–

en nombre de Deutsche Wohnen SE, por los Sres. O. Geiss, K. Mertens, N. Venn y T. Wybitul, Rechtsanwälte;

–

en nombre del Gobierno alemán, por los Sres. J. Möller y P.‑L. Krüger, en calidad de agentes;

–

en nombre del Gobierno estonio, por la Sra. M. Kriisa, en calidad de agente;

–

en nombre del Gobierno neerlandés, por la Sra. C. S. Schillemans, en calidad de agente;

–

en nombre del Gobierno noruego, por las Sras. L.‑M. Moen Jünge, M. Munthe-Kaas y T. Westhagen Edell, en calidad de agentes;

–

en nombre del Parlamento Europeo, por las Sras. G. C. Bartram y P. López-Carceller, en calidad de agentes;

–

en nombre del Consejo de la Unión Europea, por los Sres. J. Bauerschmidt y M. K. Pleśniak, en calidad de agentes;

–

en nombre de la Comisión Europea, por los Sres. A. Bouchagiar, F. Erlbacher, H. Kranenborg y G. Meessen, en calidad de agentes;

1

La petición de decisión prejudicial tiene por objeto la interpretación del artículo 83, apartados 4 a 6, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (DO 2016, L 119, p. 1; corrección de errores DO 2021, L 74, p. 35; en lo sucesivo, «RGPD»).

2

Esta petición se ha presentado en el contexto de un litigio entre Deutsche Wohnen SE (en lo sucesivo, «DW») y la Staatsanwaltschaft Berlin (Fiscalía de Berlín, Alemania) en relación con una multa administrativa impuesta a DW, con arreglo al artículo 83 del RGPD, por la infracción de los artículos 5, apartado 1, letras a), c) y e), 6 y 25, apartado 1, de dicho Reglamento.

3

Los considerandos 9, 10, 11, 13, 74, 129 y 150 del RGPD tienen el siguiente tenor:

[…]

[…]

[…]

[…]

4

Conforme al artículo 4 del referido Reglamento:

«A efectos del presente Reglamento se entenderá por:

[…]

[…]

[…]».

5

El artículo 58 del citado Reglamento, titulado «Poderes», establece, en sus apartados 2 y 4:

«2.   Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:

[…]

[…]

[…]

[…]

4.   El ejercicio de los poderes conferidos a la autoridad de control en virtud del presente artículo estará sujeto a las garantías adecuadas, incluida la tutela judicial efectiva y al respeto de las garantías procesales, establecidas en el Derecho de la Unión y de los Estados miembros de conformidad con la [Carta de los Derechos Fundamentales de la Unión Europea].»

6

El artículo 83 del mismo Reglamento, titulado «Condiciones generales para la imposición de multas administrativas», tiene el siguiente tenor:

«1.   Cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al presente artículo por las infracciones del presente Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias.

2.   Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:

3.   Si un responsable o un encargado del tratamiento incumpliera de forma intencionada o negligente, para las mismas operaciones de tratamiento u operaciones vinculadas, diversas disposiciones del presente Reglamento, la cuantía total de la multa administrativa no será superior a la cuantía prevista para las infracciones más graves.

4.   Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10000000 [euros] como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

[…]

5.   Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20000000 [euros] como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

6.   El incumplimiento de las resoluciones de la autoridad de control a tenor del artículo 58, apartado 2, se sancionará de acuerdo con el apartado 2 del presente artículo con multas administrativas de 20000000 [euros] como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

7.   Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro.

8.   El ejercicio por una autoridad de control de sus poderes en virtud del presente artículo estará sujeto a garantías procesales adecuadas de conformidad con el Derecho de la Unión y de los Estados miembros, entre ellas la tutela judicial efectiva y el respeto de las garantías procesales.

[…]»

7

El artículo 41, apartado 1, primera frase, de la Bundesdatenschutzgesetz (Ley Federal de Protección de Datos), de 30 de junio de 2017 (BGBl. 2017 I, p. 2097), establece que, salvo disposición contraria de dicha Ley, las disposiciones de la Gesetz über Ordnungswidrigkeiten (Ley de Infracciones Administrativas), de 24 de mayo de 1968 (BGBl. 1968 I, p. 481), en la versión de la Comunicación de 19 de febrero de 1987 (BGBl. 1987 I, p. 602), adaptada por la Ley de 19 de junio de 2020 (BGBl. 2020 I, p. 1350; en lo sucesivo, «OWiG»), son aplicables a las infracciones contempladas en el artículo 83, apartados 4 a 6, del RGPD.

8

El artículo 30 de la OWiG, titulado «Multas contra personas jurídicas y asociaciones de personas», dispone:

«(1)   Cuando una persona que actúe

haya cometido una infracción penal o administrativa, de modo que se hayan incumplido obligaciones que incumban a la persona jurídica o a la asociación de personas o que dicha persona jurídica o asociación de personas se haya enriquecido o se considere que se ha enriquecido, podrá imponerse una multa a esa persona jurídica o asociación de personas.

