La reciente sentencia del Tribunal de Justicia en el asunto Patērētāju
tiesību aizsardzības centrs, C-507/23, EU:C:2024:854, aborda nuevamente la
interpretación del artículo 82 RGPD, relativo al derecho de toda persona que
haya sufrido daños como consecuencia de una infracción del RGPD a recibir una
indemnización del responsable o el encargado del tratamiento. Se trata de un
tema recurrente en la reciente jurisprudencia del Tribunal de Justicia (véase, entre otras, aquí y aquí). A la luz de las anteriores,
el principal interés de la nueva sentencia deriva de su aclaración de que, en
determinadas circunstancias, la presentación de una disculpa puede constituir una
reparación adecuada del daño moral. Por otra parte, el supuesto de hecho del
litigio principal resulta ilustrativo de la amplitud de las situaciones sobre
las que puede proyectarse el artículo 82 RGPD, así como su eventual concurrencia
con otros fundamentos con base en los que puede plantearse la exigencia de responsabilidad
por el perjudicado, como la tutela prevista frente a intromisiones en otros
derechos de la personalidad, ámbito en el que subsisten diferencias notables
entre los ordenamientos de los Estados miembros. El supuesto litigioso en este caso va referido básicamente a la difusión
de un video en varios sitios de Internet que ponía en escena un personaje que
imitaba al demandante en el litigio principal, sin que este último hubiera dado
su consentimiento.
La respuesta a la
primera cuestión prejudicial resultaba obvia a la luz de sentencias pronunciadas
por el Tribunal de Justicia sobre este mismo tema en los últimos meses, donde
ya había manifestado de manera reiterada que la mera infracción de
disposiciones del RGPD no es suficiente para constituir un «daño» indemnizable
con base en el artículo 82 RGPD. Por ello, los apdos. 22 a 29 de la nueva
sentencia se limitan, básicamente, a reproducir la jurisprudencia previa acerca
de los tres requisitos cumulativos que deben concurrir para que exista ese
derecho a indemnización: infracción del RGPD, daño y relación de causalidad entre ese daño y la
infracción
Los otros aspectos
de la sentencia van referidos a la determinación de la indemnización. En su
respuesta a la tercera cuestión prejudicial, el Tribunal se remite a su criterio
consolidado de que la función de esa norma es exclusivamente compensatoria, lo
que le lleva a rechazar que “la actitud y la motivación del responsable del
tratamiento” (como antes había hecho con otros elementos) puedan tenerse en
cuenta en el marco del artículo 82 RGPD para, en su caso, conceder una
indemnización distinta (en este caso, inferior) al perjuicio sufrido. Ciertamente
de su jurisprudencia anterior ya resultaba que el artículo 82 exige que la
indemnización permita compensar íntegramente el perjuicio sufrido (sin tampoco excederlo).
La respuesta a la
segunda cuestión obliga al Tribunal a volver sobre la espinosa cuestión de la
determinación del importe de la indemnización o la cuantificación del daño, en
particular del daño moral, y las carencias del RGPD sobre el particular.
Reitera su jurisprudencia previa en el sentido de que los tribunales de los
Estados miembros deben aplicar “las normas internas de cada Estado miembro
relativas al alcance de la reparación pecuniaria, siempre que se respeten los
principios de equivalencia y de efectividad del Derecho de la Unión” (apdo. 32
de la nueva sentencia). Destaca una vez más que el principio de efectividad
exige que la reparación sea total y efectiva. Complementa su jurisprudencia
previa en el sentido de que a tal fin puede ser suficiente una “indemnización
mínima” cuando en el caso concreto suponga una reparación total y efectiva (apdo.
35), con la afirmación de que también puede serlo la “presentación de una
disculpa” (apdo. 36). Para el Tribunal, el Derecho de la Unión no se opone a
que -como sucede en el Derecho letón- “la presentación de una disculpa pueda
constituir una reparación autónoma o complementaria de un daño moral”. Por lo
tanto, puede constituir la indemnización a que tiene derecho el perjudicado con
base en el artículo 82.1 RGPD cuando la legislación aplicable contemple esa medida, si bien el que la reparación se limite a esa medida sólo será acorde con el artículo 82 cuando esa medida permita compensar íntegramente el daño moral concretamente
sufrido como consecuencia de la infracción del RGPD.
Más allá del
contenido de la nueva sentencia, el caso pone de relieve cómo la pretendida
unificación mediante el artículo 82 RGPD y sus limitaciones plantea significativos elementos de incertidumbre. Por
un lado, como consecuencia de que la infracción del RGPD como base para exigir
responsabilidad puede concurrir con otros fundamentos, como la eventual
infracción de otros derechos de la personalidad (por ejemplo, a la propia
imagen), ámbito en el que las diferencias son notables entre los Estados
miembros. Por otro lado, también las medidas para reparar el daño moral (incluida,
en su caso, su cuantificación) varían de manera significativa entre los Estados
miembros.
Por cierto, en situaciones transfronterizas ambas
circunstancias pueden condicionar la opción entre los varios fueros que el
supuesto perjudicado puede tener a su disposición (art. 79 RGPD y otras normas de
competencia relevantes). Además, la referencia a la correlación entre el tribunal
competente y sus normas internas sobre cuantificación del daño (apdo. 32 de la
sentencia) solo parece resultar cierta con respecto a las normas procesales,
pero no a las normas sobre determinación de los daños (véase, por analogía,
art. 15 c) Reglamento (CE) 864/2007 o Roma II), cuestión que en principio deberá
determinarse por la ley designada por las reglas de conflicto nacionales (habida
cuenta precisamente de la exclusión prevista en el art. 1.2.g) Reglamento Roma II), que
también resultan heterogéneas.
