• OBLIN
    • Quiénes somos
    • Por qué nosotros
    • Lo que hacemos
    • Carrera profesional
    • Filantropía
    • Contacto
    • PRENSA Y MEDIOS DE COMUNICACIÓN
  • EXPERIENCIA
    • Arbitraje
    • Litigios
    • Aplicación de la ley
    • Gestión estratégica de conflictos
    • Crimen de cuello blanco
    • Sectores de la industria
  • Equipo
  • CONOCIMIENTO
    • Newsletter
    • Guías de expertos
    • Publicaciones
    • Seminarios web
    • Glosario
    • Compendio
  • Contacto
  • Spanish
    • Bulgarian
    • Chinese
    • Czech
    • Danish
    • Dutch
    • English
    • Estonian
    • Finnish
    • French
    • German
    • Hungarian
    • Italian
    • Japanese
    • Lithuanian
    • Polish
    • Portuguese
    • Romanian
    • Russian
    • Slovenian
    • Slovak
    • Swedish
Mondaq-Oblin

Ver original View original View original
Imprimir Print Print
Email Send email Mail
Share on LinkedIn Share
Share on Facebook Share
Share on TwitterTweet

Austria: Evolución de la jurisprudencia austriaca: Las violaciones de la privacidad de los datos y el GDPR

Publicación - 20 de mayo de 2021

Autor: Sharon Schmidt

Oblin

En una reciente decisión dictada el 26.11.2020,1 el Tribunal Administrativo Federal de Austria (Bundesverwaltungsgericht(BVwG) anuló una multa de 18 millones de euros que había sido impuesta al Servicio Postal Austriaco (APS) por la autoridad austriaca de protección de datos (DPA). El caso se centra en los mismos hechos considerados por el BVwG en una decisión separada.2 El Tribunal confirmó la sanción administrativa del DPA contra la APS, que había sido acusada de procesar y vender ilegalmente datos personales de clientes, como direcciones privadas y supuestas filiaciones políticas, a terceros con fines de marketing.

En la decisión en cuestión, el BVwG reconoció el carácter ilícito de la conducta de APS, pero anuló la sanción del DPA, basándose en su omisión de establecer que tanto las personas jurídicas como las físicas, actuando en nombre de APS, habían sido responsables de la culpabilidad en cuestión.

Hechos

Los orígenes fácticos del caso se remontan a un informe de la plataforma periodística Addendum de enero de 2019,3 que afirma que, además de la información sobre los domicilios particulares, el sexo y la edad, la educación, así como las preferencias en materia de inversiones o donaciones, la APS también ha recogido datos sobre la percepción de las inclinaciones políticas de unos 3 millones de clientes.4

Tras una investigación de oficio, el DPA:

  • Concluyó que la conducta de indagar en los factores sociodemográficos y tratar la información relativa a las preferencias políticas de una persona sin ninguna base legal, se califica como una categoría especial de datos personales de conformidad con el artículo 9, apartado 1, del Reglamento General de Protección de Datos (Reglamento (UE) 2016/679) (RGPD), por lo que requiere la aprobación explícita previa del interesado (artículo 9, apartado 2, letra a), del RGPD; artículo 151, apartado 4) GewerbeordnungGewO);
  • Ordenó el cese del tratamiento de datos y la eliminación de la información ya recopilada en un plazo de dos semanas;
  • Declaró que la APS no llevó a cabo una evaluación de impacto de protección de datos adecuada (antes del 25.05.2018), ya que erróneamente no consideró la afiliación política como una categoría especial de datos personales.

La APS respondió mediante un recurso, argumentando que la información sobre la afinidad política de un particular no se consideraba un dato personal, dado que dicha información se recoge a través de encuestas anónimas que ofrecen proyecciones generales. Dado que estos cálculos de probabilidad no pueden rectificarse (artículo 16 del RGPD), se consideran información de marketing y se clasifican con arreglo al artículo 151, apartado 6, de la GewO. Sin embargo, se añadió que, aunque se consideren datos personales, no se califican como categoría especial estos últimos.

Ya en noviembre, el BVwG confirmó la decisión de la DPA y sostuvo que la conducta de tratamiento de datos sobre la afinidad a un partido político sí se calificaba como datos personales de conformidad con el artículo 4, apartado 1, del RGPD. Dado que la información obtenida podría asignarse a una persona privada específicamente identificable, cuyas convicciones políticas deben protegerse de la discriminación de conformidad con el artículo 9 del RGPD, debe tratarse como una categoría especial de datos personales, por lo que requiere el consentimiento previo. Esta parte de la decisión está ahora pendiente ante el Tribunal Supremo Administrativo de Austria (Verwaltungsgerichtshof, VwGH).

Sin embargo, el asunto que se examina en este artículo se refiere a un aspecto jurídico diferente del mismo caso.

Basándose en los hechos descritos anteriormente, el caso se centra en la supuesta violación por parte de la APS de los artículos 5(1), 6(2), 6(4), 9, 14, 30, 35 y 36 del RGPD. Es consecuencia de un recurso presentado por la APS basado en el argumento de que la multa se había dictado sin establecer la culpabilidad de las personas físicas que actuaban en su nombre (artículo 4, apartado 7, del RGPD).

