–

en nombre de ILVA A/S, por el Sr. D. B. Geary, advokat;

–

en nombre de la Comisión Europea, por los Sres. A. Bouchagiar, H. Kranenborg y C. Vang, en calidad de agentes;

1

La petición de decisión prejudicial tiene por objeto la interpretación del artículo 83, apartados 4 a 6, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; en lo sucesivo, «RGPD»).

2

Esta petición se ha presentado en el contexto de un procedimiento penal incoado por el Anklagemyndigheden (Ministerio Fiscal, Dinamarca) contra ILVA A/S por una serie de presuntos incumplimientos de las obligaciones que incumben a esta sociedad en virtud del RGPD en su condición de responsable del tratamiento de datos personales relativos a antiguos clientes.

3

Los considerandos 150 y 151 del RGPD tienen el siguiente tenor:

4

El artículo 5 del RGPD establece los principios relativos al tratamiento de datos personales.

5

El artículo 6 del RGPD determina las condiciones en las que el tratamiento de datos personales se considera lícito.

6

El artículo 58 del RGPD, titulado «Poderes», dispone en su apartado 2:

«Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:

[…]

[…]».

7

El artículo 83 del RGPD, titulado «Condiciones generales para la imposición de multas administrativas», establece en sus apartados 1, 2, 4 a 6 y 9:

«1.   Cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al presente artículo por las infracciones del presente Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias.

2.   Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:

[…]

4.   Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10000000 [euros] como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

[…]

5.   Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20000000 [euros] como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

[…]

6.   El incumplimiento de las resoluciones de la autoridad de control a tenor del artículo 58, apartado 2, se sancionará de acuerdo con el apartado 2 del presente artículo con multas administrativas de 20000000 [euros] como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

[…]

9.   Cuando el ordenamiento jurídico de un Estado miembro no establezca multas administrativas, el presente artículo podrá aplicarse de tal modo que la incoación de la multa corresponda a la autoridad de control competente y su imposición a los tribunales nacionales competentes, garantizando al mismo tiempo que estas vías de derecho sean efectivas y tengan un efecto equivalente a las multas administrativas impuestas por las autoridades de control. En cualquier caso, las multas impuestas serán efectivas, proporcionadas y disuasorias. Los Estados miembros de que se trate notificarán a la Comisión [Europea] las disposiciones legislativas que adopten en virtud del presente apartado a más tardar el 25 de mayo de 2018 y, sin dilación, cualquier ley de modificación o modificación posterior que les sea aplicable.»

8

La lov nr. 502 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (Ley n.o 502 por la que se establecen disposiciones complementarias al RGPD), de 23 de mayo de 2018, dispone en su artículo 41:

«1.   Salvo que otra legislación prevea una pena más elevada, será castigado con una multa o una pena de prisión de hasta seis meses quien infrinja las disposiciones relativas a:

[…]

4) los principios básicos del tratamiento, incluidos los requisitos relativos al consentimiento, establecidos en los artículos 5 a 7 y 9 del [RGPD]

[…]

3.   El artículo 83, apartado 2, del [RGPD] se aplicará cuando se imponga una sanción de conformidad con los apartados 1 y 2.

[…]

6.   Las sociedades y demás entidades (personas jurídicas) podrán ser declaradas penalmente responsables con arreglo a las normas establecidas en el capítulo 5 del [straffeloven (Código Penal)]. […]»

9

ILVA explota una cadena de tiendas de muebles y forma parte del grupo Lars Larsen Group. El volumen de negocio total del grupo correspondiente al ejercicio 2016/2017 ascendió a 6570 millones de coronas danesas (DKK) (aproximadamente 881 millones de euros), y el volumen de negocio de ILVA ascendió a cerca de 1800 millones de coronas danesas (aproximadamente 241 millones de euros) en ese mismo ejercicio.

10

Se acusa a ILVA ante los órganos jurisdiccionales daneses de incumplir, durante el período comprendido entre mayo de 2018 y enero de 2019, las obligaciones que le incumben en virtud del RGPD en su calidad de responsable del tratamiento de los datos personales en el contexto de la conservación de datos de al menos 350000 antiguos clientes.

