TJUE: Sentencias de junio de 2024 sobre protección de datos

Unión Europea

Ambas sentencias de misma fecha dan respuesta a cuestiones prejudiciales sobre la indemnización por daños y perjuicios en el RGPD

TJUE: Sentencias de junio de 2024 sobre protección de datos

2 de septiembre de 2024

Pablo Tena
Ramón Baradat

El pasado 20 de junio de 2024, la Sala Tercera del Tribunal de Justicia de la Unión Europea (“TJUE”) dictaba dos sentencias en relación con la indemnización por daños y perjuicios (la “indemnización”) a recibir del responsable o el encargado del tratamiento, establecida en el artículo 82 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (“RGPD”).

Estas sentencias dan respuesta a distintas cuestiones prejudiciales planteadas sobre el alcance y determinación de la indemnización prevista por daños y perjuicios sufridos como consecuencia de infracciones del RGPD. De este modo, el TJUE precisa y completa la interpretación que de este articulo realizó en la STJUE de 4 de mayo de 2023 (UI contra Österreichische Post AG), también tratada en una entrada anterior de nuestro blog (Indemnización de daños morales por infracción del RGPD) y que resulta especialmente relevante dado que los tribunales españoles han empezado a conceder indemnizaciones por infracción del RGPD en virtud del artículo 82 del RGPD.

A continuación, analizamos alguno de los aspectos más relevantes:

El TJUE confirma que el derecho a una indemnización está sujeto a la existencia de daños y perjuicios

El primero de los casos analizados por el TJUE tiene origen en el envío por error de documentos relativos a la declaración tributaria de los demandantes a un tercero no autorizado, sin que pudiera demostrarse la pérdida de control sobre los datos.

El asunto suscitaba al Tribunal de lo Civil y Penal de Wesel varias cuestiones relacionadas con la indemnización prevista en el artículo 82 del RGPD. Así, en la primera sentencia, el TJUE estima que la indemnización prevista en el citado artículo se fundamenta en la existencia efectiva de “daños y perjuicios”, aún si estos daños son insustanciales o se fundan en un mero “temor”. También incide en distintas cuestiones relativas a la cuantificación de la indemnización.

El TJUE recalca que la infracción del RGPD es una condición necesaria, pero no suficiente para fundamentar el derecho a la indemnización por daños y perjuicios. Así, se precisa de la existencia de (i) una infracción del RGPD, (ii) un daño y perjuicio (sea este material o inmaterial), y (iii) una relación de causalidad entre ambos para que surja el derecho previsto por el RGPD. Sin embargo, no es necesario que estos daños alcancen un “cierto grado de gravedad” para que nazca el derecho a dicha indemnización.

Asimismo, se plantea si el mero temor de una persona de que, debido a una infracción del RGPD, sus datos hayan sido divulgados a terceros, sin que pueda demostrarse, puede justificar un derecho a indemnización. El TJUE recuerda que el concepto de daños y perjuicios se ha interpretado ampliamente en aras de “garantizar un nivel elevado de protección de las personas físicas en lo que respecta al tratamiento de sus datos”. No obstante, siendo necesaria la existencia de un daño o perjuicio, solo si se demuestra que dicho temor conlleva unas consecuencias negativas, se concederá la indemnización prevista.

A falta de criterios que rijan la determinación de la indemnización pecuniaria, el TJUE rechaza la posibilidad de aplicar los criterios previstos para la concreción de las multas administrativas impuestas por infracción del RGPD (artículo 83), pues ambas disposiciones “persiguen objetivos diferentes”. Por tanto, se remite al ordenamiento jurídico interno de cada Estado para determinar la cuantía de la indemnización debida. Es más, el TJUE descarta que dicha indemnización tenga una función disuasoria o incluso punitiva, de modo que la gravedad de la infracción no determina una mayor cuantía, siendo únicamente su objetivo el de indemnizar de forma “total y efectiva” los daños y perjuicios sufridos.

Finalmente, el TJUE sentencia que la infracción simultanea de disposiciones de derecho interno producidas como consecuencia de una infracción del RGPD, y que, sin embargo, no son normas de desarrollo del RGPD, no comportan un incremento de la indemnización del artículo 82 del RGPD. Con todo, el juez nacional puede conceder una indemnizacion superior a la reparación del daño y perjuicio prevista por el RGPD, si la inobservancia del Derecho nacional también causa un perjuicio a indemnizar.

