Sanción por tratamiento de datos personales. Aplicación para el seguimiento epidemiológico de la COVID-19
Sanción administrativa por tratamiento de datos de carácter personal. Infracción intencionada o negligente. Responsabilidad del responsable del tratamiento por el tratamiento realizado por un encargado. Desarrollo de una aplicación con fines de seguimiento epidemiológico de la COVID-19.
El Tribunal de Justicia declara que:
1) El artículo 4, punto 7, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), debe interpretarse en el sentido de que puede considerarse responsable del tratamiento, en el sentido de dicha disposición, a una entidad que ha encargado a una empresa el desarrollo de una aplicación informática móvil y que, en este contexto, ha participado en la determinación de los fines y medios del tratamiento de datos personales realizado mediante dicha aplicación, aunque esta entidad no haya realizado, por sí misma, operaciones de tratamiento de esos datos, no haya dado expresamente su consentimiento para la realización de las operaciones concretas del tratamiento o para la puesta a disposición del público de la aplicación móvil y no haya adquirido esa misma aplicación móvil, a menos que, antes de esa puesta a disposición del público, dicha entidad se haya opuesto expresamente a esta y al tratamiento de los datos personales resultante de ella.
2) Los artículos 4, punto 7, y 26, apartado 1, del Reglamento 2016/679 deben interpretarse en el sentido de que la calificación de dos entidades como corresponsables del tratamiento no presupone ni la existencia de un acuerdo entre esas entidades sobre la determinación de los fines y medios del tratamiento de los datos personales de que se trate ni la existencia de un acuerdo que establezca los requisitos relativos a la corresponsabilidad conjunta del tratamiento.
3) El artículo 4, punto 2, del Reglamento 2016/679 debe interpretarse en el sentido de que constituye un «tratamiento», en el sentido de esta disposición, la utilización de datos personales para pruebas informáticas de una aplicación móvil, a menos que tales datos se hayan anonimizado de modo que el interesado no sea identificable o haya dejado de serlo o se trate de datos ficticios que no se refieran a una persona física existente.
4) El artículo 83 del Reglamento 2016/679 debe interpretarse en el sentido de que, por una parte, solo puede imponerse una multa administrativa con arreglo a esa disposición si se demuestra que el responsable del tratamiento cometió, de forma intencionada o negligente, una infracción indicada en los apartados 4 a 6 de dicho artículo y, por otra parte, puede imponerse una multa de esta índole a un responsable del tratamiento en relación con operaciones de tratamiento de datos personales efectuadas por un encargado del tratamiento por cuenta de este, salvo que, en el marco de estas operaciones, el encargado haya tratado datos personales para fines que le sean propios o haya tratado dichos datos de manera incompatible con el marco o las modalidades del tratamiento tal como hayan sido determinados por el responsable del tratamiento o de manera que no pueda considerarse razonablemente que dicho responsable hubiera dado su consentimiento.