Language of document : ECLI:EU:C:2023:949

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala)

de 5 de diciembre de 2023 (*)

«Procedimiento prejudicial — Protección de datos personales — Reglamento (UE) 2016/679 — Artículo 4, puntos 2 y 7 — Conceptos de “tratamiento” y de “responsable del tratamiento” — Desarrollo de una aplicación informática móvil — Artículo 26 — Corresponsabilidad del tratamiento — Artículo 83 — Imposición de multas administrativas — Requisitos — Necesidad de que la infracción sea intencionada o negligente — Responsabilidad del responsable del tratamiento por el tratamiento de datos personales realizado por un encargado»

En el asunto C‑683/21,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Vilniaus apygardos administracinis teismas (Tribunal Regional de lo Contencioso-Administrativo de Vilna, Lituania), mediante resolución de 22 de octubre de 2021, recibida en el Tribunal de Justicia el 12 de noviembre de 2021, en el procedimiento entre

Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos

y

Valstybinė duomenų apsaugos inspekcija,

con intervención de:

UAB IT sprendimai sėkmei,

Lietuvos Respublikos sveikatos apsaugos ministerija,

EL TRIBUNAL DE JUSTICIA (Gran Sala),

integrado por el Sr. K. Lenaerts, Presidente, el Sr. L. Bay Larsen, Vicepresidente, los Sres. A. Arabadjiev, C. Lycourgos, E. Regan y T. von Danwitz y Z. Csehi y la Sra. O. Spineanu-Matei, Presidentes de Sala, y los Sres. M. Ilešič y J.‑C. Bonichot, la Sra. L. S. Rossi y los Sres. A. Kumin, N. Jääskinen (Ponente), N. Wahl y M. Gavalec, Jueces;

Abogado General: Sr. N. Emiliou;

Secretaria: Sra. C. Strömholm, administradora;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 17 de enero de 2023;

consideradas las observaciones presentadas:

–        en nombre del Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos, por la Sra. G. Aleksienė;

–        en nombre de la Valstybinė duomenų apsaugos inspekcija, por el Sr. R. Andrijauskas;

–        en nombre del Gobierno lituano, por la Sra. V. Kazlauskaitė-Švenčionienė, en calidad de agente;

–        en nombre del Gobierno neerlandés, por la Sra. C. S. Schillemans, en calidad de agente;

–        en nombre del Consejo de la Unión Europea, por la Sra. R. Liudvinavičiūtė y el Sr. K. Pleśniak, en calidad de agentes;

–        en nombre de la Comisión Europea, por los Sres. A. Bouchagiar y H. Kranenborg y por la Sra. A. Steiblytė, en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 4 de mayo de 2023;

dicta la siguiente

Sentencia

1        La petición de decisión prejudicial tiene por objeto la interpretación de los artículos 4, puntos 2 y 7, 26, apartado 1, y 83, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (DO 2016, L 119, p. 1; en lo sucesivo, «RGPD»).

2        Esta petición se ha presentado en el contexto de un litigio entre el Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (Centro Nacional de Salud Pública adscrito al Ministerio de Sanidad, Lituania; en lo sucesivo, «CNSP») y la Valstybinė duomenų apsaugos inspekcija (Inspección Nacional de Protección de Datos, Lituania; en lo sucesivo, «INPD») en relación con una resolución por la que esta impuso al CNSP una multa administrativa con arreglo al artículo 83 del RGPD por infracción de los artículos 5, 13, 24, 32 y 35 de dicho Reglamento.

 Marco jurídico

 Derecho de la Unión

3        Los considerandos 9, 10, 11, 13, 26, 74, 79, 129 y 148 del RGPD indican:

«(9)      […] Las diferencias en el nivel de protección de los derechos y libertades de las personas físicas, en particular del derecho a la protección de los datos de carácter personal, en lo que respecta al tratamiento de dichos datos en los Estados miembros pueden impedir la libre circulación de los datos de carácter personal en la Unión [Europea]. Estas diferencias pueden constituir, por lo tanto, un obstáculo al ejercicio de las actividades económicas a nivel de la Unión, falsear la competencia e impedir que las autoridades cumplan las funciones que les incumben en virtud del Derecho de la Unión. […]

(10)      Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión, el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. Debe garantizarse en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea. […]

(11)      La protección efectiva de los datos personales en la Unión exige que se refuercen y especifiquen los derechos de los interesados y las obligaciones de quienes tratan y determinan el tratamiento de los datos de carácter personal, y que en los Estados miembros se reconozcan poderes equivalentes para supervisar y garantizar el cumplimiento de las normas relativas a la protección de los datos de carácter personal y las infracciones se castiguen con sanciones equivalentes.

[…]

(13)      Para garantizar un nivel coherente de protección de las personas físicas en toda la Unión y evitar divergencias que dificulten la libre circulación de datos personales dentro del mercado interior, es necesario un reglamento que proporcione seguridad jurídica y transparencia a los operadores económicos, incluidas las microempresas y las pequeñas y medianas empresas, y ofrezca a las personas físicas de todos los Estados miembros el mismo nivel de derechos y obligaciones exigibles y de responsabilidades para los responsables y encargados del tratamiento, con el fin de garantizar una supervisión coherente del tratamiento de datos personales y sanciones equivalentes en todos los Estados miembros, así como la cooperación efectiva entre las autoridades de control de los diferentes Estados miembros. […]

[…]

(26)      Los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable. Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable. […] Por lo tanto los principios de protección de datos no deben aplicarse a la información anónima, es decir, información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación.

[…]

(74)      Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas físicas.

[…]

(79)      La protección de los derechos y libertades de los interesados, así como la responsabilidad de los responsables y encargados del tratamiento, […] requieren una atribución clara de las responsabilidades en virtud del presente Reglamento, incluidos los casos en los que un responsable determine los fines y medios del tratamiento de forma conjunta con otros responsables, o en los que el tratamiento se lleve a cabo por cuenta de un responsable.

