El uso del volumen de negocio del grupo empresarial por parte de la Agencia Española de Protección de Datos (“AEPD”) para fijar multas administrativas no es habitual, sin embargo, ha sido tomado como referencia en una reciente sanción a una entidad bancaria nacional[1].
Anteriormente, la AEPD únicamente había aplicado el mismo criterio en las tres sanciones por SIM swaping publicadas a principios de 2022 contra Simyo España Virtual, S.L.[2], Xfera Móviles, S.A.[3], y Orange España Virtual, S.L.[4]
Esta decisión inicialmente parece entrar en conflicto con el literal del artículo 83.4 y 5 del Reglamento General de Protección de Datos (“RGPD”), los cuales hacen referencia explícita al volumen de negocio de una "empresa" y no de un "grupo de empresas". Surge entonces la interrogante sobre si es apropiado aplicar este nuevo criterio y si debemos considerar el volumen de negocio del grupo de empresas al evaluar futuros riesgos de sanción.
Para entender mejor este tema, es importante recordar que el RGPD, cuenta con su propia definición de “empresa” y de “grupo de empresas” en su artículo 4. En concreto, “empresa” se define como: “persona física o jurídica dedicada a una actividad económica, independientemente de su forma jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una actividad económica;”
Sin embargo, el considerando 150 RGPD remite a la definición de “empresa” dada por el Tratado de Funcionamiento de la Unión Europea (“TFUE”), la cual ha sido reforzada por las Directrices 04/2022 del Comité Europeo de Protección de Datos sobre el cálculo de las multas administrativas con arreglo al RGPD, adoptadas el 24 de mayo de 2023.
El concepto de empresa según los artículos 101 y 102 del TFUE se refiere a una unidad económica entendida como “organización unitaria de elementos personales, materiales e inmateriales que persigue de manera duradera un fin económico determinado”[5] y que, por tanto, puede estar formada por varias personas jurídicas entre las que existen vínculos económicos, jurídicos y organizativos que permiten distinguir a una sociedad matriz que ejerce una influencia decisiva sobre el resto de las sociedades.
Esta incorporación de un concepto más amplio en la determinación de la cuantía de las multas administrativa se justifica en la necesidad de establecer sanciones “efectivas, proporcionadas y disuasorias”, según el artículo 83.1 RGPD, para lo que, en palabras del Abogado General de la UE en el caso C-807/2021[6]:
“solo una multa administrativa cuya cuantía se determine en función de la capacidad económica real o material de su destinatario y, por tanto, impuesta por la autoridad de control basándose, por lo que respecta a su importe, en el concepto de unidad económica”
En resumen, parece que la AEPD puede utilizar el volumen de negocio del grupo al establecer la cuantía de las multas administrativas, basándose en la capacidad económica real del grupo empresarial en su conjunto.
Sin embargo, este enfoque aún está sujeto a clarificaciones y ajustes, ya que actualmente está pendiente ante el Tribunal de Justicia de la Unión Europea una pregunta prejudicial en el caso C-383/23[7]. Esta pregunta busca aclarar la aplicación del concepto de empresa según el TFUE en relación con la determinación de sanciones del RGPD.
[1]Resolución publicada el 12 de marzo de 2024, por la que se sanciona a Open Bank, S.A. Puedes consultar la resolución en el siguiente enlace: https://www.aepd.es/documento/ps-00043-2023.pdf
[2] Resolución PS/00046/2021, de fecha 2 de febrero de 2022. Puedes acceder a la resolución desde el siguiente enlace: https://aepd.es/documento/reposicion-ps-00046-2021.pdf
[3] Resolución PS/00027/2021, de fecha 2 de febrero de 2022. Puedes acceder a la resolución desde el siguiente enlace: https://www.aepd.es/documento/reposicion-ps-00027-2021.pdf
[4] Resolución PS/00022/2021, de fecha 2 de febrero de 2022. Puedes acceder a la resolución en el siguiente enlace: https://www.aepd.es/documento/reposicion-ps-00022-2021.pdf
[5] Sentencia del Tribunal de Justicia de la Unión Europea, Asunto C-882/19, de 6 de octubre de 2021, apartado 41. Puedes acceder al texto completo de la sentencia en el siguiente enlace: https://curia.europa.eu/juris/document/document.jsf?docid=247055&mode=req&pageIndex=1&dir=&occ=first&part=1&text=&doclang=ES&cid=992901
[6] Sentencia del Tribunal de Justicia de la Unión Europea, Asunto C-807/21, de 5 de diciembre de 2023, apartado 58. Puedes acceder al texto completo de la sentencia en el siguiente enlace: https://curia.europa.eu/juris/document/document.jsf?text=&docid=280325&pageIndex=0&doclang=ES&mode=req&dir=&occ=first&part=1&cid=992901
[7] Petición de decisión prejudicial, Asunto C-383/23, planteado el 21 de junio de 2023. Puedes acceder al texto completo en el siguiente enlace: https://curia.europa.eu/juris/document/document.jsf?text=&docid=276734&pageIndex=0&doclang=ES&mode=lst&dir=&occ=first&part=1&cid=992901
