El Reglamento General de Protección de Datos (RGPD) es un conjunto de regulaciones que tiene como objetivo proteger la privacidad y los datos de las personas dentro de la Unión Europea (UE). Un aspecto importante del RGPD es la capacidad de las autoridades nacionales de supervisión para imponer multas administrativas a los responsables del tratamiento de datos que violen el reglamento.

En casos recientes presentados ante el Tribunal de Justicia de la Unión Europea (TJUE), se ha examinado la interpretación del RGPD con respecto a la imposición de multas. Estos casos involucran a un tribunal lituano y a un tribunal alemán que buscan aclarar la posibilidad de imponer multas a los responsables del tratamiento de datos por infracciones del RGPD.

En el caso lituano, el Centro Nacional de Salud Pública del Ministerio de Salud impugna una multa de €12 000. Esta multa se impuso debido a la creación de una aplicación móvil para registrar y monitorear los datos de las personas expuestas al Covid-19, con la ayuda de una empresa privada.

En el caso alemán, la compañía inmobiliaria Deutsche Wohnen impugna una multa de más de €14 millones. La multa se impuso porque la compañía almacenó los datos personales de los inquilinos durante más tiempo del necesario, violando el RGPD.

El Tribunal de Justicia aclara que solo se puede imponer una multa administrativa a un responsable del tratamiento de datos si la infracción se cometió de manera indebida, ya sea intencional o negligentemente. El responsable del tratamiento no puede alegar desconocimiento de la infracción si la naturaleza de su conducta indica claramente su carácter infractor.

Además, el Tribunal establece que una persona jurídica, como una empresa, puede ser considerada responsable de infracciones cometidas por sus representantes, directores, gerentes o cualquier otra persona que actúe en su nombre. La multa impuesta a una persona jurídica no requiere que se encuentre previamente a una persona natural identificada que haya cometido la infracción.

El Tribunal también describe las condiciones en las que las autoridades nacionales de supervisión pueden imponer multas a los responsables del tratamiento. Es necesario que exista una conducta indebida, que indique una infracción intencional o negligente. Además, si el destinatario de la multa forma parte de un grupo de empresas, el cálculo de la multa debe basarse en el volumen de negocios de todo el grupo.

En los casos en que un responsable del tratamiento sea considerado responsable de las operaciones realizadas por un encargado del tratamiento, también se pueden imponer multas. El control conjunto por parte de varias entidades puede surgir de su participación en la determinación de los fines y los medios de tratamiento. No se requiere un acuerdo formal, sino decisiones comunes o convergentes.

Finalmente, al calcular las multas para las empresas, la autoridad de supervisión debe tener en cuenta el volumen de negocios anual mundial total de la empresa en el ejercicio financiero anterior.

Comprender las multas bajo el RGPD es crucial para los responsables del tratamiento de datos y las organizaciones que manejan datos personales. El cumplimiento del reglamento es esencial para evitar posibles multas y mantener la privacidad y seguridad de los datos de las personas.

Para obtener más información, visite curia.europa.eu o consulte la circular del TJUE.