[…]

(4)   Si la infracción penal o administrativa no da lugar a la incoación de un procedimiento penal o de un procedimiento administrativo para la imposición de una multa, o si dicho procedimiento se archiva o si se renuncia a cualquier pena, la multa podrá imponerse de forma independiente. La ley también puede prever la posibilidad de imponer la multa de manera independiente en otros casos. No obstante, no podrá imponerse una multa de forma independiente a la persona jurídica o a la asociación de personas cuando la infracción penal o administrativa no pueda ser sancionada por un motivo jurídico […]».

9

El artículo 130 de la OWiG establece:

«(1)   Quien, como propietario de una explotación o empresa, se abstenga, intencionalmente o por negligencia, de adoptar las medidas de vigilancia necesarias para impedir, en el seno de la explotación o de la empresa, el incumplimiento de las obligaciones a las que está sujeto su titular y cuya infracción esté sancionada con pena o multa, cometerá una infracción administrativa si dicho incumplimiento hubiera podido impedirse o dificultado mediante una vigilancia adecuada. Las medidas de vigilancia necesarias también comprenderán el nombramiento, la selección cuidadosa y el control de los responsables de la vigilancia.

[…]

(3)   Cuando el incumplimiento de una obligación sea punible con una pena, la infracción administrativa podrá ser sancionada con una multa de hasta un millón de euros. Lo dispuesto en la tercera frase del apartado 2 del artículo 30 será de aplicación. Cuando el incumplimiento de la obligación se sancione con multa, el importe máximo de la multa impuesta por el incumplimiento del deber de vigilancia se determinará en función del importe máximo de la multa correspondiente a ese incumplimiento. […]»

10

DW es una sociedad inmobiliaria, constituida como sociedad europea, cotizada en bolsa y con domicilio social en Berlín (Alemania). Posee de forma indirecta, mediante participaciones en diferentes sociedades, aproximadamente 163000 viviendas y 3000 locales comerciales.

11

Los propietarios de esos inmuebles son filiales vinculadas a DW («sociedades tenedoras») que desarrollan la actividad operativa, mientras que DW asume la dirección central del grupo, que constituye, en particular, con ellas. Las sociedades tenedoras arriendan las viviendas y los locales comerciales, que son administrados por otras sociedades del referido grupo, llamadas «empresas de servicios».

12

En el marco de su actividad mercantil, DW y las sociedades del grupo que dirige llevan a cabo el tratamiento de datos personales de los arrendatarios de los inmuebles, como, por ejemplo, pruebas de identidad, datos fiscales, de la seguridad social y del seguro de enfermedad de dichos arrendatarios, así como datos relativos a arrendamientos previos.

13

El 23 de junio de 2017, la Berliner Beauftragte für den Datenschutz (Autoridad Competente de Berlín para la Protección de Datos, Alemania; en lo sucesivo, «Autoridad de Control»), en una inspección in situ, señaló a DW que las sociedades de su grupo almacenaban documentos que contenían datos personales de los arrendatarios en un sistema de archivo electrónico respecto del que no era posible determinar si el almacenamiento era necesario y si existían garantías de que se suprimían los datos que ya no hiciesen falta.

14

La Autoridad de Control requirió a DW que suprimiera esos documentos de su sistema de archivo electrónico a más tardar al finalizar 2017. En respuesta a este requerimiento, DW señaló que la supresión no era posible por razones técnicas y legales.

15

Tras una serie de contactos entre DW y la Autoridad de Control en relación con la posibilidad de suprimir los documentos en cuestión, DW informó a dicha autoridad de su intención de establecer un nuevo sistema de almacenamiento para sustituir al que contenía dichos documentos.

16

El 5 de marzo de 2019, la Autoridad de Control efectuó una inspección en la central del grupo dirigido por DW. Durante dicha inspección, esta comunicó a la referida autoridad que el sistema de archivo electrónico controvertido ya había sido desactivado y que la migración de los datos al nuevo sistema de almacenamiento se realizaría de forma inmediata.

17

Mediante decisión de 30 de octubre de 2019, la Autoridad de Control impuso a DW una multa administrativa de 14385000 euros por infracción deliberada de los artículos 5, apartado 1, letras a), c) y e), y 25, apartado 1, del RGPD (en lo sucesivo, «decisión controvertida»). Mediante esta decisión, dicha autoridad impuso también a DW otras quince multas de importes comprendidos entre 3000 y 17000 euros por la infracción del artículo 6, apartado 1, del RGPD.

18

En la decisión controvertida, la Autoridad de Control consideraba, más concretamente, que DW había omitido deliberadamente adoptar, entre el 25 de mayo de 2018 y el 5 de marzo de 2019, las medidas necesarias para permitir la supresión periódica de los datos personales relativos a los arrendatarios que ya no eran necesarios o que se mantenían indebidamente almacenados por otras causas. También señalaba que DW había seguido almacenando, sin necesidad de proceder así, los datos personales de al menos quince arrendatarios identificados de manera más precisa.

