El TJUE comienza a establecer los parámetros sobre los que es posible reclamar por daños y perjuicios derivados de un mal uso de datos personales

El Tribunal de Justicia de la Unión Europea (TJUE), ha dictado sentencia en el asunto C-300/21-Österreichische Post, el pasado día 4 de mayo de 2023, sentando uno de los primeros precedentes en la Unión para determinar los criterios sobre los que la infracción del RGPD fundamenta el derecho a indemnización por parte del damnificado, a partir del artículo 82.1 del Reglamento General de Protección de Datos (RGPD).

La resolución judicial tiene su origen en el tratamiento de datos personales ilícito que llevó a cabo el servicio postal austríaco (Österreichische Post) recopilando información algorítmica sobre las afinidades y opiniones políticas de la población austriaca. Producido tal ilícito, un ciudadano afectado, que no había consentido el tratamiento de sus datos personales para tal fin, interpone una reclamación por importe de 1000 euros en concepto de indemnización por daños y perjuicios tras afirmar «haber sufrido una importante contrariedad, una pérdida de confianza y un sentimiento de humillación» derivado de tal tratamiento de datos personales.

Llegada la causa al Tribunal Supremo austríaco tras los recursos de dicho ciudadano porque los tribunales no le concedían la indemnización reclamada, el propio Tribunal plantea las siguientes cuestiones prejudiciales al TJUE: (i) si la mera infracción del RGPD es suficiente para reconocer derecho a indemnización por daños y perjuicios; (ii) si solo cabe la indemnización cuando los daños y perjuicios superen cierto grado de gravedad; y (iii) cuáles son las exigencias del Derecho de la Unión en relación con la determinación del importe de la indemnización por daños y perjuicios.

A lo que el TJUE responde en el siguiente sentido, sentando el primer precedente de varios que se esperan (como, posteriormente indicamos):   

1. El derecho a reclamar indemnización por daños y perjuicios en virtud del artículo 82 del RGPD y sus Considerandos está sujeto a tres condiciones acumulativas: (i) una infracción del RGPD, (ii) ocurrencia de daños y perjuicios como consecuencia de esa infracción, y (iii) una relación de causalidad entre los daños y perjuicios y la infracción. Por lo tanto, no todas las infracciones del RGPD pueden dar lugar automáticamente al derecho a indemnización.

 

2. Asimismo, determina el TJUE que el derecho a indemnización no puede quedar limitado a que los daños ocasionados lleguen a un cierto umbral de gravedad (que consecuentemente no se determina). El RGPD no establece tal requisito y cualquier restricción de este tipo sería contraria al derecho de la Unión.

 

3. Por último, en lo que respecta a la cuantificación de la indemnización por daños y perjuicios, el TJUE señala que el RGPD no contiene disposiciones al respecto y «corresponde a cada Estado miembro establecer los tipos de acciones legales que permitan garantizar los derechos que confiere el citado artículo 82», recayendo en ellos, la decisión de determinar los criterios para determinar la indemnización. Y todo ello, teniendo en consideración los principios Comunitarios de equivalencia y efectividad.

En resumen, de la resolución del TJUE podemos determinar que para obtener una compensación por daños y perjuicios deben cumplirse, cumulativamente, los requisitos antes indicados; que no todas las infracciones del RGPD otorgan automáticamente el derecho a indemnización; que debe acreditarse daño, pero no se exige un umbral; y por último y que genera mayor incertidumbre, que la cuantificación de la indemnización por daños y perjuicios queda a cargo del ordenamiento jurídico interno de cada Estado miembro.

Lo cierto, es que, como indicábamos, esta resolución parece ser el inicio de una tendencia por parte de la Justicia Europea de regular el alcance del derecho a obtener una indemnización derivada del incumplimiento de las disposiciones del RGPD. Sin ir más lejos, el Abogado General en las Conclusiones recientemente publicadas en el asunto C‑340/21, VB contra Natsionalna agentsia za prihodite, ha determinado que no todo daño inmaterial debe ser indemnizable y que deben concurrir los requisitos antes expuestos. Añadiendo que, para el supuesto concreto, debe distinguirse entre «daños inmateriales indemnizables y otros inconvenientes derivados de la falta de respeto a la legalidad que, por su escasa entidad, no necesariamente darían derecho a compensación», dado que el TJUE, hasta ahora, se ha dedicado a analizar el alcance del daño inmaterial también identificado como daño moral. Así las cosas, y a la espera de la resolución que dicte el TJUE, el Abogado General identifica en sus Conclusiones que el daño provocado en el interesado derivado de una brecha de seguridad sea solo potencial, y no efectivo puede ser suficiente para considerar el derecho a indemnizar al interesado siempre que este demuestre que se ha producido un daño emocional real y cierto.

Lo anterior, trasladado a la tercera de las conclusiones identificadas en el asunto C-300/21, podría basarse en alguno de los criterios con los que la jurisprudencia española barema el daño moral en conjunto con «la percepción que, en ese momento, tenga la sociedad de ese trastorno concreto derivado de la violación de la seguridad de los datos», según indica el Abogado General.

Hasta la fecha, en España no constan decisiones judiciales que resuelvan sobre este aspecto, aunque es cuestión de tiempo que comiencen a producirse este tipo de reclamaciones a la luz de las resoluciones de la Justicia Europea que han llegado y que están por venir.