This document is an excerpt from the EUR-Lex website
Document 62021CC0768
Opinion of Advocate General Pikamäe delivered on 11 April 2024.###
Conclusiones del Abogado General Sr. P. Pikamäe, presentadas el 11 de abril de 2024.
Conclusiones del Abogado General Sr. P. Pikamäe, presentadas el 11 de abril de 2024.
Court reports – general – 'Information on unpublished decisions' section
ECLI identifier: ECLI:EU:C:2024:291
Edición provisional
CONCLUSIONES DEL ABOGADO GENERAL
SR. PRIIT PIKAMÄE
presentadas el 11 de abril de 2024 (1)
Asunto C‑768/21
TR
contra
Land Hessen
[Petición de decisión prejudicial planteada por el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso-Administrativo de Wiesbaden, Alemania)]
«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 57, apartado 1, letras a) y f) — Funciones de la autoridad de control — Artículo 58, apartado 2 — Facultades de la autoridad de control — Artículo 77, apartado 1 — Derecho a presentar una reclamación — Violación de la seguridad de datos personales — Obligación de la autoridad de control de adoptar medidas»
I. Introducción
1. El objeto de la presente petición de decisión prejudicial planteada por el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso-Administrativo de Wiesbaden, Alemania), con arreglo al artículo 267 TFUE, es la interpretación de los artículos 57, apartado 1, letras a) y f), 58, apartado 2, y 77, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (2) (en lo sucesivo, «RGPD»).
2. Dicha petición se ha presentado en el contexto de un litigio entre TR y el Land Hessen (estado federado de Hesse, Alemania), representado por el Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Comisario de Protección de Datos y Libertad de Información del estado federado de Hesse; en lo sucesivo, «HBDI»), en relación con la negativa de este a emprender acciones contra la Sparkasse (Caja de Ahorros) por una violación de la seguridad de datos personales. El órgano jurisdiccional remitente se pregunta si la autoridad de control, cuando tiene conocimiento de un tratamiento de datos que vulnera los derechos del interesado, está obligada en todo caso a intervenir en el marco de las facultades que le confiere el artículo 58, apartado 2, del RGPD o si, en un caso concreto, puede —a pesar de la infracción— abstenerse de intervenir.
3. Este asunto suscita una serie de cuestiones jurídicas novedosas que exigen un examen minucioso. En esencia, el Tribunal de Justicia deberá pronunciarse sobre el papel que desempeñan los principios de legalidad y oportunidad en la práctica administrativa de las autoridades de control y, en particular, en el ejercicio de su función de controlar la aplicación del Reglamento y hacerlo aplicar. Los criterios interpretativos que elabore la jurisprudencia del Tribunal de Justicia influirán en esta práctica administrativa, contribuyendo así a la aplicación coherente del RGPD en la Unión.
II. Marco jurídico
4. Los considerandos 129, 141, 148 y 150 del RGPD establecen lo siguiente:
«(129) Para garantizar la supervisión y ejecución coherentes del presente Reglamento en toda la Unión, las autoridades de control deben tener en todos los Estados miembros las mismas funciones y poderes efectivos, incluidos poderes de investigación, poderes correctivos y sancionadores, y poderes de autorización y consultivos, especialmente en casos de reclamaciones de personas físicas, y sin perjuicio de las competencias de las autoridades encargadas de la persecución de los delitos con arreglo al Derecho de los Estados miembros para poner en conocimiento de las autoridades judiciales las infracciones del presente Reglamento y ejercitar acciones judiciales. Dichos poderes deben incluir también el poder de imponer una limitación temporal o definitiva al tratamiento, incluida su prohibición. Los Estados miembros pueden especificar otras funciones relacionadas con la protección de datos personales con arreglo al presente Reglamento. Los poderes de las autoridades de control deben ejercerse de conformidad con garantías procesales adecuadas establecidas en el Derecho de la Unión y los Estados miembros, de forma imparcial, equitativa y en un plazo razonable. En particular, toda medida debe ser adecuada, necesaria y proporcionada con vistas a garantizar el cumplimiento del presente Reglamento, teniendo en cuenta las circunstancias de cada caso concreto, respetar el derecho de todas las personas a ser oídas antes de que se adopte cualquier medida que las afecte negativamente y evitar costes superfluos y molestias excesivas para las personas afectadas. […]
[…]
(141) Todo interesado debe tener derecho a presentar una reclamación ante una autoridad de control única, en particular en el Estado miembro de su residencia habitual, y derecho a la tutela judicial efectiva de conformidad con el artículo 47 de la Carta si considera que se vulneran sus derechos con arreglo al presente Reglamento o en caso de que la autoridad de control no responda a una reclamación, rechace o desestime total o parcialmente una reclamación o no actúe cuando sea necesario para proteger los derechos del interesado. La investigación a raíz de una reclamación debe llevarse a cabo, bajo control judicial, si procede en el caso concreto. La autoridad de control debe informar al interesado de la evolución y el resultado de la reclamación en un plazo razonable. […]
[…]
(148) A fin de reforzar la aplicación de las normas del presente Reglamento, cualquier infracción de este debe ser castigada con sanciones, incluidas multas administrativas, con carácter adicional a medidas adecuadas impuestas por la autoridad de control en virtud del presente Reglamento, o en sustitución de estas. En caso de infracción leve, o si la multa que probablemente se impusiera constituyese una carga desproporcionada para una persona física, en lugar de sanción mediante multa puede imponerse un apercibimiento. Debe no obstante prestarse especial atención a la naturaleza, gravedad y duración de la infracción, a su carácter intencional, a las medidas tomadas para paliar los daños y perjuicios sufridos, al grado de responsabilidad o a cualquier infracción anterior pertinente, a la forma en que la autoridad de control haya tenido conocimiento de la infracción, al cumplimiento de medidas ordenadas contra el responsable o encargado, a la adhesión a códigos de conducta y a cualquier otra circunstancia agravante o atenuante. […]
[…]
(150) A fin de reforzar y armonizar las sanciones administrativas por infracción del presente Reglamento, cada autoridad de control debe estar facultada para imponer multas administrativas. El presente Reglamento debe indicar las infracciones así como el límite máximo y los criterios para fijar las correspondientes multas administrativas, que la autoridad de control competente debe determinar en cada caso individual teniendo en cuenta todas las circunstancias concurrentes en él, atendiendo en particular a la naturaleza, gravedad y duración de la infracción y sus consecuencias y a las medidas tomadas para garantizar el cumplimiento de las obligaciones impuestas por el presente Reglamento e impedir o mitigar las consecuencias de la infracción. […]»
5. El artículo 33, apartado 1, del Reglamento dispone lo siguiente:
«En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. […]»
6. El artículo 34, apartado 1, de dicho Reglamento establece:
«Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.»
7. El artículo 57, apartado 1, del Reglamento dispone:
«Sin perjuicio de otras funciones en virtud del presente Reglamento, incumbirá a cada autoridad de control, en su territorio:
a) controlar la aplicación del presente Reglamento y hacerlo aplicar;
[…]
(f) tratar las reclamaciones presentadas por un interesado o por un organismo, organización o asociación de conformidad con el artículo 80, e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control».
8. En virtud del artículo 58 del RGPD:
«1. Cada autoridad de control dispondrá de todos los poderes de investigación indicados a continuación:
a) ordenar al responsable y al encargado del tratamiento y, en su caso, al representante del responsable o del encargado, que faciliten cualquier información que requiera para el desempeño de sus funciones;
[…]
2. Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:
a) sancionar a todo responsable o encargado del tratamiento con una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el presente Reglamento;
b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;
c) ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento;
d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado;
e) Ordenar al responsable del tratamiento que notifique al interesado la violación de sus datos personales;
f) ordenar al responsable del tratamiento que comunique al interesado las violaciones de la seguridad de los datos personales;
[…]
i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso particular;
[…]»
9. El artículo 77 del Reglamento establece:
«1. Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento.
2. La autoridad de control ante la que se haya presentado la reclamación informará al reclamante sobre el curso y el resultado de la reclamación, inclusive sobre la posibilidad de acceder a la tutela judicial en virtud del artículo 78.»
10. El artículo 78, apartados 1 y 2, de dicho Reglamento dispone:
«1. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica tendrá derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna.
2. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, todo interesado tendrá derecho a la tutela judicial efectiva en caso de que la autoridad de control que sea competente en virtud de los artículos 55 y 56 no dé curso a una reclamación o no informe al interesado en el plazo de tres meses sobre el curso o el resultado de la reclamación presentada en virtud del artículo 77.»
11. El artículo 83 del RGPD establece, en sus apartados 1 y 2:
«1. Cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al presente artículo por las infracciones del presente Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias.
2. Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.»
III. Hechos que originaron el litigio, procedimiento principal y cuestión prejudicial
12. La Sparkasse es una entidad municipal de Derecho público que realiza, entre otras, operaciones bancarias y de crédito. El 15 de noviembre de 2019, notificó al HBDI una violación de la seguridad de datos personales, de conformidad con el artículo 33 del RGPD, ya que una de sus empleadas había consultado en varias ocasiones los datos personales de TR, cliente de la Sparkasse, sin estar autorizado para ello. Al considerar que no se trataba de una violación de la seguridad de datos personales que pudiera entrañar un alto riesgo para TR, la Sparkasse se abstuvo de notificársela con arreglo al artículo 34 del RGPD.
13. Tras tener conocimiento de este incidente, TR escribió al HBDI el 27 de julio de 2020, denunciando una infracción del artículo 34 del RGPD y criticando el breve período de conservación de tres meses del registro de acceso de Sparkasse y los amplios derechos de consulta de los que disfrutaba cualquier miembro de su personal.
14. En el curso del procedimiento ante el HBDI, la Sparkasse declaró que su delegado de protección de datos había considerado que no existía ningún riesgo para TR, dado que se habían tomado medidas disciplinarias contra la empleada en cuestión y que esta había confirmado por escrito que no había copiado ni conservado los datos de los que había tenido conocimiento, que no los había comunicado a terceros y que no lo haría en el futuro. Además, la Sparkasse iba a reconsiderar el período de conservación de los datos de acceso.
15. Mediante resolución de 3 de septiembre de 2020, el HBDI informó a TR de que, en ese caso, la Sparkasse no había infringido el artículo 34 del RGPD. Según esta autoridad, la decisión que debía adoptarse en virtud de dicha disposición era provisional. Conforme a la normativa en materia de control de protección de datos, era necesario examinar si la decisión era manifiestamente errónea. La Sparkasse había explicado que, pese a que se habían consultado los datos, nada indicaba que la empleada que los había consultado los hubiera transmitido a terceros o utilizado en perjuicio de TR. Por lo tanto, no era probable que existiera un riesgo elevado. Además, se había instado a la Sparkasse a que ampliara el plazo de conservación de los registros de acceso. En opinión del HBDI, no era necesario comprobar sistemáticamente cada acceso, ya que en principio podían concederse amplios derechos de acceso si se tenía la certeza de que cada usuario había sido informado de las condiciones en las que se podía acceder a los diferentes tipos de datos.
16. TR recurrió la resolución de 3 de septiembre de 2020 ante el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso-Administrativo de Wiesbaden), órgano jurisdiccional remitente, solicitándole que ordenara al HBDI actuar contra la Sparkasse.
17. En apoyo de su recurso, TR alega que el HBDI no dio curso a su reclamación como exige el RGPD. Afirma que tiene derecho a que se dé curso a su reclamación y a ser informado del resultado. A su juicio, el HBDI estaba obligado a investigar las circunstancias de hecho en las que la Sparkasse evaluó lo riesgos, sin limitarse a las medidas expresamente solicitadas, y debería haber impuesto multas a la Sparkasse. Según TR, en caso de infracción probada, no es aplicable el principio de oportunidad, por lo que el HBDI no era libre de decidir si intervenía o no, sino, a lo sumo, de elegir las medidas que se proponía adoptar.
18. El tribunal remitente afirma que, en el caso de autos, el HBDI, como autoridad de control, llegó a la conclusión de que, aunque se había producido una infracción de la normativa en materia de protección de datos, no era necesario actuar en virtud del artículo 58, apartado 2, del RGPD. Sin embargo, este planteamiento solo sería coherente si la autoridad de control no estuviera obligada a intervenir aunque se demostrara una infracción de la normativa sobre protección de datos. Si se siguiera la opinión de TR de que la autoridad de control carece de discrecionalidad, lo cierto es que existiría un derecho a que esta actuara y adoptara medidas correctivas en caso de infracción probada y que, en cualquier caso, la autoridad de control tendría que tomar medidas. En caso de negativa, el tribunal tendría que imponer una medida o una serie de medidas a la autoridad de control.
19. El tribunal remitente afirma que este argumento, que también defiende parte de la doctrina, se basa en que la finalidad de las facultades de adoptar las medidas correctivas previstas en el artículo 58, apartado 2, del RGPD es restablecer situaciones conformes cuando el tratamiento de datos vulnera los derechos de los ciudadanos. Así pues, esta disposición debe entenderse como una fuente de obligaciones que constituye el fundamento del derecho de un ciudadano a que las autoridades actúen cuando una empresa o una autoridad hayan tratado ilegalmente los datos personales del ciudadano o hayan vulnerado sus derechos de otro modo. En caso de violación probada de la seguridad de los datos, la autoridad de control estaría obligada a adoptar medidas correctivas, quedando como única facultad discrecional la de elegir cuál de las medidas previstas adoptar.
20. Sin embargo, el tribunal remitente duda de esta interpretación y la considera demasiado amplia. Se inclina más bien a reconocer que la autoridad de control dispone de un margen de maniobra que le permite también abstenerse de imponer sanción alguna en caso de infracciones probadas. De hecho, el artículo 57, apartado 1, letra f), del RGPD establece únicamente que la autoridad de control ante la que se formule una reclamación investigará, en la medida oportuna, el motivo de la reclamación e informará al reclamante sobre el curso y el resultado de la investigación en un plazo razonable. Por lo tanto, la autoridad de control tendría la obligación de llevar a cabo un examen minucioso del fondo de la cuestión y de examinar cada caso individual, pero de ello no se deduce que deba intervenir siempre y de forma absoluta en caso de infracción probada.
21. En tales circunstancias, el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso-Administrativo de Wiesbaden) decidió suspender el procedimiento y plantear al Tribunal de Justicia la siguiente cuestión prejudicial:
«¿Deben interpretarse los artículos 57, apartado 1, letras a) y f), y 58, apartado 2, letras a) a j), en relación con el artículo 77, apartado 1, del [RGPD], en el sentido de que, cuando la autoridad de control constate actividades de tratamiento de datos que vulneran los derechos del interesado, estará obligada siempre a intervenir con arreglo al artículo 58, apartado 2, [de dicho Reglamento]?»
IV. Procedimientos ante el Tribunal de Justicia
22. La resolución de remisión de 10 de diciembre de 2021 se recibió en la Secretaría del Tribunal de Justicia el 14 de diciembre de 2021.
23. Las partes en el procedimiento principal, los Gobiernos austriaco, portugués, rumano y noruego y la Comisión Europea presentaron observaciones escritas en el plazo señalado en el artículo 23 del Estatuto del Tribunal de Justicia de la Unión Europea.
24. En la reunión general de 16 de enero de 2024, el Tribunal de Justicia decidió no celebrar vista.
V. Análisis jurídico
A. Observaciones preliminares
25. Desde la entrada en vigor del RGPD, numerosas entidades han tenido que poner en marcha una serie de medidas para cumplir la nueva normativa sobre el tratamiento de datos personales. Si incumplen estas medidas, se exponen a sanciones de diversa gravedad en función de la gravedad de la infracción. Las multas administrativas constituyen el núcleo del régimen de aplicación establecido por el RGPD. Son una parte eficaz del conjunto de instrumentos a disposición de las autoridades de control, junto con los demás medios disponibles en virtud del artículo 58, apartado 2, del RGPD. Dado que el RGPD permite a las autoridades de control imponer multas a veces muy elevadas, parece conveniente, en aras de la seguridad jurídica, aclarar qué circunstancias justifican la aplicación de esta medida correctiva. Así pues, las presentes conclusiones pretenden ser una contribución a este objetivo.