19

DW interpuso recurso contra la referida decisión ante el Landgericht Berlin (Tribunal Regional de lo Civil y Penal de Berlín, Alemania). Dicho órgano jurisdiccional archivó el procedimiento al considerar que la decisión controvertida adolecía de deficiencias tan graves que no podía servir de base para la imposición de una multa.

20

El referido órgano jurisdiccional señaló, en particular, que la imposición de una multa a una persona jurídica está regulada de manera exhaustiva en el artículo 30 de la OWiG que, en virtud del artículo 41, apartado 1, de la Ley Federal de Protección de Datos, se aplica a las infracciones contempladas en el artículo 83, apartados 4 a 6, del RGPD. Pues bien, según ese órgano jurisdiccional, con arreglo a dicho artículo 30 de la OWiG, solo puede constatarse una infracción administrativa con respecto a una persona física y no con respecto a una persona jurídica. Además, a su entender, a una persona jurídica solo se le puede imputar la actuación de los miembros de sus órganos o de sus representantes. Considera que, si bien el apartado 4 del referido artículo 30 permite, bajo determinadas condiciones, que un procedimiento administrativo para la imposición de multa independiente se instruya contra una persona jurídica, no es menos cierto que, también en este supuesto, se exige que se aprecie una infracción administrativa reprochable a miembros de los órganos de la persona jurídica de que se trate o a representantes de esta.

21

La Staatsanwaltschaft Berlin (Fiscalía de Berlín) interpuso un recurso contra esta resolución ante el Kammergericht Berlin (Tribunal Superior Regional de lo Civil y Penal de Berlín, Alemania), que es el órgano jurisdiccional remitente.

22

El órgano jurisdiccional remitente se pregunta, en primer lugar, si, con arreglo al artículo 83 del RGPD, debe poder imponerse una multa administrativa a una persona jurídica sin que la infracción de dicho Reglamento se impute previamente a una persona física concreta. En este contexto, dicho órgano jurisdiccional alberga dudas, en particular, sobre la pertinencia del concepto de «empresa», en el sentido de los artículos 101 TFUE y 102 TFUE.

23

A este respecto, el referido órgano jurisdiccional explica que, según una jurisprudencia nacional, el régimen de responsabilidad limitada de las personas jurídicas existente en Derecho nacional está en contradicción con el régimen de responsabilidad directa de las empresas previsto en el artículo 83 del RGPD. A juicio del órgano jurisdiccional remitente, en virtud de esta jurisprudencia, del tenor del artículo 83 del RGPD, que, de conformidad con el principio de primacía del Derecho de la Unión, prevalece sobre el régimen nacional, se desprende, en particular, que pueden imponerse multas administrativas a las empresas. Por tanto, no sería necesario vincular la imposición de tales multas a un acto culpable de los órganos o de los directivos de las personas jurídicas, contrariamente a lo que exige el Derecho nacional aplicable.

24

En efecto, según el mencionado órgano jurisdiccional, esta jurisprudencia, al igual que la mayoría de la doctrina nacional, concede especial importancia al concepto de «empresa», en el sentido de los artículos 101 TFUE y 102 TFUE, y, por tanto, a la idea de que la responsabilidad se imputa a la entidad económica en la que se ha adoptado el comportamiento indeseable, por ejemplo, un comportamiento contrario a la competencia. A su entender, conforme a esta concepción «funcional», todos los actos de todos los empleados autorizados a actuar en nombre de una empresa son imputables a la empresa, también en el marco de un procedimiento administrativo.

25

En segundo lugar, en el supuesto de que el Tribunal de Justicia considere que debe poder imponerse directamente una multa administrativa a una persona jurídica, el órgano jurisdiccional remitente se pregunta sobre los criterios que deben aplicarse para determinar la responsabilidad de una persona jurídica, como empresa, por una infracción del RGPD. En particular, desea saber si puede imponerse una multa administrativa con arreglo al artículo 83 de dicho Reglamento a una persona jurídica sin que se haya demostrado que la infracción de dicho Reglamento imputada a esta se haya cometido habiendo concurrido dolo o negligencia.

26

En estas circunstancias, el Kammergericht Berlin (Tribunal Superior Regional de lo Civil y Penal de Berlín) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

27

Tras la vista oral celebrada el 17 de enero de 2023, DW solicitó, mediante escrito presentado en la Secretaría del Tribunal de Justicia el 23 de marzo de 2023, que se ordenara la reapertura de la fase oral del procedimiento, en aplicación artículo 83 del Reglamento de Procedimiento del Tribunal de Justicia.

28

En apoyo de su solicitud, DW sostiene, en esencia, que las respuestas dadas por el órgano jurisdiccional remitente a la solicitud de aclaraciones dirigida a este con arreglo al artículo 101 del Reglamento de Procedimiento proporcionan al Tribunal de Justicia información inexacta en relación con las disposiciones aplicables del Derecho nacional. Pues bien, a su entender, no fue posible un debate exhaustivo al respecto en la vista de 17 de enero de 2023, ya que las partes solo habían tenido conocimiento de esas respuestas tres días hábiles antes de dicha vista. En efecto, según DW, tal plazo no había permitido preparar la vista en profundidad.

