Cuestión prejudicial: cuantificación de multas bajo el RGPD

2024-10-02T11:15:00
Unión Europea
La AG concluye que la influencia de la matriz es clave para decidir si se debe considerar la facturación del grupo al cuantificar una sanción
Cuestión prejudicial: cuantificación de multas bajo el RGPD
2 de octubre de 2024

En el competitivo mundo de la gestión de datos, incluso las empresas más establecidas pueden encontrarse en el centro de controversias legales. Este es el caso de ILVA, una cadena de tiendas de muebles en Dinamarca, que recientemente ha sido noticia por infringir varias disposiciones del Reglamento General de Protección de Datos (RGPD).

Procedimientos judiciales

ILVA, como responsable del tratamiento de datos, fue acusada de violar el artículo 5(1)(e), el artículo 5(2) y el artículo 6 del RGPD en relación con la conservación de datos personales de antiguos clientes. Estas infracciones llevaron a la autoridad de protección de datos danesa, Datatilsynet, a recomendar una multa de 201.000 €, basada en la facturación del grupo Lars Larsen, al cual pertenece ILVA.

Sin embargo, el Tribunal de Aarhus (Retten i Aarhus) intervino y, aunque declaró culpable a ILVA, decidió reducir la multa a 13.400 €. La razón para esta reducción fue que la infracción fue cometida por ILVA como entidad individual y no por el grupo Lars Larsen en su totalidad. No obstante, el fiscal no estuvo de acuerdo con la sentencia del Tribunal y decidió recurrirla ante el Tribunal Superior de Dinamarca Occidental. Este órgano jurisdiccional, a su vez, suspendió el procedimiento y planteó las siguientes cuestiones prejudiciales al Tribunal de Justicia de la Unión Europea (TJUE):

  • Sobre la definición de "Empresa": ¿Debe entenderse el término "empresa" del artículo 83, apartados 4 a 6, del RGPD como una entidad que ejerce una actividad económica, independientemente de su personalidad jurídica y su modo de financiación, en línea con los artículos 101 y 102 del Tratado de Funcionamiento de la Unión Europea (TFUE)?
  • Sobre el cálculo de la multa: ¿debe interpretarse el artículo 83, apartados 4 a 6, del RGPD en el sentido de que, al imponer una multa a una empresa, debe tenerse en cuenta el volumen de negocios anual total a nivel mundial de la entidad económica de la que forma parte la empresa, o solo el volumen de negocios anual total a nivel mundial de la propia empresa?

Conclusiones de la Abogada General Laila Medina

A pesar de que el Tribunal todavía no se ha pronunciado al respecto de estas cuestiones, el 12 de septiembre, la Abogada General Medina emitió su dictamen, abordando los puntos clave:

  1. Interpretación del concepto "empresa": según la jurisprudencia reciente de la UE (asunto C-807/21 Deutsche Wohnen), una "empresa" es cualquier entidad que ejerce una actividad económica, independientemente de su forma jurídica. La facturación de la empresa debe ser la base para el cálculo de la multa, conforme al Derecho de la competencia de la UE y los artículos 101 y 102 del TFUE.
  2. Influencia de la sociedad matriz: la influencia de la sociedad matriz sobre las sociedades del grupo es crucial. Si la sociedad matriz ejerce una "influencia decisiva" sobre el responsable del tratamiento, la obligación en virtud del artículo 83 (5) del RGPD incluiría al responsable del tratamiento, la sociedad matriz y otras sociedades bajo su influencia decisiva. En tal caso, el volumen de negocios del grupo constituiría la base para el cálculo de la multa máxima.

Consideraciones finales

La Abogada General subrayó que las reglas para calcular la multa máxima no deben ser la única referencia para fijar la multa real. Esta debe reflejar todos los hechos del caso, incluidas las circunstancias agravantes y atenuantes. Además, se deben respetar las garantías de un proceso penal justo y el principio de proporcionalidad.

En conclusión, al determinar el monto de la multa real según el artículo 83 del RGPD, de acuerdo con el criterio de la Abogada General, se deben considerar varios factores:

  1. El poder de decisión de la empresa matriz: evaluar si la empresa matriz ha ejercido su poder de decisión en actividades específicas del responsable o encargado del tratamiento en relación con la infracción del RGPD.
  2. La relación del tratamiento de datos con la empresa: considerar si el tratamiento de datos específico que infringe el RGPD está relacionado con la empresa en cuestión y/o con todo el grupo empresarial.
  3. La participación de múltiples empresas: determinar si más de una empresa del grupo estuvo involucrada en la infracción del RGPD.


Miquel Peguera, con la colaboración de Paula Baidez

2 de octubre de 2024