La protección de datos es un derecho fundamental que debe ser respetado por todos los que tratan información personal. Sin embargo, la normativa europea no permite imponer sanciones desproporcionadas o arbitrarias a los responsables del tratamiento de datos. Así lo ha establecido el Tribunal de Justicia de la Unión Europea (TJUE) en una reciente sentencia que limita el poder sancionador de las autoridades de protección de datos.
El caso se originó en Bélgica, donde la Comisión de Protección de la Privacidad (CPP) impuso una multa de 10.000 euros a una asociación sin ánimo de lucro que gestionaba una base de datos con información sobre los miembros de una orden religiosa. La CPP consideró que la asociación había incumplido el Reglamento General de Protección de Datos (RGPD) al no informar adecuadamente a los interesados sobre el tratamiento de sus datos y al no obtener su consentimiento expreso.
La asociación recurrió la sanción ante los tribunales belgas, alegando que no había actuado con intención o negligencia, sino que se había limitado a seguir las instrucciones de la orden religiosa, que era la verdadera responsable del tratamiento. Además, afirmó que la multa era excesiva y desproporcionada, teniendo en cuenta que se trataba de una entidad sin fines lucrativos y que el tratamiento de datos no tenía fines comerciales ni causaba perjuicios a los afectados.
El tribunal belga planteó varias cuestiones prejudiciales al TJUE, entre ellas si el RGPD permite imponer sanciones administrativas por infracciones leves o si es necesario probar que el responsable del tratamiento actuó con culpa. También preguntó si el RGPD exige que la infracción sea atribuida previamente a una persona física concreta cuando se trata de una persona jurídica.
El TJUE respondió que el RGPD establece un sistema gradual y proporcionado de sanciones administrativas, que debe tener en cuenta las circunstancias del caso y el principio de culpabilidad. Esto significa que no puede sancionarse al responsable del tratamiento si no se demuestra que la infracción fue cometida de forma intencionada o negligente. Tratándose de una persona jurídica, no puede exigirse que la infracción haya sido imputada previamente a una persona física determinada, pero sí debe quedar acreditado que el órgano competente de la entidad adoptó o toleró la conducta infractora.
La sentencia del TJUE supone un importante límite al poder sancionador de las autoridades de protección de datos, que deberán motivar adecuadamente sus decisiones y probar la existencia de culpa en el responsable del tratamiento. Asimismo, implica un mayor grado de seguridad jurídica para los operadores económicos y sociales que tratan datos personales, que podrán defenderse mejor ante posibles sanciones injustificadas o desproporcionadas.