29

Es cierto que, de conformidad con el artículo 83 del Reglamento de Procedimiento, el Tribunal de Justicia puede ordenar en todo momento, tras oír al Abogado General, la reapertura de la fase oral del procedimiento, en particular si estima que la información de que dispone es insuficiente o cuando una parte haya invocado ante él, tras el cierre de esta fase, un hecho nuevo que pueda influir decisivamente en su resolución, o también cuando el asunto deba resolverse basándose en un argumento que no fue debatido entre los interesados.

30

Sin embargo, en el caso de autos, el Tribunal de Justicia dispone de todos los elementos necesarios para pronunciarse y el presente asunto no tiene que resolverse basándose en argumentos que no han sido debatidos entre los interesados. Además, la solicitud de reapertura de la fase oral del procedimiento no contiene ningún hecho nuevo que pueda influir decisivamente en la resolución que el Tribunal de Justicia debe adoptar en este asunto.

31

En estas circunstancias, el Tribunal de Justicia, oído el Abogado General, considera que no procede ordenar la reapertura de la fase oral del procedimiento.

32

Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si los artículos 58, apartado 2, y 83, apartados 1 a 6, del RGPD deben interpretarse en el sentido de que se oponen a una normativa nacional en virtud de la cual solo puede imponerse una multa administrativa a una persona jurídica en su condición de responsable del tratamiento por una infracción contemplada en los apartados 4 a 6 del referido artículo 83 si dicha infracción ha sido imputada previamente a una persona física concreta.

33

Con carácter preliminar, procede señalar que, en sus observaciones escritas, el Gobierno alemán expresó sus dudas sobre esta interpretación del Derecho nacional realizada por el órgano jurisdiccional remitente, debido a que el artículo 130 de la OWiG permite imponer una multa a una persona jurídica también fuera de los supuestos contemplados en el artículo 30 de la OWiG. Por otra parte, según el Gobierno alemán, estas dos disposiciones permiten imponer una multa denominada «anónima» en el marco de un procedimiento incoado contra la empresa, sin que sea necesario identificar a la persona física autora de la infracción en cuestión.

34

En respuesta a una solicitud de aclaraciones dirigida al órgano jurisdiccional remitente, mencionada en el apartado 28 de la presente sentencia, este indicó que el artículo 130 de la OWiG no tiene incidencia sobre la primera cuestión prejudicial planteada.

35

En efecto, según dicho órgano jurisdiccional, esta disposición se refiere al propietario de una explotación o de una empresa, que debe haber incumplido concurriendo dolo o negligencia una obligación de vigilancia. A su entender, la prueba de que se han incumplido tales obligaciones imputables al propietario de la empresa es, sin embargo, extremadamente compleja y, a menudo, imposible de aportar, y la cuestión de si un grupo de empresas puede considerarse una «empresa» o un «propietario de empresas», en el sentido de la referida disposición, es objeto de controversia a nivel nacional. En cualquier caso, a juicio del órgano jurisdiccional remitente, la primera cuestión prejudicial también es pertinente en este contexto.

36

Procede recordar que, por lo que se refiere a la interpretación de las disposiciones del ordenamiento jurídico nacional, el Tribunal de Justicia debe, en principio, basarse en las calificaciones que resultan de la resolución de remisión. En efecto, según reiterada jurisprudencia, el Tribunal de Justicia no es competente para interpretar el Derecho interno de un Estado miembro [sentencia de 26 de enero de 2021, Hessischer Rundfunk, C‑422/19 y C‑423/19, EU:C:2021:63, apartado 31 y jurisprudencia citada].

37

Por consiguiente, debe responderse a la primera cuestión prejudicial partiendo de la premisa de que, en virtud del Derecho nacional aplicable, solo puede imponerse una multa administrativa a una persona jurídica en su condición de responsable del tratamiento por una infracción contemplada en el artículo 83, apartados 4 a 6, del RGPD en las condiciones previstas en el artículo 30 de la OWiG, tal como las ha expuesto el órgano jurisdiccional remitente.

38

Para responder a esta primera cuestión, procede señalar, para empezar, que los principios, prohibiciones y obligaciones previstos en el RGPD se dirigen, en particular, a los «responsables del tratamiento» cuya responsabilidad se extiende, como subraya el considerando 74 del RGPD, a cualquier tratamiento de datos personales realizado por ellos mismos o por su cuenta, y que, a este respecto, no solo están obligados a aplicar medidas oportunas y eficaces, sino también a poder demostrar la conformidad de sus actividades de tratamiento con el RGPD, incluida la eficacia de las medidas adoptadas para garantizar tal conformidad. Es esa responsabilidad la que constituye, cuando se produce una de las infracciones contempladas en el artículo 83, apartados 4 a 6, de dicho Reglamento, el fundamento de la imposición de una multa administrativa al responsable del tratamiento con arreglo al referido artículo 83.

39

El artículo 4, punto 7, del RGPD define de manera amplia el concepto de «responsable del tratamiento» como la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o junto con otros, determine los fines y los medios del tratamiento de datos personales.

