Continuando con su jurisprudencia de los últimos meses relativa a la
interpretación del artículo 82 del RGPD (al respecto puede verse esta reseña, con referencia a otras previas), el Tribunal de Justicia ha adoptado
hoy dos nuevas sentencias sobre el derecho a indemnización en materia de
protección de datos personales. Se trata de las sentencias en los asuntos
acumulados C-182/22 y C-189/22, Scalable Capital,
EU:C:2024:531; y en el
asunto C-590/22, PS (Adresse erronée), EU:C:2024:536. Los litigios
principales de la primera de esas sentencias van referidos a un “robo” de datos
de los demandantes como consecuencia de que los sistemas de la sociedad que
gestiona una aplicación de negociación de valores (trading app) en la que
tenían cuentas fueron pirateados. Aunque no consta un uso fraudulento de tales
datos, los demandantes reclaman la indemnización de los daños y perjuicios
inmateriales que afirman haber sufrido como consecuencia del “robo” de sus
datos personales. Por su parte, el litigio principal en el origen de la segunda
de las sentencias va referido a una situación en la que el envío postal con
documentos relativos a la declaración de la renta con datos personales de los
demandantes se realizó a una dirección postal incorrecta, en la que fue abierto,
al parecer por error, por sus ocupantes, en circunstancias en las que los
demandantes alegan que temen que sus datos personales lleguen a personas no
autorizadas como consecuencia de la infracción del RGPD por la asesoría fiscal
remitente del envío. Los demandantes en este caso valoran en 15.000 euros los
daños y perjuicios inmateriales que consideran haber sufrido.
I. Carácter meramente compensatorio del artículo 82 RGPD
En su mayor parte,
las dos sentencias ahora reseñadas reiteran criterios establecidos ya en las
sentencias previas del Tribunal de Justicia relativas a la interpretación del
artículo 82 RGPD, que se consideran suficientes para dar respuesta al grueso de
las cuestiones prejudiciales planteadas. Así, el Tribunal de Justicia reitera
que el artículo 82 RGPD cumple una función exclusivamente compensatoria del
perjuicio sufrido (Scalable Capital, apdos. 22-24). Lo anterior le permite
no solo constatar que esa norma no exige que el grado de gravedad y el carácter
doloso de la infracción del Reglamento sean tenidos en cuenta a efectos de la
indemnización de los daños y perjuicios que prevé (apdo. 30), sino, además,
establecer que al cuantificar los daños y perjuicios sufridos, que deben ser
objeto de reparación total y efectiva, no cabe considerar por principio que los
daños y perjuicios inmateriales son menos importantes que una lesiones corporales
(apdos. 38 y 39).
En la sentencia en
el asunto PS (Adresse erronée), la insistencia en el carácter meramente
compensatorio del artículo 82 RGPD, que no cumple una función disuasoria o punitiva,
a diferencia del régimen sancionador de su artículo 83, lleva al Tribunal a
confirmar que para determinar el importe de la indemnización por daños y
perjuicios debida con base en el artículo 82 RGPD, no procede aplicar mutatis
mutandis los criterios para la fijación del importe de las multas administrativas
del artículo 83 de este Reglamento ni atribuir al artículo 82 una función
disuasoria (apdo. 44).
II. Requisitos del derecho a indemnización
La reiteración de
los tres requisitos del derecho a indemnización del artículo 82 RGPD (infracción
del RGPD, existencia de daños y perjuicios, y relación de causalidad entre tales
daños y perjuicios y la infracción -a lo que hay que sumar que el nacimiento de
la responsabilidad se supedita a la existencia de culpa por parte del
responsable, que se presume-), así como de su jurisprudencia previa acerca de
que no es exigible que los daños y perjuicios alegados por el interesado alcancen
un «umbral de minimis», llevan al Tribunal a apreciar que no cabe excluir que los
tribunales concedan una indemnización de un importe poco elevado cuando
compense íntegramente los referidos daños y perjuicios (Scalable
Capital, apdos. 45 y 46).
Por su parte, en la
sentencia en el asunto PS (Adresse erronée), la insistencia en esos tres
como los únicos requisitos del derecho a indemnización en el marco del artículo
82 RGPD es el principal argumento del Tribunal para reiterar que no basta, para fundamentar el derecho a
indemnización, la mera infracción
de ese Reglamento o la mera alegación de un temor por el interesado, correspondiendo
al interesado acreditar la existencia del perjuicio causado (apdos. 24, 28, 34
y 35).