[…]

(129)      Para garantizar la supervisión y ejecución coherentes del presente Reglamento en toda la Unión, las autoridades de control deben tener en todos los Estados miembros las mismas funciones y poderes efectivos, incluidos poderes de investigación, poderes correctivos y sancionadores […]. Los poderes de las autoridades de control deben ejercerse de conformidad con garantías procesales adecuadas establecidas en el Derecho de la Unión y los Estados miembros, de forma imparcial, equitativa y en un plazo razonable. En particular, toda medida debe ser adecuada, necesaria y proporcionada con vistas a garantizar el cumplimiento del presente Reglamento, teniendo en cuenta las circunstancias de cada caso concreto, respetar el derecho de todas las personas a ser oídas antes de que se adopte cualquier medida que las afecte negativamente y evitar costes superfluos y molestias excesivas para las personas afectadas. Los poderes de investigación en lo que se refiere al acceso a instalaciones deben ejercerse de conformidad con los requisitos específicos del Derecho procesal de los Estados miembros, como el de la autorización judicial previa. Toda medida jurídicamente vinculante de la autoridad de control debe constar por escrito, ser clara e inequívoca, indicar la autoridad de control que dictó la medida y la fecha en que se dictó, llevar la firma del director o de un miembro de la autoridad de control autorizado por este, especificar los motivos de la medida y mencionar el derecho a la tutela judicial efectiva. Esto no debe obstar a que se impongan requisitos adicionales con arreglo al Derecho procesal de los Estados miembros. La adopción de una decisión jurídicamente vinculante implica que puede ser objeto de control judicial en el Estado miembro de la autoridad de control que adoptó la decisión.

[…]

(148)      A fin de reforzar la aplicación de las normas del presente Reglamento, cualquier infracción de este debe ser castigada con sanciones, incluidas multas administrativas, con carácter adicional a medidas adecuadas impuestas por la autoridad de control en virtud del presente Reglamento, o en sustitución de estas. En caso de infracción leve, o si la multa que probablemente se impusiera constituyese una carga desproporcionada para una persona física, en lugar de sanción mediante multa puede imponerse un apercibimiento. Debe no obstante prestarse especial atención a la naturaleza, gravedad y duración de la infracción, a su carácter intencional, a las medidas tomadas para paliar los daños y perjuicios sufridos, al grado de responsabilidad o a cualquier infracción anterior pertinente, a la forma en que la autoridad de control haya tenido conocimiento de la infracción, al cumplimiento de medidas ordenadas contra el responsable o encargado, a la adhesión a códigos de conducta y a cualquier otra circunstancia agravante o atenuante. La imposición de sanciones, incluidas las multas administrativas, debe estar sujeta a garantías procesales suficientes conforme a los principios generales del Derecho de la Unión y de la [Carta de los Derechos Fundamentales de la Unión Europea], entre ellas el derecho a la tutela judicial efectiva y a un proceso con todas las garantías.»

4        A tenor del artículo 4 de dicho Reglamento:

«A efectos del presente Reglamento se entenderá por:

1)      “datos personales”: toda información sobre una persona física identificada o identificable (“el interesado”); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

2)      “tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

[…]

5)      “seudonimización”: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;

[…]

7)      “responsable del tratamiento” o “responsable”: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;

8)      “encargado del tratamiento” o “encargado”: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;

[…]».

5        El artículo 26 del citado Reglamento, titulado «Corresponsables del tratamiento», dispone lo siguiente en su apartado 1:

«Cuando dos o más responsables determinen conjuntamente los objetivos y los medios del tratamiento serán considerados corresponsables del tratamiento. Los corresponsables determinarán de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el presente Reglamento, en particular en cuanto al ejercicio de los derechos del interesado y a sus respectivas obligaciones de suministro de información a que se refieren los artículos 13 y 14, salvo, y en la medida en que, sus responsabilidades respectivas se rijan por el Derecho de la Unión o de los Estados miembros que se les aplique a ellos. Dicho acuerdo podrá designar un punto de contacto para los interesados.»

6        El artículo 28 del mismo Reglamento, que lleva por título «Encargado del tratamiento», establece en su apartado 10:

«Sin perjuicio de lo dispuesto en los artículos 82, 83 y 84, si un encargado del tratamiento infringe el presente Reglamento al determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento.»

7        El artículo 58 del RGPD, titulado «Poderes», dispone en su apartado 2:

«Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:

a)      sancionar a todo responsable o encargado del tratamiento con una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el presente Reglamento;

b)      sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;

[…]

d)      ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado;

[…]

f)      imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición;

[…]

i)      imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso particular;

[…]».

8        El artículo 83 de este Reglamento, titulado «Condiciones generales para la imposición de multas administrativas», tiene el siguiente tenor:

«1.      Cada autoridad de control garantizará que […] las multas administrativas [impuestas] con arreglo al presente artículo por las infracciones del presente Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias.

2.      Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:

a)      la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;

b)      la intencionalidad o negligencia en la infracción;

c)      cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;

d)      el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32;

e)      toda infracción anterior cometida por el responsable o el encargado del tratamiento;

f)      el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;

g)      las categorías de los datos de carácter personal afectados por la infracción;

h)      la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;

i)      cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas;

j)      la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42, y

k)      cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

3.      Si un responsable o un encargado del tratamiento incumpliera de forma intencionada o negligente, para las mismas operaciones de tratamiento u operaciones vinculadas, diversas disposiciones del presente Reglamento, la cuantía total de la multa administrativa no será superior a la cuantía prevista para las infracciones más graves.

4.      Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 [euros] como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

a)      las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43;

[…]

5.      Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 [euros] como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

a)      los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9;

b)      los derechos de los interesados a tenor de los artículos 12 a 22;

[…]

d)      toda obligación en virtud del Derecho de los Estados miembros que se adopte con arreglo al capítulo IX;

[…]

6.      El incumplimiento de las resoluciones de la autoridad de control a tenor del artículo 58, apartado 2, se sancionará de acuerdo con el apartado 2 del presente artículo con multas administrativas de 20 000 000 [euros] como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

7.      Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro.

8.      El ejercicio por una autoridad de control de sus poderes en virtud del presente artículo estará sujeto a garantías procesales adecuadas de conformidad con el Derecho de la Unión y de los Estados miembros, entre ellas la tutela judicial efectiva y el respeto de las garantías procesales.

[…]»

9        El artículo 84, apartado 1, de dicho Reglamento, titulado «Sanciones», dispone:

«Los Estados miembros establecerán las normas en materia de otras sanciones aplicables a las infracciones del presente Reglamento, en particular las infracciones que no se sancionen con multas administrativas de conformidad con el artículo 83, y adoptarán todas las medidas necesarias para garantizar su observancia. Dichas sanciones serán efectivas, proporcionadas y disuasorias.»

 Derecho lituano

10      El artículo 29, apartado 3, de la Viešen jų pirkimų įstatymas (Ley de Contratación Pública) menciona determinadas circunstancias en las que el poder adjudicador tiene el derecho o la obligación de cancelar a su entera discreción los procedimientos de licitación o concurso iniciados, en cualquier momento antes de la celebración del contrato público (o del contrato preliminar) o de la determinación del candidato seleccionado en el concurso.

11      El artículo 72, apartado 2, de la Ley de Contratación Pública establece las etapas de las negociaciones que el poder adjudicador lleva a cabo en el marco de un procedimiento negociado de contratación pública sin publicación previa.

