En Alemania, una caja de ahorros constató que una de sus empleadas había consultado datos personales de un cliente en varias ocasiones, sin estar autorizada para ello. La caja de ahorros no informó de ello al cliente porque su delegado de protección de datos había considerado que no suponía un riesgo elevado para él. En efecto, la empleada confirmó por escrito que no había copiado ni conservado los datos, que no los había transmitido a terceros y que no lo haría en el futuro. Además, la caja de ahorros había adoptado medidas disciplinarias contra ella. No obstante, la caja de ahorros notificó esta infracción al comisionado para la protección de datos del Land.
Tras conocer incidentalmente lo ocurrido, el cliente presentó una reclamación ante el referido comisionado para la protección de datos. Oída la caja de ahorros, el comisionado para la protección de datos informó al cliente de que no consideraba necesario adoptar medidas correctoras contra la caja de ahorros.
El cliente interpuso entonces un recurso ante un tribunal alemán, solicitándole que ordenase al comisionado para la protección de datos actuar contra la caja de ahorros y, en particular, imponerle una multa.
El tribunal alemán ha solicitado al Tribunal de Justicia que interprete el Reglamento General de Protección de Datos (RGPD) 1 a este respecto.
El Tribunal de Justicia responde que, en caso de que se constate una violación de la seguridad de datos personales, la autoridad de control 2 no está obligada a adoptar una medida correctora, 3 en particular a imponer una multa administrativa, cuando ello no sea necesario para subsanar la deficiencia constatada y garantizar el pleno respeto del RGPD. Este puede ser el caso, en particular, cuando el responsable del tratamiento haya adoptado, tan pronto como haya tenido conocimiento de ello, las medidas necesarias para poner fin a dicha violación y evitar que vuelva a producirse.
El RGPD deja a la autoridad de control un margen de apreciación en cuanto a la manera en que debe subsanar la deficiencia constatada. Este margen está limitado por la necesidad de garantizar un nivel coherente y elevado de protección de los datos personales mediante una aplicación rigurosa del RGPD.
Corresponde al tribunal alemán comprobar si el comisionado para la protección de datos respetó esos límites.
SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Primera)
de 26 de septiembre de 2024 (*)
“Procedimiento prejudicial - Protección de las personas físicas en lo que respecta al tratamiento de datos personales - Reglamento (UE) 2016/679 - Artículo 57, apartado 1, letras a) y f) - Funciones de la autoridad de control - Artículo 58, apartado 2 - Medidas correctoras - Multa administrativa - Margen de apreciación de la autoridad de control – Límites”
En el asunto C-768/21,
que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso-Administrativo de Wiesbaden, Alemania), mediante resolución de 10 de diciembre de 2021, recibida en el Tribunal de Justicia el 14 de diciembre de 2021, en el procedimiento entre
TR
y
Land Hessen,
EL TRIBUNAL DE JUSTICIA (Sala Primera),
integrado por el Sr. A. Arabadjiev, Presidente de Sala, y los Sres. T. von Danwitz, P. G. Xuereb y A. Kumin (Ponente) y la Sra. I. Ziemele, Jueces;
Abogado General: Sr. P. Pikamäe;
Secretario: Sr. A. Calot Escobar;
habiendo considerado los escritos obrantes en autos;
consideradas las observaciones presentadas:
- en nombre de TR, por el Sr. F. Wittmaack, Rechtsanwalt;
- en nombre del Land Hessen, por los Sres. M. Kottmann y G. Ziegenhorn, Rechtsanwälte;
- en nombre del Gobierno austriaco, por las Sras. J. Schmoll y M.-T. Rappersberger, en calidad de agentes;
- en nombre del Gobierno portugués, por las Sras. P. Barros da Costa, M. J. Ramos y C. Vieira Guerra, en calidad de agentes;
- en nombre del Gobierno rumano, por las Sras. L.-E. Baţagoi y E. Gane, en calidad de agentes;
- en nombre del Gobierno noruego, por el Sr. S.-E. Jahr Dahl y las Sras. L.-M. Moen Jünge y M. Munthe-Kaas, en calidad de agentes;
- en nombre de la Comisión Europea, por el Sr. A. Bouchagiar, la Sra. M. Heller y el Sr. H. Kranenborg, en calidad de agentes;
oídas las conclusiones del Abogado General, presentadas en audiencia pública el 11 de abril de 2024;
dicta la siguiente
Sentencia
1 La petición de decisión prejudicial tiene por objeto la interpretación de los artículos 57, apartado 1, letras a) y f), 58, apartado 2, y 77, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; correcciones de errores en DO 2018, L 127, p. 3, y DO 2021, L 74, p. 35; en lo sucesivo, “RGPD”).