11

Por recomendación de la Datatilsynet (Agencia de Protección de Datos, Dinamarca), el Ministerio Fiscal solicitó que se impusiera a ILVA una multa de 1500 millones de coronas danesas (aproximadamente 201000 euros). El cálculo de este importe se basó no solo en el volumen de negocio de ILVA, sino también en el volumen de negocio global del grupo Lars Larsen Group.

12

Mediante sentencia de 12 de febrero de 2021, el retten i Aarhus (Tribunal Municipal de Aarhus, Dinamarca) declaró a ILVA culpable de los hechos que se le imputaban y la condenó al pago de una multa de 100000 coronas danesas (aproximadamente 13400 euros). Este órgano jurisdiccional consideró que ILVA había actuado con negligencia, contrariamente a lo que alegaba el Ministerio Fiscal. También consideró que, en la medida en que solo ILVA era objeto de enjuiciamiento, no procedía tener en cuenta el volumen de negocio del grupo Lars Larsen Group para determinar el importe de la multa. Asimismo, señaló que ILVA ejercía una actividad de venta minorista independiente y que la sociedad matriz de dicho grupo no la había constituido con el único fin de garantizar el tratamiento de los datos del grupo.

13

El Ministerio Fiscal interpuso recurso de apelación contra esa sentencia ante el Vestre Landsret (Tribunal de Apelación de la Región Oeste, Dinamarca), que es el órgano jurisdiccional remitente. El Ministerio Fiscal sostiene que el término «empresa» que figura en el artículo 83, apartados 4 a 6, del RGPD debe entenderse en el sentido de que, para fijar una multa en caso de infracción del RGPD por una sociedad, es preciso atender al volumen de negocio del grupo del que forma parte dicha sociedad; en efecto, del considerando 150 del RGPD se desprende que este término debe entenderse de conformidad con los artículos 101 TFUE y 102 TFUE.

14

ILVA considera, en cambio, que, para fijar una multa por infracción del RGPD por parte de una sociedad, no procede tomar en consideración el volumen de negocio global del grupo al que pertenece; en el presente asunto, el procedimiento se incoó contra ILVA, no contra ella y su sociedad matriz.

15

Según el órgano jurisdiccional remitente, la respuesta a esta cuestión no se deduce claramente del RGPD.

16

En estas circunstancias, el Vestre Landsret (Tribunal de Apelación de la Región Oeste) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

17

Mediante sus cuestiones prejudiciales, que procede examinar conjuntamente, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 83, apartados 4 a 6, del RGPD, a la luz del considerando 150 de dicho Reglamento, debe interpretarse en el sentido de que el término «empresa», que figura en esas disposiciones, corresponde al concepto de «empresa», en el sentido de los artículos 101 TFUE y 102 TFUE, de modo que, cuando se impone una multa por infracción del RGPD a un responsable del tratamiento de datos personales que es o forma parte de una empresa, el importe de la multa se determina sobre la base de un porcentaje del volumen de negocio total anual global del ejercicio financiero anterior de la empresa, en el sentido de los referidos artículos 101 y 102.

18

De entrada, procede señalar que el Tribunal de Justicia ya ha tenido ocasión de responder a determinadas cuestiones relativas a la interpretación del artículo 83 del RGPD en la sentencia de 5 de diciembre de 2023, Deutsche Wohnen (C‑807/21, EU:C:2023:950), apartados 53 a 59, dictada tras la conclusión de la fase escrita del procedimiento en el presente asunto.

19

El Tribunal de Justicia ha declarado que el concepto de «empresa», en el sentido de los artículos 101 TFUE y 102 TFUE, no tiene incidencia sobre si puede imponerse una multa administrativa con arreglo al artículo 83 del RGPD a un responsable del tratamiento que es una persona jurídica y en qué condiciones, ya que esta cuestión está regulada de forma exhaustiva en los artículos 58, apartado 2, y 83, apartados 1 a 6, de dicho Reglamento (sentencia de 5 de diciembre de 2023, Deutsche Wohnen,C‑807/21, EU:C:2023:950, apartado 53).

20

En efecto, el referido concepto solo es pertinente para determinar el importe de la multa administrativa impuesta en virtud del artículo 83, apartados 4 a 6, del RGPD a un responsable del tratamiento (sentencia de 5 de diciembre de 2023, Deutsche Wohnen,C‑807/21, EU:C:2023:950, apartado 54).

