CONCLUSIONES DEL ABOGADO GENERAL
M. CAMPOS SÁNCHEZ-BORDONA
presentadas el 27 de abril de 2023 ( 1 )
Asunto C‑807/21
Deutsche Wohnen SE
contra
Staatsanwaltschaft Berlin
[Petición de decisión prejudicial planteada por el Kammergericht Berlin (Tribunal superior regional de lo civil y penal de Berlín, Alemania)]
«Procedimiento prejudicial — Protección de datos personales — Reglamento (UE) 2016/679 — Infracciones — Imputación a una empresa de una infracción cometida por sus empleados — Posible responsabilidad sin culpa — Transposición de conceptos desarrollados en derecho de la competencia»
1. |
Este reenvío prejudicial ofrece al Tribunal de Justicia la oportunidad de pronunciarse sobre las condiciones en las que se puede imponer una multa administrativa a una persona jurídica por infracciones del Reglamento (UE) 2016/679. ( 2 ) |
2. |
En particular, se trata de determinar:
|
I. Marco normativo
A. Derecho de la Unión. RGPD
3. |
El considerando septuagésimo cuarto declara: «Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas físicas». |
4. |
En el considerando centésimo quincuagésimo se lee: «A fin de reforzar y armonizar las sanciones administrativas por infracción del presente Reglamento, cada autoridad de control debe estar facultada para imponer multas administrativas. El presente Reglamento debe indicar las infracciones así como el límite máximo y los criterios para fijar las correspondientes multas administrativas, que la autoridad de control competente debe determinar en cada caso individual teniendo en cuenta todas las circunstancias concurrentes en él, atendiendo en particular a la naturaleza, gravedad y duración de la infracción y sus consecuencias y a las medidas tomadas para garantizar el cumplimiento de las obligaciones impuestas por el presente Reglamento e impedir o mitigar las consecuencias de la infracción. Si las multas administrativas se imponen a una empresa, por tal debe entenderse una empresa con arreglo a los artículos 101 y 102 del TFUE. […] El mecanismo de coherencia también puede emplearse para fomentar una aplicación coherente de las multas administrativas […]». |
5. |
El artículo 4 («Definiciones») establece: «A efectos del presente Reglamento se entenderá por: […]
[…]
[…]». |
6. |
El artículo 58 («Poderes»), apartado 2, prescribe: «Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:
[…]
[…]». |
7. |
El artículo 83 («Condiciones generales para la imposición de multas administrativas») reza: «1. Cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al presente artículo por las infracciones del presente Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias. 2. Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
3. Si un responsable o un encargado del tratamiento incumpliera de forma intencionada o negligente, para las mismas operaciones de tratamiento u operaciones vinculadas, diversas disposiciones del presente Reglamento, la cuantía total de la multa administrativa no será superior a la cuantía prevista para las infracciones más graves. 4. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10000000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía […]. 5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20000000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: […] 6. El incumplimiento de las resoluciones de la autoridad de control a tenor del artículo 58, apartado 2, se sancionará de acuerdo con el apartado 2 del presente artículo con multas administrativas de 20000000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. […] 8. El ejercicio por una autoridad de control de sus poderes en virtud del presente artículo estará sujeto a garantías procesales adecuadas de conformidad con el derecho de la Unión y de los Estados miembros, entre ellas la tutela judicial efectiva y el respeto de las garantías procesales. […]». |
B. Derecho nacional. Ordnungswidrigkeitengesetz (Ley de infracciones administrativas) ( 3 )
8. |
Con arreglo al artículo 9, apartado 1, cuando una persona actúa en calidad de a) órgano (o de miembro de dicho órgano) habilitado para representar una persona jurídica, b) asociado habilitado para representar una sociedad de personas con capacidad jurídica o c) representante legal de un tercero, le será de aplicación toda ley en cuya virtud las funciones, las relaciones o las circunstancias personales particulares justifiquen una posible sanción cuando dichas circunstancias no concurran en su caso, sino en el de la persona representada. |
9. |
En virtud del artículo 9, apartado 2, lo anterior rige también para el caso del propietario de un establecimiento (empresa) que confíe a otra persona, en todo o en parte, la dirección del mismo o el cumplimiento, bajo su propia responsabilidad, de las funciones que competen al propietario. |