2 Esta petición se ha presentado en el contexto de un litigio entre TR y el Land Hessen (estado federado de Hesse, Alemania) en relación con la no adopción por parte del Hessischer Beauftragte für Datenschutz und Informationsfreiheit (Comisionado para la Protección de Datos y la Libertad de Información del Estado Federado de Hesse, Alemania) (en lo sucesivo, “HBDI”) de medidas correctoras con respecto a la Sparkasse X (Caja de Ahorros de X; en lo sucesivo, “Caja de Ahorros”).
Marco jurídico
3 A tenor de los considerandos 6, 7, 10, 129 y 148 del RGPD:
“(6) La rápida evolución tecnológica y la globalización han planteado nuevos retos para la protección de los datos personales. La magnitud de la recogida y del intercambio de datos personales ha aumentado de manera significativa. []
(7) Estos avances requieren un marco más sólido y coherente para la protección de datos en la Unión Europea, respaldado por una ejecución estricta, dada la importancia de generar la confianza que permita a la economía digital desarrollarse en todo el mercado interior. []
[]
(10) Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión, el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. []
[]
(129) [] Los poderes de las autoridades de control deben ejercerse de conformidad con garantías procesales adecuadas establecidas en el Derecho de la Unión y los Estados miembros, de forma imparcial, equitativa y en un plazo razonable. En particular, toda medida debe ser adecuada, necesaria y proporcionada con vistas a garantizar el cumplimiento del presente Reglamento, teniendo en cuenta las circunstancias de cada caso concreto, respetar el derecho de todas las personas a ser oídas antes de que se adopte cualquier medida que las afecte negativamente y evitar costes superfluos y molestias excesivas para las personas afectadas. []
[]
(148) A fin de reforzar la aplicación de las normas del presente Reglamento, cualquier infracción de este debe ser castigada con sanciones, incluidas multas administrativas, con carácter adicional a medidas adecuadas impuestas por la autoridad de control en virtud del presente Reglamento, o en sustitución de estas. En caso de infracción leve, o si la multa que probablemente se impusiera constituyese una carga desproporcionada para una persona física, en lugar de sanción mediante multa puede imponerse un apercibimiento. Debe no obstante prestarse especial atención a la naturaleza, gravedad y duración de la infracción, a su carácter intencional, a las medidas tomadas para paliar los daños y perjuicios sufridos, al grado de responsabilidad o a cualquier infracción anterior pertinente, a la forma en que la autoridad de control haya tenido conocimiento de la infracción, al cumplimiento de medidas ordenadas contra el responsable o encargado, a la adhesión a códigos de conducta y a cualquier otra circunstancia agravante o atenuante. []”
4 El artículo 5 de ese Reglamento tiene la siguiente redacción:
“1. Los datos personales serán:
a) tratados de manera lícita, leal y transparente en relación con el interesado (“licitud, lealtad y transparencia”);
b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines [] (“limitación de la finalidad”);
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (“minimización de datos”);
d) exactos y, si fuera necesario, actualizados [] (“exactitud”);
e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales [] (“limitación del plazo de conservación”);
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales [] (“integridad y confidencialidad”).
2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva”).”
5 El artículo 24, apartado 1, de dicho Reglamento establece lo siguiente:
“Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento[,] así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.”
6 El artículo 33 del mismo Reglamento dispone lo siguiente:
“1. En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. []
[]
3. La notificación contemplada en el apartado 1 deberá, como mínimo:
a) describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
b) comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
c) describir las posibles consecuencias de la violación de la seguridad de los datos personales;
d) describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
[]”
7 El artículo 34, apartado 1, del RGPD preceptúa lo siguiente:
“Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.”