40

El objetivo de esta definición amplia del artículo 4, punto 7, del RGPD —que incluye expresamente a las personas jurídicas— consiste, de conformidad con el del RGPD, en garantizar una protección eficaz de las libertades y de los derechos fundamentales de las personas físicas y, en particular, un elevado nivel de protección del derecho de toda persona a la protección de los datos personales que le conciernan (véanse, en este sentido, las sentencias de 29 de julio de 2019, Fashion ID, C‑40/17, EU:C:2019:629, apartado 66, y de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, apartado 73 y jurisprudencia citada).

41

Por otra parte, el Tribunal de Justicia ya ha declarado que cualquier persona física o jurídica que, atendiendo a sus propios objetivos, influya en el tratamiento de datos personales y participe, por tanto, en la determinación de los fines y los medios del tratamiento puede ser considerada responsable del tratamiento (véase, en este sentido, la sentencia de 10 de julio de 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, apartado 68).

42

Así pues, del tenor y de la finalidad del artículo 4, punto 7, del RGPD se desprende que el legislador de la Unión no ha establecido, a efectos de la determinación de la responsabilidad en virtud de dicho Reglamento, una distinción entre las personas físicas y las personas jurídicas, ya que esta responsabilidad está sujeta únicamente al requisito de que estas, solas o conjuntamente con otras, determinen los fines y los medios del tratamiento de datos personales.

43

Por tanto, sin perjuicio de lo dispuesto en el artículo 83, apartado 7, del RGPD en relación con las autoridades y organismos públicos, toda persona que cumpla este requisito —con independencia de que se trate de una persona física, persona jurídica, autoridad pública, servicio u otro organismo— será responsable, en particular, de cualquier infracción contemplada en el artículo 83, apartados 4 a 6, del RGPD cometida por ella misma o en su nombre.

44

Por lo que respecta a las personas jurídicas, esto implica, por una parte, como ha señalado, en esencia, el Abogado General en los puntos 57 a 59 de sus conclusiones, que estas son responsables no solo de las infracciones cometidas por sus representantes, directores o gestores, sino también por cualquier otra persona que actúe en el ámbito de la actividad empresarial de esas personas jurídicas y en su nombre. Por otra parte, las multas administrativas previstas en el artículo 83 del RGPD en caso de que se produzcan tales infracciones deben poder imponerse directamente a personas jurídicas cuando estas puedan ser calificadas de responsables del tratamiento en cuestión.

45

A continuación, procede señalar que el artículo 58, apartado 2, del RGPD establece de manera precisa los poderes de que disponen las autoridades de control en materia de adopción de medidas correctivas, sin remitirse al Derecho de los Estados miembros ni dejar margen de apreciación a estos Estados. Pues bien, por una parte, esos poderes, entre los que se encuentra, en virtud del apartado 2, letra i), de dicho artículo 58, el de imponer una multa administrativa, se refieren al responsable del tratamiento y, por otra parte, tal responsable puede, como se desprende del apartado 39 de la presente sentencia, ser tanto una persona física como una persona jurídica. Los requisitos materiales que una autoridad de control debe respetar al imponer tal multa se establecen, por su parte, en los apartados 1 a 6 del artículo 83 del RGPD, de manera precisa y sin dejar a los Estados miembros ningún margen de apreciación.

46

Así pues, de la lectura conjunta de los artículos 4, punto 7, 83 y 58, apartado 2, letra i), del RGPD se desprende que también puede imponerse una multa administrativa por una infracción contemplada en dicho artículo 83, apartados 4 a 6, a personas jurídicas cuando estas tengan la condición de responsables del tratamiento. En cambio, ninguna disposición del RGPD permite considerar que la imposición de una multa administrativa a una persona jurídica como responsable del tratamiento esté sujeta a la constatación previa de que esa infracción ha sido cometida por una persona física concreta.

47

Es cierto que de los artículos 58, apartado 4, y 83, apartado 8, del RGPD, interpretados a la luz del considerando 129 de dicho Reglamento, se desprende que el ejercicio por una autoridad de control de los poderes que le confieren estos artículos está sujeto a garantías procesales procedimiento adecuadas de conformidad con el Derecho de la Unión y de los Estados miembros, entre ellas la tutela judicial efectiva y el respeto de las garantías procesales.

48

No obstante, el hecho de que dicho Reglamento conceda así a los Estados miembros la posibilidad de establecer requisitos relativos al procedimiento que deben seguir las autoridades de control para imponer una multa administrativa no significa en modo alguno que también estén facultados para establecer, más allá de tales requisitos de carácter procedimental, requisitos materiales adicionales a los fijados en el artículo 83, apartados 1 a 6, del RGPD. Además, el hecho de que el legislador de la Unión se haya preocupado de prever expresamente esta posibilidad, pero no la de establecer tales requisitos materiales adicionales, confirma que no ha dejado a los Estados miembros un margen de apreciación a este respecto. Por tanto, dichos requisitos materiales pertenecen únicamente al ámbito del Derecho de la Unión.