26. Mis conclusiones del presente asunto empiezan, por así decirlo, donde terminan las conclusiones que presenté en los asuntos acumulados C‑26/22 y C‑64/22 (SCHUFA Holding) (en lo sucesivo, «asuntos SCHUFA»). (3) Mientras que en aquellos asuntos expliqué las obligaciones de la autoridad de control cuando investigan una reclamación en virtud del artículo 77 del RGPD, en el presente caso abordaré sus obligaciones cuando constata una violación de datos personales, así como su facultad de adoptar medidas correctivas, incluida la imposición de multas administrativas. Por último, examinaré si el RGPD establece la obligación por parte de la autoridad de control de imponer dicha multa en todos los casos o, al menos, cuando el reclamante así lo exija expresamente. Tras un resumen de mi análisis, responderé a la cuestión planteada por el órgano jurisdiccional remitente, relativa a la posibilidad de que la autoridad de control deniegue la adopción de medidas correctivas.
B. Admisibilidad de la petición de decisión prejudicial
27. Sin embargo, antes de examinar todos estos aspectos, es necesario abordar la pretensión de TR de que se declare la inadmisibilidad de la petición de decisión prejudicial. Más concretamente, TR alega que no es necesaria una respuesta a la cuestión prejudicial para resolver el litigio principal. Su recurso solo tiene por objeto que el tribunal remitente condene al HBDI a pronunciarse sobre las alegaciones formuladas en la reclamación presentada ante él, y no que se condene al HBDI a ejercer las facultades que le confiere el artículo 58, apartado 2, del RGPD.
28. A este respecto, debe recordarse que, en el marco de la cooperación entre el Tribunal de Justicia y los órganos jurisdiccionales nacionales establecida en el artículo 267 TFUE, corresponde exclusivamente al órgano jurisdiccional nacional que conoce del litigio y debe asumir la responsabilidad de la decisión jurisdiccional que debe adoptarse apreciar, a la luz de las particularidades del asunto, tanto la necesidad de una decisión prejudicial para poder dictar su sentencia como la pertinencia de las cuestiones que plantea al Tribunal de Justicia. Por consiguiente, cuando las cuestiones planteadas se refieren a la interpretación del Derecho de la Unión, el Tribunal de Justicia está, en principio, obligado a pronunciarse. (4)
29. De ello se desprende que las cuestiones sobre la interpretación del Derecho de la Unión planteadas por el juez nacional en el marco fáctico y normativo definido bajo su responsabilidad y cuya exactitud no corresponde verificar al Tribunal de Justicia disfrutan de una presunción de pertinencia. El Tribunal de Justicia solo puede abstenerse de pronunciarse sobre una cuestión planteada por un órgano jurisdiccional nacional cuando resulte evidente que la interpretación del Derecho de la Unión que solicitada no guarda relación alguna ni con la realidad ni con el objeto del litigio principal, cuando el problema sea de naturaleza hipotética o cuando el Tribunal de Justicia no disponga de los elementos de hecho o de Derecho necesarios para dar una respuesta útil a las cuestiones que se le hayan planteado. (5)
30. En el presente asunto, el órgano jurisdiccional remitente, al tiempo que exponía claramente las razones por las que albergaba dudas sobre la interpretación de las disposiciones del Derecho de la Unión mencionadas en su cuestión prejudicial, ha señalado que la respuesta a dicha cuestión era determinante para resolver el litigio principal, en la medida en que TR había solicitado que el HBDI actuara contra la Sparkasse. Como se desprende de la fundamentación de la petición de decisión prejudicial, TR había invocado el «derecho» a exigir dicha actuación. En particular, en opinión de TR, «el HBDI debería haber impuesto multas a la Sparkasse». En este contexto el tribunal remitente se refiere a los cálculos realizados por TR para determinar el importe de las multas que debían imponerse.
31. Toda esa información, facilitada por el propio tribunal remitente, contradice claramente las alegaciones de TR en cuanto a la supuesta inadmisibilidad de la petición de decisión prejudicial. En tales circunstancias, no cabe, a mi juicio, duda alguna de que la cuestión prejudicial planteada por el órgano jurisdiccional remitente es necesaria para la resolución del litigio. Es, en efecto, esencial para determinar el alcance de las competencias de la autoridad de control y sus obligaciones para con el demandante. En consecuencia, la petición de decisión prejudicial es admisible.
C. Examen de la cuestión prejudicial
32. En cuanto al fondo, la cuestión prejudicial pretende, en esencia, que se dilucide cuáles son las obligaciones de la autoridad de control cuando ha tenido conocimiento de una violación de la seguridad de datos personales. Por lo general, este supuesto presupone que la violación en cuestión se ha comprobado en el curso de una investigación abierta a raíz de una reclamación.
33. Lo expuesto por el tribunal remitente revela cierta vaguedad en lo que respecta a las obligaciones que el RGPD impone a la autoridad de control cuando examina una reclamación, lo que se explica, en mi opinión, por el hecho de que la petición de decisión prejudicial se remitió antes de que se dictara sentencia en los asuntos acumulados C‑26/22 y C‑64/22 (SCHUFA Holding) (en los sucesivo, «sentencia SCHUFA»), (6) en la que el Tribunal de Justicia estableció una serie de principios importantes que rigen el procedimiento de reclamación. Por lo tanto, es razonable suponer que el tribunal remitente no ha tenido la posibilidad de conocer dicha jurisprudencia.
34. Para presentar de la forma más completa posible el marco jurídico del régimen de control establecido por el RGPD y dar una respuesta útil al tribunal remitente, creo que es esencial recordar, en primer lugar, los principios aplicables al procedimiento de reclamación y explicar, (7) en segundo lugar, cómo debe proceder una autoridad de control cuando ha detectado una violación de datos personales. (8)
1. Sobre las obligaciones de la autoridad de control al tramitar una reclamación
35. Como señaló el Tribunal de Justicia en la sentencia citada, conforme al artículo 8, apartado 3, de la Carta y a los artículos 51, apartado 1, y 57, apartado 1, letra a), del RGPD, las autoridades nacionales de control están encargadas del control del cumplimiento de las reglas de la Unión para la protección de las personas físicas en lo que respecta al tratamiento de datos personales. (9)
36. En particular, en virtud del artículo 57, apartado 1, letra f), del RGPD, incumbe a cada autoridad de control, dentro de su territorio, tratar las reclamaciones que cualquier persona, de conformidad con el artículo 77, apartado 1, del Reglamento, pueda presentar si considera que el tratamiento de datos personales que le conciernen infringe el RGPD, e investigar, en la medida oportuna, el motivo de la reclamación. (10)
37. La autoridad de control debe proceder al tratamiento de esas reclamaciones con toda la diligencia exigible. El Tribunal de Justicia también señaló que, para permitirles tratar las reclamaciones presentadas, el artículo 58, apartado 1, del RGPD confiere a cada autoridad de control amplias facultades de investigación. (11)
38. En este contexto, cabe señalar que el Tribunal de Justicia hizo suya la interpretación que propuse en mis conclusiones presentadas en aquel asunto, según la cual el procedimiento de reclamación, que no se asemeja al de una petición, está concebido como un mecanismo adecuado para proteger de manera eficaz los derechos y los intereses de las personas afectadas. (12)
39. Por último, cabe señalar que el Tribunal de Justicia también compartió mi interpretación del artículo 78, apartado 1, del RGPD, al declarar que la decisión relativa a una reclamación adoptada por una autoridad de control está sujeta a un control jurisdiccional pleno. (13)
2. Sobre las obligaciones de la autoridad de control cuando comprueba una violación de la seguridad de los datos personales
40. Cuando la autoridad de control comprueba que se ha producido una violación de la seguridad de los datos personales en el curso de la investigación de una denuncia, se plantea la cuestión de cómo debe proceder. Como explicaré a continuación, la constatación de la infracción determina, en primer lugar, la obligación a cargo de la autoridad de control de intervenir en interés del principio de legalidad. En términos generales, se trata de definir la(s) medida(s) correctiva(s) más adecuada(s) para remediar la infracción. (14) Esta interpretación me parece razonable, dado que el artículo 57, apartado 1, letra a), del RGPD encomienda a la autoridad la tarea de «controlar la aplicación del […] Reglamento» y «hacerlo aplicar». Sería incompatible con este cometido que la autoridad de control pudiera ignorar sin más la infracción apreciada. (15)
41. Además, las facultades de investigación de que dispone la autoridad de control en virtud del artículo 58, apartado 1, del RGPD de poco valdrían si esta debiera limitarse a llevar a cabo una investigación a pesar de haber comprobado una vulneración de los derechos sobre los datos personales. En efecto, la aplicación del Derecho de la Unión en materia de protección de datos personales es un componente esencial del concepto de «control» al que se refieren el artículo 16 TFUE, apartado 2, y el artículo 8, apartado 3, de la Carta. (16) En este contexto, no hay que olvidar que la autoridad de control también actúa en interés de la persona o entidad cuyos derechos han sido vulnerados. A este respecto, cabe señalar que los artículos 57, apartado 1, letra f), y 77, apartado 2, del RGPD imponen obligaciones para con el reclamante, como informarle «sobre el curso y el resultado de la reclamación».
