Una autoridad de control alemana entendió que no procedía adoptar medidas correctoras contra una caja de ahorros, por el acceso que una de sus empleadas a los datos de la reclamante si estar autorizada para ello, basándose en que cuando la caja de ahorros tuvo conocimiento de este hecho, comprobó que el alcance de dicho acceso había sido muy limitado y, además, adoptó medidas disciplinarias contra la empleada.
El reclamante decidió presentar un recurso ante un tribunal alemán para que ordenase a la autoridad de control actuar contra la caja de ahorros. Ante dicha petición, el tribunal alemán planteó una cuestión prejudicial ante el Tribunal de Justicia de la Unión Europea (TJUE) que contestó afirmando que en caso de que se constate una violación de la seguridad de datos personales, la autoridad de control no está obligada a adoptar una medida correctora, en particular a imponer una multa administrativa, cuando ello no sea necesario para subsanar la deficiencia constatada y garantizar el pleno respeto del RGPD.
En concreto, podría abstenerse de hacerlo -como en el caso objeto del procedimiento- cuando el responsable ya haya tomado, por iniciativa propia, las medidas necesarias para poner fin a dicha violación y evitar que vuelvan a producirse, tan pronto como haya tenido conocimiento de ello.