En su sentencia de 30.11.2021 (asunto número 4 U 1158/21), el Tribunal Regional Superior de Dresde condenó a una empresa y a su director gerente como deudores solidarios al pago de daños y perjuicios en virtud del RGPD. El tribunal también consideró que el director general era la parte responsable en el sentido del RGPD. Así pues, el accionista es personalmente responsable junto con la empresa.
Si los tribunales siguieran adelante con esta decisión, ello tendría graves consecuencias para la práctica.
Los hechos
El demandante presentó una solicitud de afiliación a una asociación. En nombre de la asociación, la sociedad (más concretamente: su director gerente) tomó medidas para comprobar los antecedentes penales del demandante. Para ello, encargó a un investigador privado que le proporcionara resultados relevantes para el Derecho penal. Al final, el director gerente informó al consejo de administración, que denegó la afiliación del demandante.
El demandante consideró que se trataba de una violación de la protección de datos y demandó no sólo a la asociación, sino también a la empresa con dicho director gerente por daños y perjuicios por un importe de 5.000 euros, de conformidad con el artículo 82 de la DSGVO.
La decisión del tribunal
En su decisión, el Tribunal Regional Superior de Dresde tuvo que aclarar varias cuestiones de la ley de protección de datos. La cuestión que más conmueve al bufete es si el director gerente que contrató al investigador privado y remitió los resultados es personalmente responsable, además de la empresa.
En el contexto de esta cuestión, había que aclarar si el propio director gerente era un responsable del tratamiento y si su actuación constituía un tratamiento injustificado de datos personales. Además, se planteó la cuestión de si el espionaje de datos podía dar lugar a una reclamación por daños y perjuicios en virtud del artículo 82 del RGPD.
Director gerente como persona responsable en el sentido del art. 4 nº 7 de la DSGVO
El tribunal declaró en primer lugar que la responsabilidad en el sentido del RGPD "debe afirmarse siempre que una persona física o jurídica, sola o conjuntamente con otras, pueda decidir y decida los fines y los medios del tratamiento de datos personales". Si un empleado actúa siguiendo instrucciones, su responsabilidad no se aplica por regla general. En cambio, el director general, que toma él mismo estas decisiones, entra en el concepto de responsable del tratamiento en el sentido del RGPD.
Lo criticable aquí es que el tribunal se limita a reproducir las definiciones del GDPR sin tratarlas con más detalle. En particular, debería haberse abordado la jurisprudencia del TJCE sobre la interpretación del término "controlador". La clasificación general del director gerente como controlador sin abordar su ámbito de actividad y su dependencia de la junta de accionistas no es muy convincente.
Espionaje como tratamiento de datos personales en el sentido del art. 4 nº 1, 2 DSGVO
El tribunal no se detiene en la cuestión del tratamiento de datos personales. La información pertinente en virtud del Derecho penal son datos personales en el sentido del artículo 4 nº 1 del RGPD. Mediante la contratación de un detective privado para espiar al demandante y la posterior transmisión de los datos obtenidos al consejo de administración, también existe un tratamiento en el sentido del art. 4 nº 2 DSGVO. En particular, se refiere a la recogida, grabación, divulgación por transmisión e interrogatorio.
Ilegalidad del tratamiento
El demandante no había dado su consentimiento al tratamiento. Por lo tanto, el tratamiento es ilícito, salvo que concurra una causa legal de justificación.
A este respecto, el tribunal declara que tampoco existe un interés legítimo en el sentido del art. 6 I lit. f DSGVO. Sopesando los intereses del demandante y del demandado, espiar al demandante no era necesario en primer lugar. La alternativa menos invasiva habría sido pedir al demandante que presentara un certificado de antecedentes penales.
Además, el tribunal afirma que el espionaje del detective privado "también [viola] el artículo 10 del GDPR, que en principio sólo permite el tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad relacionadas bajo supervisión oficial". Este punto de vista ha sido criticado porque, en general, también prohibiría a los empresarios solicitar certificados de buena conducta a los empleados.
Daños y perjuicios según el art. 82 DSGVO
El tribunal considera que el espionaje de los datos en el presente caso supera el umbral de minimis y, por tanto, puede dar lugar a una reclamación por daños y perjuicios. Además, los datos espiados pasaron a ser conocidos por un círculo más amplio de personas, lo que vulnera en gran medida los intereses del demandante.
Teniendo en cuenta la "naturaleza, gravedad y duración de la infracción, el grado de culpa, las medidas adoptadas para mitigar el daño sufrido por los interesados, las infracciones anteriores pertinentes y las categorías de datos personales afectadas", el tribunal fijó la cuantía de la indemnización en 5.000 euros. Sin embargo, el tribunal no entra en más detalles sobre la determinación concreta del daño moral.
Conclusión
Aunque la decisión de la OLG de Dresde en este asunto es ciertamente impugnable, existe el riesgo de que otros tribunales sigan el dictamen y responsabilicen personalmente a los consejeros delegados. Los consejeros delegados se expondrían entonces a un importante riesgo de responsabilidad. Esto aumenta cuando tienen que tomar decisiones que conducen al tratamiento de datos.
Deje que nuestro equipo de expertos le muestre cómo puede llevarse a cabo el tratamiento de datos en su empresa respetando la legislación sobre protección de datos.