42. Esta última frase implica que la autoridad de control también debe dar cuenta al reclamante de las medidas adoptadas en relación con la violación de la seguridad de datos personales que haya detectado. Es evidente que el procedimiento de reclamación no serviría de nada si la autoridad de control pudiera permanecer pasiva ante una situación jurídica contraria al Derecho de la Unión. Por esta razón, para dotar a la autoridad de control de un medio eficaz para hacer frente a este tipo de infracciones, el artículo 58, apartado 2, del RGPD establece una lista de medidas correctivas, graduadas en función de la intensidad de la intervención. La obligación de intervenir en todos los casos, independientemente de la gravedad de la infracción, significa que la autoridad de control debe hacer uso de este catálogo de medidas correctivas para restablecer una situación conforme con el Derecho de la Unión. (17)
3. La facultad de la autoridad de control de adoptar medidas correctivas
43. Dicho esto, cabe señalar que la cuestión de «si» la autoridad debe intervenir en caso de violación de la seguridad de datos personales debe distinguirse claramente de la cuestión de «cómo» debe actuar en la práctica. Por lo que respecta a esta última cuestión, hay varios indicios de que la autoridad de control dispone de cierto margen de maniobra, que, no obstante, debe ejercer de conformidad con los objetivos del RGPD y dentro de los límites establecidos por este. Aunque ya formulé algunos argumentos en apoyo de esta interpretación en los asuntos SCHUFA, (18) me parece necesario abordar esta cuestión detenidamente en las presentes conclusiones.
44. De entrada, hay que señalar que, en virtud del artículo 58, apartado 2, del RGPD, la autoridad de control «dispondrá de […] los poderes» para adoptar todas las medidas enumeradas en dicha disposición, lo que significa, en primer lugar, la existencia de una opción, como señala acertadamente el tribunal remitente. Además, esta connotación se encuentra en todas las versiones lingüísticas que he examinado en mi análisis. (19)
45. El artículo 58, apartado 2, del RGPD debe interpretarse en relación con el considerando 129 del RGPD, que establece que «toda medida debe ser adecuada, necesaria y proporcionada con vistas a garantizar el cumplimiento del presente Reglamento, teniendo en cuenta las circunstancias de cada caso concreto». En otras palabras, el «poder» conferido a la autoridad de control para utilizar el catálogo de recursos a que se refiere esta disposición está sujeto a una serie de requisitos, entre ellos que la medida adoptada por la autoridad sea «adecuada». Interpreto este concepto jurídico indeterminado, que deja a la autoridad un margen de maniobra, en el sentido de que la medida elegida, por sus propiedades y su modo de acción, ha de permitir restablecer una situación conforme con el Derecho de la Unión. (20)
46. Esta interpretación está en consonancia con la jurisprudencia del Tribunal de Justicia, que ha declarado que, cuando una autoridad de control constata que el tratamiento de datos personales ha constituido una infracción del RGPD, «está obligada a reaccionar de modo adecuado con el fin de subsanar la insuficiencia constatada». (21) Como señala la Comisión, la obligación de la autoridad de control se refiere, por tanto, ante todo al resultado que debe alcanzarse, es decir, subsanar la infracción constatada mediante la adopción de la medida «adecuada» a tal fin. Además, cabe señalar que la decisión sobre la medida que debe adoptarse depende de las circunstancias concretas de cada caso, como se desprende del considerando 129 del citado RGPD. Por consiguiente, las decisiones adoptadas por la autoridad de control en el marco de su práctica administrativa pueden variar considerablemente de un caso a otro, en función de cada situación.
47. El artículo 58, apartado 2, del RGPD se limita a establecer que cada autoridad de control «dispondrá de todos los siguientes poderes» para adoptar todas las medidas correctivas enumeradas en dicha disposición, de manera que la autoridad de control dispone de un margen de apreciación y es libre de elegir entre esas medidas correctivas para poner remedio a la infracción constatada. Como subrayó el Tribunal de Justicia en la sentencia dictada en el asunto C‑311/18 (Facebook Ireland y Schrems), «la elección del medio adecuado y necesario corresponde a la autoridad de control», que debe decidir tomando en consideración todas las circunstancias del caso concreto. (22)
48. El reconocimiento de un margen de discrecionalidad implica también, en mi opinión, la facultad de no adoptar ninguna de las medidas correctivas previstas en el artículo 58, apartado 2, del RGPD cuando tal proceder esté justificado por las circunstancias del caso concreto. En efecto, dado que para tomar medidas correctivas también es necesario que la medida en cuestión sea «necesaria» para hacer que se aplique el RGPD, no puede descartarse que una intervención concreta por parte de la autoridad de control no cumpla este requisito, por ejemplo si entretanto el problema se ha resuelto o superado y la infracción ha dejado de existir. Evidentemente, la intervención de la autoridad de control carecería de sentido en tales circunstancias.
49. Del mismo modo, como señala acertadamente el Gobierno portugués, la adopción de medidas correctivas puede dejar de estar justificada si la conducta del responsable o del encargado del tratamiento es reprochable en una medida manifiestamente baja, o si las circunstancias del caso son en sí mismas atenuantes, en particular por existir corresponsabilidad del reclamante. Sin embargo, esto presupone que la autoridad de control está facultada para fijar un umbral por debajo del cual una intervención no se considera «necesaria» a efectos del RGPD.
50. En este contexto, me gustaría poner de relieve el considerando 141 del RGPD, que se refiere expresamente a la posibilidad de que la autoridad de control decida no actuar en los casos en que considere que la acción no es «necesaria» para garantizar la protección de los derechos del interesado («en caso de que […] no actúe cuando sea necesario»). Este considerando especifica que la decisión de la autoridad de control también está sujeta a control judicial en caso de que el reclamante no comparta la apreciación de la autoridad de control sobre la «necesidad» de actuar, además de los demás casos enumerados en dicho considerando, es decir, cuando se vulneren los derechos que el RGPD reconoce al reclamante o en caso de que la autoridad de control no responda a una reclamación, rechace o desestime total o parcialmente una reclamación o no actúe cuando sea necesario.
51. La discrecionalidad concedida a la autoridad de control en virtud del artículo 58, apartado 2, del RGPD significa que las infracciones leves también pueden remediarse mediante otras medidas adoptadas por el propio responsable del tratamiento. Como demuestran las circunstancias del presente caso, las medidas correctivas que pueden adoptar «autónomamente» las empresas responsables pueden consistir en la imposición de medidas disciplinarias contra los empleados que hayan cometido infracciones. En circunstancias en las que se ha aceptado la responsabilidad de la infracción y se ha garantizado que no se producirá una nueva violación de la seguridad de los datos, la imposición de nuevas medidas correctivas por parte de la autoridad de control puede parecer innecesaria.
52. En ocasiones, puede ser incluso contraproducente utilizar las facultades correctivas contra un responsable del tratamiento cuando no sea ni adecuado ni necesario. Si la autoridad de control estuviera obligada a utilizar las facultades correctivas previstas en el artículo 58, apartado 2, del RGPD en todos los casos de infracción, el resultado sería una reducción de los recursos disponibles para el seguimiento de otros casos y funciones que merecen más atención desde la perspectiva de la protección de datos. Por este motivo, considero que la adopción de medidas «autónomas» adoptadas por el propio responsable del tratamiento permitiría a la autoridad de control centrarse en los casos graves que merecen prioridad, garantizando al mismo tiempo una lucha continua pero descentralizada contra las violaciones de la seguridad datos personales, concretamente mediante una delegación parcial de sus funciones.
