En tanto que nueva contribución del Tribunal
de Justicia sobre la interpretación del artículo 82 del RGPD, la sentencia de ayer en el asunto juris, C‑741/21, EU:C:2024:288, resulta de limitado interés por su escaso contenido innovador, si bien se presta a ciertas reflexiones especialmente en lo relativo a la determinación de la cuantía de la indemnización
que quien sufre daños y perjuicios materiales o inmateriales como
consecuencia de una infracción del RGPD tiene derecho a recibir del responsable
o del encargado del tratamiento. Se trata de uno de los aspectos del derecho a indemnización que establece esa norma en torno al que existe una mayor incertidumbre, habida de cuenta de las
carencias del RGPD sobre el particular y de la necesidad de complementar lo que
dispone al respecto con la legislación nacional que resulte aplicable. Con carácter
previo, la sentencia se ocupa de otras cuestiones que suscita la aplicación del
artículo 82 del RGPD, pero que coinciden sustancialmente con algunas ya tratadas
en su reciente jurisprudencia sobre esa disposición. Por ello, se abordan a
continuación tres cuestiones: requisitos del derecho a indemnización (I, infra);
responsabilidad en caso de error de una persona que actúa bajo la autoridad del
responsable (II, infra); y determinación de la cuantía de la indemnización
(III, infra). Con respecto al litigio principal, cabe reseñar que va referido a
la demanda interpuesta por una persona física -abogado- contra una sociedad que
opera una base de datos jurídica, de la que era cliente. El demandante reclama
una indemnización por daños y perjuicios materiales, relacionados con ciertos
gastos judiciales y notariales en los que había incurrido, así como daños y
perjuicios inmateriales -básicamente, una pérdida de control de sus datos personales-, que alega haber sufrido
como consecuencia de diversos tratamientos de tales datos realizados con fines
de mercadotecnia directa -en relación, básicamente, con la remisión de folletos
publicitarios de la demandada-, a pesar de haber comunicado previamente su
oposición.
I. Requisitos del derecho a indemnización
La
primera cuestión planteada por el tribunal alemán remitente iba referida a si
cabe considerar que la mera infracción del RGPD -con independencia de su
relevancia- constituye por sí sola un daño o perjuicio inmaterial que da
derecho a una indemnización, en particular, cuando la disposición infringida confiere
un derecho subjetivo al interesado. No cabe sorprender que la respuesta del
Tribunal de Justicia se limite básicamente a reiterar planteamientos ya
recogidos en su sentencia de 25 de enero de 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, en la que dio respuesta a una cuestión similar (reseñada aquí). El Tribunal de Justicia reitera que el derecho a indemnización
establecido en el artículo 82 está subordinado al cumplimiento de tres requisitos
acumulativos: la existencia de «daños y perjuicios» materiales o inmateriales; una
infracción del RGPD Reglamento; y la relación de causalidad entre dichos daños
y perjuicios y esa infracción.
En
consecuencia, la mera infracción de disposiciones del RGPD, aunque confieran
derechos a las personas físicas, no puede constituir, por sí sola, un «daño o
perjuicio inmaterial» indemnizable a los efectos del artículo 82 RGPD (apdo. 37
de la nueva sentencia). Por lo tanto, en el presente caso el demandante deberá probar los daños y perjuicios inmateriales sufridos, en relación con la pérdida de
control de sus datos personales objeto de tratamientos efectuados a pesar de su
oposición. Además, el Tribunal reitera su jurisprudencia en el sentido de que
no es necesario que esos daños y perjuicios superen un determinado umbral de
gravedad (apdos. 41 y 42 de la nueva sentencia con remisión de nuevo a la sentencia
MediaMarktSaturn).
Aclara
el Tribunal de Justicia que la formulación del artículo 79 RGPD, en virtud del
cual “todo interesado tendrá derecho a la tutela judicial efectiva cuando
considere que sus derechos en virtud del (RGPD) han sido vulnerados como
consecuencia de un tratamiento de sus datos personales”, no es óbice para esa
interpretación. Considera que el artículo 79 se limita a proporcionar un cauce
procesal, sin regular los requisitos del derecho a indemnización, que se
establecen en su artículo 82 (apdo. 39 de la sentencia).