8 El capítulo VI del citado Reglamento, titulado “Autoridades de control independientes”, comprende los artículos 51 a 59 de este.
9 El artículo 51, apartado 1, del referido Reglamento es del siguiente tenor:
“Cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes (en adelante “autoridad de control”) supervisar la aplicación del presente Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión.”
10 El artículo 57 del RGPD, titulado “Funciones”, estipula en su apartado 1 lo siguiente:
“Sin perjuicio de otras funciones en virtud del presente Reglamento, incumbirá a cada autoridad de control, en su territorio:
a) controlar la aplicación del presente Reglamento y hacerlo aplicar;
[]
f) tratar las reclamaciones presentadas por un interesado o por un organismo, organización o asociación de conformidad con el artículo 80, e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control;
[]”.
11 El artículo 58 del mencionado Reglamento, titulado “Poderes”, prescribe en sus apartados 1 y 2 lo siguiente:
“1. Cada autoridad de control dispondrá de todos los poderes de investigación indicados a continuación:
a) ordenar al responsable y al encargado del tratamiento y, en su caso, al representante del responsable o del encargado, que faciliten cualquier información que requiera para el desempeño de sus funciones;
[]
2. Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:
a) dirigir a todo responsable o encargado del tratamiento una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el presente Reglamento;
b) dirigir a todo responsable o encargado del tratamiento un apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;
c) ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento;
d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado;
e) ordenar al responsable del tratamiento que comunique al interesado las violaciones de la seguridad de los datos personales;
f) imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición;
[]
i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso particular;
[]”.
12 El artículo 77 del citado Reglamento presenta la siguiente redacción:
“1. Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento.
2. La autoridad de control ante la que se haya presentado la reclamación informará al reclamante sobre el curso y el resultado de la reclamación, inclusive sobre la posibilidad de acceder a la tutela judicial en virtud del artículo 78.”
13 El artículo 83, apartados 1 y 2, del mismo Reglamento dispone lo siguiente:
“1. Cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al presente artículo por las infracciones del presente Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias.
2. Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate[,] así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.”
Litigio principal y cuestión prejudicial
14 La Caja de Ahorros es una entidad municipal de Derecho público que realiza, entre otras, operaciones bancarias y de crédito. El 15 de noviembre de 2019, notificó al HBDI, de conformidad con el artículo 33 del RGPD, una violación de la seguridad de datos personales, consistente en que una de sus empleadas había consultado en varias ocasiones, sin estar autorizada para ello, datos personales de TR, uno de sus clientes. La Caja de Ahorros se abstuvo de comunicar a TR la violación de sus datos personales.
15 Tras conocer incidentalmente que sus datos personales habían sido indebidamente consultados, TR presentó, el 27 de julio de 2020, una reclamación ante el HBDI sobre la base del artículo 77 del RGPD. En esta reclamación, denunciaba que no se le había comunicado la violación de la seguridad de sus datos personales, infringiendo así el artículo 34 de dicho Reglamento. También criticaba la duración de la conservación del registro de acceso de la Caja de Ahorros, fijada en solo tres meses, así como los amplios derechos de consulta de que disfrutaban los miembros de su personal.
16 A raíz de la reclamación presentada por TR, el HBDI oyó a la Caja de Ahorros por escrito y oralmente sobre los reproches formulados contra ella. En la audiencia, la Caja de Ahorros indicó que se había abstenido de proceder a una comunicación con arreglo al artículo 34 del RGPD porque su delegado de protección de datos había considerado que no existía un riesgo elevado para los derechos y libertades de TR. En efecto, se habían adoptado medidas disciplinarias contra la empleada en cuestión y esta había confirmado por escrito que no había copiado ni conservado los datos personales, que no los había transmitido a terceros y que no lo haría en el futuro. Por otra parte, dado que el HBDI había criticado la duración demasiado corta de la conservación de los registros de acceso, la Caja de Ahorros le informó de que esta cuestión sería objeto de revisión.
