1.

En un mundo en el que los datos personales se han convertido en moneda de cambio y constituyen una mina de oro recién descubierta para las empresas, ¿en qué condiciones pueden imponerse multas administrativas a los responsables del tratamiento o a los encargados del tratamiento por infracción de las normas de protección de datos establecidas en el Reglamento (UE) 2016/679? ( 2 ) Más concretamente, ¿debe concurrir un elemento de «culpabilidad» para que se les puedan imponer tales multas? Esta es la cuestión central planteada por el Vilniaus apygardos administracinis teismas (Tribunal Regional de lo Contencioso-Administrativo de Vilna, Lituania) en el presente asunto.

2.

El litigio del que conoce dicho órgano jurisdiccional, que se plantea entre el Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (Centro Nacional de Salud Pública, adscrito al Ministerio de Sanidad, Lituania; en lo sucesivo, «NVSC») y la Valstybinė duomenų apsaugos inspekcija (Inspección Estatal de Protección de Datos, Lituania; en lo sucesivo, «Inspección»), versa principalmente sobre el papel desempeñado por el NVSC en el desarrollo y puesta a disposición del público de una aplicación móvil que recogió, durante los meses de abril y mayo de 2020, los datos personales de las personas que habían estado en contacto con pacientes infectados por el COVID-19.

3.

En este contexto, el presente asunto brinda al Tribunal de Justicia la oportunidad de aportar una mayor claridad a los conceptos de «responsable del tratamiento», «corresponsables del tratamiento» y «tratamiento» que se definen, respectivamente, en el artículo 4, punto 7, en el artículo 26, apartado 1, y en el artículo 4, punto 2, del RGPD, y de examinar por primera vez, si es posible, en aplicación del artículo 83 de dicho Reglamento, imponer una multa administrativa a un responsable del tratamiento que no haya cometido de manera intencionada o negligente una infracción de las normas contenidas en el RGPD. Esta cuestión exige que el Tribunal de Justicia aclare si dicha disposición permite imponer multas cuando no exista culpabilidad, sobre la base de una responsabilidad objetiva.

4.

El considerando 148 del RGPD tiene el siguiente tenor:

«A fin de reforzar la aplicación de las normas del presente Reglamento, cualquier infracción de este debe ser castigada con sanciones, incluidas multas administrativas […] En caso de infracción leve, o si la multa que probablemente se impusiera constituyese una carga desproporcionada para una persona física, en lugar de sanción mediante multa puede imponerse un apercibimiento. Debe no obstante prestarse especial atención a la naturaleza, gravedad y duración de la infracción, a su carácter intencional, a las medidas tomadas para paliar los daños y perjuicios sufridos, al grado de responsabilidad o a cualquier infracción anterior pertinente, a la forma en que la autoridad de control haya tenido conocimiento de la infracción, al cumplimiento de medidas ordenadas contra el responsable o encargado, a la adhesión a códigos de conducta y a cualquier otra circunstancia agravante o atenuante. La imposición de sanciones, incluidas las multas administrativas, debe estar sujeta a garantías procesales suficientes conforme a los principios generales del Derecho de la Unión y de la Carta, entre ellas el derecho a la tutela judicial efectiva y a un proceso con todas las garantías.»

5.

Con arreglo al considerando 150 de dicho Reglamento:

«A fin de reforzar y armonizar las sanciones administrativas por infracción del presente Reglamento, cada autoridad de control debe estar facultada para imponer multas administrativas. El presente Reglamento debe indicar las infracciones así como el límite máximo y los criterios para fijar las correspondientes multas administrativas, que la autoridad de control competente debe determinar en cada caso individual teniendo en cuenta todas las circunstancias concurrentes en él, atendiendo en particular a la naturaleza, gravedad y duración de la infracción y sus consecuencias y a las medidas tomadas para garantizar el cumplimiento de las obligaciones impuestas por el presente Reglamento e impedir o mitigar las consecuencias de la infracción. […] La imposición de una multa administrativa o de una advertencia no afecta al ejercicio de otras competencias de las autoridades de control ni a la aplicación de otras sanciones al amparo del presente Reglamento.»

6.

El artículo 4, punto 7, del RGPD define el concepto de «responsable del tratamiento» como «la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento […]».

7.

El artículo 26 de dicho Reglamento, titulado «Corresponsables del tratamiento», establece en su parte pertinente:

«1.   Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento. […]

[…]»

8.

El artículo 83 del citado Reglamento, titulado «Condiciones generales para la imposición de multas administrativas», está redactado en los siguientes términos:

«1.   Cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al presente artículo por las infracciones del presente Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias.

2.   Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:

[…]

3.   Si un responsable o un encargado del tratamiento incumpliera de forma intencionada o negligente, para las mismas operaciones de tratamiento u operaciones vinculadas, diversas disposiciones del presente Reglamento, la cuantía total de la multa administrativa no será superior a la cuantía prevista para las infracciones más graves.

[…]»

9.

El artículo 72, apartado 2, de la Viešųjų pirkimų įstatymas (Ley de Contratación Pública) prevé:

«El poder adjudicador instruirá un procedimiento negociado sin publicación de un anuncio de licitación con las siguientes fases:

10.

Con el fin de responder a la situación resultante de la propagación de la COVID-19, el Ministro de Sanidad de la República de Lituania (en lo sucesivo, «Ministro de Sanidad»), mediante decisión de 24 de marzo de 2020, encargó al Director del NVSC que organizase el desarrollo y la adquisición de una aplicación móvil denominada KARANTINAS. La aplicación móvil estaba diseñada para recoger y controlar los datos personales de las personas que hubiesen estado en contacto con pacientes infectados por el COVID-19. ( 3 )

11.

El 27 de marzo de 2020, una persona que afirmaba ser un agente en representación del NVSC informó a la sociedad IT sprendimai sėkmei UAB (en lo sucesivo, «ITSS») de que había sido seleccionada para desarrollar KARANTINAS. Se intercambiaron correos electrónicos entre ITSS y esa persona, así como entre ITSS y varios empleados y el Director del NVSC, en relación con el desarrollo de dicha aplicación móvil. En esta fase se redactó asimismo un acuerdo de confidencialidad en el que se mencionaba que tanto ITSS como el NVSC eran los responsables del tratamiento.

12.

La aplicación móvil que finalmente se desarrolló se puso a disposición del público para su descarga en Google Play Store el 4 de abril de 2020 y en Apple App Store el 6 de abril de 2020. Tanto ITSS como el NVSC se mencionaron de nuevo como responsables del tratamiento en la versión de KARANTINAS que se puso a disposición del público para su descarga. En ese momento, la aplicación móvil aún no había sido adquirida por el NVSC.

13.

Mediante decisión de 10 de abril de 2020, el Ministro de Sanidad ordenó al Director del NVSC que procediera a la adquisición de KARANTINAS mediante un procedimiento negociado sin la publicación de un anuncio de licitación, de conformidad con el artículo 72, apartado 2, de la Ley de Contratación Pública.

14.

Dicho procedimiento se inició, pero, al no recibir la financiación necesaria, el NVSC le puso fin. En consecuencia, no se celebró contrato público de compraventa alguno. No obstante, KARANTINAS siguió estando a disposición del público para su descarga.

15.

El 15 de mayo de 2020, el NVSC ordenó a ITSS que no utilizase ningún dato del NVSC y que no incluyera enlaces al NVSC en la aplicación móvil. El 18 de mayo de 2020, la Inspección inició una investigación relativa tanto a ITSS como al NVSC por infracción de las normas establecidas en el RGPD. El funcionamiento de KARANTINAS se suspendió a petición de la Inspección el 26 de mayo de 2020. Según ITSS, 3802 usuarios habían facilitado sus datos personales a través de la aplicación entre el 4 de abril y el 26 de mayo de 2020.