49

La anterior interpretación literal de los artículos 58, apartado 2, y 83, apartados 1 a 6, del RGPD se ve corroborada por la finalidad de dicho Reglamento.

50

Del considerando 10 del RGPD se desprende, en particular, que las disposiciones de este tienen entre sus objetivos garantizar un nivel uniforme y elevado de protección de las personas físicas por lo que se refiere al tratamiento de datos personales en la Unión y, a tal fin, garantizar que la aplicación de las normas de protección de los derechos y libertades fundamentales de esas personas en relación con el tratamiento de tales datos sea coherente y homogénea en toda la Unión. Los considerandos 11 y 129 del RGPD subrayan, por otro lado, que, para garantizar una ejecución coherente de este Reglamento, es necesario que las autoridades de control tengan poderes equivalentes para supervisar y asegurar el cumplimiento de las normas relativas a la protección de los datos personales y que puedan imponer sanciones equivalentes en caso de infracción de dicho Reglamento.

51

Pues bien, permitir a los Estados miembros exigir, de manera unilateral y como condición necesaria para la imposición de una multa administrativa con arreglo al artículo 83 del RGPD a un responsable del tratamiento que es una persona jurídica, que la infracción en cuestión sea imputada o imputable, con carácter previo, a una persona física concreta sería contrario a esa finalidad del RGPD. Además, tal exigencia adicional podría, en definitiva, debilitar la efectividad y el efecto disuasorio de las multas administrativas impuestas a personas jurídicas como responsables del tratamiento, en contra de lo dispuesto en el artículo 83, apartado 1, del RGPD.

52

A este respecto, procede recordar que el artículo 288 TFUE, párrafo segundo, establece que un reglamento de la Unión es obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro, lo que excluye, salvo disposición en contrario, que los Estados miembros adopten disposiciones internas que afecten al alcance de tal reglamento. Por otra parte, los Estados miembros están obligados, en virtud de las obligaciones que se desprenden del Tratado FUE, a no obstaculizar la aplicabilidad directa propia de los reglamentos. En particular, no pueden adoptar un acto que oculte a los justiciables la naturaleza de Derecho de la Unión de una norma jurídica y los efectos que derivan de la misma (sentencia de 15 de noviembre de 2012, Al-Aqsa/Consejo y Países Bajos/Al-Aqsa, C‑539/10 P y C‑550/10 P, EU:C:2012:711, apartados 86 y 87 y jurisprudencia citada).

53

Por último, habida cuenta de las dudas del órgano jurisdiccional remitente, procede señalar que el concepto de «empresa», en el sentido de los artículos 101 TFUE y 102 TFUE, no tiene incidencia sobre si puede imponerse una multa administrativa con arreglo al artículo 83 del RGPD a un responsable del tratamiento que es una persona jurídica y en qué condiciones, ya que esta cuestión está regulada de forma exhaustiva en los artículos 58, apartado 2, y 83, apartados 1 a 6, del referido Reglamento.

54

En efecto, este concepto solo es pertinente para determinar el importe de la multa administrativa impuesta en virtud del artículo 83, apartados 4 a 6, del RGPD a un responsable del tratamiento.

55

Como ha señalado el Abogado General en el punto 45 de sus conclusiones, la remisión realizada en el considerando 150 del RGPD al concepto de «empresa», en el sentido de los artículos 101 TFUE y 102 TFUE, debe entenderse en este contexto específico del cálculo de las multas administrativas impuestas por las infracciones contempladas en el artículo 83, apartados 4 a 6, del RGPD.

56

A este respecto, procede subrayar que, a efectos de la aplicación de las normas de competencia, contempladas en los artículos 101 TFUE y 102 TFUE, este concepto comprende cualquier entidad que ejerza una actividad económica, con independencia del estatuto jurídico de esa entidad y de su modo de financiación. Designa, así, una unidad económica, aunque, desde el punto de vista jurídico, dicha unidad económica esté constituida por varias personas físicas o jurídicas. Esta unidad económica consiste en una organización unitaria de elementos personales, materiales e inmateriales que persigue de manera duradera un fin económico determinado (sentencia de 6 de octubre de 2021, Sumal, C‑882/19, EU:C:2021:800, apartado 41 y jurisprudencia citada).

57

Así pues, del artículo 83, apartados 4 a 6, del RGPD, que tiene por objeto el cálculo de las multas administrativas por las infracciones enumeradas en esos apartados, se desprende que, en el supuesto de que el destinatario de la multa administrativa sea una empresa o forme parte de ella, en el sentido de los artículos 101 TFUE y 102 TFUE, el importe máximo de la multa administrativa se calcula sobre la base de un porcentaje del volumen de negocio total anual global del ejercicio financiero anterior de la empresa de que se trate.

58

En definitiva, como ha señalado el Abogado General en el punto 47 de sus conclusiones, solo una multa administrativa cuya cuantía se determine en función de la capacidad económica real o material de su destinatario, y, por tanto, impuesta por la autoridad de control basándose, por lo que respecta a su importe, en el concepto de unidad económica en el sentido de la jurisprudencia citada en el apartado 56 de la presente sentencia, puede reunir los tres requisitos enunciados en el artículo 83, apartado 1, del RGPD, a saber, ser a la vez efectiva, proporcionada y disuasoria.

