatada y garantizar el pleno respeto del RGPD.