 Litigio principal y cuestiones prejudiciales

12      En el contexto de la pandemia provocada por el virus de la COVID-19, el Lietuvos Respublikos sveikatos apsaugos ministras (Ministro de Sanidad de la República de Lituania) encargó, mediante una primera decisión de 24 de marzo de 2020, al director del CNSP que organizara la adquisición inmediata de un sistema informático para el registro y el seguimiento de los datos de las personas expuestas al virus, con fines de seguimiento epidemiológico.

13      Mediante correo electrónico de 27 de marzo de 2020, una persona que se presentó como representante del CNSP (en lo sucesivo, «A. S.») informó a la sociedad UAB IT sprendimai sėkmei (en lo sucesivo, «sociedad ITSS») de que el CNSP la había seleccionado para crear una aplicación móvil a tal efecto. Posteriormente, A. S. envió correos electrónicos a la sociedad ITSS relativos a diversos aspectos de la creación de esta aplicación, con copia de dichos correos electrónicos al director del CNSP.

14      Durante las negociaciones entre la sociedad ITSS y el CNSP, además de A. S., otros empleados del CNSP enviaron también correos electrónicos a esa sociedad en relación con la redacción de las preguntas planteadas en la aplicación móvil de que se trata.

15      Al crearse esta aplicación móvil, se elaboró una política de protección de la intimidad en la que se designaba a la sociedad ITSS y al CNSP como responsables del tratamiento.

16      La aplicación móvil en cuestión, que mencionaba a la sociedad ITSS y al CNSP, podía descargarse en la tienda en línea Google Play Store a partir del 4 de abril de 2020 y en la tienda en línea Apple App Store a partir del 6 de abril de 2020. Estuvo operativa hasta el 26 de mayo de 2020.

17      Entre el 4 de abril de 2020 y el 26 de mayo de 2020, 3 802 personas hicieron uso de esta aplicación y facilitaron los datos que les concernían solicitados por ella, como el número de identidad, las coordenadas geográficas (latitud y longitud), el país, la ciudad, el municipio, el código postal, el nombre de la calle, el número del inmueble, el apellido, el nombre, el código personal, el número de teléfono y la dirección.

18      Mediante una segunda decisión de 10 de abril de 2020, el Ministro de Sanidad de la República de Lituania decidió encomendar al director del CNSP la tarea de organizar la adquisición de la aplicación móvil en cuestión a la sociedad ITSS y, a tal efecto, se contempló recurrir al artículo 72, apartado 2, de la Ley de Contratación Pública. Sin embargo, no se adjudicó a esta sociedad ningún contrato público para la adquisición oficial de esta aplicación por parte del CNSP.

19      En efecto, el 15 de mayo de 2020, el CNSP solicitó a dicha sociedad que no se le mencionara de ningún modo en la aplicación móvil en cuestión. Además, mediante escrito de 4 de junio de 2020, el CNSP informó a la misma sociedad de que, debido a la falta de financiación para la adquisición de esta aplicación, había puesto fin al procedimiento de adquisición, de conformidad con el artículo 29, apartado 3, de la Ley de Contratación Pública.

20      En el marco de una investigación relativa al tratamiento de datos personales iniciada el 18 de mayo de 2020, el INPD determinó que se habían recogido datos personales mediante la aplicación móvil de que se trata. Además, se constató que los usuarios que habían elegido esta aplicación como método de seguimiento del aislamiento impuesto por la pandemia de COVID-19 habían respondido a preguntas que implicaban el tratamiento de datos personales. Según el INPD, estos datos se proporcionaron en las respuestas a las preguntas planteadas mediante dicha aplicación y se referían, en particular, al estado de salud del interesado y al cumplimiento, por parte de este, de los requisitos de aislamiento.

21      Mediante decisión de 24 de febrero de 2021, el INPD impuso una multa administrativa de 12 000 euros al CNSP con arreglo al artículo 83 del RGPD, por infracción de los artículos 5, 13, 24, 32 y 35 de dicho Reglamento. Mediante esta decisión, se impuso también a la sociedad ITSS una multa administrativa de 3 000 euros como corresponsable del tratamiento.

22      El CNSP impugnó esta decisión ante el Vilniaus apygardos administracinis teismas (Tribunal Regional de lo Contencioso-Administrativo de Vilna, Lituania), que es el órgano jurisdiccional remitente, alegando que es la sociedad ITSS quien debe considerarse el único responsable del tratamiento, en el sentido del artículo 4, punto 7, del RGPD. Por su parte, la sociedad ITSS sostiene que actuó como encargado del tratamiento, en el sentido del artículo 4, punto 8, del RGPD, siguiendo instrucciones del CNSP, que, en su opinión, es el único responsable del tratamiento.

23      El órgano jurisdiccional remitente señala que la sociedad ITSS creó la aplicación móvil de que se trata y que el CNSP le aconsejó sobre el contenido de las preguntas planteadas mediante esta aplicación. Sin embargo, no existe un contrato público entre el CNSP y la sociedad ITSS. Además, el CNSP no consintió ni autorizó la puesta a disposición de esta aplicación a través de diversas tiendas en línea.

24      Dicho órgano jurisdiccional indica que la creación de la aplicación móvil en cuestión tenía por objeto alcanzar el objetivo asignado por el CNSP, a saber, la gestión de la pandemia de COVID-19 mediante la creación de una herramienta informática, y que estaba previsto tratar datos personales a tal fin. Por lo que respecta al papel de la sociedad ITSS, no se había previsto un objetivo distinto del de percibir una retribución por el producto informático creado.

25      El órgano jurisdiccional remitente observa asimismo que, durante la investigación del INPD, se acreditó que la sociedad lituana Juvare Lithuania, administradora del sistema informático de seguimiento y control de las enfermedades transmisibles que presentan un riesgo de propagación, debía recibir las copias de los datos personales recogidos mediante la aplicación móvil en cuestión. Además, con el fin de probarla, se utilizaron datos ficticios, a excepción de los números de teléfono de los empleados de dicha sociedad.

26      En estas circunstancias, el Vilniaus apygardos administracinis teismas (Tribunal Regional de lo Contencioso-Administrativo de Vilna) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1)      ¿Puede interpretarse el concepto de “responsable del tratamiento” definido en el artículo 4, punto 7, del RGPD en el sentido de que también se ha de considerar como tal una persona que prevé adquirir una herramienta de recogida de datos (aplicación móvil) mediante contratación pública, con independencia del hecho de que no se haya adjudicado un contrato público y de que no se haya entregado el producto creado (la aplicación móvil) a cuya adquisición se dirigía el procedimiento de contratación pública?