10. |
El artículo 30, apartado 1, permite imponer una multa administrativa a una persona jurídica cuando la persona física que la representa, la dirige o es responsable de su gestión ha cometido una infracción penal o ha incumplido las obligaciones que incumben a la persona jurídica. |
11. |
De conformidad con el artículo 30, apartado 4, la imposición autónoma de una multa a una persona jurídica requiere que no se haya iniciado procedimiento alguno contra el miembro del órgano o el representante de la persona jurídica o, si tal procedimiento se ha iniciado, que se haya sobreseído. |
12. |
Con arreglo al artículo 130, apartado 1, quien, como propietario de una explotación o empresa, se abstenga, intencionalmente o por negligencia, de adoptar las medidas de vigilancia necesarias para impedir, en el seno de la explotación o de la empresa, el incumplimiento de las obligaciones a las que está sujeto su titular y cuya infracción esté sancionada con pena o multa, cometerá una infracción administrativa si dicho incumplimiento hubiera podido impedirse o dificultado mediante medidas de supervisión adecuadas, entre las que figuran el nombramiento, la selección cuidadosa y el control de los responsables de los controles. |
II. Hechos, litigio y preguntas prejudiciales
13. |
Deutsche Wohnen SE (en lo sucesivo, «Deutsche Wohnen») es una sociedad inmobiliaria cotizada en bolsa con domicilio social en Berlín (Alemania). Posee participaciones indirectas en aproximadamente 163000 viviendas y 3000 locales comerciales. |
14. |
Los propietarios de esos inmuebles son filiales vinculadas a Deutsche Wohnen («sociedades tenedoras») que desarrollan la actividad operativa, mientras que Deutsche Wohnen asume la dirección central del grupo. Las sociedades tenedoras arriendan las viviendas y los locales comerciales, que son administrados por otras sociedades del grupo, llamadas empresas de servicios. |
15. |
En el marco de su actividad mercantil, Deutsche Wohnen y las sociedades del grupo llevan a cabo el tratamiento de datos personales de los arrendatarios de los inmuebles. Esos datos son, en particular, pruebas de identidad, datos fiscales, de la seguridad social y del seguro de enfermedad, así como datos relativos a arrendamientos previos. |
16. |
El 23 de junio de 2017, la Berliner Beauftragte für den Datenschutz (autoridad competente en Berlín en materia de protección de datos; en lo sucesivo, «autoridad de protección de datos»), en una inspección in situ, señaló a Deutsche Wohnen que las sociedades de su grupo almacenaban datos personales de los arrendatarios en un sistema de archivo electrónico respecto del que no era posible determinar si el almacenamiento era necesario y si existían garantías de que se suprimían los datos que ya no fuesen precisos. |
17. |
La autoridad de protección de datos requirió a Deutsche Wohnen que, en lo sucesivo, y, a más tardar, al finalizar el año 2017, suprimiese ciertos documentos del sistema de archivo electrónico. |
18. |
Deutsche Wohnen rechazó el requerimiento aduciendo que tal supresión no era posible por razones técnicas y legales. Esta objeción se trató en una reunión de Deutsche Wohnen con la autoridad de protección de datos, en cuyo curso esta última indicó que existían soluciones técnicas para el borrado de los datos. Las conversaciones continuaron y Deutsche Wohnen anunció que contemplaba poner en práctica un nuevo sistema en sustitución del rechazado por la autoridad de protección de datos. |
19. |
El 5 de marzo de 2020, la autoridad de protección de datos efectuó una inspección en la central del grupo, en la que se recogieron en total dieciséis pruebas aleatorias de las bases de datos. Al mismo tiempo, Deutsche Wohnen comunicó a la autoridad que el sistema de archivo controvertido ya había sido desactivado y que la migración de los datos al nuevo sistema se realizaría de forma inmediata. |
20. |
El 30 de octubre de 2020, la autoridad de protección de datos sancionó a Deutsche Wohnen por:
|
21. |
Las multas impuestas ascendieron a 14385000 euros por la infracción deliberada de los artículos 25, apartado 1, y 5, apartado 1, letras a), c) y e), del RGPD, y a importes comprendidos entre 3000 y 17000 euros, por las quince infracciones del artículo 6, apartado 1, del RGPD. |
22. |
Deutsche Wohnen recurrió las sanciones ante el Landgericht Berlin (Tribunal regional de lo civil y penal de Berlín, Alemania), órgano judicial que estimó el recurso. |
23. |
La Staatsanwaltschaft Berlin (Fiscalía de Berlín, Alemania) ha impugnado la decisión de primera instancia ante el Kammergericht Berlin (Tribunal superior regional de lo civil y penal de Berlín, Alemania), que dirige al Tribunal de Justicia estas preguntas prejudiciales:
