Seguridad de datos personales y margen de apreciación de la autoridad de control para adoptar la medida correctora que garantice el pleno respeto del RGPD

• TERESA M. NAVARRO CABALLERO ^[1]
  1. [1] Universidad de Murcia

     Universidad de Murcia

     Murcia, España

     
• Localización: Revista de administración pública, ISSN 0034-7639, Nº 226, 2025, págs. 187-204
• Idioma: español
• DOI: 10.18042/cepc/rap.226.08
• Enlaces
  • Texto completo (pdf)
• Resumen
  • español

    El nuevo marco europeo en materia de protección de datos personales que instauró el RGPD debe ser respaldado por una estricta ejecución de sus determinaciones para cuyo fin se atribuyen a las autoridades de control unas muy relevantes competencias, funciones y poderes. Entre ellos, el art. 58.2 del RGPD atribuye una serie de poderes correctivos, de naturaleza no siempre ni claramente sancionatoria, entre los que destaca la multa administrativa, que se puede imponer además o en lugar de las demás medidas correctoras, y siempre según las circunstancias del caso particular. En caso de infracción probada del RGPD, es decir, constatada una violación de la seguridad de datos personales, surge la duda de si es aplicable o no el principio de oportunidad y, por lo tanto, las autoridades de control están facultadas para decidir si intervienen o no o si solo lo están para elegir la medida que han de adoptar. El TJUE interpreta que estas gozan de un margen de apreciación en cuanto a la manera en que deben actuar para corregir la deficiencia detectada. En consecuencia, en aplicación del principio de proporcionalidad, entiende que no están obligadas a adoptar una medida correctora, en particular una multa administrativa, cuando tal intervención no sea adecuada o necesaria para subsanar la deficiencia constatada y garantizar el pleno respeto de dicha regulación que, en definitiva, constituye su principal misión. Esta interpretación, además, tiene pleno encaje con el principio de responsabilidad proactiva que impone un plus de cumplimiento al responsable del tratamiento y que constituyó una de las principales novedades del RGPD.

  • English

    The new European framework for the protection of personal data established by the GDPR must be supported by strict enforcement of its provisions, for which purpose significant competencies, functions, and powers are granted to the supervisory authorities. Among them, Article 58.2 of the GDPR grants a range of corrective powers, not always or clearly of a punitive nature, among which stands out the administrative fine, which can be imposed in addition to or instead of other corrective measures, always depending on the circumstances of each specific case. In the event of a verified violation of the GDPR, i.e., a breach of personal data security, the question arises as to whether the principle of opportunity is applicable, and therefore, whether the supervisory authorities are authorized to decide whether to intervene or not, or whether they are only authorized to choose the measure they should adopt. The Court of Justice of the European Union (CJEU) interprets that they have discretion regarding how they should address the identified deficiency. As a result, in the application of the principle of proportionality, they are not obligated to take a corrective measure, particularly an administrative fine, when such an intervention is not appropriate, necessary, or proportionate to address the identified deficiency and ensure full compliance with the Regulation, which ultimately constitutes theirprimary mission. This interpretation also aligns fully with the principle of proactive responsibility, which imposes an additional compliance obligation on the data controller and was one of the main novelties of the new GDPR.

• Referencias bibliográficas
  • E. Gamero Casado (2021), Delimitación conceptual de la potestad administrativa. La potestad administrativa. Concepto y alcance práctico de...
  • Rallo Lombarte, A. (2014), «Estudio sobre la evolución del régimen sancionador en la legislación de protección de datos», Revista de Estudios...
  • J. Valero Torrijos y M. Pardo López (2021), «Las sanciones administrativas en materia de protección de datos de carácter personal», en Anuario...
  • R. Rivero Ortega (2024), «¿Presuntos inocentes o presuntos culpables? La prueba de la responsabilidad subjetiva en el derecho administrativo...
  • A. Rallo Lombarte (2014), «Estudio sobre la evolución del régimen sancionador en la legislación de protección de datos», Revista de Estudios...