59

Por consiguiente, cuando una autoridad de control decide, con arreglo a los poderes de que dispone en virtud del artículo 58, apartado 2, del RGPD, imponer a un responsable del tratamiento, que es una empresa o forma parte de ella, en el sentido de los artículos 101 TFUE y 102 TFUE, una multa administrativa con arreglo al artículo 83 del referido Reglamento, esa autoridad está obligada a basarse, en virtud de esta última disposición, interpretada a la luz del considerando150 de ese mismo Reglamento, al calcular las multas administrativas por las infracciones contempladas en los apartados 4 a 6 de dicho artículo 83, en el concepto de «empresa», en el sentido de los artículos 101 TFUE y 102 TFUE.

60

Habida cuenta de las consideraciones anteriores, procede responder a la primera cuestión prejudicial que los artículos 58, apartado 2, letra i), y 83, apartados 1 a 6, del RGPD deben interpretarse en el sentido de que se oponen a una normativa nacional en virtud de la cual solo puede imponerse una multa administrativa a una persona jurídica en su condición de responsable del tratamiento por una infracción contemplada en los apartados 4 a 6 del referido artículo 83 si dicha infracción ha sido imputada previamente a una persona física concreta.

61

Mediante su segunda cuestión prejudicial, que se plantea para el supuesto de que se responda afirmativamente a la primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 83 del RGPD debe interpretarse en el sentido de que solo puede imponerse una multa administrativa con arreglo a esa disposición si se demuestra que el responsable del tratamiento, que es a la vez una persona jurídica y una empresa, cometió, de forma intencionada o negligente, una infracción contemplada en los apartados 4 a 6 de dicho artículo.

62

A este respecto, procede recordar que del artículo 83, apartado 1, del RGPD se desprende que las multas administrativas deben ser efectivas, proporcionadas y disuasorias. En cambio, el artículo 83 del RGPD no precisa expresamente que las infracciones contempladas en los apartados 4 a 6 de dicho artículo únicamente puedan sancionarse con una multa de este tipo si se han cometido de forma intencionada o, al menos, negligente.

63

Los Gobiernos alemán, estonio y noruego y el Consejo de la Unión Europea deducen de ello, en particular, que el legislador de la Unión quiso dejar a los Estados miembros un cierto margen de apreciación en la aplicación del artículo 83 del RGPD, que les permita establecer la imposición de multas administrativas con arreglo a esta disposición, en su caso, sin que se haya demostrado que la infracción del RGPD sancionada con la multa se haya cometido de forma intencionada o negligente.

64

No puede acogerse esta interpretación del artículo 83 del RGPD.

65

A este respecto, como se ha señalado en los apartados 45 y 48 de la presente sentencia, los requisitos materiales que debe cumplir una autoridad de control cuando impone una multa administrativa a un responsable del tratamiento pertenecen únicamente al ámbito del Derecho de la Unión, ya que dichos requisitos se fijan, de manera precisa y sin dejar a los Estados miembros ningún margen de apreciación, en el artículo 83, apartados 1 a 6, del RGPD (véase, asimismo, la sentencia de 5 de diciembre de 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, apartados 64 a 70).

66

Por lo que respecta a dichos requisitos, procede señalar que el artículo 83, apartado 2, del RGPD enumera los factores que la autoridad de control debe tener en cuenta para imponer una multa administrativa al responsable del tratamiento. Entre estos factores figura, en la letra b) de dicha disposición, «la intencionalidad o negligencia en la infracción». En cambio, ninguno de los factores enumerados en esa disposición menciona la posibilidad de que se genere la responsabilidad del responsable del tratamiento sin una conducta culpable de este.

67

Además, es importante leer el artículo 83, apartado 2, del RGPD en relación con el apartado 3 de dicho artículo, cuyo objeto es prever las consecuencias de los casos de acumulación de infracciones del Reglamento y a tenor del cual «si un responsable o un encargado del tratamiento incumpliera de forma intencionada o negligente, para las mismas operaciones de tratamiento u operaciones vinculadas, diversas disposiciones del presente Reglamento, la cuantía total de la multa administrativa no será superior a la cuantía prevista para las infracciones más graves».

68

Así pues, del tenor del artículo 83, apartado 2, del RGPD se desprende que únicamente las infracciones de las disposiciones del Reglamento cometidas con culpabilidad por el responsable del tratamiento, a saber, las cometidas de forma intencionada o negligente, pueden dar lugar a que se le imponga una multa administrativa con arreglo a dicho artículo.

69

La estructura general y la finalidad del RGPD corroboran esta interpretación.

70

Por una parte, el legislador de la Unión ha establecido un sistema de sanciones que permite a las autoridades de control imponer las sanciones más adecuadas según las circunstancias de cada caso.

