En una reciente sentencia del Tribunal de Justicia de la Unión Europea (TJUE), asunto C-768/21, se ha clarificado un aspecto crucial en la aplicación de las medidas correctoras por parte de las autoridades de protección de datos: la discrecionalidad de estas para imponer sanciones administrativas, incluso en casos donde se haya producido una violación de la normativa de protección de datos. La decisión subraya la importancia de aplicar medidas que sean adecuadas, necesarias y proporcionadas en cada caso específico, poniendo de relieve que el objetivo principal es restablecer la conformidad con el Reglamento General de Protección de Datos (RGPD) y no únicamente sancionar las infracciones.
El caso se originó en Alemania, cuando un cliente de una entidad bancaria descubrió que una empleada había accedido a sus datos personales en varias ocasiones sin estar autorizada. La entidad bancaria no comunicó esta violación de seguridad al afectado, alegando que no existía un riesgo elevado para sus derechos y libertades, según la evaluación interna realizada por su delegado de protección de datos.
El HBDI investigó el caso y, aunque constató la infracción, decidió no imponer ninguna sanción ni adoptar medidas adicionales, dado que la entidad había tomado acciones correctivas internas, incluyendo medidas disciplinarias contra la empleada responsable y revisiones en la política de conservación de registros de acceso. No obstante, el afectado recurrió la decisión, argumentando que el HBDI debería haber impuesto una sanción, ya que, a su juicio, la autoridad de control no podía abstenerse de actuar cuando se confirmaba una violación del RGPD.
El TJUE determinó que las autoridades de control no están obligadas a imponer sanciones automáticamente en cada caso de infracción. En su fallo el Tribunal señaló que, de acuerdo con el artículo 58 del RGPD, las autoridades de control deben evaluar las circunstancias específicas del caso, tomando en consideración si las medidas adoptadas por el responsable del tratamiento han sido suficientes para restablecer el cumplimiento normativo y evitar que la infracción se repita.
El TJUE enfatizó que, si el responsable demuestra haber implementado medidas correctivas efectivas, la autoridad de control puede optar por soluciones alternativas (como un apercibimiento) o incluso decidir no imponer ninguna sanción, siempre que esta decisión se ajuste a los principios de proporcionalidad y necesidad. Esta interpretación refuerza el enfoque del RGPD de promover la responsabilidad proactiva y la mejora continua en lugar de un régimen sancionador rígido y automático.
En España, un ejemplo que refleja esta interpretación es una reciente resolución de la Agencia Española de Protección de Datos (AEPD). En este caso, el reclamante presentó una queja porque una empresa de entrega de paquetes entregó el suyo en un bar sin contar con su consentimiento para que la recogida se realizara en dicho establecimiento. Esta acción derivó en una exposición de sus datos personales (nombre, dirección y número de teléfono) a terceros no autorizados, ya que la etiqueta del envío estaba visible.
Tras recibir la reclamación, la empresa no solo reconoció el error, sino que adoptó medidas adicionales para evitar que se repitiera. Entre estas medidas se incluyó un protocolo revisado para la entrega de paquetes y la mejora en la formación del personal de reparto respecto a la protección de datos y la confidencialidad. La AEPD, aplicando el artículo 65.6 de la LOPDGDD, resolvió archivar la reclamación al considerar que la empresa había implementado un conjunto de medidas correctoras que garantizaban la adecuación del tratamiento y minimizaban el riesgo futuro.
Tanto la sentencia del TJUE como la resolución de la AEPD destacan que el foco debe estar en garantizar el cumplimiento normativo a través de la mejora continua y la implementación de medidas preventivas. Las autoridades de control no deben actúar únicamente como órganos sancionadores, sino como garantes del derecho a la protección de datos, buscando siempre el restablecimiento de la conformidad con la normativa y la minimización del riesgo para los derechos y libertades de los afectados.
Para las empresas y responsables del tratamiento, esto implica que la adopción de medidas correctoras tempranas puede influir significativamente en la resolución de una reclamación. La rápida implementación de cambios organizativos, técnicos o de procedimiento no solo minimiza el impacto de la infracción, sino que puede ser considerada un atenuante que evite sanciones más severas.