La sentencia del Tribunal
General de este miércoles, Bindl / Comisión, C-632/23, EU:T:2025:4, presenta
la peculiaridad de condenar a la Comisión Europea a indemnizar a un particular
por los daños y perjuicios inmateriales sufridos como consecuencia de la
transferencia de datos personales del demandante a EEUU -en virtud de un enlace
en una página web de la Comisión a un sitio de Internet de Facebook-, sin
cumplir las condiciones del artículo 46 del Reglamento 2018/1725 relativo al
tratamiento de datos personales por las instituciones de la Unión (coincidente
con el art. 44 RGPD, que abre su Capítulo V sobre transferencias a terceros países).
Desde una perspectiva más amplia, la sentencia resulta de interés también en relación
con una cuestión tan actual y compleja como es la aplicación del artículo 82 (Derecho
a indemnización) RGPD. Sin perjuicio de la supeditación del derecho a indemnización
del artículo 65 del Reglamento 2018/1725 -equivalente del artículo 82 RGPD- a
los requisitos del artículo 340 TFUE en materia de responsabilidad extracontractual
de la Unión, cuando el Reglamento 2018/1725 aplica los mismos principios que el
RGPD, ambos deben interpretarse de manera homogénea (cdo. 5 del Reglamento
2018/1725). Al respecto, dos aspectos de la sentencia reseñada resultan de
singular interés: la indemnización impuesta y el alcance atribuido al concepto
de transferencia internacional.
I. Indemnización
La cuantía de la
indemnización impuesta a la Comisión por crear “las condiciones para que se
produjera la transferencia de datos personales del demandante” (apdo. 192 de la
sentencia) a EEUU, sin las garantías adecuadas conforme a las normas del
Reglamento 2018/1725 equivalentes a las del Capítulo V RGPD, es de 400 euros. Según
parece, la “transferencia” a Facebook tuvo lugar en una sola ocasión y se
limitó a la dirección IP del demandante, quien ya era usuario de Facebook. La fijación de la cantidad por parte del
Tribunal General tiene lugar valorando “en equidad el importe de los daños y
perjuicios inmateriales causados por la Comisión” (apdo. 199).
El criterio empleado en este caso para la
fijación de la cantidad cabe entender que está condicionada por lo dispuesto en
el mencionado artículo 340 TFUE. Su párrafo segundo prevé que, en materia de
responsabilidad extracontractual, la Unión debe reparar los daños causados por
sus instituciones “de conformidad con los principios generales comunes a los
Derechos de los Estados miembros”.
Por su parte, con respecto al artículo 82
RGPD, con respecto al espinoso asunto de la determinación del importe de la
indemnización o la cuantificación del daño, en particular del daño moral, y las
carencias del RGPD sobre el particular, el Tribunal de Justicia ha puesto de
relieve que los tribunales de los Estados miembros deben aplicar “las normas
internas de cada Estado miembro relativas al alcance de la reparación
pecuniaria, siempre que se respeten los principios de equivalencia y de
efectividad del Derecho de la Unión”, que requieren que la reparación sea total
y efectiva (apdo. 32 de la sentencia Patērētāju tiesību aizsardzības centrs, C-507/23, EU:C:2024:854 con referencias a otra anteriores, y en la que también
puso de relieve que tal fin puede ser suficiente una “indemnización mínima”
cuando en el caso concreto suponga una reparación total y efectiva -apdo. 35-, y
que también puede serlo la “presentación de una disculpa” -apdo. 36-).
Ahora bien, el artículo 65 del Reglamento
2018/1725, al igual que el artículo 82 RGPD obliga a indemnizar “los daños y
perjuicios sufridos” y cabe entender que las disposiciones de ambos instrumentos
sobre esta cuestión aplican los mismos principios. Por lo tanto, aunque el criterio
(valoración en equidad) no sea propiamente el mismo que el que procede adoptar
en el marco del artículo 82 RGPD conforme a la jurisprudencia del Tribunal de
Justicia, la cuantía fijada en esta ocasión debería ser una referencia indiciaría
útil en un ámbito como es el de la fijación de la cuantía de la indemnización
de los daños morales en el que la aplicación uniforme del artículo 82 RGPD plantea
retos particulares.
Al hilo de la reciente jurisprudencia del
Tribunal de Justicia sobre el artículo 82 RGPD también cabe reseñar que, en
relación con la acreditación de los daños y perjuicios sufridos, el Tribunal General
se limite a constatar que “(e)l demandante alega que la transferencia ilícita
de su dirección IP a una empresa domiciliada en los Estados Unidos le causó
daños y perjuicios inmateriales consistentes en la pérdida del control de sus
datos y en la privación de sus derechos y libertades” (apdo. 195), afirmando
seguidamente que “los daños y perjuicios inmateriales alegados por el demandante
deben considerarse reales y ciertos…, ya que la transferencia… colocó al
demandante en una situación de inseguridad en cuanto al tratamiento de sus
datos personales, en particular de su dirección IP” (apdo. 197).