2)      ¿Puede interpretarse el concepto de “responsable del tratamiento” definido en el artículo 4, punto 7, del RGPD en el sentido de que también se ha de considerar como tal un poder adjudicador que no haya adquirido el derecho de propiedad del producto informático creado y no haya tomado posesión de él, a pesar de que la versión definitiva de la aplicación creada proporcione enlaces o interfaces a dicho poder adjudicador y/o cuando la declaración de confidencialidad, que no ha sido aprobada o reconocida oficialmente por el organismo público de que se trate, le declarase expresamente a este como responsable del tratamiento?

3)      ¿Puede interpretarse el concepto de “responsable del tratamiento” definido en el artículo 4, punto 7, del RGPD en el sentido de que también se ha de considerar como tal una persona que no ha llevado a cabo ninguna operación efectiva de tratamiento de datos a efectos del artículo 4, punto 2, del RGPD y/o no ha otorgado un claro consentimiento a la realización de tales operaciones? ¿Es relevante para la interpretación del concepto de “responsable del tratamiento” el hecho de que el producto informático utilizado para el tratamiento de datos personales se crease conforme al encargo asignado por el poder adjudicador?

4)      En caso de que la determinación de las operaciones efectivas de tratamiento de datos sea relevante para la interpretación del concepto de “responsable del tratamiento”, ¿debe interpretarse el concepto de “tratamiento” de datos personales definido en el artículo 4, punto 2, del RGPD en el sentido de que también comprende las situaciones en que se hayan utilizado copias de datos personales para probar sistemas informáticos en el procedimiento de adquisición de una aplicación móvil?

5)      ¿Debe interpretarse el concepto de “corresponsabilidad del tratamiento” a efectos de los artículos 4, punto 7, y 26, apartado 1, del RGPD exclusivamente en el sentido de que comprende las actuaciones deliberadamente coordinadas respecto de la determinación de la finalidad y los medios del tratamiento, o puede interpretarse también en el sentido de que la corresponsabilidad comprende además las situaciones en que no existe un claro “mutuo acuerdo” respecto del objetivo y los medios del tratamiento y/o las actuaciones no están coordinadas entre las entidades? ¿Son relevantes para la interpretación del concepto de “corresponsabilidad del tratamiento” la fase de creación de los medios del tratamiento de datos personales (la aplicación informática) en que se efectuó el tratamiento de los datos personales y la finalidad para la que se creó la aplicación? ¿Debe entenderse por “mutuo acuerdo” entre corresponsables del tratamiento exclusivamente el establecimiento claro y definido de las condiciones que rigen la corresponsabilidad del tratamiento?

6)      ¿Debe interpretarse la disposición del artículo 83, apartado 1, del RGPD con arreglo a la cual “las multas administrativas [han de ser] efectivas, proporcionadas y disuasorias” en el sentido de que comprende igualmente los casos de atribución de responsabilidad al “responsable del tratamiento” cuando, en el proceso de creación de un producto informático, el programador también lleva a cabo actos de tratamiento de datos personales, y en el sentido de que los actos indebidos de tratamiento de datos personales realizados por el encargado del tratamiento siempre dan automáticamente lugar a la responsabilidad jurídica del responsable del tratamiento? ¿Debe interpretarse dicha disposición en el sentido de que también comprende los casos de responsabilidad objetiva del responsable del tratamiento?»

 Sobre las cuestiones prejudiciales

 Cuestiones prejudiciales primera a tercera

27      Mediante sus cuestiones prejudiciales primera a tercera, que procede examinar conjuntamente, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 4, punto 7, del RGPD debe interpretarse en el sentido de que puede considerarse responsable del tratamiento, en el sentido de dicha disposición, a una entidad que ha encargado a una empresa el desarrollo de una aplicación informática móvil, cuando dicha entidad no ha realizado, ella misma, operaciones de tratamiento de datos personales, no ha dado expresamente su consentimiento para la realización de las operaciones concretas de ese tratamiento o para poner a disposición del público la aplicación móvil y no ha adquirido dicha aplicación móvil.

28      El artículo 4, punto 7, del RGPD define de manera amplia el concepto de «responsable del tratamiento» como la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o junto con otros, «determine los fines y medios del tratamiento» de datos personales.

29      El objetivo de esta definición amplia consiste, de conformidad con el del RGPD, en garantizar una protección eficaz de las libertades y de los derechos fundamentales de las personas físicas y, en particular, un elevado nivel de protección del derecho de toda persona a la protección de los datos personales que le conciernan (véanse, en este sentido, las sentencias de 29 de julio de 2019, Fashion ID, C‑40/17, EU:C:2019:629, apartado 66, y de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, apartado 73 y jurisprudencia citada).

30      El Tribunal de Justicia ya ha declarado que cualquier persona física o jurídica que, atendiendo a sus propios objetivos, influya en el tratamiento de tales datos y participe, por tanto, en la determinación de los fines y los medios del tratamiento puede ser considerada responsable de dicho tratamiento. A este respecto, no es necesario que los fines y los medios del tratamiento se determinen mediante instrucciones por escrito o consignas impartidas por el responsable del tratamiento (véase, en este sentido, la sentencia de 10 de julio de 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, apartados 67 y 68) ni que este haya sido designado formalmente como tal.

31      Por consiguiente, para determinar si una entidad como el CNSP puede ser considerada responsable del tratamiento en el sentido del artículo 4, punto 7, del RGPD, es preciso examinar si dicha entidad ha influido efectivamente, para sus propios fines, en la determinación de los fines y los medios de dicho tratamiento.

32      En el presente asunto, sin perjuicio de las comprobaciones que corresponda efectuar al órgano jurisdiccional remitente, de los autos que obran en poder del Tribunal de Justicia se desprende que la creación de la aplicación móvil en cuestión fue encargada por el CNSP y tenía por objeto alcanzar el objetivo asignado por este, a saber, la gestión de la pandemia de COVID-19 mediante una herramienta informática para registrar y realizar un seguimiento de los datos de las personas expuestas al virus de la COVID-19. A tal fin, el CNSP había previsto que se trataran los datos personales de los usuarios de la aplicación móvil. Además, de la resolución de remisión se desprende que los parámetros de esta aplicación, tales como las preguntas planteadas y su formulación, se adaptaron a las necesidades del CNSP y que este desempeñó un papel activo en su determinación.

33      En estas circunstancias, debe considerarse, en principio, que el CNSP participó efectivamente en la determinación de los fines y medios del tratamiento.

34      En cambio, el mero hecho de que el CNSP se mencionara como responsable del tratamiento en la política de protección de la intimidad de la aplicación móvil de que se trata y de que se incluyeran en la aplicación enlaces a dicha entidad solo puede considerarse pertinente si se demuestra que el CNSP dio su consentimiento, expresa o tácitamente, a dicha mención o dichos enlaces.