16.

Mediante decisión de 24 de febrero de 2021, la Inspección impuso multas administrativas al NVSC y a ITSS, en su condición de corresponsables del tratamiento, por infracción de los artículos 5, 13, 24, 32 y 35 del RGPD. ( 4 )

17.

El NVSC impugnó esta decisión ante el Vilniaus apygardos administracinis teismas (Tribunal Regional de lo Contencioso-Administrativo de Vilna). Ese órgano jurisdiccional se pregunta, en esencia, si el concepto de «responsable del tratamiento», en el sentido del artículo 4, punto 7, del RGPD, debe interpretarse en sentido amplio, de modo que incluya a cualquier persona física o jurídica u organismo como el NVSC, que no es el creador de una aplicación móvil, pero que, con vistas a adquirir dicha aplicación móvil mediante un procedimiento de licitación, determinó «los fines y medios del tratamiento de los datos personales», o si este concepto debe interpretarse de manera más estricta, teniendo en cuenta el procedimiento de contratación pública y su resultado.

18.

En particular, se pregunta si el hecho de que el procedimiento de licitación fuera finalmente abandonado y de que KARANTINAS nunca fuera adquirida por el NVSC es pertinente a este respecto. También se pregunta si el hecho de que el NVSC no haya consentido o autorizado oficialmente la puesta a disposición del público de dicha aplicación móvil incide en esta apreciación.

19.

Además, tiene dudas acerca de la relación entre el NVSC e ITSS. A este respecto, se pregunta en qué circunstancias dicha entidad y dicha sociedad deben considerarse «corresponsables del tratamiento», en el sentido del artículo 4, punto 7, y del artículo 26, apartado 1, del RGPD. Con carácter subsidiario, si el NVSC e ITSS no debieran considerarse «corresponsables del tratamiento», sino «responsable del tratamiento» y «encargado del tratamiento» ( 5 ) (respectivamente), en el sentido del RGPD, desea saber cuándo las actuaciones de ITSS podrían dar lugar a la responsabilidad del NVSC. A este respecto, se pregunta si el artículo 83 del RGPD debe interpretarse en el sentido de que es posible imponer una multa administrativa a un responsable del tratamiento como el NVSC, que no ha cometido él mismo una infracción de dicho Reglamento de forma intencionada o negligente.

20.

A la luz de estas consideraciones, el Vilniaus apygardos administracinis teismas (Tribunal Regional de lo Contencioso-Administrativo de Vilna) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

21.

La petición de decisión prejudicial de 22 de octubre de 2021 fue registrada en el Tribunal de Justicia el 12 de noviembre de 2021. Han presentado observaciones escritas el NVSC, la Inspección, el Gobierno lituano y la Comisión Europea.

22.

Los Gobiernos lituano y neerlandés, así como la Comisión y el Consejo, estuvieron representados en la vista celebrada el 17 de enero de 2023.

23.

Durante la pandemia de COVID-19, en muchos Estados miembros se pusieron a disposición del público para su descarga aplicaciones móviles diseñadas para «seguir y localizar» a las personas infectadas por el virus o a las que habían estado en contacto con ellas. Estas aplicaciones móviles se desarrollaron con el fin de responder a la urgencia de la situación, a menudo con la participación de varias entidades públicas y privadas (como ministerios y otras entidades públicas, así como empresas privadas). Los usuarios debían introducir sus datos personales en las aplicaciones móviles, en particular los relativos a su salud. ( 6 )

24.

El litigio principal versa precisamente sobre una aplicación móvil de este tipo, a saber, KARANTINAS, que fue desarrollada por ITSS (una empresa privada), a iniciativa del NVSC (una autoridad pública), a raíz de una decisión del Ministro de Sanidad. No se desprende claramente de la información que obra en autos ni de la facilitada en la vista si otras entidades públicas de Lituania participaron, en su caso, en el desarrollo de la aplicación. ( 7 ) Existen también algunas dudas sobre si el NVSC dio su consentimiento para que KARANTINAS se pusiera a disposición del público durante el período en el que tuvo lugar el tratamiento de los datos personales (abril y mayo de 2020). No obstante, en las cuestiones planteadas al Tribunal de Justicia, el Vilniaus apygardos administracinis teismas (Tribunal Regional de lo Contencioso-Administrativo de Vilna) consideró pertinentes las siguientes circunstancias:

25.

En este contexto, las cuestiones prejudiciales planteadas al Tribunal de Justicia se refieren a la interpretación de varias disposiciones del RGPD. Mediante las tres primeras cuestiones prejudiciales, así como mediante la quinta cuestión prejudicial, se solicita que se interprete el concepto de «responsable del tratamiento», en el sentido del artículo 4, punto 7, de dicho Reglamento, así como que se aclaren las circunstancias en las que dos o más entidades pueden ser consideradas «corresponsables del tratamiento», con arreglo a dicha disposición, en relación con el artículo 26, apartado 1, del citado Reglamento. En primer lugar, analizaré estas cuestiones prejudiciales conjuntamente (A), antes de abordar la cuarta cuestión prejudicial, que versa sobre el concepto de «tratamiento», en el sentido del artículo 4, punto 2, del RGPD, y su aplicación en el contexto de la fase de prueba de una aplicación móvil (B). ( 8 ) A continuación, me adentraré en la cuestión central del presente asunto, a saber, la sexta cuestión prejudicial, que tiene carácter transversal, puesto que se refiere a las condiciones en las que pueden imponerse multas administrativas a los responsables del tratamiento, de conformidad con el artículo 83 del RGPD (C).

26.

Mediante las tres primeras cuestiones prejudiciales, el órgano jurisdiccional remitente se pregunta, en esencia, si, habida cuenta de las circunstancias detalladas en el punto 24 anterior, una entidad como el NVSC debe considerarse «responsable del tratamiento», en el sentido del artículo 4, punto 7, del RGPD. Además, mediante su quinta cuestión prejudicial, dicho órgano jurisdiccional pretende que se dilucide si, en tales circunstancias, dos entidades como el NVSC e ITSS deben considerarse «corresponsables del tratamiento», de conformidad con dicha disposición y con el artículo 26, apartado 1, del citado Reglamento, aun cuando no hayan alcanzado ningún acuerdo formal en cuanto a los fines y medios del tratamiento o no parezcan haber coordinado de otro modo sus actuaciones.

27.

Es preciso recordar que, con arreglo al artículo 4, punto 7, del RGPD, un «responsable del tratamiento» se define como la persona o entidad que «sol[a] o junto con otr[a]s, determin[a] los fines y medios del tratamiento». En términos simples, no es necesario que el responsable del tratamiento trate los datos personales por sí mismo, pero debe determinar «el por qué y el cómo» de las operaciones de tratamiento pertinentes. ( 9 ) El Tribunal de Justicia ha sugerido que, a fin de cumplir este criterio, una persona o entidad debe efectivamente «influir en el tratamiento de datos personales». ( 10 ) Sin embargo, no es necesario que la determinación de los fines y de los medios del tratamiento se efectúe mediante instrucciones por escrito o consignas impartidas por el responsable del tratamiento. ( 11 ) En efecto, el artículo 4, punto 7, del RGPD requiere un análisis fáctico más que formal.

28.