17 Mediante resolución de 3 de septiembre de 2020, el HBDI informó a TR de que la Caja de Ahorros no había infringido el artículo 34 del RGPD, puesto que la apreciación de la Caja de Ahorros de que la violación de la seguridad de datos personales cometida no podía generar un riesgo elevado para sus derechos y libertades, en el sentido de dicho artículo, no era manifiestamente errónea. En efecto, aunque los datos habían sido consultados por la empleada, nada indicaba que esta los hubiera transmitido a terceros o los hubiera utilizado en detrimento de TR. Además, el HBDI indicó que había instado a la Caja de Ahorros a conservar en lo sucesivo su registro de acceso durante un período de más de tres meses. Por último, en lo referente a la cuestión del acceso de los empleados de la Caja de Ahorros a los datos personales, el HBDI desestimó la reclamación presentada por TR, subrayando que, en principio, pueden concederse amplios derechos de acceso cuando existe la certeza de que cada usuario es informado de las condiciones en las que puede acceder a los datos. Así, según el HBDI, no es necesario un control de principio de cada acceso.
18 TR recurrió dicha resolución ante el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso-Administrativo de Wiesbaden, Alemania), el órgano jurisdiccional remitente, solicitándole que ordene al HBDI actuar contra la Caja de Ahorros.
19 En apoyo de su recurso, TR alega que el HBDI no trató su reclamación como exige el RGPD, es decir, teniendo en cuenta todas las circunstancias de hecho, y añade que el HBDI debería haber impuesto una multa a la Caja de Ahorros habida cuenta de las diferentes infracciones por parte de esta de las disposiciones de dicho Reglamento, en particular de sus artículos 5, 12, apartado 3, 15, apartado 1, letra c), y 33, apartados 1 y 3. Según TR, en caso de infracción comprobada de ese Reglamento, como sucede en este caso, no es aplicable el principio de oportunidad, de modo que el HBDI no estaba facultado para decidir si intervenía o no, sino para elegir, estrictamente, las medidas que se proponía adoptar.
20 A este respecto, el órgano jurisdiccional remitente se pregunta esencialmente acerca de la cuestión de si, en caso de infracción comprobada de disposiciones relativas a la protección de datos personales, el RGPD debe interpretarse en el sentido de que la autoridad de control está obligada a adoptar medidas correctoras en virtud del artículo 58, apartado 2, de ese Reglamento, como una multa administrativa, o bien en el sentido de que dicha autoridad dispone de una facultad de apreciación que le permite, según las circunstancias, abstenerse de adoptar tales medidas.
21 El órgano jurisdiccional remitente expone que la primera interpretación, que es la propugnada por TR y por una parte de la doctrina, se basa en el hecho de que las facultades de que dispone una autoridad de control para adoptar medidas correctoras tienen por objeto restablecer situaciones conformes cuando el tratamiento de datos afecta a los derechos de los ciudadanos. Así, el artículo 58, apartado 2, del RGPD debería entenderse como una fuente de obligaciones que constituye el fundamento del derecho de un ciudadano a que las autoridades actúen cuando una empresa o una autoridad haya tratado ilegalmente los datos personales del ciudadano o haya vulnerado sus derechos de otro modo. En caso de violación comprobada de la protección de los datos, la autoridad de control estaría por tanto obligada a adoptar medidas correctoras, quedando como única facultad discrecional la de elegir cuál de las medidas previstas adoptar.
22 No obstante, el órgano jurisdiccional remitente alberga dudas sobre el fundamento de esta interpretación, que considera demasiado amplia, y se inclina más bien por reconocer a la autoridad de control un margen de apreciación que le permite, en determinados casos, abstenerse de adoptar una medida correctora, en particular imponer una sanción, en caso de violación comprobada. Aun cuando la autoridad de control estuviera obligada, en virtud del artículo 57, apartado 1, letra f), del RGPD, a proceder a un examen minucioso en cuanto al fondo de las reclamaciones y a examinar cada caso concreto, no estaría obligada, sin embargo, a adoptar una medida correctora en cualquier situación. Así, no está sujeta a tal obligación cuando en el pasado se han infringido normas relativas a la protección de los datos personales, pero el responsable del tratamiento ha adoptado medidas que no permiten presagiar que vaya a tener lugar una nueva violación de la protección de los datos.