Cabe recordar que en relación con el artículo
82 RGPD el Tribunal de Justicia, tiene establecido que la pérdida de control,
por parte del interesado, sobre sus datos personales, puede bastar para que se les causen daños y
perjuicios inmateriales, pero “siempre que ese interesado demuestre que ha
sufrido efectivamente tales daños y perjuicios, por mínimos que sean” (véase,
por ejemplo, aquí). También la jurisprudencia del Tribunal
relativa al actual artículo 340 TFUE ha puesto de relieve que la carga de la
prueba del daño recae en el demandante (STJ de 21 de mayo de 1976, Société
Roquette frères / Comisión de las Comunidades Europeas, asunto 26-74,
apdos. 22-24). Por cierto, llama la atención que otras de las supuestas transferencias
de datos irregulares a EEUU -respecto de las que la sentencia reseñada desestima
las pretensiones de indemnización- fueran provocadas por el propio demandante
mediante ajustes técnicos para modificar su ubicación aparente de modo que no se
le considerara ubicado en la UE donde realmente estaba (apdo. 157 de la sentencia).
II. Concepto de transferencia internacional
Si bien la reclamación se enmarca en un contexto más complejo, vinculado al uso de la cuenta de Facebook del demandante en relación con el servicio de autenticación de usuario de la Comisión para acceder a cierto sitio web vinculado a la Unión, lo cierto es que con respecto al supuesto que da lugar a la indemnización, el Tribunal General parece afirmar la existencia de la transferencia internacional por parte de la Comisión con base en la mera inclusión en un sitio de la Comisión de un enlace a un sitio de Facebook. Básicamente, lo que dice la sentencia al respecto es lo siguiente:
- “… la
Comisión, a través del hipervínculo «conectarse con Facebook», que se muestra
en la página web de EU Login, creó las condiciones que permiten que se
transfiera la dirección IP del demandante a Facebook” (apdo. 188)
La idea de que simplemente proporcionar un enlace a un sitio “situado”
en un tercer país (en el sentido de que al pulsar sobre el enlace y acceder al
sitio el navegador comunica la IP del usuario a quien se encuentra en un tercer
país) implique que quien facilita el enlace lleve a cabo una transferencia de
la dirección IP a los efectos del Capítulo V RGPD parece una interpretación
extensiva del concepto de transferencia internacional. Cabe dudar de que se
corresponda con los criterios prevalentes acerca de los presupuestos que deben
concurrir para apreciar que existe una transferencia a un tercer país en el
marco del RGPD (al hilo de la versión inicial de las “Directrices 05/2021 sobre la interacción entre la aplicación del
artículo 3 y las disposiciones sobre transferencias internacionales de
conformidad con el capítulo V del RGPD” del Comité Europeo de Protección de
Datos, véase aquí).
En su sentencia Lindqvist, en la que el Tribunal de Justicia puso de relieve que la mera difusión de datos personales a través de páginas de Internet no es con carácter general susceptible de dar lugar a una transferencia internacional de datos personales, destacó los riesgos de una interpretación excesivamente amplia del concepto de transferencia internacional en relación con la difusión de contenidos en línea. En concreto, puso de relieve que si se considerara que existe una transferencia de datos a un país tercero cada vez que se publican datos personales en una página web, como consecuencia del alcance global de Internet, el régimen especial de transferencia internacional de datos se convertiría en la práctica en un régimen de aplicación general a las actividades en Internet (STJUE de 6 de noviembre de 2003, Lindqvist, C-101/01, EU:C:2003:596, apdo. 69).
Dificultades
similares podría plantear una interpretación del concepto de transferencia a un
tercer país que abarcara la mera colocación en un interfaz en línea de un
enlace a un página “situada” en un tercer país (en el sentido de que al pulsar
sobre el enlace la dirección IP del usuario sea transferida por el navegador a
ese tercer país para acceder a la página en cuestión). De hecho, en la
sentencia ahora reseñada, en referencia con las consecuencias de la colocación del enlace a Facebook por parte de la Comisión que se considera determinante para apreciar que existe transferencia a un tercer país, cabe también leer:
“El acceso a la dirección
URL del sitio de Internet de Facebook da lugar a una comunicación entre el
navegador del usuario y el citado sitio de Internet, en cuyo marco el navegador
transfiere la dirección IP del usuario al sitio de Internet de que se trata.
Esa transferencia es similar a la que se produce cuando el usuario utiliza
directamente la dirección URL de cualquier sitio de Internet en su navegador,
puesto que cualquier internauta que desee acceder a un sitio de Internet debe
comunicar forzosamente la dirección IP.” (apdo. 175)