|
III. Procedimiento ante el Tribunal de Justicia
24. |
La petición de decisión prejudicial se registró en el Tribunal de Justicia el 23 de diciembre de 2021. |
25. |
Han presentado observaciones escritas Deutsche Wohnen, los Gobiernos alemán, estonio y noruego, así como la Comisión Europea. |
26. |
El 9 de noviembre de 2022, en aplicación del artículo 101, apartado 1, del Reglamento de Procedimiento, el Tribunal de Justicia invitó al órgano judicial de reenvío a que precisara:
|
27. |
Las aclaraciones interesadas se registraron en el Tribunal de Justicia el 11 de enero de 2023. |
28. |
En la vista, celebrada el 17 de enero de 2023, han comparecido, además de quienes habían presentado observaciones escritas, el Gobierno de los Países Bajos, el Parlamento Europeo y el Consejo de la Unión Europea. |
IV. Análisis
A. Primera pregunta prejudicial
1. Observaciones preliminares
29. |
El primer interrogante que plantea el tribunal de remisión es, en síntesis, si, con arreglo al derecho de la Unión, cabe sancionar a una persona jurídica por infracción del RGPD sin que sea necesario imputar esa infracción, previamente, a una persona física. |
30. |
El tribunal de reenvío ha introducido, sin embargo, varios elementos de complejidad en su pregunta:
|
31. |
El tribunal de reenvío afirma que la legislación interna solo permite imponer una multa a una empresa cuando se le puedan imputar determinadas infracciones cometidas (únicamente) por sus directivos con funciones de representación. ( 5 ) |
32. |
Deutsche Wohnen y el Gobierno alemán discrepan de esta formulación. A su juicio, el artículo 30 de la OWiG debe interpretarse en combinación con el artículo 9 y el artículo 130, ambos de la OWiG, con los que constituye un sistema sancionador coherente. Con arreglo a este sistema, es posible sancionar administrativamente a una empresa sin que sea necesaria la incoación de un procedimiento contra la persona física que haya actuado por cuenta de aquella. ( 6 ) |
33. |
Requerido por el Tribunal de Justicia para que se manifestara acerca de la eventual incidencia del artículo 130 de la OWiG, el tribunal de reenvío ha respondido que no es relevante para la primera pregunta prejudicial. Aduce, para justificar su postura, que:
|
34. |
Esas aclaraciones ponen de manifiesto que la primera de las preguntas prejudiciales del tribunal a quo responde a un entendimiento del derecho nacional que, contrariamente al parecer del Gobierno alemán, acoge un régimen de responsabilidad de las personas jurídicas cuyas características lo harían, eventualmente, incompatible con el derecho de la Unión. |
35. |
El Tribunal de Justicia ha de atenerse al marco jurídico nacional tal como lo describe el órgano judicial de reenvío, ( 7 ) que es el intérprete autorizado de su derecho interno. Las cuestiones sobre la interpretación del derecho de la Unión planteadas por el juez nacional han de resolverse a la vista del marco fáctico y normativo definido bajo su responsabilidad y cuya exactitud no corresponde verificar al Tribunal de Justicia. ( 8 ) |
36. |
A partir de estas premisas abordaré, pues, el estudio de la primera pregunta prejudicial. |
2. Personas jurídicas destinatarias de la sanción en el RGPD
37. |
Ninguna objeción existe, según el derecho de la Unión, para considerar a Deutsche Wohnen autora de la infracción y sujeto pasivo de la sanción impuesta. Esa posibilidad se halla, en abstracto, en el RGPD y, en concreto, de ella se ha hecho uso en ese caso:
|
38. |
En cuanto al enfoque abstracto, no son precisas demasiadas consideraciones para corroborar el postulado de que una persona jurídica puede ser sancionada directamente a título de infractora del RGPD. Ese postulado se infiere sin dificultades hermenéuticas de la lectura de los artículos 4, 58 y 83 del RGPD:
|
39. |
Del conjunto de esas disposiciones resulta, con perfecta naturalidad, que el RGPD contempla que las multas administrativas derivadas de su infracción tengan como posible destinatario directo una persona jurídica. ( 12 ) Esa misma naturalidad la han asumido las autoridades nacionales competentes en esta materia, que no han dudado en castigar con multas, a veces cuantiosas, a personas jurídicas infractoras del RGPD. ( 13 ) |
40. |
En cuanto al enfoque concreto, repito que la autoridad de protección de datos se dirigió a Deutsche Wohnen en su calidad de responsable del tratamiento de los datos, conminándola a que suprimiese de sus archivos determinados datos personales de los arrendatarios, requerimiento que esa empresa desatendió durante un tiempo determinado, hasta que modificó sus sistemas de almacenamiento. |
3. ¿Necesidad de previa imputación a una persona física?