35      Además, las circunstancias mencionadas por el órgano jurisdiccional remitente en el marco de las consideraciones que sustentan sus tres primeras cuestiones prejudiciales, a saber, que el propio CNSP no trató datos personales, que no existía contrato entre el CNSP y la sociedad ITSS, que el CNSP no adquirió la aplicación móvil de que se trata o que la difusión de esta aplicación a través de tiendas en línea no fue autorizada por el CNSP, no excluyen que este pueda calificarse de «responsable del tratamiento» en el sentido del artículo 4, punto 7, del RGPD.

36      En efecto, de esta disposición, interpretada a la luz del considerando 74 del RGPD, se desprende que, cuando una entidad cumple el requisito establecido en dicho artículo 4, punto 7, es responsable no solo por cualquier tratamiento de datos personales que efectúe ella misma, sino también por el que se realice por su cuenta.

37      A este respecto, debe precisarse, no obstante, que no cabría considerar al CNSP responsable del tratamiento de los datos personales resultante de la puesta a disposición del público de la aplicación móvil de que se trata si, antes de dicha puesta a disposición, se opuso expresamente a esta, extremo que corresponde comprobar al órgano jurisdiccional remitente. En efecto, en tal supuesto, no puede considerarse que el tratamiento en cuestión se efectuó por cuenta del CNSP.

38      Habida cuenta de las consideraciones anteriores, procede responder a las cuestiones prejudiciales primera a tercera que el artículo 4, punto 7, del RGPD debe interpretarse en el sentido de que puede considerarse responsable del tratamiento, en el sentido de dicha disposición, a una entidad que ha encargado a una empresa el desarrollo de una aplicación informática móvil y que, en este contexto, ha participado en la determinación de los fines y medios del tratamiento de datos personales realizado mediante dicha aplicación, aunque esta entidad no haya realizado, por sí misma, operaciones de tratamiento de esos datos, no haya dado expresamente su consentimiento para la realización de las operaciones concretas del tratamiento o para la puesta a disposición del público de la aplicación móvil y no haya adquirido esa misma aplicación móvil, a menos que, antes de esa puesta a disposición del público, dicha entidad se haya opuesto expresamente a esta y al tratamiento de los datos personales resultante de ella.

 Quinta cuestión prejudicial

39      Mediante su quinta cuestión prejudicial, que procede examinar en segundo lugar, el órgano jurisdiccional remitente pregunta, en esencia, si los artículos 4, punto 7, y 26, apartado 1, del RGPD deben interpretarse en el sentido de que la calificación de dos entidades como corresponsables del tratamiento presupone la existencia de un acuerdo entre esas entidades sobre la determinación de los fines y medios del tratamiento de los datos personales en cuestión o la existencia de un acuerdo que establezca los requisitos relativos a la corresponsabilidad del tratamiento.

40      De conformidad con el artículo 26, apartado 1, del RGPD, existen «corresponsables del tratamiento» cuando dos o más responsables del tratamiento determinen conjuntamente los objetivos y medios del tratamiento.

41      Como ha declarado el Tribunal de Justicia, para poder ser considerada corresponsable del tratamiento, una persona física o jurídica debe responder, por tanto, de manera independiente a la definición de «responsable del tratamiento» que figura en el artículo 4, punto 7, del RGPD (véase, en este sentido, la sentencia de 29 de julio de 2019, Fashion ID, C‑40/17, EU:C:2019:629, apartado 74).

42      Sin embargo, la existencia de una responsabilidad conjunta no se traduce necesariamente en una responsabilidad equivalente de los diversos agentes a los que atañe un tratamiento de datos personales. Por el contrario, esos agentes pueden presentar una implicación en distintas etapas de ese tratamiento y en distintos grados, de modo que el nivel de responsabilidad de cada uno de ellos debe evaluarse teniendo en cuenta todas las circunstancias pertinentes del caso concreto (sentencia de 5 de junio de 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, apartado 43). Por otra parte, la responsabilidad conjunta de varios agentes respecto a un mismo tratamiento no exige que cada uno de ellos tenga acceso a los datos personales en cuestión (sentencia de 10 de julio de 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, apartado 69 y jurisprudencia citada).

43      Como ha señalado el Abogado General en el punto 38 de sus conclusiones, la participación en la determinación de los fines y medios del tratamiento puede adoptar distintas formas y resultar tanto de una decisión común adoptada por dos o más entidades como de decisiones convergentes de esas entidades. Pues bien, en este último caso, dichas decisiones deben complementarse, de modo que cada una de ellas tenga un efecto concreto en la determinación de los fines y medios del tratamiento.

44      En cambio, no puede exigirse que exista un acuerdo formal entre dichos responsables del tratamiento en cuanto a los fines y medios del tratamiento.

45      Es cierto que, en virtud del artículo 26, apartado 1, del RGPD, interpretado a la luz del considerando 79 de este, los corresponsables del tratamiento deben determinar de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por dicho Reglamento. Sin embargo, la existencia de tal acuerdo no constituye un requisito previo para que dos o más entidades sean calificadas de corresponsables del tratamiento, sino una obligación que dicho artículo 26, apartado 1, impone a los corresponsables del tratamiento, una vez calificados de tales, con el fin de garantizar el cumplimiento de los requisitos del RGPD que les incumben. Así pues, esta calificación se deriva del mero hecho de que varias entidades hayan participado en la determinación de los fines y medios del tratamiento.

46      Habida cuenta de las consideraciones anteriores, procede responder a la quinta cuestión prejudicial que los artículos 4, punto 7, y 26, apartado 1, del RGPD deben interpretarse en el sentido de que la calificación de dos entidades como corresponsables del tratamiento no presupone ni la existencia de un acuerdo entre esas entidades sobre la determinación de los fines y medios del tratamiento de los datos personales de que se trate ni la existencia de un acuerdo que establezca los requisitos relativos a la corresponsabilidad conjunta del tratamiento.

 Cuarta cuestión prejudicial

47      Mediante su cuarta cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 4, punto 2, del RGPD debe interpretarse en el sentido de que constituye un «tratamiento», en el sentido de esta disposición, la utilización de datos personales para pruebas informáticas de una aplicación móvil.

48      En el caso de autos, como se desprende del apartado 25 de la presente sentencia, la sociedad lituana administradora del sistema informático de seguimiento y control de las enfermedades transmisibles que presentan un riesgo de propagación debía recibir las copias de los datos personales recogidos mediante la aplicación móvil en cuestión. Para realizar pruebas informáticas, se utilizaron datos ficticios, a excepción de los números de teléfono de los empleados de dicha sociedad.