23 En estas circunstancias, el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso-Administrativo de Wiesbaden) decidió suspender el procedimiento y plantear al Tribunal de Justicia la siguiente cuestión prejudicial:
“¿Deben interpretarse los artículos 57, apartado 1, letras a) y f), y 58, apartado 2, letras a) a j), en relación con el artículo 77, apartado 1, del [RGPD], en el sentido de que, cuando la autoridad de control constate actividades de tratamiento de datos que vulneran los derechos del interesado, estará obligada siempre a intervenir con arreglo al artículo 58, apartado 2, [de dicho Reglamento]?”
Sobre la admisibilidad de la petición de decisión prejudicial
24 Sin cuestionar expresamente la admisibilidad de la petición de decisión prejudicial, TR alega que no es necesaria una respuesta a la cuestión prejudicial planteada para resolver el litigio principal. Arguye que su recurso tiene por objeto únicamente que el órgano jurisdiccional remitente condene al HBDI a pronunciarse sobre las alegaciones formuladas en la reclamación, de conformidad con el artículo 57, apartado 1, letra f), del RGPD, y no que le condene a hacer uso de las facultades que le confiere el artículo 58, apartado 2, de dicho Reglamento.
25 A este respecto, debe recordarse que, en el marco de la cooperación entre el Tribunal de Justicia y los órganos jurisdiccionales nacionales establecida en el artículo 267 TFUE, corresponde exclusivamente al juez nacional, que conoce del litigio y que ha de asumir la responsabilidad de la decisión jurisdiccional que debe adoptarse, apreciar, a la luz de las particularidades del asunto, tanto la necesidad de una decisión prejudicial para poder dictar sentencia como la pertinencia de las cuestiones que plantea al Tribunal de Justicia. Por consiguiente, dado que las cuestiones prejudiciales planteadas se refieren a la interpretación del Derecho de la Unión, el Tribunal de Justicia está, en principio, obligado a pronunciarse (sentencia de 30 de noviembre de 2023, Ministerio dell’Istruzione e INPS, C-270/22, EU:C:2023:933, apartado 33 y jurisprudencia citada).
26 De ello se deriva que las cuestiones sobre la interpretación del Derecho de la Unión planteadas por el juez nacional en el marco fáctico y normativo definido bajo su responsabilidad y cuya exactitud no corresponde verificar al Tribunal de Justicia disfrutan de una presunción de pertinencia. El Tribunal de Justicia solo puede abstenerse de pronunciarse sobre una cuestión planteada por un órgano jurisdiccional nacional cuando resulte evidente que la interpretación del Derecho de la Unión solicitada no tiene relación alguna con la realidad o con el objeto del litigio principal, cuando el problema es de naturaleza hipotética o cuando el Tribunal de Justicia no dispone de los elementos de hecho o de Derecho necesarios para responder de manera útil a las cuestiones planteadas (sentencia de 30 de noviembre de 2023, Ministero dell’Istruzione e INPS, C-270/22, EU:C:2023:933, apartado 34 y jurisprudencia citada).
27 En el caso de autos, el órgano jurisdiccional remitente subraya que TR ha invocado un derecho de intervención del HBDI y ha afirmado que este estaba obligado a imponer una multa a la Caja de Ahorros.
28 Así pues, no resulta evidente que la interpretación del Derecho de la Unión que se solicita carezca de relación alguna con la realidad o con el objeto del litigio principal.
29 Por lo tanto, la petición de decisión prejudicial es admisible.
Sobre la cuestión prejudicial
30 Para responder a esta cuestión prejudicial, procede recordar, con carácter preliminar, que la interpretación de una disposición del Derecho de la Unión requiere tener en cuenta no solo su tenor, sino también el contexto en el que se inscribe, así como los objetivos y la finalidad que persigue el acto del que forma parte [sentencia de 7 de diciembre de 2023, SCHUFA Holding (Exoneración del pasivo insatisfecho), C-26/22 y C-64/22, EU:C:2023:958, apartado 48 y jurisprudencia citada].