41. |
Según el tribunal de reenvío, el derecho interno exige que, para sancionar directamente a una empresa por infracción del RGPD, se constate previamente la responsabilidad de una persona física. Así resultaría del artículo 30 de la OWiG: solo es posible imponer una multa a una empresa cuando se le pueden imputar determinadas infracciones cometidas por sus directivos con funciones de representación, a cuyo fin el representante debe haber infringido la norma correspondiente, realizando los elementos del tipo de forma ilícita y culpable. ( 14 ) |
42. |
Frente a la objeción del Gobierno alemán, que invoca el artículo 130 de la OWiG para hacer frente a la interpretación del tribunal de reenvío, este se pronuncia en los términos que ya he indicado al transcribir su respuesta al Tribunal de Justicia. ( 15 ) En resumen, sostiene que la protección de bienes jurídicos dispensada por aquel precepto es muy restringida, en comparación con el régimen de responsabilidad que resultaría de los artículos 101 TFUE y 102 TFUE |
43. |
La regla de la previa declaración de responsabilidad de la persona física, que esgrime el tribunal de reenvío, no regiría, sin embargo, si el artículo 83, apartados 4 a 6, del RGPD hiciera suyo, incorporándolo al derecho nacional, el «concepto funcional de empresa» característico de los artículos 101 TFUE y 102 TFUE. |
a) Incidencia de la noción empleada en los artículos 101 TFUE y 102 TFUE
44. |
El artículo 83, apartados 4 a 6, del RGPD tiene por objeto calcular la cuantía de las sanciones correspondientes a las infracciones del RGPD que allí se mencionan. En concreto, esos tres apartados prevén la eventualidad de que la sancionada sea una «empresa». |
45. |
En ese contexto ha de entenderse la remisión del considerando centésimo quincuagésimo del RGPD al concepto de empresa en el sentido de los artículos 101 TFUE y 102 TFUE. Recordaré que, para el Tribunal de Justicia, «el derecho de la competencia de la Unión tiene por objeto las actividades de las empresas y […] el concepto de empresa comprende cualquier entidad que ejerza una actividad económica, con independencia del estatuto jurídico de esa entidad y de su modo de financiación». ( 16 ) |
46. |
En la medida en que el máximo de la cuantía de las sanciones por infracción del RGPD se establece, para las empresas responsables o encargadas del tratamiento de datos, en un porcentaje del «volumen de negocio total anual global del ejercicio financiero anterior», la referencia para fijar esa cuantía no puede venir dada por la personalidad jurídica formal de una sociedad, sino por el de «unidad económica», en el sentido antes apuntado. |
47. |
Así es porque, con arreglo al artículo 83, apartado 1, del RGPD, las multas administrativas previstas en sus apartados 4 a 6 han de ser «efectivas, proporcionadas y disuasorias». Tres características que solo pueden predicarse de una multa cuya cuantía se determine en función de la capacidad económica real o material de su destinatario. De ahí la necesidad de operar con un concepto material o económico de «empresa», antes que emplear una noción estrictamente formal, para el cálculo de la sanción. |
48. |
La definición real o material de «empresa», característica del derecho de la competencia, ( 17 ) la asume, pues, el legislador europeo para la determinación de la cuantía de las multas por infracción del RGPD. Pero, insisto, solo a estos efectos el RGPD trae a colación aquel concepto. |
49. |
En este asunto, la noción de empresa que contemplan los artículos 101 TFUE y 102 TFUE podría, pues, ser relevante para cuantificar la multa imponible a Deutsche Wohnen. Si a esta última se le atribuye, o no, la cualidad de entidad sancionada (rectius, la autoría de la infracción) es algo que no depende, estrictamente, de la aplicación de aquellos dos artículos del TFUE. |
50. |
Lo anterior no obsta a que, por analogía, los principios generales que rigen el régimen sancionador del derecho de la competencia (que cuenta con una abundante interpretación del Tribunal de Justicia) se apliquen, mutatis mutandis, en materia de responsabilidad de las personas jurídicas por sus infracciones en cuanto a la protección de datos personales. ( 18 ) |
b) Imputación directa a una persona jurídica
51. |
¿Resulta compatible con el RGPD una normativa nacional que subordine la imposición de sanciones administrativas a personas jurídicas a que previamente se haya procedido contra una persona física? |
52. |
La naturaleza del RGPD comporta, además de su alcance general, su obligatoriedad y su directa aplicabilidad en cada Estado miembro, según el artículo 288 TFUE. Esos rasgos quedarían desvirtuados si los Estados miembros pudieran apartarse de la configuración definitiva de las prescripciones impuestas en el RGPD por el legislador de la Unión. |
53. |
Es cierto que, en razón, justamente, de la singularidad y las características de su objeto, algunas disposiciones del RGPD otorgan un cierto margen de maniobra a los Estados miembros para mantener o adoptar reglas nacionales, a fin de especificar en mayor grado algunas de aquellas. Así sucede, por ejemplo:
|
54. |