49      A este respecto, en primer lugar, el artículo 4, punto 2, del RGPD define el concepto de «tratamiento» como «cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no». En una enumeración no exhaustiva, introducida por la palabra «como», esta disposición menciona la recogida, la habilitación de acceso y la utilización de datos personales.

50      Por lo tanto, de la redacción de esta disposición, en particular de la expresión «cualquier operación», se desprende que el legislador de la Unión quiso dar un alcance amplio al concepto de «tratamiento» [véase, en este sentido, la sentencia de 24 de febrero de 2022, Valsts ieņēmumu dienests (Tratamiento de datos personales con fines fiscales), C‑175/20, EU:C:2022:124, apartado 35] y que las razones por las que se efectúa una operación o un conjunto de operaciones no pueden tenerse en cuenta para determinar si esa operación o ese conjunto de operaciones constituye un «tratamiento» en el sentido del artículo 4, punto 2, del RGPD.

51      Por consiguiente, la cuestión de si los datos personales se utilizan para pruebas informáticas o para otro fin es irrelevante a efectos de la calificación de la operación en cuestión como «tratamiento», en el sentido del artículo 4, punto 2, del RGPD.

52      En segundo lugar, debe precisarse, no obstante, que solo un tratamiento que tenga por objeto «datos personales» constituye un «tratamiento» en el sentido del artículo 4, punto 2, del RGPD.

53      El artículo 4, punto 1, del RGPD precisa a este respecto que debe entenderse por «datos personales» «toda información sobre una persona física identificada o identificable», es decir, sobre «toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona».

54      Pues bien, la circunstancia a la que se refiere el órgano jurisdiccional remitente en la cuarta cuestión prejudicial de que se trata de «copias de datos personales» no permite, como tal, negar a esas copias la calificación de datos personales en el sentido del artículo 4, punto 1, del RGPD, siempre que tales copias contengan efectivamente información relativa a una persona física identificada o identificable.

55      Sin embargo, ha de señalarse que los datos ficticios, dado que no se refieren a una persona física identificada o identificable, sino a una persona que, en realidad, no existe, no constituyen datos personales en el sentido del artículo 4, punto 1, del RGPD.

56      Lo mismo sucede con los datos utilizados para pruebas informáticas que son anónimos o han sido anonimizados.

57      En efecto, del considerando 26 del RGPD y de la propia definición del concepto de «datos personales», recogida en el artículo 4, punto 1, de dicho Reglamento, se desprende que no está comprendida en este concepto la «información anónima, es decir, información que no guarda relación con una persona física identificada o identificable» ni los «datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo».

58      En cambio, del artículo 4, punto 5, del RGPD, en relación con el considerando 26 de dicho Reglamento, se desprende que los datos personales que solamente han sido objeto de una seudonimización y que cabría atribuir a una persona física mediante la utilización de información adicional deben considerarse información sobre una persona física identificable, a la que se aplican los principios de la protección de datos.

59      Habida cuenta de las consideraciones anteriores, procede responder a la cuarta cuestión prejudicial que el artículo 4, punto 2, del RGPD debe interpretarse en el sentido de que constituye un «tratamiento», en el sentido de esta disposición, la utilización de datos personales para pruebas informáticas de una aplicación móvil, a menos que tales datos se hayan anonimizado de modo que el interesado no sea identificable o haya dejado de serlo o se trate de datos ficticios que no se refieran a una persona física existente.

 Sexta cuestión prejudicial

60      Mediante su sexta cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 83 del RGPD debe interpretarse en el sentido de que, por una parte, solo puede imponerse una multa administrativa con arreglo a esa disposición si se demuestra que el responsable del tratamiento cometió, de forma intencionada o negligente, una infracción contemplada en los apartados 4 a 6 de dicho artículo y, por otra parte, puede imponerse una multa de esta índole a un responsable del tratamiento en relación con operaciones de tratamiento efectuadas por un encargado del tratamiento por cuenta de este.

61      Por lo que respecta, en primer lugar, a si una multa administrativa solo puede imponerse con arreglo al artículo 83 del RGPD en la medida en que se demuestre que el responsable o el encargado del tratamiento ha cometido, de forma intencionada o negligente, una infracción indicada en los apartados 4 a 6 de ese artículo, del apartado 1 de dicho artículo se desprende que estas multas deben ser efectivas, proporcionadas y disuasorias. En cambio, el artículo 83 del RGPD no precisa expresamente que esas infracciones únicamente puedan sancionarse con una multa de este tipo si se han cometido de forma intencionada o, al menos, negligente.

62      El Gobierno lituano y el Consejo de la Unión Europea deducen de ello que el legislador de la Unión quiso dejar a los Estados miembros un cierto margen de apreciación en la aplicación del artículo 83 del RGPD, que les permita establecer la imposición de multas administrativas con arreglo a esta disposición, en su caso, sin que se haya demostrado que la infracción del RGPD sancionada con la multa se haya cometido de forma intencionada o negligente.

63      No puede acogerse esta interpretación del artículo 83 del RGPD.

64      A este respecto, es preciso recordar que, en virtud del artículo 288 TFUE, las disposiciones de los reglamentos tienen, por lo general, efecto directo en los ordenamientos jurídicos nacionales, sin necesidad de que las autoridades nacionales adopten medidas de aplicación. No obstante, algunas de estas disposiciones pueden requerir, para su ejecución, la adopción de medidas de aplicación por los Estados miembros (véase, en este sentido, la sentencia de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, apartado 58 y jurisprudencia citada).

65      Este es el caso, en particular, del RGPD, algunas de cuyas disposiciones ofrecen a los Estados miembros la posibilidad de establecer normas nacionales adicionales, más estrictas o excepcionales, lo que les deja un margen de apreciación en cuanto a la manera de aplicar dichas disposiciones (sentencia de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, apartado 57).

66      Del mismo modo, a falta de normas de procedimiento específicas en el RGPD, corresponde al ordenamiento jurídico de cada Estado miembro establecer, dentro del respeto de los principios de equivalencia y de efectividad, los tipos de acciones que permitan garantizar los derechos que las disposiciones del citado Reglamento confieren a los justiciables [véase, en este sentido, la sentencia de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartados 53 y 54 y jurisprudencia citada].

67      Sin embargo, nada en el tenor del artículo 83, apartados 1 a 6, del RGPD permite considerar que el legislador de la Unión haya querido dejar un margen de apreciación a los Estados miembros en lo que respecta a los requisitos materiales que debe cumplir una autoridad de control cuando decide imponer una multa administrativa a un responsable del tratamiento por una infracción indicada en los apartados 4 a 6 de dicho artículo.

