No procede sanción sin intencionalidad o negligencia en infracciones sobre protección de datos

Según ha determinado el Tribunal de Justicia Europeo, las sanciones en materia de protección de datos solo pueden aplicarse si existe culpa.

Por tanto, no procede sancionar al responsable del tratamiento de datos si no se acredita intencionalidad o negligencia en la infracción. En el caso de personas jurídicas, no es determinante que la infracción se haya imputado previamente a una persona física.

Cuando la persona jurídica forme parte de un grupo de sociedades, la sanción debe computarse sobre la base del volumen de negocios del grupo. Enlace fuente TJUE

El Tribunal de Justicia precisa las condiciones en que las autoridades de control nacionales pueden imponer a uno o varios responsables del tratamiento de datos una multa administrativa por la infracción del Reglamento General de Protección de Datos (RGPD).

En particular, considera que la imposición de una multa de este tipo presupone una conducta culpable, es decir, que la infracción se haya cometido de forma intencionada o negligente. Además, cuando el destinatario de la multa forme parte de un grupo de sociedades, el cálculo de la multa debe basarse en el volumen de negocios de todo el grupo.

El Tribunal de Justicia declara que solo se puede imponer una multa administrativa a un responsable del tratamiento de datos por infracción del RGPD si dicha infracción se ha cometido de forma culpable, es decir, de forma intencionada o negligente. Así ocurre cuando el responsable del tratamiento no podía ignorar el carácter infractor de su conducta, tuviera o no conciencia de la infracción.

Cuando el responsable del tratamiento sea una persona jurídica, no es necesario que la infracción haya sido cometida por su órgano de gestión ni que ese órgano tuviera conocimiento de ella. Por el contrario, una persona jurídica es responsable tanto de las infracciones cometidas por sus representantes, directores o gestores, como de las cometidas por cualquier otra persona que actúe en el marco de su actividad empresarial y en su nombre.

Además, la imposición de una multa administrativa a una persona jurídica como responsable del tratamiento no puede estar sujeta a que se compruebe que esa infracción ha sido cometida por una persona física identificada. Asimismo, también se puede imponer una multa a un responsable del tratamiento de datos por las operaciones efectuadas por un encargado del tratamiento, siempre que dichas operaciones puedan imputarse al responsable del tratamiento.

Por lo que respecta a la corresponsabilidad de dos o más entidades, el Tribunal de Justicia señala que esta se deriva del mero hecho de que esas entidades hayan participado en la determinación de los fines y los medios del tratamiento. La calificación de «corresponsables» no presupone la existencia de un acuerdo formal entre las entidades de que se trate. Basta una decisión conjunta o incluso decisiones convergentes. No obstante, dado que se trata efectivamente de corresponsables, estos deben fijar, mediante acuerdo, sus obligaciones respectivas. Enlace fuente TJUE