31 Asimismo, procede recordar que, conforme al artículo 8, apartado 3, de la Carta de los Derechos Fundamentales de la Unión Europea y a los artículos 51, apartado 1, y 57, apartado 1, letra a), del RGPD, las autoridades nacionales de control están encargadas del control del cumplimiento de las reglas de la Unión para la protección de las personas físicas frente al tratamiento de datos personales [sentencia de 7 de diciembre de 2023, SCHUFA Holding (Exoneración del pasivo insatisfecho), C-26/22 y C-64/22, EU:C:2023:958, apartado 55 y jurisprudencia citada].
32 En particular, en virtud del artículo 57, apartado 1, letra f), del RGPD, incumbe a cada autoridad de control, en su territorio, tratar las reclamaciones que cualquier persona, de conformidad con el artículo 77, apartado 1, de ese Reglamento, pueda presentar si considera que un tratamiento de datos personales que le conciernen infringe el referido Reglamento, examinar su objeto en la medida en que sea necesario e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable. La autoridad de control debe proceder al tratamiento de esas reclamaciones con toda la diligencia exigible [véase, en este sentido, la sentencia de 7 de diciembre de 2023, SCHUFA Holding (Exoneración del pasivo insatisfecho), C-26/22 y C-64/22, EU:C:2023:958, apartado 56 y jurisprudencia citada].
33 Para permitirles tratar las reclamaciones presentadas, el artículo 58, apartado 1, del RGPD confiere a cada autoridad de control importantes poderes de investigación. Cuando una de esas autoridades, al finalizar su investigación, constata una infracción de las disposiciones de dicho Reglamento, está obligada a reaccionar de modo adecuado con el fin de subsanar la insuficiencia constatada, debiendo toda medida, como precisa el considerando 129 del mismo Reglamento, ser, en particular, adecuada, necesaria y proporcionada con vistas a garantizar el cumplimiento de ese Reglamento, teniendo en cuenta las circunstancias de cada caso concreto. A tal efecto, el artículo 58, apartado 2, del mencionado Reglamento enumera los diferentes poderes correctivos de que dispone la autoridad de control [véase, en este sentido, la sentencia de 7 de diciembre de 2023, SCHUFA Holding (Exoneración del pasivo insatisfecho), C-26/22 y C-64/22, EU:C:2023:958, apartado 57 y jurisprudencia citada].
34 Así, en virtud del artículo 58, apartado 2, del RGPD, la autoridad de control dispone de la facultad, en particular, de dirigir a todo responsable o encargado del tratamiento un apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en dicho Reglamento [letra b)], de ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del citado Reglamento [letra c)], de ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones de ese mismo Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado [letra d)] o de imponer una multa administrativa con arreglo al artículo 83 del RGPD, además o en lugar de las medidas mencionadas en el referido artículo 58, apartado 2, según las circunstancias de cada caso particular [letra i)].
35 Así pues, el procedimiento de reclamación se concibe como un mecanismo capaz de proteger de manera eficaz los derechos y los intereses de los interesados [sentencia de 7 de diciembre de 2023, SCHUFA Holding (Exoneración del pasivo insatisfecho), C-26/22 y C-64/22, EU:C:2023:958, apartado 58].
36 En el presente asunto, de la petición de decisión prejudicial se desprende que el HBDI examinó en cuanto al fondo la reclamación presentada por el demandante en el litigio principal e informó a este del resultado de la investigación. Más concretamente, el HBDI confirmó que se había producido una violación de la seguridad de sus datos personales en la Caja de Ahorros, consistente en el acceso no autorizado a los mismos por parte de una de sus empleadas. No obstante, por lo que respecta a los derechos de consulta de los miembros del personal de la Caja de Ahorros, el HBDI desestimó la reclamación presentada por el demandante en el litigio principal. Además, concluyó que no procedía intervenir contra la Caja de Ahorros en virtud del artículo 58, apartado 2, del RGPD.