68      Ciertamente, por una parte, el artículo 83, apartado 7, del RGPD dispone que cada Estado miembro puede establecer normas sobre si se pueden imponer multas administrativas a autoridades y organismos públicos establecidos en su territorio y, en su caso, en qué medida. Por otra parte, del artículo 83, apartado 8, del citado Reglamento, interpretado a la luz de su considerando 129, se desprende que el ejercicio por una autoridad de control de los poderes que le confiere ese artículo está sujeto a garantías procesales adecuadas de conformidad con el Derecho de la Unión y de los Estados miembros, entre ellas la tutela judicial efectiva y el respeto de las garantías procesales.

69      No obstante, el hecho de que dicho Reglamento conceda así a los Estados miembros la posibilidad de establecer excepciones en relación con las autoridades y organismos públicos establecidos en su territorio, así como requisitos relativos al procedimiento que deben seguir las autoridades de control para imponer una multa administrativa, no significa en modo alguno que también estén facultados para establecer, más allá de tales excepciones y requisitos de carácter procedimental, requisitos materiales que deban cumplirse para generar la responsabilidad del responsable del tratamiento e imponerle una multa administrativa con arreglo al artículo 83. Además, el hecho de que el legislador de la Unión se haya preocupado de prever expresamente esta posibilidad, pero no la de establecer tales requisitos materiales, confirma que no ha dejado a los Estados miembros un margen de apreciación a este respecto.

70      Esta constatación también se ve corroborada por una lectura conjunta de los artículos 83 y 84 del RGPD. En efecto, el artículo 84, apartado 1, de este Reglamento admite que los Estados miembros conservan la competencia para determinar las normas en materia de «otras sanciones aplicables» a las infracciones de dicho Reglamento, «en particular las infracciones que no se sancionen con multas administrativas de conformidad con el artículo 83». Así pues, de la interpretación conjunta de estas disposiciones resulta que no está incluida en esta competencia la determinación de los requisitos materiales que permiten imponer tales multas administrativas. Por lo tanto, estos requisitos pertenecen únicamente al ámbito del Derecho de la Unión.

71      Por lo que respecta a dichos requisitos, procede señalar que el artículo 83, apartado 2, del RGPD enumera los factores que la autoridad de control debe tener en cuenta para imponer una multa administrativa al responsable del tratamiento. Entre estos factores figura, en la letra b) de dicha disposición, «la intencionalidad o negligencia en la infracción». En cambio, ninguno de los factores enumerados en esa disposición menciona la posibilidad de que se genere la responsabilidad del responsable del tratamiento sin una conducta culpable de este.

72      Además, es importante leer el artículo 83, apartado 2, del RGPD en relación con el apartado 3 de dicho artículo, cuyo objeto es prever las consecuencias de los casos de acumulación de infracciones del Reglamento y a tenor del cual «si un responsable o un encargado del tratamiento incumpliera de forma intencionada o negligente, para las mismas operaciones de tratamiento u operaciones vinculadas, diversas disposiciones del presente Reglamento, la cuantía total de la multa administrativa no será superior a la cuantía prevista para las infracciones más graves».

73      Así pues, del tenor del artículo 83, apartado 2, del RGPD se desprende que únicamente las infracciones de las disposiciones del Reglamento cometidas con culpabilidad por el responsable del tratamiento, a saber, las cometidas de forma intencionada o negligente, pueden dar lugar a que se le imponga una multa administrativa con arreglo a dicho artículo.

74      La estructura general y la finalidad del RGPD corroboran esta interpretación.

75      Por una parte, el legislador de la Unión ha establecido un sistema de sanciones que permite a las autoridades de control imponer las sanciones más adecuadas según las circunstancias de cada caso.

76      En efecto, el artículo 58 del RGPD, que establece los poderes de las autoridades de control, dispone, en su apartado 2, letra i), que esas autoridades pueden imponer multas administrativas, con arreglo al artículo 83 de dicho Reglamento, «además o en lugar» de otros poderes correctivos enumerados en dicho artículo 58, apartado 2, como advertencias, apercibimientos u órdenes. Asimismo, el considerando 148 de dicho Reglamento indica, en particular, que, en caso de infracción leve o si la multa administrativa que probablemente se impusiera constituyese una carga desproporcionada para una persona física, las autoridades de control pueden imponer un apercibimiento en lugar de sanción mediante multa administrativa.

77      Por otra parte, del considerando 10 del RGPD se desprende, en particular, que las disposiciones de este tienen como objetivo, entre otras cosas, garantizar un nivel uniforme y elevado de protección de las personas físicas por lo que se refiere al tratamiento de datos personales en la Unión y, a tal fin, garantizar que la aplicación de las normas de protección de los derechos y libertades fundamentales de esas personas en relación con el tratamiento de tales datos sea coherente y homogénea en toda la Unión. Los considerandos 11 y 129 del RGPD subrayan, por otro lado, que, para garantizar una ejecución coherente de este Reglamento, es necesario garantizar que las autoridades de control tengan poderes equivalentes para supervisar y garantizar el cumplimiento de las normas relativas a la protección de los datos de carácter personal y que puedan imponer sanciones equivalentes en caso de infracción de dicho Reglamento.

78      La existencia de un sistema de sanciones que permita imponer, cuando las circunstancias específicas de cada caso lo justifiquen, una multa administrativa con arreglo al artículo 83 del RGPD crea un incentivo para que los responsables y encargados del tratamiento cumplan el Reglamento. Con su efecto disuasorio, las multas administrativas contribuyen a reforzar la protección de las personas físicas en lo que respecta al tratamiento de datos personales y constituyen, por ende, un elemento clave para garantizar el respeto de los derechos de dichas personas, de conformidad con la finalidad del citado Reglamento de asegurar un elevado nivel de protección de esas personas en lo que respecta al tratamiento de los datos personales.

79      Sin embargo, el legislador de la Unión no consideró necesario, para asegurar ese nivel elevado de protección, prever la imposición de multas administrativas cuando no exista culpabilidad. Toda vez que el RGPD tiene por objeto un nivel de protección tanto equivalente como homogéneo y que, a tal fin, debe aplicarse de manera coherente en toda la Unión, sería contrario a esta finalidad permitir a los Estados miembros establecer un régimen de esta índole para la imposición de una multa con arreglo al artículo 83 del Reglamento. Además, esa libertad de elección podría falsear la competencia entre los operadores económicos en el seno de la Unión, lo que sería contrario a los objetivos expresados por el legislador de la Unión, en particular, en los considerandos 9 y 13 de dicho Reglamento.

80      En consecuencia, procede declarar que el artículo 83 del RGPD no permite imponer una multa administrativa por una infracción contemplada en sus apartados 4 a 6 sin que se demuestre que dicha infracción fue cometida de forma intencionada o negligente por el responsable del tratamiento y que, por lo tanto, la culpabilidad en la comisión de la infracción constituye un requisito para la imposición de la multa.

