La reciente sentencia del Tribunal de Justicia en el asunto Patērētāju tiesību aizsardzības centrs, C-507/23, EU:C:2024:854, aborda nuevamente la interpretación del artículo 82 RGPD, relativo al derecho de toda persona que haya sufrido daños como consecuencia de una infracción del RGPD a recibir una indemnización del responsable o el encargado del tratamiento. Se trata de un tema recurrente en la reciente jurisprudencia del Tribunal de Justicia (véase, entre otras, aquí y aquí). A la luz de las anteriores, el principal interés de la nueva sentencia deriva de su aclaración de que, en determinadas circunstancias, la presentación de una disculpa puede constituir una reparación adecuada del daño moral. Por otra parte, el supuesto de hecho del litigio principal resulta ilustrativo de la amplitud de las situaciones sobre las que puede proyectarse el artículo 82 RGPD, así como su eventual concurrencia con otros fundamentos con base en los que puede plantearse la exigencia de responsabilidad por el perjudicado, como la tutela prevista frente a intromisiones en otros derechos de la personalidad, ámbito en el que subsisten diferencias notables entre los ordenamientos de los Estados miembros. El supuesto litigioso en este caso va referido básicamente a la difusión de un video en varios sitios de Internet que ponía en escena un personaje que imitaba al demandante en el litigio principal, sin que este último hubiera dado su consentimiento. Acerca de la interpretación del artículo 82 del RGPD, cabe además hacer referencia a la sentencia del Tribunal de Justicia Agentsia po vpisvaniyata, C-200/23, EU:C:2024:827, en relación con la interpretación del artículo 82 RGPD a un supuesto de divulgación a través de Internet de datos personales no exigidos legalmente por un Registro Mercantil, adoptada en la misma fecha.
I. STJUE Patērētāju tiesību aizsardzības centrs
La respuesta a la
primera cuestión prejudicial resultaba obvia a la luz de sentencias pronunciadas
por el Tribunal de Justicia sobre este mismo tema en los últimos meses, donde
ya había manifestado de manera reiterada que la mera infracción de
disposiciones del RGPD no es suficiente para constituir un «daño» indemnizable
con base en el artículo 82 RGPD. Por ello, los apdos. 22 a 29 de la nueva
sentencia se limitan, básicamente, a reproducir la jurisprudencia previa acerca
de los tres requisitos cumulativos que deben concurrir para que exista ese
derecho a indemnización: infracción del RGPD, daño y relación de causalidad entre ese daño y la
infracción
Los otros aspectos
de la sentencia van referidos a la determinación de la indemnización. En su
respuesta a la tercera cuestión prejudicial, el Tribunal se remite a su criterio
consolidado de que la función de esa norma es exclusivamente compensatoria, lo
que le lleva a rechazar que “la actitud y la motivación del responsable del
tratamiento” (como antes había hecho con otros elementos) puedan tenerse en
cuenta en el marco del artículo 82 RGPD para, en su caso, conceder una
indemnización distinta (en este caso, inferior) al perjuicio sufrido. Ciertamente
de su jurisprudencia anterior ya resultaba que el artículo 82 exige que la
indemnización permita compensar íntegramente el perjuicio sufrido (sin tampoco excederlo).
La respuesta a la
segunda cuestión obliga al Tribunal a volver sobre el espinoso asunto de la
determinación del importe de la indemnización o la cuantificación del daño, en
particular del daño moral, y las carencias del RGPD sobre el particular.
Reitera su jurisprudencia previa en el sentido de que los tribunales de los
Estados miembros deben aplicar “las normas internas de cada Estado miembro
relativas al alcance de la reparación pecuniaria, siempre que se respeten los
principios de equivalencia y de efectividad del Derecho de la Unión” (apdo. 32
de la sentencia). Destaca una vez más que el principio de efectividad
exige que la reparación sea total y efectiva. Complementa su jurisprudencia
previa en el sentido de que a tal fin puede ser suficiente una “indemnización
mínima” cuando en el caso concreto suponga una reparación total y efectiva (apdo.
35), con la afirmación de que también puede serlo la “presentación de una
disculpa” (apdo. 36). Para el Tribunal, el Derecho de la Unión no se opone a
que -como sucede en el Derecho letón- “la presentación de una disculpa pueda
constituir una reparación autónoma o complementaria de un daño moral”. Por lo
tanto, puede constituir la indemnización a que tiene derecho el perjudicado con
base en el artículo 82.1 RGPD cuando la legislación aplicable contemple esa medida, si bien el que la reparación se limite a esa medida sólo será acorde con el artículo 82 cuando esa medida permita compensar íntegramente el daño moral concretamente
sufrido como consecuencia de la infracción del RGPD.
Más allá del
contenido de la nueva sentencia, el caso pone de relieve cómo la pretendida
unificación mediante el artículo 82 RGPD y sus limitaciones plantea significativos elementos de incertidumbre. Por
un lado, como consecuencia de que la infracción del RGPD como base para exigir
responsabilidad puede concurrir con otros fundamentos, como la eventual
infracción de otros derechos de la personalidad (por ejemplo, a la propia
imagen), ámbito en el que las diferencias son notables entre los Estados
miembros. Por otro lado, también las medidas para reparar el daño moral (incluida,
en su caso, su cuantificación) varían de manera significativa entre los Estados
miembros.
Por cierto, en situaciones transfronterizas ambas circunstancias pueden condicionar la opción entre los varios fueros que el supuesto perjudicado puede tener a su disposición (art. 79 RGPD y otras normas de competencia relevantes). Además, la referencia a la correlación entre el tribunal competente y sus normas internas sobre cuantificación del daño (apdo. 32 de la sentencia) solo parece resultar cierta con respecto a las normas procesales, pero no a las normas sobre determinación de los daños (véase, por analogía, art. 15 c) Reglamento (CE) 864/2007 o Roma II), cuestión que en principio deberá determinarse por la ley designada por las reglas de conflicto nacionales (habida cuenta precisamente de la exclusión prevista en el art. 1.2.g) Reglamento Roma II), que también resultan heterogéneas.
II. STJUE Agentsia po vpisvaniyata
Además de constatar que una firma manuscrita es un dato personal (apdo. 136), esta sentencia, a partir de la jurisprudencia previa del Tribunal de Justicia sobre el artículo 82 RGPD, reitera que una pérdida de control de los datos personales, durante un tiempo limitado, debido a la puesta a disposición del público de dichos datos, en línea, puede bastar para causar «daños y perjuicios inmateriales», siempre que el interesado demuestre haberlos sufrido, por mínimos que sean, sin que se requiera la demostración de la existencia de consecuencias negativas tangibles adicionales (apdo. 156).
Asimismo, la sentencia establece que un dictamen de la autoridad de control de un Estado miembro con base en el artículo 58.3.b) RGPD no basta para eximir de responsabilidad en virtud del artículo 82.3 RGPD a la autoridad encargada de llevar el Registro Mercantil de ese Estado miembro. A ese respecto destaca, que habida cuenta de la ausencia de carácter vinculante de un dictamen consultivo de ese tipo, condiciona que no pueda servir para demostrar, en sí mismo, que los daños y perjuicios no son imputables al responsable del tratamiento en cuestión (en este caso, el Registro Mercantil) (apdo. 174 de la sentencia).
.