Ese margen de apreciación estatal, sobre el que se debatió en la vista, no puede extenderse, a mi juicio, hasta el punto de reducir la imputabilidad de una persona jurídica tal como, según el tribunal de reenvío, resultaría del artículo 30 de la OWiG. |
55. |
Semejante configuración del régimen de responsabilidad de las personas jurídicas permitiría dejar fuera del alcance del sistema de sanciones del RGPD infracciones que, según este Reglamento, han de atribuirse a una persona jurídica en cuanto ostente la cualidad de responsable o encargado del tratamiento. Así sucedería cuando en esas infracciones no hubieran participado las personas físicas que representan, dirigen o asumen la gestión de la persona jurídica. |
56. |
En la medida en que, repito, una persona jurídica puede ser responsable del tratamiento de datos y, en esa condición, autor de las infracciones del RGPD que le sean imputables, la aplicación del artículo 30 de la OWiG podría determinar un debilitamiento o reducción injustificada del campo de conductas sancionables, que no se compadece con la previsión general del propio RGPD. |
57. |
Una persona jurídica a la que se pueda calificar de responsable o encargado del tratamiento de datos personales ha de sufrir las consecuencias, en términos sancionadores, de las infracciones del RGPD cometidas no solo por sus representantes, directores o gestores, sino también por las personas físicas (empleados, en sentido lato) que actúan en el ámbito propio de su actividad empresarial y bajo la supervisión de aquellos. |
58. |
Esas personas físicas, en realidad, conforman y definen la voluntad de la persona jurídica, materializándola mediante actos particulares y concretos. Actos particulares que, en tanto que manifestación in concreto de aquella voluntad, son atribuibles, en último término, a la persona jurídica misma. |
59. |
Se trata, en definitiva, de personas físicas que, sin ser propiamente representantes de una persona jurídica, actúan sometidas a la autoridad de quienes, representando a esta última, han incurrido en una falta de vigilancia o control sobre las primeras. En último término, la imputabilidad termina por conducir a la propia persona jurídica, en la medida en que la infracción del empleado que actúa bajo la autoridad de sus órganos directivos es una deficiencia del sistema de control y vigilancia, cuya responsabilidad les compete de manera directa. |
60. |
Lo hasta ahora expuesto corresponde a la lectura que el tribunal de reenvío hace de su derecho interno. Ahora bien, el Gobierno alemán sostiene que la aplicación combinada de los artículos 9, 30 y 130 de la OWiG configura un sistema en el que pueden sancionarse infracciones atribuidas a una persona jurídica, cometidas por personas físicas que no ostentan funciones de dirección o representación de aquellas, sin que sea preciso identificarlas. ( 21 ) |
61. |
Como antes he señalado, es al tribunal de remisión a quien compete interpretar las disposiciones de su derecho nacional. Si, de acuerdo con la jurisprudencia nacional y la doctrina invocadas por el Gobierno alemán, ( 22 ) dichas disposiciones admiten una interpretación del derecho interno conforme con las exigencias del derecho de la Unión, es algo que corresponde solventar a sus órganos judiciales. |
62. |
En el caso de que esa interpretación fuera contra legem y resultara imposible, por la peculiar estructura de su sistema nacional sancionador, dar plena aplicación a las reglas del RGPD en esta materia, el órgano judicial de reenvío habría de excluir la aplicación de la norma nacional incompatible con el derecho de la Unión, para garantizar la primacía del RGPD. |
B. Segunda pregunta prejudicial
63. |
El tribunal de reenvío quiere saber si, con arreglo al artículo 83, apartados 4 a 6, del RGPD, «es preciso que haya concurrido dolo o negligencia por parte de la empresa en la infracción cometida por su empleado […], o para poder sancionar a la empresa basta en principio con que le sea atribuible el incumplimiento objetivo de una obligación (strict liability)». ( 23 ) |
64. |
La pregunta así formulada reviste carácter hipotético, lo que la hace inadmisible, por un doble motivo. |
65. |
En primer lugar, conforme al auto de reenvío, la sanción a Deutsche Wohnen se le impuso por una conducta dolosa (deliberada) y no por el mero «incumplimiento objetivo» del RGPD. El relato de hechos anteriormente transcrito evidencia que aquella empresa no atendió el requerimiento de la autoridad de protección de datos de manera consciente y deliberada y persistió en el tratamiento de datos censurado. Es irrelevante, para esa calificación, que esgrimiera una serie de dificultades técnicas y jurídicas a la hora de modificar sus sistemas de tratamientos de datos. |
66. |
En segundo lugar, requerido por el Tribunal de Justicia para que aclarara su interrogante, el órgano judicial de remisión ha manifestado que al tribunal de primera instancia no le vinculan las constataciones efectuadas en la decisión sancionadora y que, en el futuro, aquel tribunal podría pronunciarse sobre los motivos del recurso contra la sanción. Si llegara a la convicción de que tuvo lugar la infracción, será preciso dilucidar qué tipo de falta se produjo, lo que dependerá de la respuesta a esta segunda pregunta prejudicial. |