71

En efecto, el artículo 58 del RGPD establece, en su apartado 2, letra i), que esas autoridades pueden imponer multas administrativas, con arreglo al artículo 83 de dicho Reglamento, «además o en lugar» de otros poderes correctivos enumerados en dicho artículo 58, apartado 2, como advertencias, apercibimientos u órdenes. Asimismo, el considerando 148 de dicho Reglamento indica, en particular, que en caso de infracción leve o si la multa administrativa que probablemente se impusiera constituyese una carga desproporcionada para una persona física, las autoridades de control pueden imponer un apercibimiento en lugar de sanción mediante multa administrativa.

72

Por otra parte, como se ha señalado en el apartado 50 de la presente sentencia, las disposiciones del RGPD tienen entre sus objetivos garantizar un nivel uniforme y elevado de protección de las personas físicas por lo que se refiere al tratamiento de datos personales en la Unión y, a tal fin, garantizar que la aplicación de las normas de protección de los derechos y libertades fundamentales de esas personas en relación con el tratamiento de tales datos sea coherente y homogénea en toda la Unión. Además, para garantizar una ejecución coherente de este Reglamento, las autoridades de control deben disponer de poderes equivalentes para supervisar y asegurar el cumplimiento de las normas relativas a la protección de los datos personales, de modo que puedan imponer sanciones equivalentes en caso de infracción de dicho Reglamento.

73

La existencia de un sistema de sanciones que permita imponer, cuando las circunstancias específicas de cada caso lo justifiquen, una multa administrativa con arreglo al artículo 83 del RGPD crea un incentivo para que los responsables y encargados del tratamiento cumplan el Reglamento. Con su efecto disuasorio, las multas administrativas contribuyen a reforzar la protección de las personas físicas en lo que respecta al tratamiento de datos personales y constituyen, por ende, un elemento clave para garantizar el respeto de los derechos de dichas personas, de conformidad con la finalidad del citado Reglamento de asegurar un elevado nivel de protección de esas personas en lo que respecta al tratamiento de los datos personales.

74

Sin embargo, el legislador de la Unión no consideró necesario, para asegurar ese nivel elevado de protección, prever la imposición de multas administrativas cuando no exista culpabilidad. Toda vez que el RGPD tiene por objeto un nivel de protección tanto equivalente como homogéneo y que, a tal fin, debe aplicarse de manera coherente en toda la Unión, sería contrario a esta finalidad permitir a los Estados miembros establecer un régimen de esta índole para la imposición de una multa con arreglo al artículo 83 del Reglamento. Además, esa libertad de elección podría falsear la competencia entre los operadores económicos en el seno de la Unión, lo que sería contrario a los objetivos expresados por el legislador de la Unión, en particular, en los considerandos 9 y 13 de dicho Reglamento.

75

En consecuencia, procede declarar que el artículo 83 del RGPD no permite imponer una multa administrativa por una infracción contemplada en sus apartados 4 a 6 sin que se demuestre que dicha infracción fue cometida de forma intencionada o negligente por el responsable del tratamiento y que, por lo tanto, la culpabilidad en la comisión de la infracción constituye un requisito para la imposición de la multa.

76

A este respecto, debe precisarse además, por lo que atañe a la cuestión de si una infracción se ha cometido de forma intencionada o negligente y, por ello, puede sancionarse con una multa administrativa con arreglo al artículo 83 del RGPD, que un responsable del tratamiento puede ser sancionado por un comportamiento comprendido en el ámbito de aplicación del RGPD cuando no podía ignorar el carácter infractor de su conducta, tuviera o no conciencia de infringir las disposiciones del RGPD (véanse, por analogía, las sentencias de 18 de junio de 2013, Schenker & Co. y otros, C‑681/11, EU:C:2013:404, apartado 37 y jurisprudencia citada; de 25 de marzo de 2021, Lundbeck/Comisión, C‑591/16 P, EU:C:2021:243, apartado 156, y de 25 de marzo de 2021, Arrow Group y Arrow Generics/Comisión, C‑601/16 P, EU:C:2021:244, apartado 97).

77

Cuando el responsable del tratamiento sea una persona jurídica, debe precisarse además que la aplicación del artículo 83 del RGPD no supone una actuación ni aun un conocimiento por parte del órgano de gestión de dicha persona jurídica (véanse, por analogía, las sentencias de 7 de junio de 1983, Musique Diffusion française y otros/Comisión, 100/80 a 103/80, EU:C:1983:158, apartado 97, y de 16 de febrero de 2017, Tudapetrol Mineralölerzeugnisse Nils Hansen/Comisión, C‑94/15 P, EU:C:2017:124, apartado 28 y jurisprudencia citada).

78

Habida cuenta de las consideraciones anteriores, procede responder a la segunda cuestión prejudicial que el artículo 83 del RGPD debe interpretarse en el sentido de que solo puede imponerse una multa administrativa con arreglo a esa disposición si se demuestra que el responsable del tratamiento, que es a la vez una persona jurídica y una empresa, cometió, de forma intencionada o negligente, una infracción contemplada en los apartados 4 a 6 de dicho artículo.

79

Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Gran Sala) declara: