Austria: Evolución de la jurisprudencia austriaca: Las violaciones de la privacidad de datos y el GDPR

En una reciente sentencia dictada el 26.11.2020,^[1] el Tribunal Administrativo Federal austriaco (Bundesverwaltungsgericht, BVwG) anuló una multa de 18 millones de euros que la autoridad austriaca de protección de datos (DPA) había impuesto al Servicio de Correos austriaco (APS). El asunto se centra en los mismos hechos examinados por el BVwG en una decisión separada^[2]. En ella, el Tribunal confirmó la sanción administrativa de la DPA contra el APS, que había sido acusado de tratar y vender ilegalmente a terceros, con fines comerciales, datos personales de clientes, como direcciones privadas y supuestas filiaciones políticas.

En la decisión en cuestión, el BVwG reconoció la naturaleza ilegal de la conducta de la APS, pero anuló la sanción de la DPA, basándose en su omisión de establecer que tanto las personas jurídicas como las físicas, actuando en nombre de la APS, habían sido responsables de la culpabilidad en cuestión.

Hechos

Los orígenes fácticos del caso se remontan a un informe de la plataforma periodística Addendum de enero de 2019,^[3 ] en el que se afirmaba que, además de información sobre direcciones privadas, sexo y edad, educación, así como preferencias en materia de inversiones o donaciones, la APS también había recopilado datos sobre las inclinaciones políticas percibidas de unos 3 millones de clientes^[4].

Tras una investigación de oficio, la APD

• Concluyó que la conducta de indagar sobre factores sociodemográficos y procesar información relativa a las preferencias políticas de un individuo sin ninguna base legal, se califica como una categoría especial de datos personales de conformidad con el artículo 9, apartado 1, del Reglamento General de Protección de Datos (Reglamento (UE) 2016/679) (GDPR), por lo que requiere la aprobación explícita previa de la parte interesada (artículo 9, apartado 2, letra a) GDPR; artículo 151, apartado 4, Gewerbeordnung, GewO);
• Ordenó que se pusiera fin al tratamiento de los datos y que se suprimiera la información ya recopilada en un plazo de dos semanas;
• Declaró que la APS no realizó una evaluación de impacto de protección de datos adecuada (antes del 25.05.2018), ya que erróneamente no consideró la afiliación política como una categoría especial de datos personales.

La APS respondió mediante recurso de apelación, argumentando que la información sobre la afinidad política de un particular no calificaba como dato personal dado que dicha información se recopila a través de encuestas anonimizadas que entregan proyecciones generales. Dado que estos cálculos de probabilidades no pueden rectificarse (artículo 16 del RGPD), se consideran información comercial y clasificación de conformidad con el artículo 151, apartado 6, de la GewO. Sin embargo, se añadió que, aunque se consideraran datos personales, no se calificaban como categoría especial estos últimos.

Todavía en noviembre, el BVwG confirmó la decisión de la DPA y sostuvo que la conducta de tratar datos sobre la afinidad a un partido político sí se calificaba como datos personales de conformidad con el artículo 4, apartado 1, del GDPR. Dado que la información obtenida podría asignarse a un particular específicamente identificable, cuyas convicciones políticas deben protegerse de la discriminación de conformidad con el artículo 9 del RGPD, debe tratarse como una categoría especial de datos personales, por lo que requiere el consentimiento previo. Esta parte de la decisión está ahora pendiente ante el Tribunal Supremo Administrativo de Austria (Verwaltungsgerichtshof, VwGH).

Sin embargo, el asunto que se examina en este artículo se refiere a un aspecto jurídico diferente del mismo caso.

Basándose en los hechos expuestos anteriormente, el asunto se centra en la supuesta infracción por parte de la APS de los artículos 5.1, 6.2, 6.4, 9, 14, 30, 35 y 36 del RGPD. Es consecuencia de un recurso presentado por la APS basado en el argumento de que la multa se había dictado sin establecer la culpabilidad de las personas físicas que actuaban en su nombre (artículo 4, apartado 7, del RGPD).

A continuación nos centraremos en la reciente decisión del BVwG de anular la multa de la APS a la luz de las conclusiones anteriores del VwGH. En ella, el Tribunal sostuvo que la supuesta conducta fáctica, ilegal y culpable también debe ser imputable a una persona física (artículo 44a de la VStG) para que una persona jurídica pueda ser considerada responsable^[5].

La cuestión

Dado que el RGPD pretende y de hecho establece la responsabilidad directa de las personas jurídicas sin tener que probar la conducta ilícita individual de un particular, el BVwG tuvo que considerar lo siguiente:

1. Si la APD estaba facultada para imponer una multa de conformidad con el artículo 83 del RGPD a una persona jurídica en ausencia de demostrar una conducta culpable por parte de una persona física que actuara en nombre de una persona jurídica;

2. Si las normas nacionales de derecho penal administrativo encuentran aplicación o si la cuestión objeto de examen debe examinarse a la luz de las normas del GDPR.

Decisión

El Tribunal consideró que la multa de la DPA, impuesta sobre la base de las disposiciones del artículo 83 del GDPR, entra dentro del ámbito de aplicación de las disposiciones de la Ley penal administrativa austriaca (Verwaltungsstrafgesetz, VStG), así como de la Ley austriaca de protección de datos (Datenschutzgesetz, DSG). Las normas procesales nacionales son aplicables en el contexto de las multas impuestas debido a una infracción en virtud del RGPD, ya que el artículo 83, apartado 8, establece: "El ejercicio de sus competencias por la autoridad de control [...] estará sujeto a las garantías procesales apropiadas de conformidad con el Derecho de la Unión y de los Estados miembros, incluidas la tutela judicial efectiva y el respeto de las garantías procesales"^[6].

Además, estableció que la DPA no había actuado de conformidad con los artículos 44a y 45 de la VStG, así como con el artículo 30 de la DSG, al no probar la culpabilidad de las personas físicas que habían actuado en nombre de la APS, como las personas que representaban a esta última, ejercían control sobre ella o tomaban decisiones en su nombre.

Comentario

Aunque la sanción impuesta a la APS haya sido anulada por el BVwG, su decisión se basa en un error de forma por parte de la DPA. Como tal, debe tratarse por separado y no entra en contradicción con la sentencia anterior del BVwG, en la que se concluyó que la conducta de tratamiento de datos relativos a la afinidad personal por un partido político da lugar a responsabilidad.

Recursos

1. Número de expediente: Número de expediente W258 2217446-1/14E. Disponible en: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=c4b7610d-5502-49f6-af50-791b9361c9f1&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&VonDatum=&Norm=DSGVOGZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2227269_1_00
2. Número de expediente: Número de expediente W258 2217446-1/35E. Disponible en: https: //www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e9b780cb-e5e0-4be8-81e7-7a49b08cc25b&Position=1&SkipToDocumentPage=True&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&VonDatatte&VerdaderoGZ=&VonDatum=&BisDatum=&Norm=DSGVO&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=BVWGT_20201126_W258_2217446_1_00.
3. "Wenn Die Post Partei Ergreift" Addendum, 28 de julio de 2020, www.addendum.org/datenhandel/parteiaffinitaet/ [consultado el 10.12.2020].
4. Para más información, véanse los comunicados de prensa tanto del servicio postal austriaco titulado "Hitos y perspectivas para 2019 y 2020" (29.10.2019) como del Consejo Europeo de Protección de Datos titulado "Procedimiento penal administrativo de la autoridad austriaca de protección de datos contra Österreichische Post AG (23.10.2019), disponibles en: https: //edpb.europa.eu/news/national-news/2019/administrative-criminal-proceedings-austrian-data-protection-authority_fr.
5. Número de expediente R2019/04/0229. Available via: https://www.ris.bka.gv.at/Dokumente/Vwgh/JWT_2019040229_20200512J00/JWT_2019040229_20200512J00.html.
6. "Art. 83 GDPR - Condiciones generales para la imposición de multas administrativas" Reglamento General de Protección de Datos (RGPD), 29 mar. 2018, gdpr-info.eu/art-83-gdpr/ [consultado el 14.12.2020].

El contenido de este artículo pretende ofrecer una guía general sobre la materia. Debe solicitarse asesoramiento especializado sobre sus circunstancias específicas.