El TJUE ha dictaminado que el concepto de “empresa” debe entenderse de manera amplia a la hora de calcular el importe de las multas por vulneración del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (“RGPD”)

El Tribunal de Justicia de la Unión Europea (Sala Quinta), en su sentencia de 13 de febrero de 2025, Asunto C-383/23, ha determinado que las multas impuestas a empresas por infringir la normativa de protección de datos deben calcularse en función del volumen de negocio total del grupo empresarial al que pertenecen, y no solo sobre el volumen de la empresa directamente responsable de la infracción.

El caso en cuestión involucra a ILVA, empresa danesa dedicada a la explotación de una cadena de tiendas de muebles y perteneciente al grupo Lars Larsen Group, que incumplió el RGPD, entre mayo de 2018 y enero de 2019. Así las cosas, la Agencia de Protección de Datos danesa solicitó que el importe de la multa impuesta se basara en el volumen de negocio del Grupo y no solo en el volumen de negocio de ILVA. Sin embargo, el Tribunal Municipal de Aarhus, mediante su Sentencia de 12 de febrero de 2021, consideró que, en la medida en que solo ILVA era objeto de enjuiciamiento, no procedía tener en cuenta el volumen de negocio del grupo Lars Larsen Group para determinar el importe de la multa. Asimismo, el Tribunal señaló que ILVA ejercía una actividad de venta minorista independiente y que la sociedad matriz de dicho grupo no la había constituido con el único fin de garantizar el tratamiento de los datos del grupo, por lo que estableció que el cálculo de la multa debía limitarse al volumen de negocio de ILVA, al ser esta la empresa infractora.

El Ministerio Fiscal danés apeló esta decisión ante el Tribunal de Apelación de la Región Oeste de Dinamarca, argumentando que el concepto de «empresa» debía interpretarse conforme a los artículos 101 y 102 del Tratado de Funcionamiento de la Unión Europea (“TFUE”), lo que implicaba evaluar el volumen de negocio del grupo en su conjunto. Por su parte, ILVA defendió que la multa debía calcularse únicamente en función de su propio volumen de negocio.

Ante esta disputa, el Tribunal de Apelación de la Región Oeste decidió suspender el procedimiento y planteó al Tribunal de Justicia de la UE dos cuestiones prejudiciales:

1.¿Debe interpretarse que el término “virksomhed” [(empresa, en la versión en español)] que figura en el artículo 83, apartados 4 a 6, del RGPD se refiere a una empresa, en el sentido de los            artículos 101 TFUE y 102 TFUE, en relación con el considerando 150 de ese mismo Reglamento, y de la jurisprudencia del Tribunal de Justicia de la Unión Europea en materia de Derecho de         la competencia de la Unión, de manera que dicho término engloba a toda entidad que desarrolla una actividad económica, al margen de su estatuto jurídico y de la manera en que se financia?

2.En caso de respuesta afirmativa a la primera cuestión prejudicial, ¿debe interpretarse el artículo 83, apartados 4 a 6, del RGPD en el sentido de que, cuando se impone una multa a una                 empresa, es preciso tener en cuenta el volumen de negocio total anual global del grupo en el que está integrada esa empresa o únicamente el volumen de negocio total anual global de la propia       empresa?»

El Tribunal de Justicia de la UE resolvió que el término «empresa» incluido en el RGPD debe entenderse de la misma forma que en las normas de competencia de la UE, abarcando “cualquier entidad que ejerza una actividad económica, con independencia del estatuto jurídico de esa entidad y de su modo de financiación designa[ndo] así, una unidad económica, aunque, desde el punto de vista jurídico, dicha unidad económica esté constituida por varias personas físicas o jurídicas. Esta unidad económica consiste en una organización unitaria de elementos personales, materiales e inmateriales que persigue de manera duradera un fin económico determinado”.

En el mismo sentido, el TJUE estableció que las multas deben calcularse sobre el volumen de negocio total del grupo para garantizar que sean efectivas, proporcionales y disuasorias, tal como exige el artículo 83 del RGPD.

En conclusión, el TJUE ha confirmado que el importe máximo de las multas por infracción del RGPD debe determinarse en función del volumen de negocio total del grupo empresarial, asegurando así una mayor eficacia en la protección de los datos personales y evitando que las empresas infractoras se beneficien de estructuras corporativas para reducir el impacto de las sanciones.

Resulta evidente que esta sentencia representa un avance significativo en la lucha contra tratamiento fraudulento de datos personales, reforzando el carácter disuasorio de las multas y otorgando un mayor grado de protección a los ciudadanos europeos.

Y vosotros, ¿consideráis que fijar el límite de las multas al total del volumen de negocio del Grupo tendrá un efecto disuasorio en las empresas o, por el contrario, consideráis que aumentar el límite de las multas al volumen de negocio total del Grupo resulta excesivo?