Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
RESUMEN
Cuestiones prejudiciales de la Demandante: Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos contra la Demandada: Valstybinė duomenų apsaugos inspekcija.
1) ¿Puede interpretarse el concepto de «responsable del tratamiento» definido en el artículo 4, punto 7, del RGPD en el sentido de que también se ha de considerar como tal una persona que prevé adquirir una herramienta de recogida de datos (aplicación móvil) mediante contratación pública, con independencia del hecho de que no se haya adjudicado un contrato público y de que no se haya entregado el producto creado (la aplicación móvil) a cuya adquisición se dirigía el procedimiento de contratación pública?
2) ¿Puede interpretarse el concepto de «responsable del tratamiento» definido en el artículo 4, punto 7, del RGPD?
3) ¿Puede interpretarse el concepto de «responsable del tratamiento» definido en el artículo 4, punto 7, del RGPD?
4) ¿debe interpretarse el concepto de «tratamiento» de datos personales definido en el artículo 4, punto 2, del RGPD en el sentido de que también comprende las situaciones en que se hayan utilizado copias de datos personales para probar sistemas informáticos en el procedimiento de adquisición de una aplicación móvil?
- ¿Debe interpretarse el concepto de «corresponsabilidad del tratamiento» a efectos de los artículos 4, punto 7, y 26, apartado 1, del RGPD
- ¿Debe interpretarse la disposición del artículo 83, apartado 1, del RGPD con arreglo a la cual «las multas administrativas [han de ser] efectivas, proporcionadas y disuasorias»
Fallo del Tribunal de Justicia (GranSala ) de 5 diciembre de 2023, publicada en el Diario Oficial el 29.1.2024.
1) El artículo 4, punto 7, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos),
debe interpretarse en el sentido de que
puede considerarse responsable del tratamiento, en el sentido de dicha disposición, a una entidad que ha encargado a una empresa el desarrollo de una aplicación informática móvil y que, en este contexto, ha participado en la determinación de los fines y medios del tratamiento de datos personales realizado mediante dicha aplicación, aunque esta entidad no haya realizado, por sí misma, operaciones de tratamiento de esos datos, no haya dado expresamente su consentimiento para la realización de las operaciones concretas del tratamiento o para la puesta a disposición del público de la aplicación móvil y no haya adquirido esa misma aplicación móvil, a menos que, antes de esa puesta a disposición del público, dicha entidad se haya opuesto expresamente a esta y al tratamiento de los datos personales resultante de ella.
Los Fallos 2) al 4), ver líneas abajo.
A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@hotmail.com
____________________________________________________________________
Diario Oficial de la Unión Europea | ES Serie C |
C/2024/914 | 29.1.2024 |
Sentencia del Tribunal de Justicia (Gran Sala) de 5 de diciembre de 2023 (petición de decisión prejudicial planteada por el Vilniaus apygardos administracinis teismas — Lituania) — Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos / Valstybinė duomenų apsaugos inspekcija
(Asunto C-683/21, (1) Nacionalinis visuomenės sveikatos centras)
(Procedimiento prejudicial – Protección de datos personales – Reglamento (UE) 2016/679 – Artículo 4, puntos 2 y 7 – Conceptos de «tratamiento» y de «responsable del tratamiento» – Desarrollo de una aplicación informática móvil – Artículo 26 – Corresponsabilidad del tratamiento – Artículo 83 – Imposición de multas administrativas – Requisitos – Necesidad de que la infracción sea intencionada o negligente – Responsabilidad del responsable del tratamiento por el tratamiento de datos personales realizado por un encargado)
(C/2024/914)
Lengua de procedimiento: lituano
Órgano jurisdiccional remitente
Vilniaus apygardos administracinis teismas
Partes en el procedimiento principal
Demandante: Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos
Demandada: Valstybinė duomenų apsaugos inspekcija
Con intervención de: UAB «IT sprendimai sėkmei», Lietuvos Respublikos sveikatos apsaugos ministerija
Fallo
1) | El artículo 4, punto 7, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), debe interpretarse en el sentido de que puede considerarse responsable del tratamiento, en el sentido de dicha disposición, a una entidad que ha encargado a una empresa el desarrollo de una aplicación informática móvil y que, en este contexto, ha participado en la determinación de los fines y medios del tratamiento de datos personales realizado mediante dicha aplicación, aunque esta entidad no haya realizado, por sí misma, operaciones de tratamiento de esos datos, no haya dado expresamente su consentimiento para la realización de las operaciones concretas del tratamiento o para la puesta a disposición del público de la aplicación móvil y no haya adquirido esa misma aplicación móvil, a menos que, antes de esa puesta a disposición del público, dicha entidad se haya opuesto expresamente a esta y al tratamiento de los datos personales resultante de ella. |
2) | Los artículos 4, punto 7, y 26, apartado 1, del Reglamento 2016/679 deben interpretarse en el sentido de que la calificación de dos entidades como corresponsables del tratamiento no presupone ni la existencia de un acuerdo entre esas entidades sobre la determinación de los fines y medios del tratamiento de los datos personales de que se trate ni la existencia de un acuerdo que establezca los requisitos relativos a la corresponsabilidad conjunta del tratamiento. |
3) | El artículo 4, punto 2, del Reglamento 2016/679 debe interpretarse en el sentido de que constituye un «tratamiento», en el sentido de esta disposición, la utilización de datos personales para pruebas informáticas de una aplicación móvil, a menos que tales datos se hayan anonimizado de modo que el interesado no sea identificable o haya dejado de serlo o se trate de datos ficticios que no se refieran a una persona física existente. |
