La empresa responde de las infracciones de protección de datos aunque las desconozca el Consejo de Administración
- Basta que la infracción la haya cometido cualquiera de los empleados
Xavier Gil Pecharromán
Una persona jurídica es responsable tanto de las infracciones cometidas por sus representantes, directores o gestores, como de las cometidas por cualquier otra persona que actúe en el marco de su actividad empresarial y en su nombre, por lo que no es necesario que la infracción haya sido cometida por su órgano de gestión ni que éste tuviera conocimiento de ella, según establece el Tribunal de Justicia de la Unión Europea (TJUE), en sentencia de 5 de diciembre de 2023.
El ponente, el magistrado Niilo Jääskinen, dictamina que la imposición de una multa administrativa a una persona jurídica como responsable del tratamiento no puede estar sujeta a que se compruebe previamente que esa infracción ha sido cometida por una persona física identificada, pero sí que se puede imponer una multa a un responsable del tratamiento de datos por las operaciones efectuadas, siempre que dichas operaciones puedan imputarse al responsable del tratamiento.
Por lo que respecta a la corresponsabilidad de dos o más entidades, el Tribunal de Justicia señala que esta se deriva del mero hecho de que esas entidades hayan participado en la determinación de los fines y los medios del tratamiento.
La calificación de corresponsables no presupone la existencia de un acuerdo formal entre las entidades de que se trate. Basta una decisión conjunta o incluso decisiones convergentes. No obstante, dado que se trata de corresponsables, estos deben fijar, mediante acuerdo, sus obligaciones respectivas.
La sentencia declara que solo se puede imponer una multa administrativa a un responsable del tratamiento de datos por infracción del Reglamento General de Protección de Datos (RGPD) si dicha infracción se ha cometido de forma culpable, es decir, de forma intencionada o negligente.
Así ocurre cuando el responsable del tratamiento no podía ignorar el carácter infractor de su conducta, tuviera o no conciencia de la infracción.
Por último, por lo que se refiere al cálculo de la multa cuando el destinatario sea una empresa o forme parte de ella, la autoridad de control debe basarse en el concepto de empresa del Derecho de la competencia.
Así pues, el importe máximo de la multa debe calcularse sobre la base de un porcentaje del volumen de negocio total anual global del ejercicio anterior de la empresa considerada en su conjunto.