El Tribunal Administrativo del Voivodato de Varsovia (en lo sucesivo, el Tribunal) desestimó la reclamación de P4 Sp. z o.o. contra la decisión del Presidente de la Oficina de Protección de Datos Personales por la que se imponía una multa administrativa de 100.000 zlotys*. El motivo de la decisión era no haber notificado las violaciones de los datos personales a la autoridad de control en el plazo de 24 después de tener conocimiento de ellas.
La empresa explicó en el procedimiento ante la autoridad supervisora que la notificación de las violaciones de datos personales después de 24 horas estaba relacionada con errores involuntarios de los empleados del bufete responsables del envío de la correspondencia. Sin embargo, como señaló la autoridad de control, los errores de los empleados no pueden justificar el retraso en la notificación a la autoridad de control. El Tribunal también se mostró de acuerdo con esta postura. Según el Tribunal, los errores de los empleados de la empresa no pueden considerarse una circunstancia que justifique el retraso en la notificación. Según el Tribunal, estos errores demuestran que el proceso de notificación a la autoridad de control de las violaciones de datos personales no está correctamente organizado.
En la fundamentación de la sentencia de 5 de octubre de 2022, el Tribunal consideró que la autoridad de control asumió correctamente que la empresa había incumplido sus obligaciones en virtud de la Ley de Telecomunicaciones y del Reglamento (UE) nº 611/2013 de la Comisión, de 24 de junio de 2013, relativo a las medidas aplicables a la notificación de violaciones de datos personales en virtud de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo sobre la privacidad y las comunicaciones electrónicas.
El Tribunal de Justicia confirma que, antes de dictar la resolución, la autoridad de control aclaró todas las circunstancias del caso y valoró adecuadamente las pruebas recabadas. En efecto, el responsable del tratamiento, como proveedor de servicios de telecomunicaciones, incumplió la obligación de notificar las violaciones de datos personales a la autoridad de control en el plazo estrictamente especificado por la ley, es decir, a más tardar 24 horas después de tener conocimiento de las violaciones. Además, el Tribunal de Justicia considera que la autoridad de control determinó correctamente el importe de la multa, que no sólo es adecuado a la infracción constatada, sino que también cumple la función disuasoria prevista.