El Economista - Buen Gobierno y RSC
Protección de Datos debe actuar frente a una falta inserta en una denuncia
La decisión sobre la medida correctiva que debe adoptarse, no obstante, depende de las circunstancias específicas de cada caso concreto sin apoyarse en generalizaciones.
El Abogado General Priit Pikamäe estima que la autoridad de control está obligada a intervenir cuando, en el marco del examen de una reclamación, compruebe que se ha cometido una violación de la seguridad de datos personales. En particular, estima, en sus conclusiones de 11 de abril de 2024, de que tiene obligación de definir la medida o medidas correctivas más adecuadas para subsanar la violación y para hacer que se respeten los derechos del interesado.
A ese respecto, a juicio del Abogado General, aunque deja cierta facultad discrecional a la autoridad de control, el Reglamento General de Protección de Datos (RGPD) exige que las medidas sean adecuadas, necesarias y proporcionadas. De ello resulta, por un lado, que la facultad discrecional en la elección de los medios está limitada cuando la protección requerida solamente puede garantizarse adoptando determinadas medidas 2 y, por otro lado, que, bajo ciertas condiciones, la autoridad de control puede renunciar a adoptar las medidas enumeradas en el RGPD cuando ello esté justificado en las circunstancias específicas del caso concreto. Así podría suceder, en particular, cuando el responsable del tratamiento hubiera adoptado determinadas medidas por iniciativa propia. En cualquiera de los casos, la persona interesada no tiene derecho a exigir que se adopte una determinada medida en concreto. Estos principios se aplican también al sistema de multas administrativas. La decisión sobre la medida correctiva que debe adoptarse depende de las circunstancias específicas de cada caso concreto.
En este caso, un cliente de una caja de ahorros solicitó al Comisario de Protección de Datos y Libertad de Información del estado federado de Hesse (Alemania) que interviniera contra una caja de ahorros debido a la violación de la seguridad de sus datos personales, pues una empleada de la caja de ahorros había consultado sus datos en varias ocasiones sin estar facultada para ello. El Comisario de Protección de Datos declaró que había habido una violación de la seguridad de los datos prevista en el RGPD, pero concluyó que no procedía intervenir frente a la caja de ahorros, que ya había adoptado medidas disciplinarias frente a la empleada en cuestión. El cliente impugna en la negativa ante un tribunal alemán, solicitándole que ordene al Comisario intervenga frente a la caja de ahorros. Alega que el Comisario debería haber impuesto multas a la caja de ahorros.