III. Robo de datos y usurpación de identidad
Precisamente, el
carácter exhaustivo de los tres requisitos mencionados resulta también clave
para que el Tribunal considere que no es determinante, a los efectos del
artículo 82 RGPD, el que un robo de datos como el que es objeto de los asuntos
acumulados Scalable Capital, diera lugar a una usurpación de identidad o
fraude, supuestos mencionados en los considerandos 75 y 85 del RGPD como
consecuencias de tratamientos de datos personales que puede provocar daños y
perjuicios. El Tribunal pone de relieve que los términos «usurpación de
identidad» o «fraude» son intercambiables y no cabe distinguir entre ellos (Scalable
Capital, apdo. 55), así como que el robo de datos personales no constituye,
por sí mismo, una usurpación de identidad o fraude (apdo. 56). El mero acceso y
toma de control de los datos constitutivo de su “robo” basta para que exista
derecho a ser indemnizado cuando concurran los tres requisitos exigibles con
carácter general en el marco del artículo 82 RGPD (apdos. 57-58).
IV. Consideraciones sobre la cuantificación del daño
Más allá de las importantes implicaciones del
carácter meramente compensatorio del artículo 82 RGPD, ya aludido, respecto de
la cuantificación del daño, las dos nuevas sentencias se prestan nuevamente a
la reflexión acerca de posibles dificultades inherentes a las limitaciones del
RGPD sobre esta concreta cuestión.
La sentencia en los
asuntos Scalable Capital, acerca de la evaluación de los daños y perjuicios
en el marco del artículo 82 RGPD, reitera que, habida cuenta de que “el RGPD no
contiene ninguna disposición que tenga por objeto establecer las normas
relativas a la cuantificación de la indemnización por daños y perjuicios” (apdo.
33), “los jueces nacionales deben aplicar las normas internas de cada Estado
miembro relativas al alcance de la reparación pecuniaria”, así como su regulación
procesal de los recursos judiciales destinados a salvaguardar los derechos de
los justiciables, siempre que se respeten los principios de equivalencia y de
efectividad del Derecho de la Unión (apdos. 27, 32 y 33, con ulteriores referencias).
Además, interpreta el principio de efectividad para apreciar que excluye la
aplicación del criterio previsto en el Derecho alemán de que, por principio,
unas lesiones corporales son, por su propia naturaleza, más importante que unos
daños y perjuicios inmateriales (apdos. 34 a 39).
La sentencia en el asunto
PS (Adresse erronée) establece que, para determinar el importe de la indemnización con base en el artículo 82
RGPD, “no deben tenerse en cuenta las infracciones simultáneas de disposiciones
nacionales relativas a la protección de datos personales que no tengan por
objeto especificar las normas de dicho Reglamento” (apdo. 50). Alcanza esta
solución al considerar que la infracción de tales normas nacionales, aunque se
refieran al tratamiento de datos personales, en la medida en que no especifican
las normas del RGPD, no está amparada por el artículo 82 RGPD (apdo. 48).
Además, esta solución debe entenderse sin perjuicio de que, en su caso, con base
en el Derecho nacional aplicable, el juez pueda conceder una indemnización
superior a la reparación total y
efectiva prevista en el artículo 82.1 RGPD, cuando, habida cuenta de que el
perjuicio también ha sido causado por la infracción de disposiciones de Derecho
nacional, tal reparación no se considere suficiente o adecuada (apdo. 49). Cabe
dudar de si una formulación algo diferente, poniendo el acento en que la
eventual infracción adicional de normas nacionales puede generar daños
adicionales que deban ser indemnizados, no hubiera sido más coherente con el
planteamiento de que el artículo 82 RGPD -como recoge su cdo. 146- requiere que
los interesados reciban una indemnización total y efectiva por los daños y
perjuicios sufridos.
Para concluir, una vez más, cabe insistir en que
estamos ante situaciones en las que el ejercicio de este tipo de acciones de
indemnización en situaciones transfronterizas -con base en los fueros de
competencia establecidos en el art. 79.2 RGPD o, en su caso, en el Reglamento
1215/2012 u otras reglas que puedan resultar de aplicación- irá unido a elementos
de complejidad adicionales, acerca de la determinación de la legislación
aplicable, que hasta ahora no han sido abordados en la jurisprudencia del
Tribunal de Justicia sobre el artículo 82 RGPD. Condicionada por el carácter
nacional de los litigios principales, esa jurisprudencia está construida sobre la
asunción de que las normas nacionales aplicables serán en todo caso las del
foro, lo que no será el caso en las situaciones transfronterizas en la medida
en que para aplicar el artículo 82 RGPD resulte necesario determinar la
legislación nacional aplicable -más allá de las cuestiones procesales- respecto
de la evaluación de los daños o la indemnización solicitada.