67. |
Partiendo de esta aclaración, la segunda pregunta prejudicial revela de nuevo su carácter hipotético: el juicio sobre la calificación de la conducta no es imprescindible para resolver el litigio ante el tribunal de reenvío sino, en su caso, tras la devolución de la causa al tribunal de primera instancia, para que este se pronuncie en el futuro. |
68. |
De todos modos, y caso de que el Tribunal de Justicia decidiera entrar en el fondo, considero que la respuesta a esta pregunta no depende de la interpretación de los apartados 4 a 6 del artículo 83 del RGPD, cuyo objeto es la cuantificación de las multas administrativas. |
69. |
El tribunal de reenvío distingue entre: a) la infracción cometida por el empleado de una persona jurídica y b) la concurrencia de dolo o negligencia, por parte de la persona jurídica, en aquella infracción. |
70. |
A mi juicio, la «infracción cometida por el empleado» es, en realidad, y por cuanto se ha dicho en relación con la primera pregunta, una infracción cometida por la persona jurídica bajo cuya autoridad aquel ha actuado. |
71. |
Correctamente formulada, la pregunta se refiere, por tanto, a la posibilidad de que una persona jurídica pueda ser sancionada por el incumplimiento objetivo (sin culpa) de las obligaciones que le competen en tanto que responsable o encargada del tratamiento de datos. |
72. |
Para responder a esta pregunta puede ser útil remitirse a la jurisprudencia del Tribunal Europeo de Derechos Humanos (TEDH) en relación con el principio de legalidad penal, que garantiza el artículo 7 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales (CEDH). |
73. |
Aunque el CEDH no constituye, al no haberse adherido a él la Unión, un instrumento jurídico integrado formalmente en su ordenamiento jurídico, los derechos fundamentales reconocidos en ese convenio forman parte del derecho de la Unión como principios generales (artículo 6 TUE, apartado 3). |
74. |
Según el Tribunal de Justicia, «el artículo 52, apartado 3, de la Carta, que dispone que cabe dar a los derechos contenidos en ella que correspondan a derechos garantizados por el CEDH el mismo sentido y alcance que les confiere dicho Convenio, pretende garantizar la coherencia necesaria entre esos respectivos derechos sin que ello afecte a la autonomía del derecho de la Unión y del Tribunal de Justicia». ( 24 ) |
75. |
Pues bien, la doctrina del TEDH al interpretar el artículo 7 del CEDH contiene matices no del todo coincidentes:
|
76. |
En realidad, la importación de las categorías dogmáticas del derecho penal (nulla poena sine culpa) para su aplicación al derecho administrativo sancionador presenta dificultades hermenéuticas considerables. Bajo la noción de culpa (en su modalidad de negligencia) pueden encuadrarse supuestos de mera inobservancia de una disposición legal, cuando su autor tuviera el deber de conocer qué conducta le era exigible. |
77. |
Desde esta perspectiva, las diferentes modalidades de culpa, incluidas las de menor levedad, así como los distintos títulos de imputación (culpa in vigilando o in eligendo, por ejemplo) podrían predicarse de conductas que, desde otro ángulo, algún tribunal calificaría de supuestos de responsabilidad objetiva. Las fronteras entre una categoría y otra no son, pues, tan tajantes en el derecho administrativo sancionador como parece deducirse de la decisión de reenvío. |
78. |
Ciertamente, en lo que concierne al derecho de la Unión, el Tribunal de Justicia ha admitido, en algunos supuestos, un régimen que califica de responsabilidad objetiva en el ámbito sancionador. Así lo hizo, por ejemplo, en la sentencia de 22 de marzo de 2017, Euro-Team y Spirál-Gép, con estos términos:
|
79. |
Sin embargo, dicha doctrina se ha sentado en sectores distintos al de la protección de datos, en relación con el incumplimiento de obligaciones de hacer con connotaciones preferentemente formales: se trataba de sanciones impuestas por la utilización de un tramo de autopista sin haber pagado el importe del peaje correspondiente, ( 29 ) o por el incumplimiento de disposiciones relativas a la utilización de la hoja de registro de un aparato de control instalado en un camión. ( 30 ) |
80. |
En el caso de las obligaciones establecidas por el RGPD —entre las que se cuentan las que condicionan el tratamiento de datos (artículo 5 del RGPD) y su licitud (artículo 6 del RGPD)—, la apreciación de si se han respetado implica un proceso de valoración y enjuiciamiento complejo, más allá de la mera constatación de un incumplimiento formal. |
81. |
De cualquier modo, opino que el artículo 83 del RGPD corrobora la exclusión de un régimen de responsabilidad objetiva (sin culpa) en materia sancionadora, esto es, requiere la presencia de intencionalidad o negligencia en la conducta sancionable. Así se desprende, a mi juicio, de varios de sus apartados:
|
82. |