81      A este respecto, debe precisarse además, por lo que atañe a la cuestión de si una infracción se ha cometido de forma intencionada o negligente y, por ello, puede sancionarse con una multa administrativa con arreglo al artículo 83 del RGPD, que un responsable del tratamiento puede ser sancionado por un comportamiento comprendido en el ámbito de aplicación del RGPD cuando no podía ignorar el carácter infractor de su conducta, tuviera o no conciencia de infringir las disposiciones del RGPD (véanse, por analogía, las sentencias de 18 de junio de 2013, Schenker & Co. y otros, C‑681/11, EU:C:2013:404, apartado 37 y jurisprudencia citada; de 25 de marzo de 2021, Lundbeck/Comisión, C‑591/16 P, EU:C:2021:243, apartado 156, y de 25 de marzo de 2021, Arrow Group y Arrow Generics/Comisión, C‑601/16 P, EU:C:2021:244, apartado 97).

82      Cuando el responsable del tratamiento sea una persona jurídica, debe precisarse además que la aplicación del artículo 83 del RGPD no supone una actuación ni aun un conocimiento del órgano de gestión de dicha persona jurídica (véanse, por analogía, las sentencias de 7 de junio de 1983, Musique Diffusion française y otros/Comisión, 100/80 a 103/80, EU:C:1983:158, apartado 97, y de 16 de febrero de 2017, Tudapetrol Mineralölerzeugnisse Nils Hansen/Comisión, C‑94/15 P, EU:C:2017:124, apartado 28 y jurisprudencia citada).

83      Por lo que respecta, en segundo lugar, a la cuestión de si puede imponerse una multa administrativa con arreglo al artículo 83 del RGPD a un responsable del tratamiento en relación con las operaciones de tratamiento efectuadas por un encargado, es preciso recordar que, según la definición que figura en el artículo 4, punto 8, del RGPD, se entiende por encargado del tratamiento «la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento».

84      Dado que, como se ha indicado en el apartado 36 de la presente sentencia, un responsable del tratamiento es responsable no solo por todo tratamiento de datos personales que efectúe él mismo, sino también por los tratamientos realizados por su cuenta, puede imponerse a ese responsable una multa administrativa con arreglo al artículo 83 del RGPD en una situación en la que los datos personales son objeto de un tratamiento ilícito y en la que no es él, sino un encargado al que ha recurrido, quien ha efectuado el tratamiento por cuenta suya.

85      No obstante, la responsabilidad del responsable del tratamiento por el comportamiento de un encargado no puede extenderse a las situaciones en las que el encargado haya tratado datos personales para fines que le sean propios o en las que haya tratado dichos datos de manera incompatible con el marco o las modalidades del tratamiento tal como hayan sido determinados por el responsable del tratamiento o de manera que no pueda considerarse razonablemente que dicho responsable hubiera dado su consentimiento. En efecto, de conformidad con el artículo 28, apartado 10, del RGPD, el encargado del tratamiento debe, en ese supuesto, ser considerado responsable del tratamiento con respecto a dicho tratamiento.

86      Habida cuenta de las consideraciones anteriores, procede responder a la sexta cuestión prejudicial que el artículo 83 del RGPD debe interpretarse en el sentido de que, por una parte, solo puede imponerse una multa administrativa con arreglo a esa disposición si se demuestra que el responsable del tratamiento cometió, de forma intencionada o negligente, una infracción indicada en los apartados 4 a 6 de dicho artículo y, por otra parte, puede imponerse una multa de esta índole a un responsable del tratamiento en relación con operaciones de tratamiento de datos personales efectuadas por un encargado del tratamiento por cuenta de este, salvo que, en el marco de estas operaciones, el encargado haya tratado datos personales para fines que le sean propios o haya tratado dichos datos de manera incompatible con el marco o las modalidades del tratamiento tal como hayan sido determinados por el responsable del tratamiento o de manera que no pueda considerarse razonablemente que dicho responsable hubiera dado su consentimiento.

 Costas

87      Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Gran Sala) declara:

1)      El artículo 4, punto 7, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos),

debe interpretarse en el sentido de que

puede considerarse responsable del tratamiento, en el sentido de dicha disposición, a una entidad que ha encargado a una empresa el desarrollo de una aplicación informática móvil y que, en este contexto, ha participado en la determinación de los fines y medios del tratamiento de datos personales realizado mediante dicha aplicación, aunque esta entidad no haya realizado, por sí misma, operaciones de tratamiento de esos datos, no haya dado expresamente su consentimiento para la realización de las operaciones concretas del tratamiento o para la puesta a disposición del público de la aplicación móvil y no haya adquirido esa misma aplicación móvil, a menos que, antes de esa puesta a disposición del público, dicha entidad se haya opuesto expresamente a esta y al tratamiento de los datos personales resultante de ella.

2)      Los artículos 4, punto 7, y 26, apartado 1, del Reglamento 2016/679

deben interpretarse en el sentido de que

la calificación de dos entidades como corresponsables del tratamiento no presupone ni la existencia de un acuerdo entre esas entidades sobre la determinación de los fines y medios del tratamiento de los datos personales de que se trate ni la existencia de un acuerdo que establezca los requisitos relativos a la corresponsabilidad conjunta del tratamiento.

3)      El artículo 4, punto 2, del Reglamento 2016/679

debe interpretarse en el sentido de que

constituye un «tratamiento», en el sentido de esta disposición, la utilización de datos personales para pruebas informáticas de una aplicación móvil, a menos que tales datos se hayan anonimizado de modo que el interesado no sea identificable o haya dejado de serlo o se trate de datos ficticios que no se refieran a una persona física existente.

4)      El artículo 83 del Reglamento 2016/679

debe interpretarse en el sentido de que,

por una parte, solo puede imponerse una multa administrativa con arreglo a esa disposición si se demuestra que el responsable del tratamiento cometió, de forma intencionada o negligente, una infracción indicada en los apartados 4 a 6 de dicho artículo y,

por otra parte, puede imponerse una multa de esta índole a un responsable del tratamiento en relación con operaciones de tratamiento de datos personales efectuadas por un encargado del tratamiento por cuenta de este, salvo que, en el marco de estas operaciones, el encargado haya tratado datos personales para fines que le sean propios o haya tratado dichos datos de manera incompatible con el marco o las modalidades del tratamiento tal como hayan sido determinados por el responsable del tratamiento o de manera que no pueda considerarse razonablemente que dicho responsable hubiera dado su consentimiento.

Firmas

*      Lengua de procedimiento: lituano.