Mitos de la legitimación de controles biométricos: el TJUE
El primero de los mitos de la legitimación de controles biométricos se analizó en este post de linkedin.
Es harto posible que la serie continúe.
Hoy hablaremos del segundo:
Indice
- Si te hacen una evaluación de impacto y “sale positiva”, “eso excluye el dolo y la negligencia grave”, y no te pueden imputar responsabilidad administrativa por infracción de protección de datos personales, porque “así lo dicen” las sentencias del TJUE de 5-12-2023.
- El salto entre correlación y causalidad bien puede llamarse “magia”
- La sentencia C‑807/21 (Deutsche Wohnen) del TJUE
- La sentencia C‑683/21 (NVSC) del TJUE
- ¿Recuerdan la sanción al Gimnasio Metropolitan de hace unas semanas?
- ¿Entonces?
Si te hacen una evaluación de impacto y “sale positiva”, “eso excluye el dolo y la negligencia grave”, y no te pueden imputar responsabilidad administrativa por infracción de protección de datos personales, porque “así lo dicen” las sentencias del TJUE de 5-12-2023.
Toda leyenda (bulo, conspiranoia, infoxicación) para tener un mínimo éxito requiere:
- Una pequeña porción de verdad, para blanquear el resto.
- Ser sugestiva, contar una historia que te quieras o necesites creer.
- El sortilegio (“the prestige”, para los fans de Nolan).
Más sobre esto en el mundo de la desinformación en un post de hace unos años. Especialmente interesante para este año petado de elecciones.
El salto entre correlación y causalidad bien puede llamarse “magia”
Cuando asistes a un espectáculo de magia, sabes perfectamente donde estás y que todo es un truco.
Pero cuando el mago dice “abracadabra” y toca el sombrero con su varita, aprovecha un profundo sesgo en tu cerebro y le da una causa a todo el conjunto de “causalidad” donde no había ná de ná.
Y entonces sale el conejo y lo más fácil y bonito es pensar: ¡Magia!.
Sin embargo, cuando el show termina y el mago tiene tu pasta a buen recaudo en su bolsillo, tú te quedas exactamente en las mismas que estabas antes, no sé si me explico.
Así que vamos a destripar esas sentencias del TJUE que teóricamente te libran, “por arte de magia”, de tu responsabilidad por el uso de controles biométricos sin cambiar nada, sólo con una nueva evaluación de impacto… complaciente.
La sentencia C‑807/21 (Deutsche Wohnen) del TJUE
Sin duda, la sanción que más he citado en estos años de aplicación del RGPD.
A la inmobiliaria alemana del mismo nombre, pese a sucesivos requerimientos de la autoridad de control, no se le puso en el papo borrar ni un solo dato de sus clientes (arrendatarios). Hello, Meta!
¿El resultado?
Una multa de 14.385.000 de euros. Nice.
¿Te extraña semejante hostión? Se ve que no te acuerdas del caso Digi: no borrar datos conlleva la infracción, no de uno, sino de dos principios del art. 5 RGPD.
¿El plot twist?
La jurisdicción Alemana anuló la sanción porque la normativa local exige para imputar responsabilidad a una empresa, que la infracción sea directamente imputable a la actuación de miembros de sus órganos representativos o representantes formales.
¿El fallo del TJUE?
En la determinación de responsabilidad derivada del TJUE, el RGPD no distingue entre personas físicas y jurídicas.
Las personas jurídicas son responsables no sólo de las infracciones cometidas por sus representantes, directores o gestores, sino también por cualquier otra persona que actúe en el ámbito de la actividad empresarial de esas personas jurídicas y en su nombre.
La imposición de multa a una persona jurídica no exige una actuación y aun conocimiento por parte de su órgano de gestión.
¿La idea a retener?
La infracción debe haberse cometido de forma intencionada o negligente: el umbral mínimo de responsabilidad es “no poder ignorar el carácter infractor de su conducta”: es indiferente que se tuviera o no conciencia de infringir las disposiciones del RGPD.
Los estados miembros no pueden imponer requisitos materiales adicionales a los del RGPD para la imposición de sanciones o que de otro modo afecten al alcance del Reglamento, allí donde este no lo permita explícitamente.
Este último va dirigido directamente “a los gobiernos alemán, estonio y noruego” que entendían las cosas “diferentemente”.
La sentencia C‑683/21 (NVSC) del TJUE
La sentencia C‑683/21 del TJUE clarifica los criterios delimitantes de la responsabilidad efectiva en caso de incumplimiento entre distintos corresponsables.
El TJUE no hace sino recordar un par de principios por lo demás archisabidos e intocables en la tradición jurídica española:
.- Que “las cosas son lo que son, y no lo que las partes dicen que son” (luego recuperamos éste).
.- Que no existe la responsabilidad objetiva en el procedimiento sancionador. Es preciso un incumplimiento intencionado -dolo- o negligente -culpa- como demuestra la simple lectura del art 83.2 RGPD.
Lo cual lleva al TJUE -para sorpresa de nadie- a repetir de nuevo que “un responsable del tratamiento puede ser sancionado por un comportamiento comprendido en el ámbito de aplicación del RGPD cuando no podía ignorar el carácter infractor de su conducta, tuviera o no conciencia de infringir las disposiciones del RGPD” (casos C‑681/11, C‑591/16 P y C‑601/16 P).
¿Recuerdan la sanción al Gimnasio Metropolitan de hace unas semanas?
De hecho en el expediente que culminó con la célebre y reciente sanción de la AEPD al gimnasio Metropolitan – PS/00413/2022- se aportaron, DOS evaluaciones de impacto por falta de una, con el resultado que todos conocemos: 27.000 machacantes de sanción tras la aplicación del 40% de descuento (pronto pago y reconocimiento de responsabilidad).
El TJUE clarifica también lo obvio: que el responsable de tratamiento puede ser declarado responsable incluso por incumplimientos de su encargado, cuando éste cumpliera sus instrucciones.
Pero no cuando el encargado las haya incumplido o tratado datos para fines propios.
¿Entonces?
Entonces tengamos muy presente lo que decían los juriconsultos romanos: “las cosas son lo que son”.
Y es necesario que las evaluaciones de impacto “digan lo que las cosas son”.
Y si no lo dicen, ni una ni cinco evaluaciones de impacto “complacientes” te van a librar de responsabilidad si tus argumentos son que con tal o cual control biométrico “ahorras pasta” o que “es muy beneficioso para los trabajadores y por eso su consentimiento no es forzado”.
Y las sanciones serán las que sean.
Tenemos una solución rigurosa, basada en la literalidad de las guidelines del EDPB, para legitimar los controles biométricos que realmente son necesarios en el entorno laboral (que es el más difícil): la exponemos aquí.
Muy buena semana.
Jorge García Herrero
Abogado y Delegado de Protección de Datos