El caso se originó en Bélgica, donde la Comisión de Protección de la Privacidad (CPP) impuso una multa de 10.000 euros a una asociación sin ánimo de lucro que gestionaba una base de datos con información sobre los miembros de una orden religiosa. La CPP consideró que la asociación había incumplido el Reglamento General de Protección de Datos (RGPD) al no informar adecuadamente a los interesados sobre el tratamiento de sus datos y al no obtener su consentimiento expreso.

La asociación recurrió la sanción ante los tribunales belgas, alegando que no había actuado con intención o negligencia, sino que se había limitado a seguir las instrucciones de la orden religiosa, que era la verdadera responsable del tratamiento. Además, afirmó que la multa era excesiva y desproporcionada, teniendo en cuenta que se trataba de una entidad sin fines lucrativos y que el tratamiento de datos no tenía fines comerciales ni causaba perjuicios a los afectados.

El tribunal belga planteó varias cuestiones prejudiciales al TJUE, entre ellas si el RGPD permite imponer sanciones administrativas por infracciones leves o si es necesario probar que el responsable del tratamiento actuó con culpa. También preguntó si el RGPD exige que la infracción sea atribuida previamente a una persona física concreta cuando se trata de una persona jurídica.

El TJUE respondió que el RGPD establece un sistema gradual y proporcionado de sanciones administrativas, que debe tener en cuenta las circunstancias del caso y el principio de culpabilidad. Esto significa que no puede sancionarse al responsable del tratamiento si no se demuestra que la infracción fue cometida de forma intencionada o negligente. Tratándose de una persona jurídica, no puede exigirse que la infracción haya sido imputada previamente a una persona física determinada, pero sí debe quedar acreditado que el órgano competente de la entidad adoptó o toleró la conducta infractora.

La sentencia del TJUE supone un importante límite al poder sancionador de las autoridades de protección de datos, que deberán motivar adecuadamente sus decisiones y probar la existencia de culpa en el responsable del tratamiento. Asimismo, implica un mayor grado de seguridad jurídica para los operadores económicos y sociales que tratan datos personales, que podrán defenderse mejor ante posibles sanciones injustificadas o desproporcionadas.

La entrada La UE pone coto a las multas por protección de datos solo se puede sancionar si existe culpa se publicó primero en Adaptación RGPD.

La sentencia, dictada el pasado 7 de junio, confirma la validez del acto administrativo que la Comisión envió a Meta en diciembre de 2020, en el marco de una investigación sobre el uso de datos de los usuarios por parte de la compañía estadounidense. En dicho acto, la Comisión solicitaba a Meta que le remitiera una serie de datos e información sobre sus servicios, productos, estrategias y acuerdos con terceros.

Meta recurrió el acto ante el TGUE, alegando que el requerimiento era excesivo, impreciso y desproporcionado, y que vulneraba sus derechos fundamentales. Además, solicitó la suspensión cautelar del acto hasta que se resolviera el fondo del asunto. Sin embargo, el TGUE desestimó tanto la solicitud de medidas provisionales como el recurso principal.

Según el TGUE, la Comisión actuó dentro de sus competencias al solicitar información a Meta, y no incurrió en ningún error de apreciación ni de proporcionalidad. El Tribunal señala que la información requerida es relevante para la investigación y que no se puede obtener por otros medios menos intrusivos. Asimismo, el Tribunal rechaza que el acto vulnere los derechos fundamentales de Meta, ya que la empresa no ha demostrado que la divulgación de los datos solicitados suponga un riesgo grave e irreparable para su reputación o su actividad comercial.

La entrada TGUE desestima el recurso de Meta contra el requerimiento de información para una investigación se publicó primero en Adaptación RGPD.