El Tribunal de Justicia de la Unión Europea (TJUE) dictaminó, en el marco de una decisión prejudicial, que las autoridades nacionales pertinentes no están obligadas a imponer sanciones, especialmente multas, cuando existen infracciones al Reglamento General de Protección de Datos (RGPD), si la entidad a sancionar ya tomó medidas para corregir la infracción.
En Alemania, una empleada de una caja de ahorros accedió a los datos personales de un cliente sin autorización. Aunque la empleada confirmó que no había hecho un uso indebido de los datos, y la entidad tomó medidas disciplinarias, el delegado de protección de datos de la caja decidió no informar al cliente, al considerar que no había riesgo significativo. Sin embargo, la caja notificó la infracción a la autoridad correspondiente.
El cliente, al enterarse del acceso no autorizado, presentó una queja ante el comisionado, pero éste decidió no imponer sanciones ni medidas adicionales. Ante esta respuesta, el cliente recurrió al tribunal, solicitando que se sancionara a la caja de ahorros. El tribunal alemán consultó al TJUE para interpretar si, según el Reglamento General de Protección de Datos (RGPD), era necesario informar al cliente y si debían imponerse sanciones en este tipo de casos.
En su análisis de fondo, el Tribunal observa que, “(…) en caso de que se constate una violación de la seguridad de datos personales, la autoridad de control no está obligada a adoptar una medida correctora, en particular a imponer una multa administrativa, cuando ello no sea necesario para subsanar la deficiencia constatada y garantizar el pleno respeto del RGPD. Este puede ser el caso, en particular, cuando el responsable del tratamiento haya adoptado, tan pronto como haya tenido conocimiento de ello, las medidas necesarias para poner fin a dicha violación y evitar que vuelva a producirse”.
Noticia Relacionada
Agrega que, “(…) el RGPD deja a la autoridad de control un margen de apreciación en cuanto a la manera en que debe subsanar la deficiencia constatada. Este margen está limitado por la necesidad de garantizar un nivel coherente y elevado de protección de los datos personales mediante una aplicación rigurosa del RGPD. Corresponde al tribunal alemán comprobar si el comisionado para la protección de datos respetó esos límites”.
Comprueba que, “(…) la adopción de una medida correctora puede, con carácter excepcional y habida cuenta de las circunstancias particulares del caso concreto, no imponerse, siempre que la situación de infracción del RGPD ya haya sido subsanada y que se garantice la conformidad de los tratamientos de datos personales con dicho Reglamento por su responsable y que tal abstención de la autoridad de control no menoscabe la exigencia de una aplicación rigurosa de las normas”.
El Tribunal concluye que, “(…) en atención a todas las consideraciones anteriores, procede responder a la cuestión prejudicial planteada que los artículos 57, apartado 1, letras a) y f), 58, apartado 2, y 77, apartado 1, del RGPD deben interpretarse en el sentido de que, en caso de que se constate una violación de la seguridad de datos personales, la autoridad de control no está obligada a adoptar una medida correctora, en particular una multa administrativa, en virtud del citado artículo 58, apartado 2, cuando tal intervención no sea adecuada, necesaria o proporcionada para subsanar la deficiencia constatada y garantizar el pleno respeto de dicho Reglamento”.
Vea sentencia Tribunal de Justicia de la Unión Europea C-768.21.