II. Responsabilidad en caso de error de una
persona que actúa bajo la autoridad del responsable
En
el litigio principal el responsable pretendía quedar exento de responsabilidad por
no ser responsable del hecho causante de los daños y perjuicios (art. 82.3 RGPD),
invocando que tales daños habían sido causados por el error de una persona que
actuaba bajo su autoridad conforme a lo previsto en el artículo 29 RGPD. Para
abordar esta cuestión el Tribunal de Justicia parte de su jurisprudencia previa según la cual el artículo 82 RGPD establece un régimen de responsabilidad
por culpa, si bien la carga de la prueba no recae en la víctima sino en el
responsable del tratamiento, a quien corresponde desvirtuar la presunción de
que ha participado en la operación de tratamiento que constituye la infracción
del RGPD (apdo. 46 de la nueva sentencia, con referencia a la STJUE de 21 de
diciembre de 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, reseñada aquí).
El
que la infracción causante los daños y perjuicios sea imputable al
comportamiento de uno de los empleados del responsable del tratamiento que no
respetó sus instrucciones, no basta para que dicho responsable del tratamiento
quede exento de responsabilidad. En consecuencia, tampoco le resulta suficiente
a esos efectos con invocar que los daños y perjuicios han sido causados por el
error de una persona que actuaba bajo su autoridad. Conforme al artículo 32.4
RGPD, el responsable del tratamiento debe tomar medidas para garantizar que
cualquier persona que actúe bajo su autoridad solo pueda tratar los datos personales
siguiendo instrucciones del responsable. A este respecto, el Tribunal, además de
destacar la importancia como objetivo del RGPD de garantizar un elevado nivel
de protección de datos personales, se remite a su jurisprudencia previa acerca
de que en caso de violación de la seguridad de los datos personales por una
persona que actúe bajo la autoridad del responsable del tratamiento, éste solo
puede quedar exento de responsabilidad si demuestra que no existe una relación
de causalidad entre el eventual incumplimiento de sus obligaciones de que los
datos sean tratados de manera que se garantice una seguridad
adecuada y los daños y perjuicios sufridos por el interesado (apdo. 51 de la
nueva sentencia, con referencia a la STJUE de 14 de diciembre de 2023, Natsionalna
agentsia za prihodite, C‑340/21,
EU:C:2023:986, reseñada aquí).
III. Determinación de la cuantía de la indemnización
En la parte final de la sentencia el Tribunal
de Justicia aborda las cuestiones tercera y cuarta relativas a la determinación del importe de la
indemnización en el marco del artículo 82 RGPD. En concreto, esas cuestiones iban referidas, en primer lugar, a si para determinar la cuantía de la
indemnización deben aplicarse mutatis mutandis los criterios del
artículo 83 RGPD para la fijación del importe de las multas administrativas.
Por otra parte, se planteaba si resulta preciso a esos efectos tener en cuenta el
que al demandante le afecten varias infracciones del RGPD relativas a una misma
operación de tratamiento.
El Tribunal de Justicia reitera que los
artículos 82 -derecho a indemnización- y 83 -multas administrativas- RGPD son
complementarios para asegurar el cumplimiento del Reglamento, pero persiguen
finalidades diferentes. El primero tiene una función meramente compensatoria, pero no disuasoria ni punitiva. En este sentido, el Tribunal de Justicia reitera su
jurisprudencia previa en el sentido de que la indemnización debe considerarse
«total y efectiva» -como requiere el considerando 146 del RGPD en relación con
su artículo 82- cuando permite compensar íntegramente los daños y perjuicios
sufridos como consecuencia de la infracción del RGPD de que se trate (apdo. 61
de la nueva sentencia con referencia a la mencionada sentencia Krankenversicherung
Nordrhein). Por el contrario, el artículo 83 RGPD tiene una función
punitiva.