La tesis que acabo de exponer podría resultar improcedente si, como defienden algunos de los Gobiernos que han intervenido, la ausencia de previsiones explícitas sobre este extremo en el RGPD implicara que se otorga a los Estados miembros la posibilidad de optar por un sistema de responsabilidad subjetivo (intencionalidad o negligencia) o por un sistema que incluya también la responsabilidad objetiva. |
83. |
Reconozco que la postura de esos Gobiernos tiene un cierto apoyo argumental: en la medida en que el artículo 83, apartado 2, del RGPD se refiere a la intencionalidad o a la negligencia como factores para fijar el importe de la multa, y no como elementos ineludibles (esenciales) de la propia conducta infractora, el precepto dejaría abierta la posibilidad de que los Estados miembros configurasen a su arbitrio esos elementos esenciales de la infracción. |
84. |
Opino, sin embargo, al igual que la Comisión, que la recta lectura del sistema sancionador instaurado por el RGPD, cuya vocación de aplicabilidad directa es innegable, aboga por una solución unitaria y coherente ( 33 ) para todos los Estados miembros y no porque cada uno de ellos decida por sí mismo si las infracciones sancionables han de ampliarse, o no, a las que no revistan carácter intencionado o negligente. |
85. |
Corroboran, en mi parecer, la pertinencia de la solución unitaria (y la inviabilidad de la solución disgregadora) los considerandos del RGPD que el tribunal de reenvío cita en su petición de decisión prejudicial, en los que se reitera la necesidad de castigar las infracciones con sanciones equivalentes. ( 34 ) La equivalencia no tendría lugar si cada Estado miembro se permitiera tipificar infracciones de naturaleza dispar, acogiendo las que consistan en meros incumplimientos objetivos desprovistos de cualquier elemento intencional o negligente. |
V. Conclusión
86. |
A tenor de lo expuesto, propongo al Tribunal de Justicia responder al Kammergericht Berlin (Tribunal superior regional de lo civil y penal de Berlín, Alemania) en estos términos: «El artículo 58, apartado 2, letra i), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), en relación con los artículos 4, punto 7), y 83 del mismo Reglamento, ha de interpretarse en el sentido de que la imposición de una multa administrativa a una persona jurídica responsable del tratamiento de datos personales no está condicionada a que se declare previamente la existencia de una infracción cometida por una o varias personas físicas singulares al servicio de aquella persona jurídica. Las multas administrativas que se pueden imponer con arreglo al Reglamento 2016/679 requieren que concurra el carácter intencional o negligente en la conducta constitutiva de la infracción sancionada». |
( 1 ) Lengua original: español.
( 2 ) Reglamento del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1). En lo sucesivo, «RGPD».
( 3 ) Ley de 24 de mayo de 1968 (BGBl. I 481; III 454-1), en la versión de 19 de febrero de 1987 (BGBl. I, p. 602), modificada por la Ley de 19 de junio de 2020 (BGBl. I, p. 1328). En lo sucesivo, «OWiG».
( 4 ) Reglamento del Consejo, de 16 de diciembre de 2002, relativo a la aplicación de las normas sobre competencia previstas en los artículos 81 y 82 del Tratado (DO 2003, L 1, p. 1).
( 5 ) Fundamento II, apartado 1, de la decisión de reenvío. Véanse los puntos 41 y ss. de estas conclusiones.
( 6 ) Apartado 45 del escrito de observaciones de Deutsche Wohnen y apartados 24 y 25 del escrito de observaciones del Gobierno alemán.
( 7 ) En el marco de un procedimiento con arreglo al artículo 267 TFUE, basado en una clara separación de las funciones entre los órganos jurisdiccionales nacionales y el Tribunal de Justicia, solo el juez nacional es competente para constatar y apreciar los hechos del litigio principal y para interpretar y aplicar el derecho nacional. Sentencia de 26 de abril de 2017, Farkas (C‑564/15, EU:C:2017:302), apartado 37.
( 8 ) La negativa del Tribunal de Justicia a pronunciarse sobre una cuestión prejudicial solo es posible cuando resulta patente que la interpretación solicitada del derecho de la Unión no tiene relación alguna con la realidad o con el objeto del litigio principal, cuando el problema es de naturaleza hipotética o cuando el Tribunal de Justicia no dispone de los elementos de hecho o de derecho necesarios para responder eficazmente a las cuestiones planteadas [por todas, sentencia de 27 de septiembre de 2017, Puškár (C‑73/16, EU:C:2017:725), apartado 50]. Ninguna de esas circunstancias concurre en este caso.
( 9 ) Pese a las reticencias de Deutsche Wohnen a admitir esa condición durante la vista pública, lo cierto es que su perfil se ajusta a la definición de «responsable de tratamiento» establecida en el artículo 4 del RGPD. Así es, con independencia de la responsabilidad que efectivamente le corresponda por las infracciones que se le imputan en cuanto «responsable» del tratamiento.
( 10 ) Otra cosa es que, para determinar la cuantía de la sanción correspondiente, haya de tenerse en cuenta, en su caso, la posible integración de Deutsche Wohnen y sus filiales en una unidad económica superior. Pese a las apariencias, en este reenvío no se plantean, propiamente, los problemas clásicos de atribución de responsabilidad entre sociedades matrices y filiales o grupos de sociedades.
