Resumen Nº C-768/21, Tribunal de Justicia de la Unión Europea, de 26 de septiembre del 2024

Fundamentos

Asunto C?768/21

TR

contra

Land Hessen

(Petición de decisión prejudicial planteada por el Verwaltungsgericht Wiesbaden)

 Sentencia del Tribunal de Justicia (Sala Primera) de 26 de septiembre de 2024

« Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 57, apartado 1, letras a) y f) — Funciones de la autoridad de control — Artículo 58, apartado 2 — Medidas correctoras — Multa administrativa — Margen de apreciación de la autoridad de control — Límites »

1.        Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Autoridades de control nacionales — Poderes — Adopción de medidas correctoras, incluidas multas administrativas — Margen de apreciación — Límites

[Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, considerandos 129 y 148 y arts. 57, ap. 1, letras a) y f), 58, aps. 1 y 2, 77, ap. 1, y 83]

(véanse los apartados 33, 37 a 47 y 50 y el fallo)

2.        Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Medios de impugnación judicial — Recurso jurisdiccional contra una decisión sobre una reclamación adoptada por una autoridad de control — Control jurisdiccional — Alcance — Límites — Inexistencia

[Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, arts. 58, ap. 2, y 78]

(véase el apartado 49)

Resumen

A raíz de una petición de decisión prejudicial planteada por el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso-Administrativo de Wiesbaden, Alemania), el Tribunal de Justicia se pronuncia sobre el margen de apreciación de que dispone una autoridad de control para adoptar, en caso de infracción comprobada de las disposiciones relativas a la protección de datos personales, medidas correctoras que incluyan, entre otras, una multa administrativa.

Una empleada de la Caja de Ahorros, entidad municipal de Derecho público que realiza, en particular, operaciones bancarias y de crédito, había consultado en varias ocasiones, sin estar autorizada para ello, datos personales de TR, uno de los clientes de dicha entidad. Tras conocer incidentalmente esta consulta, TR presentó una reclamación ante la autoridad de control competente, a saber, el Hessischer Beauftragte für Datenschutz und Informationsfreiheit (Comisionado para la protección de datos y la libertad de información del estado federado de Hesse, Alemania; en lo sucesivo, «HBDI»). En esa reclamación, denunciaba el hecho de que la Caja de Ahorros se había abstenido de comunicarle la violación de la seguridad de sus datos.

Mediante resolución de 3 de septiembre de 2020, el HBDI informó a TR de que, al no comunicarle la violación de la seguridad de sus datos personales, la Caja de Ahorros no había infringido el RGPD,  (1) puesto que esta violación no podía generar un riesgo elevado para los derechos y libertades de TR. Por otra parte, el HBDI consideró que no procedía adoptar medidas correctoras respecto a esa entidad.

TR recurrió dicha resolución ante el órgano jurisdiccional remitente, solicitándole que ordene al HBDI actuar contra la Caja de Ahorros. En apoyo de su recurso, alegó, en particular, que el HBDI no había tratado su reclamación como exigía el RGPD y que el HBDI debería haber impuesto una multa a la Caja de Ahorros.

Al albergar dudas sobre la obligación de esta autoridad de control de adoptar medidas correctoras en el presente asunto, el órgano jurisdiccional remitente pregunta al Tribunal de Justicia sobre la interpretación del RGPD. (2)

Apreciación del Tribunal de Justicia

Antes de nada, el Tribunal de Justicia subraya que el RGPD deja a la autoridad de control un margen de apreciación en cuanto a la manera en que debe subsanar la deficiencia constatada, puesto que ese Reglamento confiere a dicha autoridad la facultad de adoptar diversas medidas correctoras. (3) En efecto, la elección del medio adecuado y necesario corresponde a la autoridad de control, que debe tomar en consideración todas las circunstancias del caso concreto y cumplir con toda la diligencia requerida su misión consistente en velar por el pleno respeto del RGPD.  (4) Sin embargo, este margen de apreciación está limitado por la necesidad de garantizar un nivel coherente y elevado de protección de los datos personales mediante una aplicación rigurosa de las normas.

A continuación, por lo que se refiere, más concretamente, a las multas administrativas, (5) el Tribunal de Justicia señala que estas se imponen, según las características propias de cada caso, con carácter adicional o en sustitución de las demás medidas correctoras. Además, al decidir la imposición de una multa administrativa y su cuantía en cada caso individual, la autoridad de control debe tener debidamente en cuenta diferentes elementos, como la naturaleza, la gravedad y la duración de la infracción. (6)

Así, el sistema de sanciones establecido por el legislador de la Unión permite a las autoridades de control imponer las sanciones más adecuadas y justificadas según las circunstancias de cada caso concreto, tomando en consideración la necesidad de velar por el pleno respeto del RGPD, así como de garantizar un nivel coherente y elevado de protección de los datos personales. En consecuencia, no puede deducirse del RGPD la existencia de una obligación a cargo de la autoridad de control de adoptar, en todos los casos, cuando constate una violación de datos personales, una medida correctora, en particular una multa administrativa, siendo su obligación, en tales circunstancias, reaccionar adecuadamente para subsanar la deficiencia constatada. En estas circunstancias, el autor de una reclamación cuyos derechos hayan sido vulnerados no dispone de un derecho subjetivo a que la autoridad de control imponga una multa administrativa al responsable del tratamiento.

Por último, el Tribunal de Justicia precisa que, no obstante, la autoridad de control está obligada a intervenir cuando la adopción de una o varias de las medidas correctoras sea, habida cuenta de todas las circunstancias del caso concreto, adecuada, necesaria y proporcionada para subsanar la deficiencia constatada y garantizar el pleno respeto del RGPD. A este respecto, no se excluye que, con carácter excepcional y habida cuenta de las circunstancias particulares del caso concreto, la autoridad de control pueda abstenerse de adoptar una medida correctora aunque se haya constatado una violación de la seguridad de datos personales. Tal puede ser el caso, en particular, cuando la violación constatada no haya persistido, por ejemplo, cuando el responsable del tratamiento, que, en principio, había aplicado medidas técnicas y organizativas apropiadas, (7) haya adoptado, tan pronto como haya tenido conocimiento de dicha violación, las medidas adecuadas y necesarias para que la violación finalice y no vuelva a producirse, habida cuenta de las obligaciones que le incumben en virtud del RGPD. (8)

En atención a estas consideraciones, el Tribunal de Justicia concluye que, en caso de que se constate una violación de la seguridad de datos personales, la autoridad de control no está obligada a adoptar una medida correctora, en particular una multa administrativa, cuando tal intervención no sea adecuada, necesaria o proporcionada para subsanar la deficiencia constatada y garantizar el pleno respeto de dicho Reglamento.

1      En virtud del artículo 34 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (DO 2016, L 119, p. 1; en lo sucesivo, «RGPD»).

2      Artículos 57, apartado 1, letras a) y f), 58, apartado 2, y 77, apartado 1, del RGPD.

3      En virtud del artículo 58, apartado 2, del RGPD.

4      Véase, en este sentido, la sentencia de 16 de julio de 2020, Facebook Ireland y Schrems (C?311/18, EU:C:2020:559), apartado 112.

5      Previstas en los artículos 58, apartado 2, letra i), y 83 del RGPD.

6      Según el artículo 83, apartado 2, del RGPD.

7      En el sentido del artículo 24 del RGPD.

8      En particular, en virtud de los artículos 5, apartado 2, y 24 del RGPD.