21

La remisión realizada en el considerando 150 del RGPD al concepto de «empresa», en el sentido de los artículos 101 TFUE y 102 TFUE, debe entenderse en este contexto específico del cálculo de las multas administrativas impuestas por las infracciones contempladas en el artículo 83, apartados 4 a 6, del RGPD (sentencia de 5 de diciembre de 2023, Deutsche Wohnen,C‑807/21, EU:C:2023:950, apartado 55).

22

A este respecto, procede subrayar que, a efectos de la aplicación de las normas de competencia, contempladas en los artículos 101 TFUE y 102 TFUE, este concepto comprende cualquier entidad que ejerza una actividad económica, con independencia del estatuto jurídico de esa entidad y de su modo de financiación. Designa, así, una unidad económica, aunque, desde el punto de vista jurídico, dicha unidad económica esté constituida por varias personas físicas o jurídicas. Esta unidad económica consiste en una organización unitaria de elementos personales, materiales e inmateriales que persigue de manera duradera un fin económico determinado (sentencia de 5 de diciembre de 2023, Deutsche Wohnen,C‑807/21, EU:C:2023:950, apartado 56 y jurisprudencia citada).

23

Así, del artículo 83, apartados 4 a 6, del RGPD, que tiene por objeto el cálculo de las multas administrativas por las infracciones enumeradas en esos apartados, se desprende que, en el supuesto de que el destinatario de la multa administrativa sea una empresa o forme parte de ella, en el sentido de los artículos 101 TFUE y 102 TFUE, el importe máximo de la multa administrativa se calcula sobre la base de un porcentaje del volumen de negocio total anual global del ejercicio financiero anterior de la empresa de que se trate (sentencia de 5 de diciembre de 2023, Deutsche Wohnen,C‑807/21, EU:C:2023:950, apartado 57).

24

No obstante, la determinación de ese importe máximo ha de distinguirse del propio cálculo del importe de la multa que debe imponer la autoridad de control competente por la infracción o infracciones concretas del RGPD que dicha multa sancione.

25

Así, en virtud del artículo 83, apartado 1, del RGPD, cada autoridad de control tiene que garantizar que las multas administrativas con arreglo al referido artículo 83 por las infracciones del RGPD indicadas en sus apartados 4 a 6 sean, en cada caso individual, efectivas, proporcionadas y disuasorias.

26

Más allá del cumplimiento de estos tres requisitos, el apartado 2 de dicho artículo 83 exige, para decidir la imposición de una multa administrativa y su importe, que la autoridad de control competente tenga debidamente en cuenta, en cada caso individual, una serie de elementos.

27

De conformidad con esta última disposición, entre esos elementos figuran, en particular, la naturaleza, gravedad y duración de la infracción, el número de interesados afectados y el nivel de los daños y perjuicios sufridos, la intencionalidad o negligencia en la infracción, las medidas adoptadas por el responsable o el encargado del tratamiento para paliar los daños y perjuicios sufridos, el grado de responsabilidad del responsable o del encargado del tratamiento y las categorías de datos personales afectados por la infracción.

28

Los citados elementos se refieren, bien al comportamiento de ese responsable o encargado, acusado de infringir determinadas disposiciones del RGPD, bien a las propias infracciones. Así pues, sirven para garantizar que cada una de dichas infracciones se aprecie sobre la base de todas las circunstancias individuales pertinentes y que se alcancen los objetivos perseguidos por el régimen sancionador contemplado en el RGPD.

29

Aunque estos elementos no hacen referencia al concepto de empresa, en el sentido de los artículos 101 TFUE y 102 TFUE, el Tribunal de Justicia ya ha declarado que solamente una multa que tenga en cuenta no solo todos los elementos que caractericen las infracciones del RGPD constatadas, sino también, en su caso, la capacidad económica real o material de su destinatario, reúne los tres requisitos establecidos en el artículo 83, apartado 1, del RGPD, a saber, ser a la vez efectiva, proporcionada y disuasoria. Pues bien, para apreciar estos requisitos, debe tenerse en cuenta si ese destinatario forma parte de una empresa en el sentido de los artículos 101 TFUE y 102 TFUE (véase, en este sentido, la sentencia de 5 de diciembre de 2023, Deutsche Wohnen,C‑807/21, EU:C:2023:950, apartado 58).