La diferente finalidad de los dos preceptos resulta
determinante de que los criterios que el artículo 83 del RGPD proporciona para
determinar el importe de las multas administrativas -como la gravedad de la
infracción, el grado de responsabilidad o la comisión previa de otras
infracciones- no pueden utilizarse para determinar la indemnización por daños y
perjuicios en el marco del artículo 82 (apdos. 57, 59 y 62 de la sentencia juris).
La finalidad meramente compensatoria del artículo 82 RGPD, según la cual para
fijar el importe de la indemnización solo deben tenerse en cuenta los daños y
perjuicios sufridos por el interesado, excluye también que la circunstancia de
que el responsable del tratamiento haya cometido varias infracciones en
relación con un mismo interesado pueda constituir un criterio pertinente al
determinar la indemnización (apdo. 64).
Por último, cabe hacer referencia a que en la
sentencia reseñada el Tribunal de Justicia reitera en dos ocasiones –apartados 58
y 63- su jurisprudencia previa acerca de las implicaciones de que el RGPD no
contenga ninguna disposición que tenga por objeto la cuantificación de la
indemnización a los efectos de su artículo 82. En este sentido reitera que “en
virtud del principio de autonomía procesal, los jueces nacionales deberán
aplicar, a efectos de esta cuantificación, las normas internas de cada Estado
miembro relativas al alcance de la indemnización pecuniaria, siempre que se respeten
los principios de equivalencia y de efectividad” (apdo. 58 de la nueva
sentencia con referencia a las ya mencionadas sentencias Krankenversicherung
Nordrhein y MediaMarktSaturn).
Más allá de la sentencia reseñada, cabe
insistir en que en las situaciones transfronterizas las carencias del RGPD en
este ámbito pueden ser fuente de especial incertidumbre. Aunque los condicionantes
derivados de la aplicación de esos principios, especialmente el de efectividad,
operen como un factor adicional de uniformización, resulta evidente que es un
ámbito en el que subsisten diferencias significativas entre los Estados
miembros, ante la ausencia de normas comunes en el Derecho de la Unión.
Si bien el Tribunal de Justicia hace referencia
a la autonomía procesal de los Estados miembros, no debe perderse de vista que cuando
se trate de determinar la legislación del Estado miembro aplicable en situaciones transfronterizas,
la evaluación de los daños y la cuantificación de la indemnización son
cuestiones sustantivas a determinar conforme a la ley aplicable a la obligación
extracontractual de que se trate, y no directamente por la lex fori, en tanto
que ley que rige el proceso. Resulta ilustrativo a ese respecto el artículo 15.c)
del Reglamento (CE) n° 864/2007, de 11 de julio de 2007, relativo a la ley
aplicable a las obligaciones extracontractuales (Roma II), aunque no resulte
aplicable a esta materia.
Además, desde la perspectiva transfronteriza
resulta de interés que en lo relativo a la competencia judicial internacional,
conforme a lo dispuesto en el artículo 79.2 RGPD -y la eventual aplicación
complementaria del Reglamento 1215/2012-, resulta habitual que en las
situaciones internacionales los interesados, al ejercitar las acciones contra
un responsable o encargado del tratamiento tendentes a reclamar los daños y
perjuicios previstos en el artículo 82 RGPD, tengan la posibilidad de optar
entre los tribunales de varios Estados miembros (por ejemplo, entre los de la
residencia habitual del perjudicado y los de cualquier Estado miembro en el que
el responsable o encargado tenga un establecimiento). Se trata de una
circunstancia que debe vincularse con la diversidad normativa que subsiste en
lo relativo a la fijación de la cuantía de los daños (y otras circunstancias
como el plazo de prescripción de las acciones) entre los Estados miembros. La
opción por uno u otro foro condicionará la normativa procesal aplicable (como
refleja el propio art. 82.6 RGPD), así como eventualmente las normas de
conflicto que determinan la legislación de qué concreto Estado miembro resulta
aplicable para complementar lo dispuesto en el artículo 82 RGPD en materia de
responsabilidad civil extracontractual respecto de las cuestiones que no
regula, incluida la cuantificación de los daños, habida cuenta de la
inexistencia de reglas comunes conforme a lo previsto en el artículo 1.2.g) (y
30.2) del mencionado Reglamento Roma II.