53. Si la autoridad de control opta por no aplicar las medidas correctivas previstas en el artículo 58, apartado 2, del RGPD, favoreciendo, en cambio, la adopción de medidas «autónomas» por el responsable del tratamiento, me parece indispensable que se cumplan determinados requisitos legales. En primer lugar, la autoridad de control debe dar su consentimiento expreso a la medida para evitar que se eluda el régimen de control establecido por el RGPD. En segundo lugar, dicho consentimiento debe ir precedido de un examen riguroso de la situación con respecto a los requisitos mencionadas en el considerando 129 del RGPD, para no eximir a la autoridad de control de su responsabilidad de hacer que se aplique el Reglamento. En tercer lugar, el acuerdo con la entidad que va a ejecutar la medida autónoma debe prever el derecho de la autoridad de control a intervenir si no se cumplen sus instrucciones. Si el Tribunal de Justicia siguiera esta interpretación y considerara que tales medidas «autónomas» son, en principio, conformes con el RGPD, creo que también debería insistir en la necesidad de cumplir los requisitos anteriores en aras de la coherencia del sistema de control.
54. Dado que el artículo 58, apartado 2, del RGPD otorga a la autoridad de control una facultad discrecional en cuanto a la elección de la medida correctiva «adecuada» en el caso concreto, es lógico excluir cualquier derecho del reclamante a exigir la adopción de una medida específica. Aunque el reclamante tiene ciertos derechos frente a la autoridad de control en este procedimiento, en particular el derecho a ser informado del progreso y el resultado de la investigación en un plazo razonable, estos no incluyen el derecho a exigir la adopción de una medida específica.
55. El hecho de que el reclamante disfrute del derecho a un recurso judicial efectivo contra una autoridad de control, de conformidad con el artículo 78 del RGPD, tampoco permite deducir tal derecho, ya que la principal obligación de la autoridad para con el reclamante en el procedimiento de denuncia es motivar de forma suficientemente precisa y detallada su decisión de intervenir o no en el caso concreto, teniendo en cuenta las constataciones realizadas durante la investigación llevada a cabo por la autoridad.
56. Además, debe tenerse en cuenta que, de conformidad con el artículo 78, apartado 2, del RGPD, puede interponerse un recurso judicial en el caso de que la autoridad de control competente no dé curso a la reclamación o no informe al interesado en el plazo de tres meses sobre el curso o el resultado de la reclamación presentada en virtud del artículo 77 del RGPD. Pues bien, cabe señalar que ninguno de los motivos mencionados indica que el interesado tenga un derecho subjetivo a solicitar la adopción de una medida específica en el contexto de un recurso judicial.
57. Lo mismo se aplica a la posibilidad, contemplada en el considerando 141 del RGPD, de impugnar, mediante un recurso judicial, la apreciación de la autoridad de control sobre la «necesidad» de adoptar medidas para proteger los derechos del interesado. Aunque sea el tribunal competente quien determine, en definitiva, la «necesidad» de actuar en un caso concreto, esto no significa necesariamente que la autoridad de control tenga que adoptar una medida concreta. Más bien, estaría obligada a ejercer su facultad discrecional, en su caso, teniendo en cuenta la apreciación efectuada por dicho tribunal.
58. Dicho esto, cabe señalar que también es posible que la autoridad de control, como órgano administrativo, se vea obligada a adoptar una medida concreta debido a las circunstancias específicas del caso, en particular cuando exista un riesgo grave de que los derechos fundamentales del interesado se vean afectados negativamente. Me referí específicamente a este supuesto en mis conclusiones presentadas en los asuntos SCHUFA. (23) Así pues, la presente petición de decisión prejudicial brinda la oportunidad de desarrollar este punto.
59. A este respecto, ha de recordarse, en primer lugar, la sentencia dictada en el asunto C‑311/18 (Facebook Ireland y Schrems), en la que el Tribunal de Justicia dejó entrever que puede darse efectivamente tal situación. Más concretamente, el Tribunal de Justicia declaró que la autoridad de control está obligada, en su caso, a adoptar algunas de las medidas enumeradas en el artículo 58, apartado 2, del RGPD, en particular cuando considere que la protección exigida por el Derecho de la Unión no puede garantizarse mediante otros medios. Por consiguiente, en esta medida, el margen de apreciación de la autoridad de control se limita a algunas o incluso, en su caso, a una de las medidas contempladas en dicha disposición. (24)
60. Como señala acertadamente el Gobierno austriaco, puede haber multitud de casos similares que requieran la adopción de una medida correctiva específica, por ejemplo cuando la autoridad de control compruebe, en el marco de un procedimiento de reclamación, que existe una obligación de supresión de datos personales y que el responsable del tratamiento aún no ha suprimido los datos. En la situación descrita, la autoridad de control estará obligada, en cualquier caso, de conformidad con el artículo 58, apartado 2, letra g), del RGPD, a ordenar la supresión de los datos personales.
61. Los ejemplos mencionados en los puntos anteriores muestran que no puede excluirse que, en función de las circunstancias específicas del caso concreto, el restablecimiento de una situación conforme con el Derecho de la Unión solo pueda lograrse mediante la adopción de una medida correctiva específica. En particular, soy de la opinión de que, en circunstancias en las que de otro modo existiría un riesgo de vulneración grave de los derechos del interesado, la facultad de apreciación de la autoridad de control podría limitarse a la adopción de la única medida adecuada para proteger los derechos de esa persona.
62. Cualquier otra interpretación sería, en mi opinión, incompatible con la obligación de garantizar el respeto de los derechos fundamentales reconocidos por la Carta, a la que están sujetas las autoridades de los Estados miembros cuando aplican el Derecho de la Unión, de conformidad con el artículo 51, apartado 1, de la Carta. Esta obligación incumbe también a las autoridades de control, como se desprende del artículo 58, apartado 4, del RGPD. (25) Visto así, es razonable sostener que el Derecho de la Unión concede al interesado un derecho subjetivo a exigir que la autoridad adopte la medida en cuestión. Sin embargo, he de destacar que no veo, en el presente caso, indicios de que se cumplan los requisitos para tal limitación de la discrecionalidad de la autoridad de control.
63. En resumen, cabe señalar que una autoridad de control ante la que se ha presentado una reclamación en virtud del artículo 77 del RGPD está obligada, cuando constata una vulneración de los derechos del interesado, a adoptar las medidas adecuadas para subsanar las deficiencias persistentes detectadas y garantizar la protección de los derechos del interesado. Cuando la autoridad de control interviene a este respecto, debe elegir, entre las facultades contempladas en el artículo 58, apartado 2, del RGPD, la medida adecuada, necesaria y proporcionada. Esta facultad discrecional en la elección de los medios se limita por consiguiente cuando la protección requerida solo puede garantizarse mediante la adopción de medidas específicas.
4. La inexistencia de una obligación de la autoridad de control de imponer multas administrativas en todos los casos
64. Tras esta exposición general sobre la facultad de la autoridad de control para adoptar medidas correctivas, es necesario considerar si la autoridad de control está obligada a imponer multas administrativas en todos los casos. Aunque las observaciones anteriores permiten aclarar algunos aspectos de esta cuestión, me parecen necesarias algunas explicaciones adicionales. En efecto, aunque el legislador de la Unión ha incluido las multas administrativas entre las «medidas correctivas» previstas en el artículo 58, apartado 2, del RGPD, no dejan de tener algunas características distintivas frente a otras medidas. Por esa razón, la siguiente parte del análisis se centrará en las reglas específicas contempladas en el artículo 58, apartado 2, letra i), y en el artículo 83 del RGPD.