37 A este respecto, ha de señalarse que el RGPD deja a la autoridad de control un margen de apreciación en cuanto a la manera en que debe subsanar la deficiencia constatada, puesto que el artículo 58, apartado 2, del mismo confiere a dicha autoridad la facultad de adoptar diversas medidas correctoras. Así, el Tribunal de Justicia ya ha declarado que la elección del medio adecuado y necesario corresponde a la autoridad de control, que debe realizar tal elección tomando en consideración todas las circunstancias del caso concreto y cumpliendo con toda la diligencia requerida su misión consistente en velar por el pleno respeto del RGPD (véase, en este sentido, la sentencia de 16 de julio de 2020, Facebook Ireland y Schrems, C-311/18, EU:C:2020:559, apartado 112).
38 Sin embargo, este margen de apreciación está limitado por la necesidad de garantizar un nivel coherente y elevado de protección de los datos personales mediante una aplicación rigurosa de las normas, como se desprende de los considerandos 7 y 10 del RGPD.
39 Por lo que se refiere, más concretamente, a las multas administrativas contempladas en el artículo 58, apartado 2, letra i), del RGPD, del artículo 83, apartado 2, de este Reglamento resulta que aquellas se imponen, según las características propias de cada caso, con carácter adicional o en sustitución de las demás medidas previstas en el citado artículo 58, apartado 2. Además, ese mismo artículo 83, apartado 2, precisa que, al decidir la imposición de una multa administrativa y su cuantía en cada caso individual, la autoridad de control debe tener debidamente en cuenta los elementos que figuran en las letras a) a k) de esta disposición, como la naturaleza, la gravedad y la duración de la infracción.
40 Así, el sistema de sanciones establecido por el legislador de la Unión permite a las autoridades de control imponer las sanciones más adecuadas y justificadas según las circunstancias de cada caso concreto (véase, en este sentido, la sentencia de 5 de diciembre de 2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:949, apartados 75 y 78), tomando en consideración, como se ha recordado en los apartados 37 y 38 de la presente sentencia, la necesidad de velar por el pleno respeto del RGPD, así como de garantizar un nivel coherente y elevado de protección de los datos personales mediante una aplicación rigurosa de las normas.
41 En consecuencia, no puede deducirse ni del artículo 58, apartado 2, del RGPD ni del artículo 83 de este la existencia de una obligación a cargo de la autoridad de control de adoptar, en todos los casos, cuando constate una violación de la seguridad de datos personales, una medida correctora, en particular una multa administrativa, siendo su obligación, en tales circunstancias, reaccionar adecuadamente para subsanar la deficiencia constatada. En estas circunstancias, como señaló el Abogado General en el punto 81 de sus conclusiones, el autor de una reclamación cuyos derechos han sido vulnerados no dispone de un derecho subjetivo a que la autoridad de control imponga una multa administrativa al responsable del tratamiento.
42 En cambio, la autoridad de control está obligada a intervenir cuando la adopción de una o varias de las medidas correctoras previstas en el artículo 58, apartado 2, del RGPD sea, habida cuenta de todas las circunstancias del caso concreto, adecuada, necesaria y proporcionada para subsanar la deficiencia constatada y garantizar el pleno respeto de dicho Reglamento.
43 A este respecto, no se excluye que, con carácter excepcional y habida cuenta de las circunstancias particulares del caso concreto, la autoridad de control pueda abstenerse de adoptar una medida correctora aunque se haya constatado una violación de la seguridad de datos personales. Tal puede ser el caso, en particular, cuando la violación constatada no haya persistido, por ejemplo cuando el responsable del tratamiento, que, en principio, había aplicado medidas técnicas y organizativas apropiadas en el sentido del artículo 24 del RGPD, haya adoptado, tan pronto como haya tenido conocimiento de dicha violación, las medidas adecuadas y necesarias para que la violación finalice y no vuelva a producirse, habida cuenta de las obligaciones que le incumben, en particular, en virtud de los artículos 5, apartado 2, y 24 del mencionado Reglamento.
44 La interpretación según la cual la autoridad de control, cuando constata una violación de la seguridad de datos personales, no está obligada a adoptar en todos los casos una medida correctora con arreglo al artículo 58, apartado 2, del RGPD se ve corroborada por los objetivos perseguidos por este artículo 58, apartado 2, y por el artículo 83 de dicho Reglamento, respectivamente.
