El Tribunal General de la Unión Europea ha sentenciado que las autoridades nacionales de protección de datos no están obligadas a adoptar una medida correctora en todos los casos de infracción del Reglamento General de Protección de Datos (RGPD), incluida la imposición de multas, cuando el responsable del tratamiento haya adoptado por iniciativa propia las medidas necesarias para poner fin a dicha violación y evite que vuelva a producirse.
En Alemania, una caja de ahorros detectó que una empleada había accedido reiteradamente y sin autorización a datos personales de un cliente. La caja de ahorros no informó de ello al cliente al considerar que no existía un riesgo elevado para él. Sin embargo, tras confirmar que no se habían copiado ni compartido los datos y tras imponer medidas disciplinarias a la trabajadora, la entidad notificó el incidente al comisionado para la protección de datos del Land.
El cliente afectado, tras conocer lo sucedido, presentó una reclamación al comisionado, quien consideró que no era necesario adoptar medidas correctoras contra la caja de ahorros. Ante esta decisión, el cliente recurrió a un tribunal de justicia, solicitando que se obligara al comisionado a imponer una sanción a la caja de ahorros.
El tribunal alemán solicitó al Tribunal de Justicia que interpretara el RGPD a este respecto, respondiendo el Tribunal que las autoridades de control disponen de un margen de apreciación para decidir si es necesario imponer una medida correctora. Este margen debe ejercerse dentro de los límites establecidos por el reglamento, garantizando siempre un nivel coherente y elevado de protección de los datos personales.
En concreto, «no está obligada a adoptar una medida correctora, en particular a imponer una multa administrativa, cuando ello no sea necesario para subsanar la deficiencia constatada y garantizar el pleno respeto del RGPD», como pudiera ser el caso cuando el responsable haya actuado diligentemente para corregir la infracción y evitar su repetición.
Corresponde al tribunal alemán comprobar si el comisionado para la protección de datos respetó esos límites.
Manuel Jiménez Ibáñez, estudiante del Grado de Derecho en prácticas en el Instituto de Derecho Iberoamericano.