65. Como ha señalado recientemente el Tribunal de Justicia, las multas administrativas forman parte del sistema de sanciones establecido por el RGPD, que crea un incentivo para que los responsables y encargados del tratamiento cumplan el Reglamento. Con su efecto disuasorio, las multas administrativas contribuyen a reforzar la protección de las personas físicas en lo que respecta al tratamiento de datos personales y constituyen, por ende, un elemento clave para garantizar el respeto de los derechos de dichas personas, de conformidad con la finalidad del citado Reglamento de asegurar un elevado nivel de protección de esas personas en lo que respecta al tratamiento de los datos personales. (26)
66. El artículo 83 del RGPD establece un sistema de dos niveles, e indica expresamente que algunas infracciones son más graves que otras. El primer nivel comprende las infracciones de los artículos que regulan las responsabilidades de los distintos agentes (responsable del tratamiento, encargado del tratamiento, organismos de certificación, etc.). En el segundo nivel se encuentran las infracciones de los derechos individuales protegidos por el RGPD, como los derechos fundamentales, los principios básicos de una operación de tratamiento, los derechos de información de los interesados, las normas de transferencia de datos personales, etc. En ambos niveles deben realizarse dos evaluaciones: en primer lugar, para decidir si se impone una multa y, en segundo lugar, para decidir el importe de la multa administrativa. En ambas evaluaciones, las autoridades de control deben considerar todos los factores individuales enumerados en el artículo 83, apartado 2, del RGPD. No obstante, las conclusiones a las que se llegue en la primera fase podrán utilizarse en la segunda, relativa al importe de la multa, para evitar tener que realizar una segunda evaluación sobre la base de los mismos criterios. (27)
67. Tras estas explicaciones previas, examinaré a continuación la cuestión relativa a la posible obligación de imponer multas administrativas en todos los casos. A este respecto, cabe señalar en primer lugar que el artículo 58, apartado 2, letra i), del RGPD establece que la autoridad de control podrá imponer una multa administrativa «según las circunstancias de cada caso particular». Esta disposición debe interpretarse en relación con el artículo 83, apartado 2, del RGPD, que no solo prevé la misma restricción para la imposición de multas, sino que sugiere que la autoridad de control puede incluso abstenerse de hacerlo («al decidir la imposición de una multa administrativa») si las circunstancias lo justifican. Esta redacción se encuentra —en términos más o menos similares— en otras versiones lingüísticas. (28) En resumen, la propia redacción del artículo 83, apartado 2, del RGPD indica que la imposición de una multa administrativa no es obligatoria en todos los casos.
68. Además, cabe señalar que esta disposición exige que la autoridad de control tenga en cuenta, en cada caso concreto, una serie de factores a la hora de decidir si impone una multa administrativa. Esencialmente, se trata de circunstancias agravantes y atenuantes que influyen en la decisión de la autoridad de control, como la naturaleza, gravedad y duración de la infracción, pero también de circunstancias relativas al comportamiento del responsable del tratamiento, como la intencionalidad o negligencia en la infracción. (29)
69. En este contexto, las frases segunda y tercera del considerando 148 me parecen pertinentes a efectos de la interpretación del artículo 83, apartado 2, del RGPD, en la medida en que dan indicaciones sobre las características que deben tenerse en cuenta al adoptar una decisión. El efecto de este considerando es introducir el concepto de «infracción leve», con importantes consecuencias para la práctica administrativa de la autoridad de control. (30) Establece, entre otras cosas, que «en caso de infracción leve, o si la multa que probablemente se impusiera constituyese una carga desproporcionada para una persona física, en lugar de sanción mediante multa puede imponerse un apercibimiento».
70. En mi opinión, esta indicación permite deducir que el legislador de la Unión era consciente de que una multa administrativa es una medida correctiva especialmente severa que no debe utilizarse en todos los casos so pena de reducir su eficacia, sino únicamente cuando las circunstancias de un caso concreto así lo requieran. De hecho, el considerando 148 hace referencia al principio de proporcionalidad que las autoridades de control deben respetar al aplicar el RGPD en el contexto específico de las sanciones, incluidas las multas administrativas. Como ya he señalado en mi análisis, este principio se refleja en el considerando 129, que se refiere a la adopción de medidas correctivas en general. (31) El sistema de sanciones que el legislador quiso establecer es, por tanto, flexible y diferenciado. (32)
71. De la interpretación del artículo 83, apartado 2, en relación con el considerando 148, del RGPD, se desprende que, incluso ante la constatación de una infracción, la evaluación de los criterios establecidos en dicha disposición puede llevar a la autoridad de control a considerar que, en las circunstancias específicas del caso, la infracción no entraña un riesgo significativo para los derechos de los interesados, por ejemplo, y que no afecta a la esencia de la obligación en cuestión. En tales casos, la multa se sustituye a veces —pero no siempre— por un apercibimiento. (33)
72. No obstante, he de aclarar que el considerando 148 no obliga a la autoridad de control a sustituir la multa por un apercibimiento en caso de infracción leve, sino que la deja en libertad de hacerlo tras una evaluación concreta de todas las circunstancias del caso. Por último, del considerando 148 se desprende que la autoridad de control puede abstenerse de imponer una multa, aunque tal medida correctiva sea necesaria a priori sobre la base de la evaluación que haya realizado, si la multa constituye una carga desproporcionada para una persona física. (34)
73. Así pues, las características específicas de cada caso, a las que se refiere el artículo 83, apartado 2, del RGPD, determinan en definitiva si debe imponerse una multa y, en caso afirmativo, su importe. Todos estos indicios respaldan mi opinión de que esta decisión es, en definitiva, una decisión discrecional de la autoridad de control. (35) Esta es responsable de ejercer la discrecionalidad que se le confiere de forma concienzuda y de conformidad con las exigencias del RGPD. Los límites de esta discrecionalidad se derivan de los principios generales del Derecho de la Unión y del Derecho de los Estados miembros, en particular del principio de igualdad de trato. En consecuencia, es necesario desarrollar una práctica administrativa de imposición de multas que trate casos similares de manera comparable.
74. Por último, me gustaría señalar que, tal como establece el considerando 149 del RGPD, en caso de imposición acumulativa de sanciones penales y sanciones administrativa, existe incluso el riesgo de infringir el principio «ne bis in idem», tal como lo interpreta el Tribunal de Justicia. Este principio constituye un derecho fundamental, protegido por el artículo 50 de la Carta, y solo puede restringirse en condiciones estrictas, como establece el artículo 52 de la Carta. En otras palabras, los obstáculos jurídicos también pueden impedir la imposición de multas administrativas.
5. La autoridad de control no está obligada a imponer multas administrativas cuando el reclamante lo solicita expresamente
75. El último aspecto que ha de examinarse es si la autoridad de control está obligada a imponer multas administrativas cuando el reclamante lo solicita expresamente. Como he señalado al examinar la admisibilidad de la petición de decisión prejudicial, de los autos se desprende que TR había solicitado al HBDI que adoptara medidas contra la Sparkasse y le impusiera multas administrativas. En apoyo de su solicitud, TR había realizado cálculos para determinar el importe de las multas que debían imponerse. (36) Esta pretensión se basa aparentemente en la opinión de que el reclamante tiene un derecho subjetivo frente a la autoridad de control para solicitar la adopción de una medida concreta. Sin embargo, como explicaré a continuación, considero que esta postura carece de fundamento jurídico.
76. En primer lugar, mi análisis ha demostrado que la autoridad de control dispone de una facultad discrecional para elegir la medida adecuada en cada caso concreto. A menos que existan circunstancias concretas que puedan dar lugar a una limitación de esa facultad discrecional, como la gravedad o el impacto continuado de una violación de datos personales —que a mi juicio no se dan en este caso—, la autoridad de control conserva un margen de discrecionalidad. Teniendo en cuenta que las multas administrativas figuran entre las soluciones que la autoridad de control puede adoptar en virtud del artículo 58, apartado 2, del RGPD, es lógico deducir que esa facultad discrecional se extiende también a ellas. Por lo tanto, la autoridad de control no está obligada a actuar en interés del reclamante adoptando una medida correctiva concreta.
