La Sentencia de la Sala Tercera del Tribunal de Justicia de la Unión Europea (“TJUE”) de 4 de mayo de 2023, declara que no toda infracción del Reglamento General de Protección de Datos generará, por sí sola, un derecho a indemnización, quedando supeditado éste a la existencia de un nexo causal entre la infracción cometida y el perjuicio ocasionado por la misma.
En el año 2017, la empresa Österreichische Post AG, dedicada a la edición de guías de direcciones, comenzó a recopilar información sobre las afinidades políticas de la población austriaca. Con la ayuda de un algoritmo, que tenía en cuenta criterios sociales y demográficos, definió direcciones de grupos de destinatarios y vendió dichos datos a organizaciones interesadas en enviar publicidad dirigida.
Un particular afectado por el anterior tratamiento de datos personales para el que no había prestado su consentimiento, demandó a Österreichische Post solicitando:
(i) Que se ordenara a la empresa cesar el tratamiento de sus datos personales; y
(ii) Que se condenara a la sociedad a indemnizarle con 1.000 € por los daños y perjuicios inmateriales (una importante contrariedad, una pérdida de confianza y un sentimiento de humillación) que alegaba haber sufrido.
La pretensión fue desestimada en primera instancia y posteriormente la sentencia se confirmó en apelación, declarando el Tribunal que, en virtud del derecho austriaco, la infracción de las normas de protección de datos personales no ocasiona automáticamente daños y perjuicios inmateriales y solo genera derecho a indemnización cuando tales daños y perjuicios alcanzan un determinado “umbral de gravedad”. Recurrida dicha sentencia ante el Tribunal Supremo austriaco, éste decidió suspender el procedimiento y plantear al TJUE una serie de cuestiones prejudiciales a fin de esclarecer la interpretación y el alcance del artículo 82 del RGPD. Dichas cuestiones prejudiciales han quedao resueltas por el TJUE como se detalla a continuación:
1. ¿El reconocimiento del derecho a una indemnización por daños y perjuicios, además de una violación de las disposiciones del RGPD exige que el demandante haya sufrido daños y perjuicios, o la violación de las disposiciones del RGPD es suficiente por sí misma para el reconocimiento del derecho a una indemnización por daños y perjuicios?
El TJUE establece que para el reconocimiento del derecho a la indemnización por daños y perjuicios deberán coexistir tres requisitos cumulativos:
(i) tratamiento de datos en infracción de una disposición del RGPD;
(ii) daño o perjuicio —material o inmaterial— resultante del mismo; y,
(iii) existencia de una relación de causalidad entre la infracción y el daño.
2. ¿Es posible establecer como requisito para el reconocimiento de daños y perjuicios inmateriales que exista una consecuencia o secuela de la vulneración de derechos que tenga al menos cierto peso y que vaya más allá de la contrariedad causada por la misma?
No. El TJUE determina que el derecho a indemnización no está supeditado a que los daños y perjuicios considerados alcancen un determinado umbral de gravedad y, por tanto, ninguna norma o práctica de un Estado Miembro puede supeditar la indemnización a que tales daños y perjuicios hayan alcanzado cierto nivel de gravedad.
3. ¿Existen otros requisitos del Derecho de la Unión para la cuantificación de la indemnización por daños y perjuicios, además de los principios de efectividad y equivalencia?
El RGPD no contiene ninguna disposición que tenga por objeto establecer las normas relativas a la cuantificación de la indemnización por daños y perjuicios. Por lo tanto, resuelve el TJUE que corresponde al ordenamiento jurídico interno de cada Estado miembro determinar los criterios que permitan determinar la cuantía de la indemnización debida, siempre que se respeten los principios de equivalencia y efectividad.
Esta sentencia constituirá, sin duda, un precedente fundamental en los procedimientos civiles sobre reclamaciones de daños y perjuicios por infracción de la regulación de protección de datos que, cada vez, son más numerosos.
Además, habrá que estar atentos a la Sentencia que se dicte en el procedimiento VB contra Natsionalna agentsia za prihodite (Asunto C-340/21), sobre el que el Abogado General presentó sus conclusiones a finales del mes de abril. La cuestión prejudicial que origina dicho asunto es si el temor o preocupaciones a un futuro uso indebido de los datos personales sufridos por un interesado tras un ciberataque pueden constituir un daño inmaterial indemnizable aun cuando no hay pruebas de un efectivo uso indebido de dichos datos. Por el momento, el AG ha concluido que el temor es susceptible de constituir un daño inmaterial que efectivamente genere derecho a indemnización si bien matiza que “debe tratarse de un daño emocional real y cierto, y no de un mero trastorno o molestia”.
Por otro lado, empresas y operadores jurídicos están a la espera de la próxima transposición en España y otros Estados miembro de la UE de la Directiva (UE) 2020/1828 del Parlamento Europeo y del Consejo de 25 de noviembre de 2020 relativa a las acciones de representación para la protección de los intereses colectivos de los consumidores, que permitirá la interposición de acciones de reclamación de daños y perjuicios por parte de colectivos de afectados por infracciones del RGPD.