45 Por lo que respecta al objetivo perseguido por el artículo 58, apartado 2, del RGPD, del considerando 129 de este se desprende que esta disposición tiene por objeto garantizar la conformidad del tratamiento de datos personales con dicho Reglamento y la regularización de las situaciones de incumplimiento de este para que se ajusten al Derecho de la Unión, mediante la intervención de las autoridades de control nacionales (sentencia de 14 de marzo de 2024, Újpesti Polgármesteri Hivatal, C-46/23, EU:C:2024:239, apartado 40).
46 De lo anterior se infiere que la adopción de una medida correctora puede, con carácter excepcional y habida cuenta de las circunstancias particulares del caso concreto, no imponerse, siempre que la situación de infracción del RGPD ya haya sido subsanada y que se garantice la conformidad de los tratamientos de datos personales con dicho Reglamento por su responsable y que tal abstención de la autoridad de control no menoscabe la exigencia de una aplicación rigurosa de las normas, tal como se ha recordado en el apartado 38 de la presente sentencia.
47 En cuanto al objetivo perseguido por el artículo 83 del RGPD, relativo a la imposición de multas administrativas, el mismo consiste, a tenor del considerando 148 de dicho Reglamento, en reforzar la aplicación de las normas de este último. No obstante, ese mismo considerando señala que, en caso de infracción leve del referido Reglamento, o si la multa administrativa que probablemente se impusiera constituyese una carga desproporcionada para una persona física, las autoridades de control pueden abstenerse de imponer una multa administrativa y, en su lugar, imponer un apercibimiento (véase, en este sentido, la sentencia de 5 de diciembre de 2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:949, apartado 76).
48 En el caso de autos, de la petición de decisión prejudicial se desprende que la Caja de Ahorros notificó al HBDI, de conformidad con el artículo 33 del RGPD, la violación de la seguridad de los datos personales del demandante en el litigio principal, resultante del acceso no autorizado a estos por parte de una de sus empleadas. Además, aquella indicó que se habían adoptado medidas disciplinarias contra dicha empleada y que la duración de la conservación del registro de acceso sería objeto de revisión. En estas circunstancias, el HBDI se abstuvo de adoptar una medida correctora en virtud del artículo 58, apartado 2, del RGPD y, en particular, de imponer una multa administrativa.
49 Dado que las decisiones relativas a una reclamación adoptadas por una autoridad de control están sujetas a un control jurisdiccional pleno [sentencia de 7 de diciembre de 2023, SCHUFA Holding (Exoneración del pasivo insatisfecho), C-26/22 y C-64/22, EU:C:2023:958, apartado 70], corresponde al órgano jurisdiccional remitente comprobar si el HBDI tramitó con toda la diligencia debida la reclamación de que se trata y si, al adoptar la decisión controvertida en el litigio principal, el HBDI respetó los límites del margen de apreciación que le confiere el artículo 58, apartado 2, del RGPD [véase, por analogía, la sentencia de 7 de diciembre de 2023, SCHUFA Holding (Exoneración del pasivo insatisfecho), C-26/22 y C-64/22, EU:C:2023:958, apartados 68 y 69 y jurisprudencia citada].
50 En atención a todas las consideraciones anteriores, procede responder a la cuestión prejudicial planteada que los artículos 57, apartado 1, letras a) y f), 58, apartado 2, y 77, apartado 1, del RGPD deben interpretarse en el sentido de que, en caso de que se constate una violación de la seguridad de datos personales, la autoridad de control no está obligada a adoptar una medida correctora, en particular una multa administrativa, en virtud del citado artículo 58, apartado 2, cuando tal intervención no sea adecuada, necesaria o proporcionada para subsanar la deficiencia constatada y garantizar el pleno respeto de dicho Reglamento.
Costas
51 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.
En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Primera) declara:
Los artículos 57, apartado 1, letras a) y f), 58, apartado 2, y 77, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),
deben interpretarse en el sentido de que,
en caso de que se constate una violación de la seguridad de datos personales, la autoridad de control no está obligada a adoptar una medida correctora, en particular una multa administrativa, en virtud del citado artículo 58, apartado 2, cuando tal intervención no sea adecuada, necesaria o proporcionada para subsanar la deficiencia constatada y garantizar el pleno respeto de dicho Reglamento.
