Protección de datos y personas trabajadoras: un estudio a las conclusiones de la STJUE de 27 de junio de 2024, c-768/21

Abstract

En esta aportación doctrinal se profundiza el alcance del deber de actuación de las autoridades nacionales de protección de datos ante una infracción del RGPD a partir de la sentencia del TJUE de 27 de junio de 2024 (C-768/21). En este sentido, se examina si la constatación de una vulneración de la normativa conlleva necesariamente la adopción de medidas correctoras, en particular, la imposición de sanciones administrativas, o si cabe una apreciación discrecional basada en los principios de proporcionalidad y eficacia. Asimismo, se analiza la exigencia de dolo o negligencia como presupuesto de culpabilidad para la imposición de multas, y se valora el papel de las medidas preventivas adoptadas por el responsable del tratamiento. Finalmente, se analiza la relación entre la infracción del RGPD y el derecho a la indemnización del afectado.

In this doctrinal contribution, the scope of the duty of national data protection authorities to act upon a breach of the GDPR is examined, based on the judgment of the CJEU of 27 June 2024 (C-768/21). In this regard, the analysis focuses on whether the finding of a violation of the regulation necessarily entails the adoption of corrective measures—particularly the imposition of administrative sanctions—or whether a discretionary assessment based on the principles of proportionality and effectiveness is permissible. The requirement of intent or negligence as a prerequisite for culpability in the imposition of fines is also addressed, along with the role of preventive measures adopted by the data controller. Finally, the relationship between the GDPR infringement and the data subject’s right to compensation is analyzed.