El pasado 13 de febrero, el Tribunal de Justicia de la Unión Europea (TJUE) dictó sentencia en el asunto C-383/23 por el que se resolvía una cuestión prejudicial planteada por un tribunal danés acerca de la interpretación del artículo 83 del RGPD que regula las condiciones generales para la imposición de multas administrativas.
El caso que trae a colación la petición de aclaración es el cálculo de la sanción que ha de imponerse a ILVA, una cadena de tiendas de muebles, por la infracción del principio de conservación de los datos de al menos 350.000 antiguos clientes. Esta cadena pertenece a un grupo de empresas, por lo que se plantea la duda de si para la imposición de la sanción debe tenerse en cuenta el volumen anual de facturación de la empresa del responsable del tratamiento o la del grupo de empresas al que pertenece.
El TJUE establece que, para que una multa sea efectiva, proporcionada y disuasoria, tal y como exige el art.83.1, esta deberá tener en cuenta todos los elementos que caractericen las infracciones del RGPD constatadas, además de la capacidad económica real o material de su destinatario.
Por lo tanto, entiende que cuando se impone una multa por infracción del RGPD a un responsable del tratamiento de datos personales que es o forma parte de un grupo, el importe máximo de la multa se determina sobre la base de un porcentaje del volumen de negocio total anual global del ejercicio financiero anterior del grupo. Así se entenderá ala capacidad económica real o material del destinatario de la multa y, así, garantizar que la multa es a la vez efectiva, proporcionada y disuasoria.