4) | El artículo 83 del Reglamento 2016/679 debe interpretarse en el sentido de que, por una parte, solo puede imponerse una multa administrativa con arreglo a esa disposición si se demuestra que el responsable del tratamiento cometió, de forma intencionada o negligente, una infracción indicada en los apartados 4 a 6 de dicho artículo y, por otra parte, puede imponerse una multa de esta índole a un responsable del tratamiento en relación con operaciones de tratamiento de datos personales efectuadas por un encargado del tratamiento por cuenta de este, salvo que, en el marco de estas operaciones, el encargado haya tratado datos personales para fines que le sean propios o haya tratado dichos datos de manera incompatible con el marco o las modalidades del tratamiento tal como hayan sido determinados por el responsable del tratamiento o de manera que no pueda considerarse razonablemente que dicho responsable hubiera dado su consentimiento. |
ELI: http://data.europa.eu/eli/C/2024/914/oj
ISSN 1977-0928 (electronic edition)
————————–
Petición de decisión prejudicial planteada por el Vilniaus apygardos administracinis teismas (Lituania) el 12 de noviembre de 2021 — Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos / Valstybinė duomenų apsaugos inspekcija
(Asunto C-683/21)
(2022/C 84/34)
Lengua de procedimiento: lituano
Órgano jurisdiccional remitente
Vilniaus apygardos administracinis teismas
Partes en el procedimiento principal
Demandante: Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos
Demandada: Valstybinė duomenų apsaugos inspekcija
Cuestiones prejudiciales
1. | ¿Puede interpretarse el concepto de «responsable del tratamiento» definido en el artículo 4, punto 7, del RGPD (1) en el sentido de que también se ha de considerar como tal una persona que prevé adquirir una herramienta de recogida de datos (aplicación móvil) mediante contratación pública, con independencia del hecho de que no se haya adjudicado un contrato público y de que no se haya entregado el producto creado (la aplicación móvil) a cuya adquisición se dirigía el procedimiento de contratación pública? |
2. | ¿Puede interpretarse el concepto de «responsable del tratamiento» definido en el artículo 4, punto 7, del RGPD en el sentido de que también se ha de considerar como tal un poder adjudicador que no haya adquirido el derecho de propiedad del producto informático creado y no haya tomado posesión de él, a pesar de que la versión definitiva de la aplicación creada proporcione enlaces o interfaces a dicho poder adjudicador, y/o la declaración de confidencialidad, que no ha sido aprobada o reconocida oficialmente por el organismo público de que se trate, le declarase expresamente a este como responsable del tratamiento? |
3. | ¿Puede interpretarse el concepto de «responsable del tratamiento» definido en el artículo 4, punto 7, del RGPD en el sentido de que también se ha de considerar como tal una persona que no ha llevado a cabo ninguna operación efectiva de tratamiento de datos a efectos del artículo 4, punto 2, del RGPD y/o no ha otorgado un claro consentimiento a la realización de tales operaciones? ¿Es relevante para la interpretación del concepto de «responsable del tratamiento» el hecho de que el producto informático utilizado para el tratamiento de datos personales se crease conforme al encargo asignado por el poder adjudicador? |
4. | En caso de que la determinación de las operaciones efectivas de tratamiento de datos sea relevante para la interpretación del concepto de «responsable del tratamiento», ¿debe interpretarse el concepto de «tratamiento» de datos personales definido en el artículo 4, punto 2, del RGPD en el sentido de que también comprende las situaciones en que se hayan utilizado copias de datos personales para probar sistemas informáticos en el procedimiento de adquisición de una aplicación móvil? |
5. | ¿Debe interpretarse el concepto de «corresponsabilidad del tratamiento» a efectos de los artículos 4, punto 7, y 26, apartado 1, del RGPD exclusivamente en el sentido de que comprende las actuaciones deliberadamente coordinadas respecto de la determinación de la finalidad y los medios del tratamiento, o puede interpretarse también en el sentido de que la corresponsabilidad comprende además las situaciones en que no existe un claro «mutuo acuerdo» respecto del objetivo y los medios del tratamiento y/o las actuaciones no están coordinadas entre las entidades? ¿Son relevantes para la interpretación del concepto de «corresponsabilidad del tratamiento» la fase de creación de los medios del tratamiento de datos personales (la aplicación informática) en que se efectuó el tratamiento de los datos personales y la finalidad para la que se creó la aplicación? ¿Debe entenderse por «mutuo acuerdo» entre corresponsables del tratamiento exclusivamente el establecimiento claro y definido de las condiciones que rigen la corresponsabilidad del tratamiento? |
6. | ¿Debe interpretarse la disposición del artículo 83, apartado 1, del RGPD con arreglo a la cual «las multas administrativas [han de ser] efectivas, proporcionadas y disuasorias» en el sentido de que comprende igualmente los casos de atribución de responsabilidad al «responsable del tratamiento» cuando, en el proceso de creación de un producto informático, el programador también lleva a cabo actos de tratamiento de datos personales, y en el sentido de que los actos indebidos de tratamiento de datos personales realizados por el encargado del tratamiento siempre dan automáticamente lugar a la responsabilidad jurídica del responsable del tratamiento? ¿Debe interpretarse dicha disposición en el sentido de que también comprende los casos de responsabilidad objetiva del responsable del tratamiento? |
(1) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1).