Indemnización de daños morales por infracción del RGPD

2023-05-29T19:50:00
Unión Europea
El TJUE advierte que la mera infracción del RGPD no basta para reclamar indemnización por daños
Indemnización de daños morales por infracción del RGPD
29 de mayo de 2023

El artículo 82 del Reglamento General de Protección de Datos (RGPD) reconoce el derecho a recibir una indemnización por los daños y perjuicios sufridos como consecuencia de una infracción de esta normativa. Sin embargo, la invocación de este precepto ante los tribunales ha suscitado dudas prácticas relativas a la carga probatoria del daño o a la compatibilidad con un umbral mínimo de daño para ser indemnizado.

El Tribunal Superior de Justicia Europeo (TJUE), en la Sentencia de 4 de mayo de 2023 en el asunto C-300/21, UI v Österreichische Post AG, responde a algunas de estas dudas interpretativas derivadas del artículo 82 del RGPD. En este caso, la empresa nacional de correos austríaca trató los datos personales de los ciudadanos con la finalidad de inferir, mediante un algoritmo, su potencial afiliación política. La empresa de correos no había informado ni recibido el consentimiento para dicho tratamiento, y si bien las conclusiones del algoritmo no llegaron a manos de terceros, uno de los afectados se sintió ofendido y humillado por ser catalogado como partidario de extrema derecha.

En consecuencia, el afectado solicitó ante los tribunales 1.000 euros en concepto de indemnización por daños y perjuicios inmateriales. Sin embargo, el Tribunal de Apelación austríaco desestimó la pretensión por no superar el umbral mínimo de daño indemnizable, tal como exige el derecho nacional austríaco. Llegada la cuestión al órgano superior, este interpuso una cuestión prejudicial al TJUE para conocer:

  • Si la indemnización por daños y perjuicios del RGPD exige probar un daño o si bien la mera infracción del RGPD justifica la indemnización;
  • Si la exigencia austríaca de un umbral mínimo de daño es compatible con el RGPD; y
  • Si el RGPD incorpora criterios de cuantificación de la indemnización.

En relación con las dos primeras cuestiones, el TJUE determina que el artículo 82 del RGPD no remite al Derecho de los Estados Miembros, dado que el concepto de indemnización por daños y perjuicios es un concepto autónomo del Derecho de la Unión, que debe ser uniforme en todos los Estados Miembros. De la interpretación sistemática del RGPD se desprende que la mera infracción del RGPD no es suficiente para solicitar una indemnización, dado que también se requiere la existencia efectiva de daños y perjuicios y una relación de causalidad entre los daños y la infracción, resultando en tres requisitos acumulativos. Además, esta uniformidad entre Estados Miembros es incompatible con la exigencia austríaca de un umbral mínimo de gravedad. Asimismo, dado que el Considerando 146 del RGPD aboga por una interpretación amplia de los daños y perjuicios, sería contradictorio únicamente indemnizar los daños graves. Sin embargo, el TJUE remarca que de todas maneras corresponderá al afectado probar la existencia de estos daños inmateriales, por mínimos que sean.

En relación con la tercera cuestión sobre la cuantificación del daño, el TJUE establece que, siempre que se respeten los principios de equivalencia y efectividad del Derecho de la Unión, los jueces deben aplicar las normas internas para cuantificar la indemnización, dado que no hay ninguna disposición del RGPD que regule cómo proceder y calcular la misma.

A la espera de sentencia en el caso Natsionalna agentsia za prihodite

Con la resolución de otro caso, todavía pendiente, Natsionalna agentsia za prihodite (C-340/21) es probable que puedan obtenerse más respuestas prácticas en relación con el artículo 82 del RGPD. Por ahora, solo disponemos de las conclusiones del Abogado General-. El asunto Natsionalna agentsia za prihodite data del año 2019 y analiza el filtrado y publicación en Internet de datos fiscales de millones de ciudadanos búlgaros, que se encontraban bajo la responsabilidad de la Agencia nacional de recaudación del país. Uno de los ciudadanos afectados solicitó que se le indemnizara el daño moral ocasionado por las preocupaciones y temores sobre el uso que se puede dar a estos datos, exigiendo responsabilidad a la Agencia, que, a su juicio, no adoptó medidas de seguridad suficientes y adecuadas.

El tribunal de apelación, en una cuestión prejudicial, pregunta al TJUE cuáles son los requisitos para que sea indemnizable el daño moral derivado de una brecha de seguridad en un organismo público. El Abogado General, sin ser su opinión vinculante, ha sostenido en sus conclusiones que el hecho de producirse una brecha de seguridad no es suficiente para concluir que las medidas no eran adecuadas, sino que debe realizarse una observación ex ante, ponderando los intereses del afectado y los intereses económicos y la capacidad tecnológica del responsable del tratamiento. Sin embargo, la carga de la prueba de la adecuación de las medidas recaerá sobre el responsable, sin perjuicio de que, a pesar de la culpa presunta del responsable, este puede presentar una prueba de descargo que demuestre que el hecho causante del daño no le es imputable.

Por último, con relación al temor a un uso futuro de los datos, en consonancia con el pronunciamiento anterior, el Abogado General establece que el interesado deberá probar la existencia del daño, que deberá tratarse de un daño emocional real y no de un mero trastorno o molestia.

¿Qué podemos esperar?

Ahora que el TJUE ha establecido que no existe un umbral mínimo indemnizable, cabe prever un aumento de las reclamaciones judiciales por daños y perjuicios en la UE, especialmente acciones colectivas. En este sentido, la posición que adopte el TJUE sobre los daños y perjuicios derivados de brechas de seguridad en el segundo asunto será clave, ya que, de adoptarse una concepción amplia de la responsabilidad, es muy probable que se incremente el número de reclamaciones en un contexto en el que se notifican más de 1700 brechas de seguridad al año únicamente en España.

Por otra parte, el hecho de que la cuantificación se delegue a las normas internas de los Estados Miembros podría fomentar el forum shopping, dado que el artículo 79 del RGPD permite interponer la acción ante cualquiera de los tribunales del Estado Miembro en el que el responsable o encargado tenga un establecimiento.

Para todo esto, habrá que esperar para ver cómo cuantifican los tribunales de los Estados Miembros los daños y perjuicios derivados de infracciones del RGPD. Entre tanto, los casos elevados al TJUE a los que hacemos referencia en esta entrada seguro que cobrarán relevancia a la hora de determinar la procedencia de indemnizaciones por daños morales derivadas de infracciones de la normativa de protección de datos.


Ramón Baradat, en colaboración con Carina Casadesús.

29 de mayo de 2023