En relación con lo anterior, el Comité Europeo de Protección de Datos (CEPD) ha sugerido que también es posible ser responsable del tratamiento con independencia de que la ley confiera una competencia o facultad específica para controlar los datos. En efecto, la capacidad de determinar los fines y medios del tratamiento depende, ante todo, de la influencia ejercida, que puede deducirse de las circunstancias fácticas. Por lo tanto, una entidad que esté efectivamente en condiciones de determinar los fines y medios del tratamiento será considerada «responsable del tratamiento», con independencia de si ha sido designada formalmente como tal (por ley, mediante un contrato o de otro modo). ( 12 )

29.

Aclarados estos extremos, es preciso observar que varias de las circunstancias descritas por el órgano jurisdiccional remitente en las tres primeras cuestiones prejudiciales son de naturaleza puramente formal: por ejemplo, el hecho de que el NVCS no sea legalmente propietario de KARANTINAS o de que el procedimiento de adquisición de dicha aplicación móvil nunca se completara, o de que el NVSC no autorizara oficialmente la puesta a disposición de la aplicación al público en general ni aprobara la última versión de la aplicación. Desde mi punto de vista, ninguna de estas circunstancias puede excluir, por sí sola, que se concluya que el NVSC actuó como «responsable del tratamiento», en el sentido del artículo 4, punto 7, del RGPD, en el contexto del litigio principal. En efecto, no son suficientes para excluir la conclusión de que el NVSC estaba efectivamente en condiciones de determinar los fines y medios del tratamiento de datos personales que se llevó a cabo. Al mismo tiempo, me parece que el hecho de que el NVSC figurase como responsable del tratamiento en la política de confidencialidad de la versión de KARANTINAS que se puso a disposición del público para su descarga, o de que se incluyeran enlaces a dicha entidad en esa versión de la aplicación móvil, es pertinente pero no concluyente en lo que respecta a la influencia efectivamente ejercida por dicha entidad.

30.

Por el contrario, las pruebas presentadas ante el órgano jurisdiccional remitente que muestran que el NVSC decidía qué tipo de datos personales debía recoger KARANTINAS y de qué interesados, así como otros aspectos clave del tratamiento, son, en mi opinión, suficientes para demostrar que dicha entidad determinaba los «medios» del tratamiento. Además, considero que el hecho de que KARANTINAS se creara para cumplir el objetivo definido por el NVSC, a saber, responder a la pandemia de COVID-19, y de que su funcionamiento fuera modificado periódicamente por ITSS para responder a las necesidades definidas por el NVSC, en línea con las instrucciones impartidas por dicha entidad, es suficiente para concluir que esa entidad determinó los «fines» del tratamiento.

31.

Dicho esto, me parece que, para determinar si una entidad como el NVSC puede ser considerada «responsable del tratamiento» en el sentido del artículo 4, punto 7, del RGPD, el órgano jurisdiccional remitente debe comprobar asimismo si, a pesar de la influencia ejercida por el NVSC en la fase del desarrollo de KARANTINAS, la decisión de poner dicha aplicación a disposición del público y, por lo tanto, de llevar a cabo el tratamiento de datos personales se adoptó efectivamente con el consentimiento (expreso o tácito) de dicha entidad (con independencia de que el consentimiento no se diera oficial o formalmente).

32.

En efecto, como indica claramente la definición del concepto de «responsable del tratamiento» que figura en el artículo 4, punto 7, del RGPD, la influencia ejercida por un responsable del tratamiento debe referirse al tratamiento de datos personales en sí, y no únicamente a una etapa previa. Una persona física o jurídica no se convierte en «responsable del tratamiento» por el mero hecho de iniciar el desarrollo de una aplicación móvil o definir los parámetros de dicha aplicación (u otra herramienta de recogida de datos). Sus actuaciones deben estar efectivamente vinculadas al tratamiento de datos personales y, en consecuencia, debe haber dado su consentimiento expreso o tácito para que la herramienta pertinente sea utilizada con el fin de llevar a cabo dicho tratamiento.

33.

El Tribunal de Justicia hizo hincapié en este requisito en su sentencia Fashion ID, ( 13 ) en la que declaró expresamente que la responsabilidad del responsable del tratamiento se limita a la operación o al conjunto de las operaciones de tratamiento de datos personales cuyos fines y medios determina efectivamente. ( 14 ) De ello se desprende que la determinación de fines y medios debe referirse directamente a la operación o al conjunto de operaciones de tratamiento de datos personales pertinentes.

34.

En mi opinión, de estas consideraciones se desprende que una entidad, como el NVSC, que inicia el desarrollo de una aplicación móvil únicamente podrá ser considerada «responsable del tratamiento», en el sentido del artículo 4, punto 7, del RGPD, en una situación en la que existan suficientes elementos de carácter fáctico, más que formal, que permitan a los órganos jurisdiccionales nacionales concluir que tal entidad ejerció una influencia efectiva sobre los «fines y medios» de dicho tratamiento y que dio su consentimiento efectivo para la divulgación al público de la aplicación móvil y, en consecuencia, para el tratamiento de los datos personales. Sin perjuicio de las comprobaciones que debe efectuar el órgano jurisdiccional remitente, considero que el NVSC cumple estos requisitos.

35.

La quinta cuestión prejudicial versa sobre los requisitos que deben cumplirse para que dos (o más) entidades sean consideradas corresponsables del tratamiento. Entiendo que el órgano jurisdiccional remitente pretende que se aclare la interpretación de este concepto porque tiene dudas acerca de si, en la situación controvertida en el litigio principal, el NVSC e ITSS podrían ser considerados «corresponsables del tratamiento» y, como tales, ser declarados responsables solidariamente del perjuicio causado, ( 15 ) y ser multados conjuntamente por las infracciones de las normas en materia de protección de datos cometidas cuando KARANTINAS se puso a disposición del público para su descarga. Es preciso observar, a este respecto, que, como he indicado en el punto 16 anterior, tanto dicha entidad como dicha sociedad fueron, en efecto, declaradas responsables de las infracciones cometidas, en su calidad de corresponsables del tratamiento, y multadas por la Inspección en aplicación del artículo 83 del RGPD.

36.

Con arreglo al artículo 26, apartado 1, del RGPD, los «corresponsables del tratamiento» existen cuando dos o más responsables del tratamiento determinan conjuntamente los objetivos y los medios del tratamiento. En consecuencia, cada corresponsable del tratamiento debe cumplir de manera autónoma los criterios enumerados en la definición de «responsable del tratamiento» que figura en el artículo 4, punto 7, de dicho Reglamento. ( 16 ) Además, los corresponsables del tratamiento deben tener una cierta relación entre ellos, dado que su influencia en el tratamiento debe ejercerse conjuntamente.

37.

El Tribunal de Justicia ha indicado que la existencia de una corresponsabilidad del tratamiento no se traduce necesariamente en una responsabilidad o participación equivalente de las diversas personas o entidades implicadas. Por el contrario, los corresponsables del tratamiento pueden estar implicados en distintas etapas del tratamiento, de modo que el nivel de responsabilidad de cada uno de ellos debe evaluarse teniendo en cuenta todas las circunstancias pertinentes del caso concreto. ( 17 ) Además, la responsabilidad conjunta de varias entidades respecto a un mismo tratamiento no supone que cada uno de ellas tenga acceso a los datos personales en cuestión. ( 18 ) Lo que importa, no obstante, es que participen conjuntamente en la determinación de los «fines y medios» del tratamiento.

38.