A continuación nos centraremos en la reciente decisión de la BVwG de anular la multa de la DPA a la luz de las conclusiones anteriores del VwGH. Allí, el Tribunal sostuvo que el supuesto comportamiento fáctico, ilegal y culpable debe ser también atribuible a una persona física (artículo 44a de la VStG) para que una persona jurídica pueda ser considerada responsable.5

La cuestión

Dado que el RGPD pretende, y de hecho establece, la responsabilidad directa de las personas jurídicas sin tener que demostrar la existencia de un delito individual por parte de una persona privada, el BVwG tuvo que considerar lo siguiente:

  1. Si la APD tenía derecho a imponer una multa de conformidad con el artículo 83 del RGPD a una persona jurídica en ausencia de demostrar una conducta culpable por parte de una persona física que actuara en nombre de una entidad jurídica;
  1. Si se aplican las normas nacionales de derecho penal administrativo o si la cuestión en cuestión debe examinarse a la luz de las normas del RGPD.

Decisión

El Tribunal consideró que la multa de la APD, impuesta sobre la base de las disposiciones del artículo 83 del RGPD, está comprendida en las disposiciones de la Ley Penal Administrativa austriaca (Verwaltungsstrafgesetz(VStG), así como la Ley austriaca de protección de datos (Ley de protección de datos(DSG). Las normas procesales nacionales son aplicables en el contexto de las multas impuestas debido a una infracción en virtud del RGPD, ya que el artículo 83, apartado 8, establece: "El ejercicio de las competencias de la autoridad de control [...] estará sujeto a las garantías procesales apropiadas de conformidad con el Derecho de la Unión y de los Estados miembros, incluidas la tutela judicial efectiva y las garantías procesales.6

Además, estableció que la DPA no había actuado de conformidad con los artículos 44a y 45 de la VStG, así como con el artículo 30 de la DSG, al no probar la culpabilidad de las personas físicas que habían actuado en nombre de la APS, como los individuos que representaban, ejercían control o tomaban decisiones en nombre de ésta.

Comentario

Aunque la sanción impuesta a la APS haya sido revocada por el BVwG, su decisión se basa en un error de forma por parte de la DPA. Como tal, debe tratarse por separado y no se opone a la sentencia anterior del BVwG, en la que se concluyó que la conducta de tratamiento de datos relativos a la afinidad personal por un partido político da lugar a responsabilidad.

Notas a pie de página

1 Número de expediente: Número de expediente W258 2217446-1/14E. Disponible a través de: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=
True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=
&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum
=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00.

2 Número de expediente: Número de expediente W258 2217446-1/35E. Disponible a través de: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=
Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=
&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=
&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.

3 "Wenn Die Post Partei Ergreift". Anexo, 28 de julio de 2020, www.addendum.org/datenhandel/parteiaffinitaet/ [consultado el 10.12.2020].

4 Para más información, consulte los comunicados de prensa tanto del servicio postal austriaco titulados "Hitos y perspectivas para 2019 y 2020" (29.10.2019) como del Consejo Europeo de Protección de Datos titulados "Procedimiento penal administrativo de la autoridad austriaca de protección de datos contra Österreichische Post AG (23.10.2019), disponibles a través de: https://edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.

5 Número de expediente R2019/04/0229. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.

6 "Art. 83 GDPR - Condiciones generales para la imposición de multas administrativas". Reglamento General de Protección de Datos (RGPD), 29 mar. 2018, gdpr-info.eu/art-83-gdpr/ [consultado el 14.12.2020].

El contenido de este artículo tiene por objeto proporcionar una guía general sobre el tema. Se debe buscar el asesoramiento de especialistas sobre sus circunstancias específicas.


Ver original View original View original
Imprimir Print Print
Email Send email Mail
Share on LinkedIn Share
Share on Facebook Share
Share on TwitterTweet

Guías de expertos:

  • Arbitraje: Capítulo austriaco
  • Arbitraje de tratados de inversión
  • Resolución de conflictos
  • Reconocimiento y ejecución de sentencias extranjeras
  • Delitos comerciales
OBLIN Rechtsanwälte GmbH
Josefstädter Straße 11
1080 Viena, Austria
Tel: +43 1 505 37 05 - 0
Fax: +43 1 505 37 05 - 10
[email protected]
© OBLIN 2005-2023 Impressum | Protección de datos | Descargo de responsabilidad
Ir al contenido
Abrir barra de herramientas Herramientas de accesibilidad

Herramientas de accesibilidad

  • Aumentar el textoAumentar el texto
  • Disminuir el textoDisminuir el texto
  • Escala de grisesEscala de grises
  • Contraste negativoContraste negativo
  • Fondo de luzFondo de luz
  • Enlaces SubrayadoEnlaces Subrayado
  • Fuente legibleFuente legible
  • Restablecer Restablecer
Nuestro sitio web utiliza cookies. Se trata de pequeños archivos de texto que se almacenan en su dispositivo mediante el navegador. Las cookies se utilizan con el fin de mejorar este sitio web. Para analizar el comportamiento del usuario, se procesan datos personales para este fin. De conformidad con el artículo 49, apartado 1, letra a de la DSGVO, su consentimiento también incluye las transferencias a destinatarios de terceros países inseguros, como los Estados Unidos en particular, que se describen detalladamente en la información sobre protección de datos. Puede revocar su consentimiento en cualquier momento. Al hacer clic en el botón "ACEPTO" usted acepta el almacenamiento de cookies.Acepto