Margen de apreciación de la autoridad de control en la protección de las personas físicas en lo que respecta al tratamiento de datos personales a la hora de imponer una multa administrativa (STJ 1ª 26 septiembre 2024, asunto C-768/21: Land Hessen)

La Sentencia del Tribunal de Justicia, Sala Cuarta, de 26 de septiembre de 2024, asunto C-768/21: Land Hessen (Obligación de actuar de la autoridad de protección de datos) (Ponente: A. Kumin) declara que, en orden a la protección de datos personales, la autoridad de control no está obligada a adoptar una medida correctora en todos los casos de infracción y, en particular, a imponer una multa. Sn embargo, podrá abstenerse de hacerlo cuando el responsable ya haya tomado las medidas necesarias por iniciativa propia.

Antecedentes

En Alemania, una caja de ahorros constató que una de sus empleadas había consultado datos personales de un cliente en varias ocasiones, sin estar autorizada para ello. La caja de ahorros no informó de ello al cliente porque su delegado de protección de datos había considerado que no suponía un riesgo elevado para él. En efecto, la empleada confirmó por escrito que no había copiado ni conservado los datos, que no los había transmitido a terceros y que no lo haría en el futuro. Además, la caja de ahorros había adoptado medidas disciplinarias contra ella. No obstante, la caja de ahorros notificó esta infracción al comisionado para la protección de datos del Land.

Tras conocer incidentalmente lo ocurrido, el cliente presentó una reclamación ante el referido comisionado para la protección de datos. Oída la caja de ahorros, el comisionado para la protección de datos informó al cliente de que no consideraba necesario adoptar medidas correctoras contra la caja de ahorros.

El cliente interpuso entonces un recurso ante un tribunal alemán, solicitándole que ordenase al comisionado para la protección de datos actuar contra la caja de ahorros y, en particular, imponerle una multa.

El tribunal alemán solicita al Tribunal de Justicia que interprete el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).

Apreciaciones del Tribunal de Justicia

El Tribunal de Justicia responde que, en caso de que se constate una violación de la seguridad de datos personales, la autoridad de control no está obligada a adoptar una medida correctora, en particular a imponer una multa administrativa, cuando ello no sea necesario para subsanar la deficiencia constatada y garantizar el pleno respeto del RGPD. Este puede ser el caso, en particular, cuando el responsable del tratamiento haya adoptado, tan pronto como haya tenido conocimiento de ello, las medidas necesarias para poner fin a dicha violación y evitar que vuelva a producirse.

El RGPD deja a la autoridad de control un margen de apreciación en cuanto a la manera en que debe subsanar la deficiencia constatada. Este margen está limitado por la necesidad de garantizar un nivel coherente y elevado de protección de los datos personales mediante una aplicación rigurosa del RGPD.

Corresponde al tribunal alemán comprobar si el comisionado para la protección de datos respetó esos límites.