De conformidad con el principio de minimización de datos, que es un reflejo del principio de proporcionalidad, los datos recogidos deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. Además, el RGPD establece una lista exhaustiva y taxativa de los casos en que un tratamiento de datos personales puede considerarse lícito.
En caso de que se constate una violación de la seguridad de datos personales, la autoridad de control no está obligada a adoptar una medida correctora, en particular a imponer una multa administrativa, cuando ello no sea necesario para subsanar la deficiencia constatada y garantizar el pleno respeto del RGPD.
Para la graduación de la sanción impuesta se ha tenido en cuenta que: se trata de la difusión de datos de la imagen de una mujer que está siendo golpeada y de su hijo menor que acude a ayudarla; que se trata de un particular cuya actividad principal no está vinculada con el tratamiento de datos personales.
La empresa infringió diversas disposiciones del Reglamento General de Protección de Datos (RGPD), entre las que se destacan el artículo 5(1), que establece los principios de tratamiento lícito, justo y transparente de los datos personales, y el artículo 6(1).
La adopción de esta medida se realiza en el marco del artículo 66.1 del RGPD, que permite a las autoridades de control tomar medidas provisionales con efectos jurídicos en su territorio en circunstancias excepcionales que requieran una intervención urgente para proteger los derechos y libertades de las personas.
Para tener la facultad de plantear cuestiones, el organismo remitente debe poder ser calificado de «órgano jurisdiccional» con arreglo al Derecho de la Unión. Pues bien, este no cumple el requisito de independencia. En efecto, sus miembros pueden ser cesados anticipadamente por el ministro Federal de Arte, Cultura, Administraciones Públicas y Deporte «por motivos graves», concepto que no está definido en la legislación nacional.
Ha quedado probada la imputación alegada en la carta de despido consistente en que el trabajador, de forma habitual grababa las conversaciones con clientes, con quienes hablaba en nombre y representación de la empresa, sin el consentimiento ni conocimiento de la empresa ni tampoco de los clientes, y todo ello con vulneración de la normativa sobre protección de datos, y comprometiendo a la empresa.
Pueden proceder de esta manera si la medida es necesaria para cumplir su misión de velar por el pleno cumplimiento del RGPD. Si dicha autoridad comprueba que un tratamiento de datos no respeta el RGPD, debe subsanar la infracción detectada, incluso sin que medie la solicitud previa del interesado.
El tratamiento de datos biométricos conlleva elevados riesgos para los derechos de las personas, atendiendo a la naturaleza sensible de los mismos. En consecuencia, esta medida cautelar se trata de una decisión basada en circunstancias excepcionales, en la que resulta necesario y proporcionado adoptar medidas provisionales dirigidas al cese inmediato de ese tratamiento de datos personales.
La empresa debe ser considerada «corresponsable del tratamiento», en el sentido del RGPD. En efecto, sin perjuicio de las comprobaciones que corresponde efectuar al tribunal belga, parece que IAB Europe influye en las operaciones de tratamiento de datos, en el momento del registro de las preferencias en materia de consentimiento de los usuarios.
Una comisión de investigación creada por el parlamento de un Estado miembro en el ejercicio de su facultad de control del poder ejecutivo debe respetar, en principio, el RGPD. Ciertamente, esta normativa no se aplica a los tratamientos de datos personales efectuados por las autoridades estatales en el marco de una actividad destinada a preservar la seguridad nacional.