A este respecto, es preciso observar que, como indican las Directrices 07/2020, esa participación conjunta puede adoptar distintas formas. Puede resultar de una decisión común adoptada por dos o más entidades o simplemente resultar de decisiones convergentes de esas entidades. En este último caso, lo único importante es que las decisiones se complementen entre sí y sean necesarias para que el tratamiento tenga lugar de tal manera que tengan un impacto tangible en la determinación de los fines y medios del tratamiento, es decir, en esencia, que el tratamiento no sería posible sin la participación de ambas partes. ( 19 )

39.

En este contexto, el órgano jurisdiccional remitente se pregunta si el hecho de que dos responsables del tratamiento (en este caso, el NVSC e ITSS) no hayan celebrado ningún acuerdo formal en cuanto a los fines y medios del tratamiento o no parezcan haber coordinado de otro modo sus actuaciones impide considerarlos «corresponsables del tratamiento».

40.

Entiendo que las dudas del órgano jurisdiccional remitente a este respecto se derivan del hecho de que, con arreglo al artículo 26, apartado 1, del RGPD, los corresponsables del tratamiento deben determinar de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por dicho Reglamento. Además, el considerando 79 del citado Reglamento indica que se requiere «una atribución clara de las responsabilidades», incluidos los casos en los que un responsable del tratamiento determine los fines y medios del tratamiento de forma conjunta con otros. Sin embargo, desde mi punto de vista, tales obligaciones y requisitos solo se aplican a los corresponsables del tratamiento una vez que se ha establecido que pueden ser considerados como tales. No forman parte de los criterios que deben cumplirse para que puedan ser calificados como tales.

41.

Como he indicado en el punto 36 anterior, la corresponsabilidad del tratamiento depende solamente de que concurran dos requisitos objetivos. En primer lugar, cada corresponsable del tratamiento debe cumplir los criterios enumerados en la definición de «responsable del tratamiento» que figura en el artículo 4, punto 7, del RGPD. Los autos no contienen elementos suficientes que permitan determinar si, en la situación controvertida en el litigio principal, ITSS debe ser considerada «responsable del tratamiento» en el sentido de dicha disposición. Sin embargo, a la luz de las apreciaciones que he realizado en la sección anterior y sin perjuicio de la comprobación que deba efectuar el órgano jurisdiccional remitente, me parece que, al menos el NVSC —o incluso tanto dicha entidad como ITSS— cumple los requisitos para ser considerado «responsable del tratamiento», en el sentido de dicha disposición. En segundo lugar, la influencia de los responsables en el tratamiento debe ejercerse conjuntamente (lo que significa que debe ejercerse de conformidad con los criterios jurídicos y la jurisprudencia que he recordado en los puntos 37 y 38 anteriores). A este respecto, he explicado que la participación conjunta en el tratamiento puede adoptar distintas formas y ni siquiera debe resultar de una decisión común de las partes implicadas. Como tal, el enfoque sustantivo y funcional necesario para determinar si una persona o entidad debe ser considerada «responsable del tratamiento» en el sentido del artículo 4, punto 7, del RGPD también se aplica, desde mi punto de vista, a la corresponsabilidad del tratamiento. ( 20 )

42.

Habida cuenta de estas consideraciones, soy de la opinión de que, en primer término, la falta de acuerdo o arreglo, o incluso de decisión común, entre dos o más responsables del tratamiento como el NVSC e ITSS no puede, por sí sola, excluir la conclusión de que son «corresponsables del tratamiento» en el sentido del artículo 4, punto 7, del RGPD, en relación con su artículo 26, apartado 1. A este respecto, he de añadir que el CEPD ha sugerido que, aunque los acuerdos contractuales puedan resultar útiles a la hora de evaluar la corresponsabilidad del tratamiento, deberían contrastarse en todos los casos con las circunstancias fácticas de la relación entre las partes. ( 21 )

43.

En segundo término, también me parece que el mero hecho de que el NVSC e ITSS, además de no haber alcanzado un acuerdo, arreglo o decisión común, no parezcan haber coordinado sus actuaciones ni cooperado de otro modo entre sí no significa que no puedan ser considerados «corresponsables del tratamiento». Aunque exista tal coordinación o cooperación, es irrelevante para la cuestión de si la relación entre esas dos entidades es o no una relación de corresponsabilidad del tratamiento. En efecto, es fácil imaginar que pueda existir una cooperación o coordinación entre dos o más entidades sin que estas sean corresponsables del tratamiento en absoluto. Por ejemplo, dos responsables del tratamiento distintos podrían coordinar sus actuaciones o cooperar entre sí con la intención de transferirse datos personales. Sin embargo, esto no los convertiría en «corresponsables del tratamiento», en el sentido del artículo 4, punto 7, y del artículo 26, apartado 1, del RGPD. ( 22 ) Lo que importa, como he explicado en el punto 38 de las presentes conclusiones, es que el tratamiento no sea posible sin la participación de las dos partes porque ambas tengan un impacto tangible en la determinación de los fines y medios de dicho tratamiento.

44.

Habida cuenta de lo anterior, me parece que, por un lado, sin perjuicio de las comprobaciones que deba efectuar el órgano jurisdiccional remitente, una entidad como el NVSC cumple los requisitos previstos en el artículo 4, punto 7, del RGPD para ser considerada «responsable del tratamiento». Por otro lado, la cuestión de si el NVSC e ITSS pueden ser considerados «corresponsables del tratamiento», de conformidad con los criterios que he expuesto en la sección anterior, o «responsable» y «encargado del tratamiento», respectivamente, depende de la naturaleza de su relación, que corresponde apreciar al órgano jurisdiccional remitente.

45.

A este respecto, he de añadir que la naturaleza de la relación entre el NVSC e ITSS (a saber, si son «corresponsables del tratamiento» o, respectivamente, «responsable» y «encargado del tratamiento») es pertinente a efectos de la sexta cuestión prejudicial. En consecuencia, retomaré las conclusiones a las que he llegado en relación con la quinta cuestión prejudicial al abordar los problemas planteados por la sexta cuestión prejudicial.

46.

Mediante su cuarta cuestión prejudicial, el órgano jurisdiccional remitente se pregunta, en esencia, si la definición de «tratamiento» prevista en el artículo 4, punto 2, del RGPD comprende una situación en la que los datos personales se utilizan durante la fase de prueba de una aplicación móvil. ( 23 ) Deduzco de la petición de decisión prejudicial que KARANTINAS fue objeto de una fase de prueba antes de ser puesta a disposición del público para su descarga. Según entiendo, la cuarta cuestión prejudicial versa, por lo tanto, sobre una situación que es diferente de la contemplada por las demás cuestiones prejudiciales planteadas al Tribunal de Justicia, que se refieren todas ellas al tratamiento de datos personales tras la ejecución de la fase de prueba, cuando KARANTINAS se puso a disposición del público. Concretamente, el órgano jurisdiccional remitente desea saber si el uso de datos personales durante esa fase de prueba debe calificarse de «tratamiento» en el sentido del artículo 4, punto 2, del RGPD y, como tal, podría dar lugar a una posible responsabilidad de los responsables o de los encargados del tratamiento implicados.

47.

El artículo 4, punto 2, del RGPD define el «tratamiento» como «cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no […]». ( 24 )

48.

Entiendo de esta redacción (en particular del uso del término «cualquier» y de términos genéricos como «operación» o «conjunto de operaciones») que esta disposición debe interpretarse en sentido amplio, de modo que cubra el mayor número posible de situaciones en las que se utilizan datos personales. La lista no exhaustiva de tales situaciones que figura en dicha disposición confirma esta interpretación, dada la variedad de operaciones que se incluye en ella. ( 25 )

49.

Además, mientras que de la sección anterior se desprende que la definición de «responsable del tratamiento», en el sentido del artículo 4, punto 7, de dicho Reglamento, está estrechamente relacionada con los fines del tratamiento de datos personales (las razones «por las que» se recogen los datos personales), este no es el caso de la definición prevista en su artículo 4, punto 2. Como tales, las razones por las que se lleva a cabo una operación o un conjunto de operaciones son, en principio, irrelevantes para la cuestión de si deben calificarse de «tratamiento» en el sentido de dicha disposición. De ello se desprende, en mi opinión, que el hecho de que los datos personales se recojan con el fin de probar los sistemas informáticos integrados en una aplicación móvil o con otros fines no influye en la cuestión de si la operación en cuestión debe calificarse de «tratamiento».

50.

A este respecto, debo señalar también que la «utilización» de datos personales (sin más mención y, en consecuencia, con independencia de la finalidad de la utilización) se enumera entre las operaciones o conjuntos de operaciones que constituyen el «tratamiento». ( 26 ) Además, el artículo 4, punto 2, del RGPD no contiene ninguna excepción o exclusión expresa para las operaciones relativas a la utilización de datos personales para pruebas de sistemas informáticos. De lo anterior se sigue que nada impide que el uso de datos personales con vistas a realizar tales pruebas se considere «tratamiento» en el sentido de dicha disposición, sino todo lo contrario.

51.

Habida cuenta de estos elementos, considero que la definición de «tratamiento» prevista en el artículo 4, punto 2, del RGPD comprende una situación en la que los datos personales se utilizan durante la fase de prueba de una aplicación móvil.

52.

Mi conclusión a este respecto no queda desvirtuada por el mero hecho de que los datos personales facilitados con el fin de probar los sistemas informáticos integrados en una aplicación móvil puedan haber sido seudonimizados. ( 27 ) La única circunstancia en la que el RGPD no sería aplicable es si la información comunicada a la aplicación móvil consiste únicamente en información anónima que «no guarda relación con una persona física identificada o identificable» o en datos personales «convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo». Sin embargo, es preciso observar que, en el litigio principal, los datos utilizados en la fase de prueba no parecen, sobre la base de la información aportada a los autos, haber consistido en tales datos anonimizados. ( 28 )

53.

Habida cuenta de lo anterior, considero que la definición de «tratamiento» prevista en el artículo 4, punto 2, del RGPD comprende una situación en la que los datos personales se utilizan durante la fase de prueba de una aplicación móvil, a menos que dichos datos se hayan anonimizado de manera que el interesado no sea identificable o deje de serlo. El hecho de que los datos personales se recojan con el fin de probar los sistemas informáticos integrados en una aplicación móvil o con otros fines no influye, por su parte, en la cuestión de si la operación en cuestión debe calificarse de «tratamiento». ( 29 )

54.

Una vez aclarados estos extremos, pasaré ahora a examinar la cuestión central planteada en el presente asunto, que se refiere a las condiciones en las que puede imponerse una multa administrativa a un responsable o encargado del tratamiento, con arreglo al artículo 83 del RGPD.

55.

Antes de la adopción del RGPD, las sanciones por infracción de las normas de protección de datos se dejaban en gran medida a discreción de los Estados miembros, en virtud de su autonomía procesal y en materia de recursos. ( 30 ) Las multas administrativas, que fueron introducidas por el artículo 83 de dicho Reglamento, constituyen, por consiguiente, un «desarrollo» relativamente nuevo del Derecho de la Unión en materia de protección de datos. El Grupo de Trabajo del Artículo 29 las describió como un «un elemento esencial del nuevo régimen de ejecución». ( 31 ) Aunque esta disposición aún no ha sido interpretada por el Tribunal de Justicia, ya ha sido aplicada por las autoridades de control, en ocasiones para imponer multas elevadas a los responsables o a los encargados del tratamiento. ( 32 )

56.

El artículo 83 del RGPD establece un sistema sancionador de dos niveles, en función del tipo específico de disposición infringida. Mientras que el primer nivel, que se define en el artículo 83, apartado 4, de dicho Reglamento, se aplica a situaciones en las que un responsable o un encargado del tratamiento incumple las obligaciones generales a las que está sujeto, así como determinadas obligaciones específicas, el segundo nivel se reserva, como indica el artículo 83, apartado 5, del RGPD, a infracciones más graves, como las infracciones de las disposiciones relativas, en particular, a los principios básicos para el tratamiento, los derechos de los interesados y las normas relativas a las transferencias de datos personales a un destinatario en un tercer país o una organización internacional.

57.

Para ambos niveles, las autoridades nacionales competentes deben, tras haber determinado que se ha infringido una disposición específica del RGPD, realizar dos apreciaciones. En primer lugar, deben determinar si procede imponer una multa y, en segundo lugar, fijar, en su caso, su cuantía. Estas apreciaciones deben realizarse en cada caso individual, a la luz de los distintos factores enumerados en el artículo 83, apartado 2, del RGPD. Entre estos factores figura la «intencionalidad o negligencia en la infracción» [artículo 83, apartado 2, letra b) de este].

58.

Mediante su sexta cuestión prejudicial, el órgano jurisdiccional remitente se pregunta, en esencia, si puede imponerse una multa administrativa a un responsable del tratamiento cuando este no haya incumplido de forma intencionada o negligente las normas en materia de protección de datos y el tratamiento ilícito de datos personales no lo haya llevado a cabo el propio responsable del tratamiento, sino un encargado del tratamiento. Volviendo a las conclusiones a las que he llegado en el marco de la quinta cuestión prejudicial, me parece que la sexta cuestión prejudicial se plantea en el supuesto de que, en el litigio principal, el NVSC e ITSS no puedan ser considerados «corresponsables del tratamiento», en el sentido del artículo 4, punto 7, del RGPD, en relación con el artículo 26, apartado 1, de dicho Reglamento, y deban ser considerados, respectivamente, «responsable del tratamiento» y «encargado del tratamiento». En este contexto particular, el órgano jurisdiccional remitente desea aclarar las circunstancias en las que puede imponerse una multa al NVSC, con arreglo al artículo 83 del RGPD.

59.

Dicho esto, debo señalar que la sexta cuestión prejudicial únicamente hace referencia al artículo 83, apartado 1, del RGPD como disposición pertinente. Sin embargo, desde mi punto de vista, los problemas planteados por esta cuestión prejudicial implican considerar el artículo 83 de dicho Reglamento en su conjunto y, en particular, como he explicado en el punto 57 anterior, tener en cuenta el artículo 83, apartado 2, letra b), de este, dado que esta disposición se refiere a la «intencionalidad o negligencia en la infracción». Por lo tanto, consideraré que la sexta cuestión prejudicial versa sobre la interpretación del artículo 83 del RGPD en su conjunto y no solo de su artículo 83, apartado 1.

60.

A mi modo de ver, esta cuestión consta de dos partes. En primer lugar, exige al Tribunal de Justicia que determine si el artículo 83 del RGPD permite imponer multas administrativas, en general, a los responsables del tratamiento o a los encargados del tratamiento cuando no exista mens rea (elemento mental — culpabilidad). En esencia, el órgano jurisdiccional remitente desea saber si podría imponerse una multa al NVSC por el mero hecho de haber incumplido las obligaciones que le incumben como responsable del tratamiento (responsabilidad objetiva), o si se requiere un elemento de culpabilidad en la comisión de la infracción o infracciones de que se trate. En segundo lugar, pide que se aclare si el hecho de que el tratamiento ilícito de datos personales no haya sido efectuado por el propio responsable del tratamiento, sino por un encargado del tratamiento, afecta de alguna manera a la posibilidad de que las autoridades de control impongan una multa al responsable del tratamiento.

61.

Examinaré sucesivamente cada uno de estos dos aspectos.

62.

El artículo 83 del RGPD exige que todas las multas administrativas impuestas por la infracción de las normas de protección de datos sean «efectivas, proporcionadas y disuasorias». Así se indica claramente en el apartado 1 de esta disposición. Sin embargo, este apartado no precisa si tal multa solo puede imponerse si se demuestra la existencia de culpabilidad, es decir, si la «culpabilidad» es un requisito esencial para que se imponga una multa administrativa.

63.

El apartado 2, letra b), de dicha disposición enumera, en cambio, la «intencionalidad o negligencia en la infracción» entre los elementos ( 33 ) que las autoridades de control deben tener «debidamente en cuenta» en cada caso individual. Con arreglo al artículo 83, apartado 2, letra k), de dicho Reglamento, estos elementos deben entenderse como «factores agravantes o atenuantes» y no son exhaustivos.

64.

En este contexto, considero que existen dos maneras posibles de entender el artículo 83 del RGPD.

65.

Por una parte, cabe considerar que, si bien una decisión por la que se impone una multa y su cuantía deben determinarse teniendo debidamente en cuenta el grado de culpabilidad de que se trate (de manera que, por ejemplo, debería imponerse, en principio, una multa más elevada si la infracción resulta de una conducta intencional y, a la inversa, una conducta negligente debería acarrear una multa de menor cuantía), nada impide que también se imponga una multa cuando no exista culpabilidad, siempre que el encargado o el responsable del tratamiento pueda ser considerado responsable de la infracción. Esta interpretación se vería corroborada por una lectura del artículo 83, apartado 2, letras b) y k), según la cual el hecho de mencionar diferentes tipos de culpabilidad (intencionada o negligente) como «factores agravantes o atenuantes» puede implicar que la culpabilidad no es, con carácter general, un requisito esencial para la imposición de una multa.

66.

Por otra parte, también cabe sostener, como hace la Comisión en el presente asunto, que la negligencia de la persona o de la entidad que cometió la infracción debe demostrarse, como requisito mínimo, para que pueda imponerse una multa. Este enfoque se vería corroborado por una interpretación diferente y más prudente del artículo 83, apartado 2, letras b) y k), del RGPD, a saber, que estas disposiciones obligan a las autoridades de control a distinguir entre un factor atenuante (la negligencia) y un factor agravante (la intención), pero no indican que puede imponerse una multa cuando no exista culpabilidad.

67.

La Comisión optó expresamente por esta interpretación en su propuesta inicial que llevó a la adopción del RGPD, ( 34 )en la que sugirió organizar el sistema de multas como un sistema de tres niveles. Para cada nivel, la Comisión proponía que solo se pudieran imponer multas a «toda persona que, de forma deliberada o por negligencia», ( 35 ) hubiera cometido una o varias de las presuntas infracciones. Así, no cabe duda de que la Comisión consideró la culpabilidad como un requisito esencial para la imposición de tal multa. ( 36 )

68.

Si bien, desde mi punto de vista, es posible defender ambos enfoques sobre la base de una interpretación literal del artículo 83, apartado 2, del RGPD, en la medida en que cada uno de ellos corresponde a una comprensión de la «intencionalidad o negligencia en la infracción» como un factor «agravante» o «atenuante», considero que solo el segundo enfoque refleja correctamente la intención del legislador de la Unión. Son varias las razones que me llevan a esta conclusión.

69.

En primer lugar, es preciso señalar que varios de los elementos enumerados en el artículo 83, apartado 2, del RGPD contienen una formulación específica de la que cabe deducir que tales elementos no pueden aplicarse en todos los casos, sino solo en algunos. En particular, las letras c), e) y k) del artículo 83, apartado 2, comienzan con las palabras «cualquier» o «toda» («cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios […]», «toda infracción anterior […]», «cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso […]»), sugiriendo así que, aunque las autoridades de control deben tener siempre en cuenta si existen medidas paliativas, infracciones previas u otros factores agravantes o atenuantes pertinentes cuando tales elementos existan o se hayan demostrado, pueden darse efectivamente situaciones en las que tales elementos simplemente no existan, pero la autoridad competente en materia de protección de datos pueda decidir, aun así, imponer una multa (o, a la inversa, no imponerla). En el mismo orden de ideas, he de señalar que el artículo 83, apartado 2, letra i), del RGPD también está formulado de forma no sistemática, ya que exige examinar si el responsable o el encargado del tratamiento ha cumplido las medidas previstas en el artículo 58, apartado 2, de dicho Reglamento, pero únicamente«cuando [tales] medidas […] hayan sido ordenadas previamente contra el responsable o el encargado».

70.

En cambio, el artículo 83, apartado 2, letra b), menciona «la intencionalidad o negligencia en la infracción». ( 37 ) Como tal, me parece que forma parte de los elementos que deben estar presentes y, en sentido figurado, cuya casilla debe «marcarse» en todos los casos para que pueda imponerse una multa, del mismo modo que «la naturaleza, gravedad y duración de la infracción […]» [artículo 83, apartado 2, letra a)], «las categorías de los datos de carácter personal afectados […]» [artículo 83, apartado 2, letra g)] y «la forma en que [se] tuvo conocimiento de la infracción […]» [artículo 83, apartado 2, letra h)]. Estos otros elementos también deben, desde mi punto de vista, estar «presentes» en todos los casos: por ejemplo, la «naturaleza, gravedad y duración de la infracción» pueden diferir considerablemente de un asunto a otro (y, por lo tanto, pueden considerarse una razón «para» o «contra» la imposición de una multa). Sin embargo, en todos los casos habrá que tener en cuenta la naturaleza, cierta gravedad y cierta duración de la infracción. A mi modo de ver, esto constituye un primer indicio de que las multas administrativas se introdujeron en el artículo 83 del RGPD para imponerse únicamente en situaciones en las que la presunta infracción se cometió de forma intencionada o negligente. ( 38 )

71.

En segundo lugar, procede observar que, aunque el artículo 83, apartado 2, del RGPD no indica expresamente que la infracción deba haberse producido «de forma intencionada o negligente», no ocurre lo mismo con el apartado 3 de dicha disposición, que contiene una norma general que excluye la acumulación de multas administrativas. Dicho apartado se refiere únicamente a la situación en que la infracción o infracciones de que se trate se hayan producido «de forma intencionada o negligente».

72.

En mi opinión, de ello se desprende lógicamente que el artículo 83, apartado 2, del RGPD debe interpretarse en el sentido de que puede imponerse una multa únicamente si la presunta infracción se ha producido de forma intencionada o negligente. En efecto, si el ámbito de aplicación de los apartados 2 y 3 del artículo 83 del RGPD fuera diferente, sería posible imponer multas acumuladas por infracciones menos graves (es decir, las cometidas sin culpabilidad), ya que, aunque podrían dar lugar a la imposición de una multa con arreglo a la primera de estas dos disposiciones (artículo 83, apartado 2), no estarían comprendidas en la segunda (artículo 83, apartado 3). Sin embargo, no sucedería lo mismo con las infracciones cometidas de forma negligente o intencionada, ya que todas estas infracciones estarían sujetas a la norma de no acumulación prevista en el artículo 83, apartado 3, de dicho Reglamento. Tal resultado iría claramente en contra del principio básico del régimen sancionador establecido por el RGPD, consistente en que las infracciones graves deben, en principio, ser sancionadas más estrictamente que las menos graves, y no al revés.

73.

En tercer lugar, es preciso señalar que las multas impuestas con arreglo al artículo 83 del RGPD pueden dar lugar a sanciones severas. En efecto, el primer nivel, contemplado en el artículo 83, apartado 4, de dicho Reglamento, puede dar lugar a la imposición de multas de 10000000 de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. El segundo nivel prevé multas de 20000000 de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior (de nuevo, optándose por la de mayor cuantía).

74.

Por consiguiente, considero que las multas impuestas con arreglo al artículo 83 del RGPD persiguen una finalidad represiva, al menos en determinadas situaciones, ( 39 ) y presentan un grado de severidad elevado tal que pueden revestir un carácter penal ( 40 ) y, por lo tanto, estar comprendidas en el ámbito de aplicación del artículo 49 de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»). ( 41 )

75.

A la luz de esas consideraciones y, en particular, del carácter penal de las multas impuestas en virtud del artículo 83 del RGPD, podría resultar tentador alegar que permitir que dichas multas se impongan cuando no exista culpabilidad sería incompatible con el requisito previsto en el apartado 1 de esa disposición de que las multas sean, en todos los casos, no solo «efectivas» y «disuasorias», sino también «proporcionadas». En otras palabras, sería desproporcionado imponer multas en casos en los que ni siquiera se demuestre negligencia. Sin embargo, considero que se trata de un argumento difícilmente defendible, puesto que el Tribunal de Justicia ya ha declarado que un régimen sancionador basado en una responsabilidad objetiva, incluso de carácter penal, no es, en sí mismo, desproporcionado en relación con el fin perseguido, si dicho régimen incita a las personas de que se trate a cumplir lo dispuesto en un Reglamento y los objetivos revisten un interés general que puede justificar la implantación de tal régimen. ( 42 ) Además, el Tribunal Europeo de Derechos Humanos (TEDH) ha declarado, en relación con el artículo 7 del Convenio Europeo de Derechos Humanos (CEDH) (que se corresponde con el artículo 49 de la Carta), ( 43 ) que, si bien la sanción prevista en dicha disposición exige, en general, que exista un vínculo mental a través del cual pueda detectarse un elemento de responsabilidad en la conducta de la persona que cometió materialmente el delito, este requisito no excluye la existencia de determinadas formas de responsabilidad objetiva. ( 44 )

76.

Dicho esto, infiero de esta jurisprudencia que el mens rea se exige, por regla general, para imponer una sanción penal y que, por lo tanto, la responsabilidad objetiva constituye una especie de «excepción» a esta regla general, en la medida en que debe estar justificada a la luz de los objetivos perseguidos por el Reglamento.

77.

Considerando el RGPD en su conjunto, soy de la opinión de que el legislador de la Unión previó las multas administrativas como únicamente una de las herramientas proporcionadas en dicho instrumento para garantizar el cumplimiento efectivo. En efecto, las multas deben imponerse «a título adicional o sustitutivo de» las demás medidas enumeradas en el artículo 58, apartado 2, de dicho Reglamento, que confiere a las autoridades de control una serie de poderes correctivos (como el poder de sancionar con advertencias o con apercibimientos o de emitir órdenes). ( 45 ) Además, en las situaciones en las que no se imponga una multa administrativa en aplicación del artículo 83 del RGPD, las autoridades de control tienen la posibilidad de imponer otras sanciones de conformidad con el artículo 84 de dicho Reglamento. ( 46 )

78.

En mi opinión, de estas disposiciones se deduce claramente que, al adoptar dicho Reglamento, el legislador de la Unión no pretendió que toda infracción de las normas en materia de protección de datos se sancionara con una multa administrativa. Más bien pretendió establecer un sistema flexible y diferenciado de sanciones. Así lo confirma el considerando 148 del RGPD, que indica que las autoridades de control pueden abstenerse de imponer una multa administrativa, y en su lugar imponer un apercibimiento, en caso de «infracción leve, o si la multa que probablemente se impusiera constituyese una carga desproporcionada para una persona física». En este contexto, limitar la aplicación del artículo 83 del RGPD a situaciones en las que se acredite una negligencia, como requisito mínimo, está, a mi modo de ver, en consonancia con tales objetivos y con la lógica general de esas distintas disposiciones, con arreglo a las cuales la imposición de multas administrativas debe reservase a determinados tipos de incumplimientos.

79.

Asimismo, considero que, cuando el legislador de la Unión ha manifestado su voluntad de introducir una responsabilidad objetiva o presunta en el RGPD, lo ha hecho utilizando una formulación específica que aparece en el artículo 83 de este. Por ejemplo, por lo que respecta a la responsabilidad civil (es decir, la responsabilidad de los responsables y encargados del tratamiento frente a los interesados), que se establece en el artículo 82 del RGPD, el legislador de la Unión ha indicado que los responsables y encargados del tratamiento tienen la obligación estricta de indemnizar los daños y perjuicios que causen a los interesados, a menos que puedan probar que no son en modo alguno responsables del hecho que haya causado los daños y perjuicios. ( 47 ) El artículo 83 de dicho Reglamento, en cambio, no contiene una formulación similar a la del artículo 84 del RGPD. Esto, a mi parecer, confirma que el legislador de la Unión no pretendió establecer un sistema de multas basado en una responsabilidad objetiva o presunta.

80.

En cuarto lugar, y lo que quizá es más importante, considero que, en la práctica, el umbral de una infracción del RGPD por negligencia en el sentido del artículo 83, apartado 2, letra b), de dicho Reglamento es, en cualquier caso, tan bajo que es difícil contemplar situaciones en las que sea imposible imponer una multa por el mero hecho de que no concurra ese elemento. Por este motivo, considero que el mero hecho de que deba demostrarse dolo o culpa para imponer una multa con arreglo al artículo 83 de dicho Reglamento no pone en peligro el objetivo del legislador de la Unión de garantizar la aplicación efectiva de las normas de protección de datos que figura en él, sino todo lo contrario.

81.

Algunos han aducido, a este respecto, que el mero hecho de no tomar ninguna medida en una situación en la que el responsable o el encargado del tratamiento tiene simplemente dudas en cuanto a la legalidad del tratamiento efectuado constituye ya una aceptación deliberada de una posible infracción del RGPD y, en consecuencia, una negligencia grave. ( 48 ) Además, el Grupo de Trabajo del Artículo 29 ha sugerido que una infracción por negligencia equivale, en muchos aspectos, a una infracción «involuntaria», dado que, en su opinión, tal infracción puede existir cuando no hubo intención de cometer la infracción y el responsable o encargado del tratamiento se limitó a incumplir su obligación de diligencia. ( 49 ) En particular, ha indicado que incluso un mero y simple «error humano» ( 50 ) puede ser indicativo de negligencia.

82.

Me vienen a la mente dos conclusiones. En primer lugar, la línea entre una infracción cometida sin culpabilidad de forma completamente involuntaria y una infracción por negligencia es, de hecho, muy fina. Creo que las autoridades de control rara vez tendrán dificultades para encontrar elementos suficientes que indiquen que la presunta infracción se produjo al menos por negligencia. A este respecto, he de señalar que la doctrina ha indicado que «habida cuenta de las numerosas acciones de sensibilización […] para garantizar el cumplimiento del RGPD, es difícil imaginar […] infracciones del RGPD que no se hayan cometido, al menos, por negligencia». ( 51 ) Estoy plenamente de acuerdo, y he de recordar que el RGPD tiene específicamente por objeto garantizar que los responsables y encargados del tratamiento tengan conocimiento de las normas de protección de datos, lo que hace aún más difícil, en mi opinión, considerar que una infracción pueda producirse sin la más mínima culpabilidad (ni siquiera negligencia). ( 52 )

83.