( 11 ) El artículo 4, punto 7, del RGPD define como «responsable del tratamiento», en lo que aquí importa, a «la persona […] jurídica […] que, sol[a] o junto con otros, determine los fines y medios del tratamiento»; en su punto 8 caracteriza al «encargado del tratamiento» como «la persona […] jurídica […] que trate datos personales por cuenta del responsable del tratamiento».
( 12 ) A la que asimismo alcanza, como es natural, el derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le afecte (artículo 78, apartado 1, del RGPD) y, por tanto, también contra toda multa administrativa que se le pueda imponer.
( 13 ) A título de ejemplo, la autoridad de protección de datos irlandesa ha impuesto, el 31 de diciembre de 2022, sendas multas de 210 millones de euros a Facebook y 180 millones de euros a Instagram.
( 14 ) Fundamento II, apartado 1, de la decisión de reenvío.
( 15 ) Véase el punto 32 de estas conclusiones.
( 16 ) Sentencia de 27 de abril de 2017, Akzo Nobel y otros/Comisión (C‑516/15 P, EU:C:2017:314), apartado 47.
( 17 ) Por todas, sentencia de 10 de abril de 2014, Areva y otros/Comisión (C‑247/11 P y C‑253/11 P, EU:C:2014:257), apartado 123.
( 18 ) Como ya he avanzado, quedan al margen de este procedimiento prejudicial los problemas relativos a la relación entre matrices y filiales, a efectos sancionadores. Tampoco se han planteado en el reenvío prejudicial preguntas sobre la carga de la prueba de los hechos imputados.
( 19 ) Considerando décimo del RGPD.
( 20 ) Loc. ult. cit.
( 21 ) Apartado 25 del escrito de observaciones del Gobierno alemán. Frente a esa tesis, el tribunal de reenvío defiende, en los términos anteriormente transcritos, que, aun en combinación con los artículos 9 y 30 de la OWiG, la protección de bienes jurídicos dispensada por el derecho interno sería muy restringida en comparación con el régimen de responsabilidad que resulta de los artículos 101 TFUE y 102 TFUE.
( 22 ) Apartado 25 del escrito de observaciones del Gobierno alemán, notas 16 a 18.
( 23 ) El sintagma strict liability corresponde, en la traducción inglesa habitual de las sentencias del Tribunal de Justicia, a las expresiones responsabilidad objetiva (versión española); responsabilité objective (versión francesa); responsabilità oggettiva (versión italiana); responsabilidade objetiva (versión portuguesa); objektiven Verantwortlichkeit (versión alemana) y objectieve aansprakelijkheid (versión neerlandesa).
( 24 ) Por todas, sentencia de 2 de febrero de 2021, Consob (C‑481/19, EU:C:2021:84), apartado 36.
( 25 ) Sentencia del TEDH de 20 de enero de 2009, Sud Fondi y otros c. Italia (CE:ECHR:2009:0120JUD007590901), § 116.
( 26 ) CE:ECHR:1988:1007JUD001051983.
( 27 ) Sentencia del TEDH de 7 de octubre de 1988, Salabiaku c. Francia, §§ 27 y 28.
( 28 ) Sentencia de 22 de marzo de 2017, Euro-Team y Spirál-Gép (C‑497/15 y C‑498/15, EU:C:2017:229), apartados 53 y 54, con cita de la sentencia de 9 de febrero de 2012, Urbán (C‑210/10, EU:C:2012:64), apartados 47 y 48 respectivamente.
( 29 ) Sentencia de 22 de marzo de 2017, Euro-Team y Spirál-Gép (C‑497/15 y C‑498/15, EU:C:2017:229).
( 30 ) Sentencia de 9 de febrero de 2012, Urbán (C‑210/10, EU:C:2012:64).
( 31 ) Véanse, sin embargo, los puntos 82 y 83 de estas conclusiones.
( 32 ) Así, por ejemplo, la letra a) se refiere al propósito de la operación de tratamiento. La letra c), a medidas adoptadas para paliar daños y perjuicios. La letra d), al grado de responsabilidad en función de las medidas aplicadas. La letra f), al grado de cooperación con la autoridad de control.
( 33 ) El considerando centésimo quincuagésimo del RGPD alude a la aplicación coherente de las multas administrativas por los Estados miembros. A estos últimos se les permite determinar, por el contrario, «si y en qué medida se debe imponer multas administrativas a las autoridades públicas». Lo anterior no obsta a las previsiones específicas para Dinamarca y Estonia a las que alude el considerando centésimo quincuagésimo primero y a las hipótesis recogidas en el considerando centésimo quincuagésimo segundo.
( 34 ) El considerando décimo del RGPD apela a una «aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal […] coherente y homogénea» (sin cursiva en el original). El considerando decimoprimero declara que las infracciones se han de castigar con sanciones equivalentes, expresión textual que repite el considerando decimotercero.