El TJUE ha emitido un fallo clave sobre la aplicación de multas en el marco del RGPD, estableciendo que debe considerarse el volumen de negocio del grupo empresarial en su conjunto al fijar sanciones, en lugar de limitarse únicamente a la filial infractora.
El Tribunal de Apelación de la Región Oeste, Dinamarca (Vestre Landsret) formuló una petición de decisión prejudicial al Tribunal de Justicia de la Unión Europea en junio de 2023 en el contexto de un procedimiento penal incoado por el Ministerio Fiscal de Dinamarca contra ILVA A/S por presuntos incumplimientos de las obligaciones del RGPD en su condición de responsable del tratamiento de datos personales de antiguos clientes.
El TJUE declaró que la petición de decisión prejudicial tiene por objeto la interpretación del artículo 83, apartados 4 a 6, del Reglamento (UE) 2016/679 (RGPD), relativo a la protección de datos personales y la libre circulación de estos.
ILVA, una cadena de tiendas de muebles que forma parte del grupo Lars Larsen Group, fue acusada de incumplir las obligaciones del RGPD entre mayo de 2018 y enero de 2019, en relación con la conservación de datos de al menos 350 000 antiguos clientes. El volumen de negocio total del grupo en el ejercicio 2016/2017 fue de 881 millones de euros, mientras que el de ILVA fue de 241 millones de euros.
La Datatilsynet (Agencia de Protección de Datos de Dinamarca) recomendó una multa de 201 000 euros basada en el volumen de negocio del grupo Lars Larsen.
Sin embargo, el Tribunal Municipal de Aarhus condenó a ILVA a 13 400 euros, considerando que solo debía tenerse en cuenta su volumen de negocio, no el del grupo.
Al Tribunal de Justicia se le plantearon unas cuestiones prejudiciales sobre si debe interpretarse el término «empresa» del artículo 83 del RGPD en el sentido de los artículos 101 y 102 del Tratado de Funcionamiento de la Unión Europea (TFUE), o sea, englobando a toda entidad que desarrolla una actividad económica, independientemente de su estatuto jurídico y financiación; y, en caso afirmativo, si al imponer una multa debe tenerse en cuenta el volumen de negocio total anual global del grupo al que pertenece la empresa o solo el de la propia empresa.
El Tribunal de Justicia declaró en diciembre de 2023 que el concepto de «empresa» en los artículos 101 y 102 TFUE no afecta la capacidad de imponer multas administrativas bajo el RGPD, pues este concepto es relevante solo para determinar el importe de dichas multas. Y que dicho término debe interpretarse en el sentido de que el término «empresa» corresponde al concepto descrito en los artículos 101 y 102 TFUE.
Esto implicaría que, cuando se impone una multa por infracción del RGPD a un responsable del tratamiento de datos que es o forma parte de una empresa, el importe de la multa se basa en un porcentaje del volumen de negocio total anual global del ejercicio financiero anterior de la empresa. Además, la autoridad de control debe garantizar que las multas sean efectivas, proporcionadas y disuasorias, y considerar elementos como la naturaleza, gravedad y duración de la infracción, entre otros.
El Ministerio Fiscal apeló la sentencia del de Aarhus, argumentando que el término «empresa» en el artículo 83 del RGPD debe entenderse en el sentido de los artículos 101 y 102 TFUE, que consideran el volumen de negocio del grupo.
Fuente: https://goo.su/BztsD
░ Imagen de RDNE Stock project en Pexels