30

La interpretación del artículo 83 del RGPD que resulta de los apartados 25 a 29 de la presente sentencia también es aplicable cuando las infracciones del RGPD constatadas no se sancionan con una multa administrativa, sino con una multa impuesta por los órganos jurisdiccionales nacionales competentes como sanción penal.

31

Como se indica en el considerando 151 del RGPD, algunos ordenamientos jurídicos nacionales, entre ellos el del Reino de Dinamarca, no permiten la imposición de multas administrativas según lo dispuesto en el RGPD.

32

Para regular este supuesto, el artículo 83, apartado 9, del RGPD dispone que, si el ordenamiento jurídico de un Estado miembro no establece multas administrativas, dicho artículo 83 podrá aplicarse de tal modo que, como en el presente asunto, la incoación de la multa corresponda a la autoridad de control competente y su imposición a los órganos jurisdiccionales nacionales competentes.

33

Además, en ese artículo 83, apartado 9, al igual que en el considerando 151 de dicho Reglamento, se precisa que las vías de derecho de que se trate han de ser efectivas y tener un efecto equivalente a las multas administrativas impuestas por las autoridades de control y que, en cualquier caso, las multas impuestas deben ser efectivas, proporcionadas y disuasorias.

34

Sentado lo anterior, el hecho de que la multa sea impuesta por un órgano jurisdiccional de lo penal en el marco de un procedimiento penal implica que el referido órgano jurisdiccional deba respetar en todo momento las normas aplicables en materia penal, entre ellas, más concretamente, los derechos procesales del acusado y el principio de proporcionalidad de las penas, garantizados por la Carta de los Derechos Fundamentales de la Unión Europea.

35

En este sentido, como indicó la Abogada General en el punto 74 de sus conclusiones, el artículo 83 del RGPD requiere que las autoridades de control competentes garanticen, sin excepción, la observancia del principio de proporcionalidad en el cálculo del importe efectivo de la multa impuesta, de modo que se alcance un justo equilibrio entre las exigencias del interés general en materia de protección de datos personales y las de la salvaguardia de los derechos del responsable del tratamiento de tales datos, del encargado de dicho tratamiento o de la empresa de la que forman parte. De ello se desprende que la aplicación del concepto de «empresa», en el sentido de los artículos 101 TFUE y 102 TFUE, en el marco de la aplicación del artículo 83, apartados 4 a 6, del RGPD, no parece toparse con obstáculos de principio cuando las infracciones del RGPD no se sancionan con multas administrativas, sino con multas impuestas por órganos jurisdiccionales de lo penal.

36

Habida cuenta de las consideraciones anteriores, procede responder a las cuestiones prejudiciales planteadas que el artículo 83, apartados 4 a 6, del RGPD, a la luz del considerando 150 del mismo Reglamento, debe interpretarse en el sentido de que el término «empresa», que figura en estas disposiciones, corresponde al concepto de «empresa», en el sentido de los artículos 101 TFUE y 102 TFUE, de modo que, cuando se impone una multa por infracción del RGPD a un responsable del tratamiento de datos personales que es o forma parte de una empresa, el importe máximo de la multa se determina sobre la base de un porcentaje del volumen de negocio total anual global del ejercicio financiero anterior de la empresa. El concepto de «empresa» también debe tenerse en cuenta para apreciar la capacidad económica real o material del destinatario de la multa y, así, comprobar si la multa es a la vez efectiva, proporcionada y disuasoria.

37

Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Quinta) declara:

El artículo 83, apartados 4 a 6, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), a la luz del considerando 150 del mismo Reglamento,

debe interpretarse en el sentido de que

el término «empresa», que figura en estas disposiciones, corresponde al concepto de «empresa», en el sentido de los artículos 101 TFUE y 102 TFUE, de modo que, cuando se impone una multa por infracción del Reglamento 2016/679 a un responsable del tratamiento de datos personales que es o forma parte de una empresa, el importe máximo de la multa se determina sobre la base de un porcentaje del volumen de negocio total anual global del ejercicio financiero anterior de la empresa. El concepto de «empresa» también debe tenerse en cuenta para apreciar la capacidad económica real o material del destinatario de la multa y, así, comprobar si la multa es a la vez efectiva, proporcionada y disuasoria.