77. En segundo lugar, aun en el caso de que las circunstancias del caso fueran lo suficientemente diferentes para justificar la adopción de una medida correctiva específica, no creo que pueda sostenerse que fuera necesaria la imposición de una multa administrativa. Al igual que el Gobierno austriaco, considero que deben tenerse en cuenta los objetivos de las distintas medidas correctivas enumeradas en el artículo 58, apartado 2, del RGPD y, en particular, de la multa administrativa. Más concretamente, a mi modo de ver su naturaleza jurídica excluye el reconocimiento de un derecho subjetivo del interesado en el sentido mencionado, ya que uno de los objetivos de esta medida es sancionar las conductas consideradas contrarias al Derecho de la Unión. Considero que, por su finalidad sancionadora, al menos en determinadas situaciones, (37) y dado el alto grado de severidad que puede tener, una multa administrativa puede tener carácter penal. (38) Sin embargo, hay que recordar que el derecho a imponer penas (ius puniendi) pertenece exclusivamente al Estado y a sus órganos.
78. En este contexto, cabe señalar que el artículo 83, apartado 1, del RGPD exige, entre otras cosas, que las multas sean, en cada caso, «efectivas, proporcionadas y disuasorias». La apreciación de si la multa que se pretende imponer cumple estos requisitos en un caso concreto compete a la autoridad de control, que actúa bajo su propia responsabilidad. A ella le corresponde decidir si aplicar el instrumento de una multa administrativa es adecuado en un caso concreto. Para ello, el legislador de la UE le proporciona un marco jurídico detallado. Así, el artículo 83 del RGPD establece las condiciones generales para imponer dichas multas, que se completan con las «Directrices sobre la aplicación y la fijación de multas administrativas a efectos del [RGPD]», elaboradas por el Comité Europeo de Protección de Datos de conformidad con el artículo 70, apartado 1, letra k), del Reglamento. A este respecto, cabe señalar que ninguna de estas normas y Directrices permite inferir que el autor de una reclamación cuyos derechos hayan sido vulnerados goce de un estatuto jurídico especial que le permita solicitar a la autoridad de control la imposición de una multa administrativa al infractor.
79. Es cierto que algunos de los criterios mencionados en el artículo 83, apartado 2, del RGPD —como la gravedad del perjuicio sufrido— sugieren que la autoridad de control también debe tener en cuenta la situación del interesado a la hora de adoptar una decisión. Sin embargo, estos criterios por sí solos no son indicio suficiente de la existencia de un derecho subjetivo a solicitar la imposición de una multa. Según se desprende de la interpretación de esta disposición en relación con el considerando 75 del RGPD, la finalidad de estos criterios es proporcionar a la autoridad de control elementos útiles que le permitan evaluar la naturaleza, la gravedad y la duración de la infracción y elegir la medida correctiva adecuada. (39) Por consiguiente, en función de cada caso concreto, la autoridad de control podrá plantearse diversas medidas correctivas —y no solo una multa administrativa—, sin que el interesado pueda exigir la adopción de una medida específica. Corresponde exclusivamente a la autoridad de control decidir si adopta una medida con el objetivo de restablecer el cumplimiento de la normativa o castigar un comportamiento ilícito.
80. En tercer lugar, tampoco puede llegarse una conclusión diferente partiendo de que el legislador de la Unión definió la función de la autoridad de control en el sistema de multas establecido por el RGPD inspirándose en las facultades que la Comisión ostenta en el ámbito del Derecho de la competencia. (40) A este respecto, cabe recordar que la facultad de la Comisión de imponer multas a las empresas que, deliberadamente o por negligencia, infrinjan las disposiciones del artículo 81 CE, apartado 1, o del artículo 82 CE constituye uno de los medios asignados a la Comisión para permitirle cumplir la misión de vigilancia que le encomienda el Derecho de la Unión. (41) No obstante, cabe señalar que la Comisión dispone de un margen de apreciación cuyo ejercicio solo está limitado por el respeto de los principios generales del Derecho de la Unión, incluidos los principios de proporcionalidad e igualdad de trato. (42) Por otra parte, cabe señalar que el Reglamento 1/2003, relativo a la aplicación de las normas sobre competencia, (43) no reconoce ningún derecho a solicitar multas en virtud del artículo 23 en favor de los reclamantes o terceros cuyos intereses puedan verse afectados por una decisión en el marco de un procedimiento administrativo incoado por la Comisión, (44) estando esta última, en virtud del artículo 27 de dicho Reglamento, obligada únicamente a acceder a las solicitudes de audiencia presentadas antes de la adopción de una sanción.
81. Sobre la base de los elementos expuestos, considero que no es posible, en el estado actual de desarrollo del Derecho de la Unión, concluir que el autor de una reclamación cuyos derechos han sido vulnerados tenga un derecho subjetivo a solicitar la imposición de una multa administrativa. Ello sin perjuicio de la posibilidad de proponer que se adopte tal medida correctiva, formulando alegaciones y aportando pruebas en apoyo de su petición. No obstante, la decisión final queda a discreción de la autoridad de control.
D. Síntesis del examen de la cuestión prejudicial
82. Del análisis anterior se desprende que la autoridad de control tiene la obligación de intervenir cuando tenga conocimiento de una violación de la seguridad de datos personales en el contexto de la investigación de una reclamación. En particular, está obligada a definir la(s) medida(s) correctiva(s) más adecuada(s) para remediar la violación y defender los derechos del interesado. A este respecto, el RGPD exige, si bien deja cierto margen de discrecionalidad a la autoridad de control, que estas medidas sean adecuadas, necesarias y proporcionadas. En determinadas condiciones, la autoridad de control puede prescindir de las medidas contempladas en el artículo 58 apartado 2, del RGPD en favor de medidas «autónomas» adoptadas por el propio responsable del tratamiento. En cualquier caso, el interesado no tiene derecho a exigir que se adopte una medida determinada. Estos principios también se aplican al sistema de multas administrativas.
VI. Conclusión
83. A la luz de las consideraciones anteriores, propongo al Tribunal de Justicia que responda del siguiente modo a la cuestión prejudicial planteada por el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso-Administrativo de Wiesbaden, Alemania):
«Las disposiciones combinadas de los artículos 57, apartado 1, letras a) y f), y 58, apartado 2, letras a) a j), y del artículo 77, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),
deben interpretarse en el sentido de que,
cuando la autoridad de control tenga conocimiento de un tratamiento de datos que vulnere los derechos del interesado, está obligada a intervenir en virtud del artículo 58, apartado 2, del Reglamento 2016/679 en la medida necesaria para garantizar la plena aplicación del Reglamento. A este respecto, está obligada a seleccionar, teniendo en cuenta las circunstancias concretas de cada caso, el medio adecuado, necesario y proporcionado, en particular para remediar la infracción y garantizar el respeto de los derechos del interesado.»
1 Idioma original: francés.
2 DO 2016, L 119, p. 1.
3 Conclusiones presentadas en los asuntos acumulados C‑26/22 y C‑64/22, SCHUFA Holding (Exoneración del pasivo insatisfecho), EU:C:2023:222
4 Véase la sentencia de 10 de diciembre de 2020, J & S Service (C‑620/19, EU:C:2020:1011), apartado 31 y jurisprudencia citada.
5 Véase la sentencia de 14 de julio de 2022, Sense Visuele Communicatie en Handel vof (C‑36/21, EU:C:2022:556), apartado 22 y jurisprudencia citada.
6 Sentencia de 7 de diciembre de 2023, SCHUFA Holding (Exoneración del pasivo insatisfecho) (C‑26/22 y C‑64/22, EU:C:2023:958).
7 Véanse los puntos 35 a 39 de las presentes conclusiones.
8 Véanse los puntos 40 y siguientes de las presentes conclusiones.
9 Sentencia SCHUFA, apartado 55.
10 Sentencia SCHUFA, apartado 56.
11 Sentencia SCHUFA, apartados 56 y 57.
12 Sentencia SCHUFA, apartado 58.
13 Sentencia SCHUFA, apartado 70.
14 Véanse las «Directrices 04/2022, sobre la aplicación y la fijación de multas administrativas a efectos del RGPD» del Grupo de Trabajo del Artículo 29 sobre la aplicación y la fijación de multas administrativas, adoptadas el 3 de octubre de 2017, p. 5. Este Grupo de Trabajo fue sustituido posteriormente por el Comité Europeo de Protección de Datos (en lo sucesivo, «CEPD»). Sin embargo, sus Directrices siguen siendo válidas.
15 Véase, en este sentido, Chamberlain, J., y Reichel, J.: «The Relationship Between Damages and Administrative Fines in the EU General Data Protection Regulation», Mississippi Law Journal, 2020, vol. 89(4), p. 686, que se basa en las Directrices mencionadas.
16 Hijmans, H.: «Article 57. Tasks», en Kuner, C., Bygrave, L. A., y Docksey, C. (eds.): The EU General Data Protection Regulation (GDPR), Oxford, 2020, p. 934.
17 Véase Härting, N., Flisek, C., y Thiess, L.: «DSGVO: Der Verwaltungsakt wird zum Normalfall — Das neue Beschwerderecht», Computer und Recht, 5/2018, p. 299.
18 Véanse mis conclusiones presentadas en los asuntos SCHUFA, puntos 41 y siguientes.
19 Véase las versiones en danés («har […] korrigerende beføjelser»), alemán («verfügt über […] Abhilfebefugnisse, die es ihr gestatten»), estonio («on […] parandusvolitused»), inglés («shall have […] corrective powers»), italiano («ha […] i poteri correttivi»), neerlandés («heeft […] bevoegdheden tot het nemen van corrigerende maatregelen»), polaco («przysługują […] uprawnienia naprawcze»), portugués («dispõe dos […] poderes de correção») y sueco («ska ha […] korrigerande befogenheter»).
20 Véase Härting, N., Flisek, C., y Thiess, L.: «DSGVO: Der Verwaltungsakt wird zum Normalfall — Das neue Beschwerderecht», Computer und Recht, 5/2018, p. 299.
21 Véanse las sentencias SCHUFA, apartado 57, y Facebook Ireland y Schrems (C‑311/18, EU:C:2020:559), apartado 111.
22 Sentencia de 16 de julio de 2020, Facebook Ireland y Schrems (C‑311/18, EU:C:2020:559), apartado 112.
23 Véanse mis conclusiones presentadas en los asuntos SCHUFA, punto 42.
24 Sentencia de 16 de julio de 2020, Facebook Ireland y Schrems (C‑311/18, EU:C:2020:559), apartado 113. El Tribunal de Justicia sostuvo que la autoridad de control está obligada, en virtud del artículo 58, apartado 2, letras f) y j), del RGPD, a suspender o prohibir una transferencia de datos personales a un país tercero si considera, a la luz de todas las circunstancias que rodean a esa transferencia, que las cláusulas tipo de protección de datos no se respetan o no pueden ser respetadas en ese país tercero y que la protección de los datos transferidos exigida por el Derecho de la Unión no puede garantizarse mediante otros medios, si el responsable o el encargado del tratamiento establecidos en la Unión no ha suspendido la transferencia o puesto fin a esta por sí mismo.
25 Véase, a este respecto, Georgieva, L., y Schmidl, M.: «Article 58 Powers», en Kuner, C., Bygrave, L. A., y Docksey, C. (eds.): The EU General Data Protection Regulation (GDPR), Oxford, 2020, p. 945.
26 Véase la sentencia de 5 de diciembre de 2023, Nacionalinis visuomenės sveikatos centras (C‑683/21), EU:C:2023:949, apartado 78.
27 Véanse las «Directrices sobre la aplicación y la fijación de multas administrativas a efectos del [RGPD]», p. 9.
28 Véanse las versiones en danés («Når der træffes afgørelse om, hvorvidt der skal pålægges»), alemán («Bei der Entscheidung über die Verhängung»), estonio («Otsustades igal konkreetsel juhul»), inglés («When deciding whether to impose»), italiano («Al momento di decidere se infliggere»), neerlandés («Bij het besluit over de vraag of […] wordt opgelegd»), polaco («Decydując, czy nałożyć»), portugués («Ao decidir sobre a aplicação») y sueco («Vid beslut om huruvida […] ska påföras»).
29 Véase a este respecto la sentencia de 5 de diciembre de 2023 en el asunto C‑807/21 Deutsche Wohnen (EU:C:2023:950), apartados 61 y siguientes.
30 Sentencia de 5 de diciembre de 2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949), apartado 76.
31 Véase el punto 45 de las presentes conclusiones.
32 Véanse las conclusiones presentadas por el Abogado General Emiliou en el asunto Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:376), punto 78, en las que explica que, al adoptar dicho Reglamento, el legislador de la Unión no pretendió que toda infracción de las normas en materia de protección de datos se sancionara con una multa administrativa.
33 Véanse las «Directrices sobre la aplicación y la fijación de multas administrativas a efectos del [RGPD]», p. 9.
34 Véanse las «Directrices sobre la aplicación y la fijación de multas administrativas a efectos del [RGPD]», p. 9.
35 Holländer, C.: Beck’scher Online-Kommentar Datenschutzrecht (Wolff/Brink/Ungern-Sternberg), 46.a ed., artículo 83 RGPD, punto 22; Frenzel, E.: Datenschutz-Grundverordnung Kommentar (Paal/Pauly/Frenzel), 3.ª ed., Múnich, 2021, artículo 83 RGPD, puntos 8 a 12, donde se explica que la autoridad de control tiene una facultad discrecional y, por tanto, no está obligada a imponer una multa administrativa en todos los casos.
36 Véase el punto 30 de las presentes conclusiones.
37 Las «Directrices sobre la aplicación y la fijación de multas administrativas a efectos del [RGPD]», p. 6, establecen que las multas administrativas son «medidas correctivas» cuya finalidad puede ser «establecer el cumplimiento de la normativa o castigar un comportamiento ilícito (o ambos)».
38 Quisiera señalar que tres criterios son relevantes para considerar que una sanción tiene carácter penal. El primero es la calificación jurídica de la infracción en el Derecho interno, el segundo, la propia naturaleza de la infracción, y, el tercero, la gravedad de la sanción que puede imponerse al interesado [véanse las sentencias de 2 de febrero de 2021, Consob (C‑481/19, EU:C:2021:84), apartado 42, y de 5 de junio de 2012, Bonda (C‑489/10, EU:C:2012:319), apartado 37]; véase asimismo Tribunal Europeo de Derechos Humanos, 8 de junio de 1976, Engel y otros c. Países Bajos, EC:ECHR:1976:0608JUD000510071, § 82). No deben cumplirse todos los criterios para que una multa se considere penal (véanse, a este respecto, las conclusiones del Abogado General Bot en el asunto C‑352/09 P, ThyssenKrupp Nirosta/Comisión, EU:C:2010:635, punto 50), y la jurisprudencia citada.
39 Véanse las «Directrices sobre la aplicación y la fijación de multas administrativas a efectos del [RGPD]», p. 12, de las que se desprende, por una parte, que la magnitud del perjuicio debe tenerse en cuenta «a la hora de seleccionar la medida correctiva», lo que no excluye la adopción de soluciones distintas de la multa administrativa. Por otra parte, «la imposición de una multa no depende de la capacidad de la autoridad de control de determinar una relación causal entre la violación y la pérdida material». De ello se deduce que la decisión de imponer una multa administrativa depende de cada caso concreto y no solo de la existencia de un daño.
40 Véanse a este respecto las conclusiones presentadas por el Abogado General Emiliou en el asunto Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:376), punto 84, que llama la atención sobre las similitudes entre ambos sistemas. Véase también la sentencia de 5 de diciembre de 2023, Deutsche Wohnen (C‑807/21, EU:C:2023:950), apartados 55 y siguientes.
41 Véase, en este sentido, la sentencia de 11 de junio de 2009, X (C‑429/07, EU:C:2009:359), apartado 35 y jurisprudencia citada.
42 Conclusiones presentadas por la Abogada General Kokott en los asuntos acumulados Alliance One International y Standard Commercial Tobacco/Comisión y Comisión/Alliance One International y otros (C‑628/10 P y C‑14/11 P, EU:C:2012:11), punto 48 y jurisprudencia citada.
43 Reglamento (CE) n.º 1/2003 del Consejo, de 16 de diciembre de 2002, relativo a la aplicación de las normas sobre competencia previstas en los artículos 81 y 82 del Tratado (DO 2003, L 1, p. 1).
44 Véase Wils, W.: «Procedural rights and obligations of third parties in antitrust investigation and proceedings by the European Commission», Concurrence, n.º 2-2022, p. 50.