En su sentencia de 30.11.2021 (asunto número 4 U 1158/21), el Tribunal Regional Superior de Dresde condenó a una empresa y a su director gerente como deudores solidarios al pago de daños y perjuicios en virtud del RGPD. El tribunal también consideró que el director general era la parte responsable en el sentido del RGPD. Así pues, el accionista es personalmente responsable junto con la empresa.
Si los tribunales siguieran adelante con esta decisión, ello tendría graves consecuencias para la práctica.
Los hechos
El demandante presentó una solicitud de afiliación a una asociación. En nombre de la asociación, la sociedad (más concretamente: su director gerente) tomó medidas para comprobar los antecedentes penales del demandante. Para ello, encargó a un investigador privado que le proporcionara resultados relevantes para el Derecho penal. Al final, el director gerente informó al consejo de administración, que denegó la afiliación del demandante.
El demandante consideró que se trataba de una violación de la protección de datos y demandó no sólo a la asociación sino también a la empresa con dicho director gerente por daños y perjuicios por un importe de 5.000 euros de conformidad con el artículo 82 del GDPR.
La decisión del tribunal
En su decisión, el Tribunal Regional Superior de Dresde tuvo que aclarar varias cuestiones de la ley de protección de datos. La cuestión que más conmueve al bufete es si el director gerente que contrató al investigador privado y remitió los resultados es personalmente responsable, además de la empresa.
En el contexto de esta cuestión, había que aclarar si el propio director gerente era el responsable del tratamiento y si sus acciones constituían un tratamiento ilícito. datos personales representada. También se planteó la cuestión de si el espionaje de datos podía dar lugar a una reclamación por daños y perjuicios en virtud del artículo 82 del RGPD.
Director gerente como persona responsable en el sentido del art. 4 nº 7 de la DSGVO
El tribunal declaró en primer lugar que la responsabilidad en el sentido del GDPR "debe afirmarse siempre que una persona física o jurídica persona jurídica puede decidir y decide, solo o junto con otros, sobre los fines y medios del tratamiento de datos personales". Si un empleado actúa siguiendo instrucciones, su responsabilidad, por lo general, no es aplicable. En cambio, el director general, que toma él mismo estas decisiones, entra dentro del término "responsable del tratamiento" en el sentido del RGPD.
Lo criticable aquí es que el tribunal se limita a reproducir las definiciones del GDPR sin tratarlas con más detalle. En particular, debería haberse abordado la jurisprudencia del TJCE sobre la interpretación del término "controlador". La clasificación general del director gerente como controlador sin abordar su ámbito de actividad y su dependencia de la junta de accionistas no es muy convincente.
Espionaje como tratamiento de datos personales en el sentido del art. 4 nº 1, 2 DSGVO
Con la cuestión de la Tratamiento de datos personales El tribunal no se detiene mucho en esto. La información penalmente relevante es datos personales en el sentido del artículo 4, apartado 1, del RGPD. El encargo a un investigador privado de espiar al demandante y la posterior transmisión de los datos obtenidos al Consejo Ejecutivo también constituyen un tratamiento en el sentido del artículo 4, apartado 2, del RGPD. En particular, esto se refiere a la recogida, registro, divulgación mediante transmisión y recuperación.
Ilegalidad del tratamiento
El demandante no había dado su consentimiento al tratamiento. Por lo tanto, el tratamiento es ilícito, salvo que concurra una causa legal de justificación.
A este respecto, el tribunal declara que tampoco existe un interés legítimo en el sentido del art. 6 I lit. f DSGVO. Sopesando los intereses del demandante y del demandado, espiar al demandante no era necesario en primer lugar. La alternativa menos invasiva habría sido pedir al demandante que presentara un certificado de antecedentes penales.
Además, el tribunal afirma que el espionaje del investigador privado "también viola el artículo 10 del GDPR, que prohíbe el tratamiento de datos personales". datos personales sobre condenas e infracciones penales o medidas de seguridad relacionadas sólo permitidas bajo supervisión oficial". Este punto de vista ha sido criticado, ya que también prohibiría en general a los empresarios solicitar certificados de buena conducta a los empleados.
Daños y perjuicios según el art. 82 DSGVO
El tribunal considera que el espionaje de los datos en el presente caso supera el umbral de minimis y, por tanto, puede dar lugar a una reclamación por daños y perjuicios. Además, los datos espiados pasaron a ser conocidos por un círculo más amplio de personas, lo que vulnera en gran medida los intereses del demandante.
Teniendo en cuenta "la naturaleza, la gravedad, la duración de la infracción, el grado de culpabilidad, las medidas adoptadas para mitigar el daño causado a las personas afectadas, las infracciones anteriores pertinentes y las categorías de personas afectadas". datos personales", el tribunal fijó la cuantía de los daños y perjuicios en 2,5 millones de euros. se fija en 5.000 euros. Una determinación concreta de la daños inmateriales Sin embargo, el tribunal no entra en más detalles.
Conclusión
Aunque la decisión del Tribunal Regional Superior de Dresde en este asunto es ciertamente impugnable, existe el riesgo de que otros tribunales sigan esta opinión y consideren a los directores generales personalmente responsables. Los consejeros delegados estarían entonces expuestos a un importante riesgo de responsabilidad. expuestos. Esto aumenta cuando tienen que tomar decisiones que conducen al tratamiento de datos.
Deje que nuestro equipo de expertos le muestre cómo puede llevarse a cabo el tratamiento de datos en su empresa respetando la legislación sobre protección de datos.
Español 
Deutsch 
English 
Français 
Polski