El TJUE considera que el robo de datos es condición necesaria, pero no suficiente para el robo de identidad

En esta segunda sentencia, el TJUE delimita el concepto de “usurpación de identidad” previsto en los considerandos 75 y 85 del RGPD. Esta cuestión se plantea en el marco de un conjunto de cuestiones prejudiciales relativas a la indemnización prevista en el artículo 82 RGPD, solicitada por los demandantes por los daños y perjuicios inmateriales derivados del robo de sus datos personales registrados en una aplicación de negociación con valores. Así, concluye que el mero robo de datos no es suficiente para la usurpación de identidad, pero sí para que se indemnicen los daños y perjuicios producidos.

En concreto, el Tribunal de lo Civil y Penal de Múnich instaba al TJUE a pronunciarse sobre la naturaleza del derecho a indemnización del RGPD y los consiguientes criterios de cuantificación de los daños producidos. Así, el TJUE recuerda que el artículo 82 del RGPD tiene únicamente una función compensatoria, que pretende “compensar íntegramente los concretos daños y perjuicios sufridos como consecuencia de la infracción de dicho Reglamento”. Por lo tanto, el grado de culpa del responsable del tratamiento, más allá de presumirse y de condicionar el nacimiento de su responsabilidad, no se tiene en cuenta en la cuantificación de la indemnización.

Asimismo, se preguntaba si el mero robo de datos es suficiente para que se produzca una usurpación de identidad o si, por el contrario, era necesario que el infractor hiciera uso de la identidad del interesado. El TJUE profundiza así en la cuestión relativa a la usurpación de identidad, por ser necesario un mejor entendimiento del concepto para determinar la existencia de daños y perjuicios. En concreto, el considerando 85 prevé:

“Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, […]”.

A fin de aclarar su significando y mediante el análisis del texto de otras versiones lingüísticas del RGPD, el TJUE concluye que el concepto de “usurpación de identidad” es intercambiable por el de “fraude”, determinando así una voluntad de apropiarse de la identidad de una persona cuyos datos personales han sido robados anteriormente. De este modo, al diferenciarse en el mismo texto de conceptos como la “pérdida de control” o la imposibilidad para “ejercer el control” sobre estos datos, no basta con el mero robo de los datos para que se produzca una usurpación de la identidad.

No obstante, la usurpación de identidad no es sino una de las posibles consecuencias de un tratamiento de datos personales que, por ejemplo, a raíz de un incidente de seguridad, puede provocar daños y perjuicios para los interesados. Por consiguiente, los daños y perjuicios inmateriales causados por el robo de datos, así como su indemnización, no quedan en ningún caso limitados al caso en que dicho robo comporta un uso de la identidad robada.

El TJUE recuerda que el robo de datos personales da derecho a una indemnización por los daños y perjuicios inmateriales sufridos si se aplican los tres requisitos derivados del mismo artículo 82 RGPD: (i) un tratamiento de datos personales en infracción de las disposiciones del RGPD, (ii) daños y perjuicios sufridos por el interesado y (iii) una relación de causalidad entre dicho tratamiento ilícito y esos daños y perjuicios.

Por tanto, las sentencias del TJUE de 20 de junio de 2024 se suman a la STJUE de 4 de mayo de 2023 en la delimitación de los criterios aplicables para determinar la adecuación y cuantificar la indemnización prevista frente a infracciones del RGPD. De ahora en adelante, si bien los tribunales españoles dispondrán de criterios más precisos para dar aplicación al artículo 82 RGPD, las sentencias del TJUE acentúan la inexistencia de directrices generales aplicables para el cálculo de la indemnización por daños y perjuicios prevista en el RGPD.

Con la colaboración de Adrián Vizuete

2 de septiembre de 2024

TJUE: Sentencias de junio de 2024 sobre protección de datos

Actualidad

TJUE: Sentencias de junio de 2024 sobre protección de datos

Reglamento de IA: Guía práctica

IP Arbitration in Chile: Aramco's Success in a Internet Domain Name Dispute

Innovando con startups Reglamento de IA: requisitos y sanciones

La OCDE actualiza sus Principios sobre la IA

Usuarios de especial relevancia —"influencers"— en la LGCA

STS: Límites al uso referencial de la marca

Cancelación de cuentas bancarias como acto de competencia desleal

Aprobación del Real Decreto de “Usuarios de Especial Relevancia”

Distintividad de las marcas de posición en artículos de moda

Blog de Propiedad Intelectual y Tecnologías

Actualidad

Gestionar el consentimiento de las cookies

Cookies técnicas

Cookies de preferencias

Cookies de medición

Gestionar los servicios