En segundo lugar, este resultado parece perfectamente coherente con el objetivo principal del RGPD, que es garantizar un nivel uniforme y elevado de protección de las personas físicas dentro de la Unión. ( 53 ) En efecto, las multas tienen un efecto disuasorio. ( 54 ) Gracias al incentivo que establecen para que los responsables y encargados del tratamiento cumplan el RGPD, contribuyen globalmente a reforzar la protección de los interesados y constituyen, en consecuencia, un elemento clave para garantizar el respeto de sus derechos. ( 55 ) Desde mi punto de vista, de ello se desprende que, si bien no puede prescindirse de la «culpabilidad», el grado de culpabilidad exigido para que se aplique el artículo 83 de dicho Reglamento debe ser suficientemente bajo, con el fin de garantizar un nivel adecuado de protección de los interesados.

84.

Además, me gustaría subrayar que este enfoque que propongo que adopte el Tribunal de Justicia confirmaría también la equiparación del sistema de multas establecido por esta disposición con el previsto en el artículo 23, apartado 1, del Reglamento (CE) n.o 1/2003 ( 56 ) para las infracciones del Derecho de la competencia. El hecho de que este otro sistema de multas ha inspirado el tenor del artículo 83 del RGPD queda confirmado por el considerando 150 de este, que establece que «si las multas administrativas se imponen a una empresa, por tal debe entenderse una empresa con arreglo a los artículos 101 y 102 del TFUE», así como por otras similitudes entre estos dos sistema de multas, como el hecho de que en ambos sistemas la cuantía de las multas puede, en el caso de las empresas, basarse en su volumen de negocio. Es preciso observar también que varios de los factores enumerados en el artículo 83, apartado 2, del RGPD reflejan los que son pertinentes para determinar la cuantía de una multa por infracciones del Derecho de la competencia. ( 57 )

85.

Una vez expuestas las razones por las que considero que debe demostrarse la existencia de culpabilidad para que pueda imponerse una multa a un responsable o encargado del tratamiento con arreglo al artículo 83, apartado 2, del RGPD, me queda decir unas palabras sobre la línea de razonamiento expuesta por el Consejo y el Gobierno lituano. Según dichas partes, corresponde a los Estados miembros decidir si la culpabilidad es necesaria o no para que pueda imponerse una multa administrativa.

86.

Por mi parte, sencillamente no estoy de acuerdo con esa sugerencia.

87.

Me parece evidente que uno de los objetivos esenciales del RGPD y, en particular, de su artículo 83 es lograr un mayor nivel de armonización en toda la Unión en lo que respecta, concretamente, a la imposición de multas. ( 58 ) Como tal, soy de la opinión de que, contrariamente a lo aducido por el Consejo y el Gobierno lituano, el legislador de la Unión no pretendió que los Estados miembros dispusieran de un margen de apreciación sobre la exigencia o no de culpabilidad.

88.

Es cierto que la legislación nacional puede establecer requisitos adicionales en relación con el procedimiento que deben seguir las autoridades de control para imponer una multa (en relación con cuestiones como la notificación de la multa y los plazos de presentación de observaciones, recurso, ejecución y pago). ( 59 ) Esto se desprende claramente del artículo 83, apartado 8, del RGPD, que establece que el ejercicio por las autoridades de control de sus competencias sancionadoras estará «sujeto a garantías procesales adecuadas», que se establecerán en el Derecho nacional, siempre que se garantice el respeto del Derecho de la Unión (entre ellas, el derecho a la tutela judicial efectiva y a un proceso con todas las garantías).

89.

Sin embargo, este margen de apreciación no puede extenderse a los requisitos sustantivos que se aplican a la imposición de una multa, como el grado de culpabilidad. Desde mi punto de vista, esta conclusión se desprende directamente de varios considerandos de dicho Reglamento, ( 60 ) que indican que el sistema de multas administrativas establecido por el artículo 83 del RGPD fue concebido por el legislador de la Unión para lograr resultados coherentes en el territorio de la Unión.

90.

En aras de la exhaustividad, debo añadir que, dado que las multas tienen un fuerte impacto en la competencia entre empresas, así como repercusiones significativas en el mercado, es fundamental, bajo mi punto de vista, que el artículo 83 del RGPD se aplique de manera coherente, ya que, de lo contrario, podría contribuir realmente a introducir distorsiones de competencia entre empresas. ( 61 )

91.

Mediante la segunda parte de la sexta cuestión prejudicial, el órgano jurisdiccional remitente se pregunta, en esencia, si puede imponerse una multa a un responsable del tratamiento con arreglo al artículo 83 del RGPD en un contexto en el que el tratamiento ilícito de datos personales no fue realizado por el propio responsable del tratamiento, sino por un encargado del tratamiento (en el presente asunto, ITSS).

92.

En mi opinión, debe responderse afirmativamente a esta cuestión.

93.

A este respecto, es preciso recordar que, como he indicado en el punto 27 anterior, un responsable del tratamiento no necesita tratar por sí mismo ninguno de los datos personales, siempre que determine «el por qué y el cómo» de las operaciones de tratamiento de que se trate. He de añadir que el artículo 4, punto 8, del RGPD define al «encargado del tratamiento» como «la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento». ( 62 )

94.

Estas definiciones confirman, a mi parecer, que, en el contexto de la aplicación del RGPD, un responsable del tratamiento puede ser considerado responsable y, en consecuencia, ser multado, con arreglo al artículo 83 de dicho Reglamento, en una situación en la que los datos personales son objeto de un tratamiento ilícito y dicho tratamiento ilícito no ha sido realizado por el propio responsable del tratamiento, sino por un encargado del tratamiento. Esta posibilidad sigue vigente mientras dicho encargado del tratamiento trate datos personales por cuenta del responsable del tratamiento.

95.

Este será el caso mientras el encargado del tratamiento actúe en el ámbito del mandato que le ha conferido el responsable del tratamiento y trate los datos de conformidad con las instrucciones legales recibidas del responsable del tratamiento. ( 63 ) Sin embargo, si el encargado del tratamiento va más allá del ámbito de dicho mandato y utiliza para sus propios fines los datos recibidos como encargado del tratamiento, y está claro que las partes no son «corresponsables del tratamiento», en el sentido del artículo 4, punto 7, y del artículo 21, apartado 6, del RGPD, el responsable del tratamiento no puede, en mi opinión, ser multado con arreglo al artículo 83 de dicho Reglamento en relación con el tratamiento ilícito realizado. ( 64 )

96.

De ello se desprende que, en un asunto como el del litigio principal, puede imponerse una multa al NVSC, con arreglo al artículo 83 de RGPD, aun cuando los datos personales hayan sido tratados de manera ilícita únicamente por ITSS y el NVSC no haya participado en dicho tratamiento. Esta posibilidad existe siempre que pueda considerarse que dicha sociedad ha tratado datos personales por cuenta del NVSC, lo que no será el caso si ITSS actuó al margen de las instrucciones legales del NVSC o en contradicción con ellas y utilizó datos personales para sus propios fines, y queda claro que el NVSC e ITSS no actuaron como corresponsables del tratamiento.

97.

A la luz de lo anterior, propongo al Tribunal de Justicia que responda a las cuestiones prejudiciales planteadas por el Vilniaus apygardos administracinis teismas (Tribunal Regional de lo Contencioso-Administrativo de Vilna, Lituania) del siguiente modo: