Publicaciones

Garrigues

ELIGE TU PAÍS / ESCOLHA O SEU PAÍS / CHOOSE YOUR COUNTRY / WYBIERZ SWÓJ KRAJ / 选择您的国家

¿Cuándo existe el derecho -y cuándo no- a una indemnización de daños y perjuicios por infracción de la normativa de datos personales según el TJUE?

Unión Europea - 

La vulneración de la normativa en materia de protección de datos puede conllevar, además de las correspondientes sanciones por las autoridades competentes, la obligación de indemnizar a los afectados que hayan sufrido daños y perjuicios. El Tribunal de Justicia de la Unión Europea (TJUE) se ha pronunciado recientemente sobre la materia creando un cuerpo jurisprudencial que configura los requisitos y límites de la responsabilidad civil en este ámbito. En esta publicación analizamos los criterios ofrecidos hasta el momento por el TJUE. 

El Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a su libre circulación (RGPD), estableció el derecho de las personas que hubieran padecido una infracción a ser indemnizadas por los daños y perjuicios materiales e inmateriales sufridos (artículo 82).

Incluso contempló también la posibilidad de tutela colectiva frente a este tipo de infracciones, de modo que los afectados puedan autorizar a determinadas entidades, organizaciones o asociaciones sin ánimo de lucro para que presenten las reclamaciones en su nombre (artículo 80).

En este contexto, han surgido dudas sobre los presupuestos del referido derecho a una indemnización, lo que ha dado lugar al planteamiento ante el TJUE de diversas cuestiones prejudiciales, hasta el momento respecto de acciones individuales.

Las cuestiones suscitadas al TJUE por los tribunales nacionales han sido muy variadas: desde si la existencia de infracción de la normativa de datos personales da lugar, en todo caso, a un derecho a la indemnización, hasta cuál es el régimen de responsabilidad, pasando por las causas de exoneración, entre otras.

Y tales dudas se han planteado en una diversidad de supuestos, tales como: tratamiento inconsentido de datos relativos a afinidades políticas (sentencia de 4 de mayo de 2023, asunto C-300/21, Österreichische Post AG); reclamación en caso de ciberataque y publicación de los datos personales en Internet como consecuencia de aquél (sentencia de 14 de diciembre de 2023, asunto C‑340/21 Natsionalna agentsia za prihodite); divulgación sin consentimiento de datos personales en un sitio de Internet de un ayuntamiento, concretamente en el orden del día de una sesión del Consejo Municipal con referencia a una sentencia judicial (sentencia también de 14 de diciembre de 2023, asunto C-456/22, Gemeinde Ummendorf); tratamiento por un empleador de datos relativos a la salud de un trabajador (sentencia de 21 de diciembre de 2023, asunto C-667/21, Medizinischer Dienst der Krankenversicherung Nordrhein); entrega por error a un tercero de los documentos de una compra en la que constaban datos personales, incluidos los bancarios e ingresos de un cliente (sentencia de 25 de enero de 2024, asunto C-687/21, MediaMarktSaturn);recepción de comunicaciones comerciales pese a haber manifestado el interesado expresamente su oposición a ello (sentencia de 11 de abril de 2024, asunto C-741/21, juris GmbH); divulgación a terceros, por error, de la declaración tributaria de los afectados (sentencia de 20 de junio de 2024, asunto C-590/22, PS); robo por terceros de datos personales registrados en una aplicación de negociación con valores (sentencia también de 20 de junio de 2024, C-182/22 y C-189/22, Scalable Capital); difusión de una secuencia de vídeo cuyo personaje imitaba al demandante, que era un conocido periodista, sin que éste hubiera dado su consentimiento (sentencia de 4 de octubre de 2024, asunto C-507/23, Patērētāju tiesību aizsardzības centrs); o publicación de datos personales no exigidos legalmente en el Registro Mercantil de un Estado miembro (sentencia también de 4 de octubre de 2024, asunto C-200/23, Agentsia po vpisvaniyata).

Aunque se seguirán planteando cuestiones prejudiciales, de las sentencias del TJUE dictadas hasta el momento se pueden extraer los criterios que indicamos a continuación. 

Criterios del TJUE

1. No existe un “derecho automático a ser indemnizado” como consecuencia de una infracción de la normativa de protección de datos

La mera existencia de una infracción de la normativa de protección de datos no genera automáticamente un derecho a ser indemnizado. Para ello, es necesario que concurran, de forma cumulativa, los siguientes tres requisitos: i) la existencia de una infracción de las disposiciones del RGPD; ii) que el afectado haya sufrido daños y perjuicios; y iii) una relación de causalidad entre la infracción y los daños y perjuicios.

Así lo estableció el TJUE claramente, por primera vez, en la sentencia de 4 de mayo de 2023, asunto C-300/21, Österreichische Post AG (pp. 32 – 36 y 42) y así ha sido seguido, sin fisuras, en los pronunciamientos posteriores (sentencias de 14 de diciembre de 2023, asunto C‑340/21 Natsionalna agentsia za prihodite, p. 77; también de 14 de diciembre de 2023, asunto C‑456/22, Gemeinde Ummendorf, p. 14; de 21 de diciembre de 2023, asunto C-667/2, Medizinischer Dienst der Krankenversicherung Nordrhein, p. 82; de 25 de enero de 2024, asunto C-687/21, MediaMarktSaturn, p. 58; de 11 de abril de 2024, asunto C-741/21, juris GmbH, p. 34; de 20 de junio de 2024, asunto C-590/22, PS, pp. 22 y 24-25; también de 20 de junio de 2024, C-182/22 y C-189/22, Scalable Capital, pp. 41-42 y 57; de 4 de octubre de 2024, asunto C-507/23, Patērētāju tiesību aizsardzības centrs, pp. 24 y 26-27) o también de 4 de octubre de 2024, asunto C-200/23, Agentsia po vpisvaniyata, pp. 140 y 159).

2. Mientras que el concepto de daños y perjuicios indemnizables se rige por el derecho de la Unión, la cuantía de los daños se determinará conforme a cada derecho nacional

En la medida en que no hay una remisión expresa al derecho de los Estados miembros, el concepto de “daños y perjuicios materiales o inmateriales” y el concepto de “indemnización por los daños y perjuicios sufridos” previstos en el artículo 82 del RGPD han de ser objeto de interpretación autónoma. Es decir, que la interpretación que se haga se rija por el derecho de la Unión, debiendo interpretarse de manera uniforme en todos los Estados miembros, no teniendo por qué coincidir con la interpretación que, en relación con dichos conceptos, pudiera hacerse conforme al derecho nacional de cada Estado miembro (sentencias 4 de mayo de 2023, asunto C-300/21, Österreichische Post AG, pp. 29-30 y 44 o de 4 de octubre de 2024, asunto C-200/23, Agentsia po vpisvaniyata, p. 139).

Sin embargo, y en la medida en que el RGPD no contiene ninguna disposición al respecto, la determinación o cuantificación de la indemnización se regirá conforme al derecho nacional de cada Estado miembro, debiendo respetarse, en todo caso, los principios de equivalencia y efectividad (sentencias de 4 de mayo de 2023, asunto C-300/21, Österreichische Post AG, pp. 54 y 59; de 21 de diciembre de 2023, asunto C-667/2, Medizinischer Dienst der Krankenversicherung Nordrhein, pp. 83 y 101; de 25 de enero de 2024, asunto C-687/21, MediaMarktSaturn, p. 53; de 11 de abril de 2024, asunto C-741/21, juris GmbH, pp. 58 y 63; de 20 de junio de 2024, asunto C-590/22, PS, p. 40; también de 20 de junio de 2024, C‑182/22 y C‑189/22, Scalable Capital, pp. 27 y 33; de 4 de octubre de 2024, asunto C-507/23, Patērētāju tiesību aizsardzības centrs, p. 32 y también de 4 de octubre de 2024, asunto C-200/23, Agentsia po vpisvaniyata, p. 152).

Concretamente, como ha destacado la doctrina más autorizada, en supuestos transfronterizos,serán las normas de conflicto de cada Estado miembro las que determinen la legislación nacional aplicable, pues el Reglamento (CE) n° 864/2007 relativo a la ley aplicable a las obligaciones extracontractuales (Reglamento Roma II) excluye de su ámbito de aplicación las obligaciones extracontractuales que deriven de derechos relacionados con la personalidad (artículo 1.2 g) del Reglamento Roma II). En España, la norma de conflicto aplicable será el artículo 10.9 del Código Civil (el cual dispone que “[l]as obligaciones no contractuales se regirán por la ley del lugar donde hubiere ocurrido el hecho de que deriven”).

A esto se une que, según el artículo 79.2 del RGPD, serán competentes tanto los tribunales del Estado miembro en el que el responsable o encargado tenga un establecimiento, como los tribunales del Estado miembro en que el interesado tenga su residencia habitual (a menos que el responsable o el encargado sea una autoridad pública de un Estado miembro que actúe en ejercicio de sus poderes públicos). Y esta dualidad de foros (además de aplicarse eventualmente los previstos en el Reglamento (UE) nº 1215/2012 del Parlamento Europeo y del Consejo, según el Considerando 147 del RGPD) podría llevar a situaciones de forum shopping, de modo que se acuda a los tribunales de la jurisdicción que pudiera ser más favorable.

3. Alcance de la indemnización

  1. Daños y perjuicios materiales o inmateriales

    El interesado tendrá derecho a que se le indemnicen tanto los daños y perjuicios materiales como los daños inmateriales sufridos (como, por ejemplo, daños morales), sin que se exija que alcancen un determinado umbral de gravedad (sentencias de 4 de mayo de 2023, asunto C-300/21, Österreichische Post AG -pp. 45 – 51-; de 14 de diciembre de 2023, asunto C‑340/21 Natsionalna agentsia za prihodite p. 78; de 25 de enero de 2024, asunto C-687/21, MediaMarktSaturn, pp. 59 y 60; de 11 de abril de 2024, asunto C-741/21, juris GmbH, pp. 36 y 41; de 20 de junio de 2024, asunto C-590/22, PS, p. 26; también de 20 de junio de 2024, C‑182/22 y C‑189/22, Scalable Capital, p. 44; o de 4 de octubre de 2024, asunto C-200/23, Agentsia po vpisvaniyata, p. 149).

    El propio RGPD (Considerando 85) destaca que “[s]i no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión”.

    Para que el daño sea indemnizable, habrá de acreditarse su existencia y consecuencias negativas (sentencias de 25 de enero de 2024, asunto C-687/21, MediaMarktSaturn, pp. 60 y 61; de 20 de junio de 2024, asunto C-590/22, PS, pp. 34 y 35; o de 4 de octubre de 2024, asunto C-200/23, Agentsia po vpisvaniyata, pp. 141-142).

    El temor que experimenta un afectado a un potencial uso indebido por terceros de sus datos personales en el futuro, a raíz de una infracción, podría constituir un daño inmaterial indemnizable, si bien ha de acreditarse que dicho temorestá fundado (sentencias de 14 de diciembre de 2023, asunto C‑340/21 Natsionalna agentsia za prihodite, pp. 83-85;  de  20 de junio de 2024, asunto C-590/22, PS, p. 32; o de 4 de octubre de 2024, asunto C-200/23, Agentsia po vpisvaniyata, pp. 143-144).

    Asimismo, la pérdida de control sobre los datos personales durante un breve período de tiempo podría causar al interesado “daños y perjuicios inmateriales” que den lugar a un derecho a indemnización, si el interesado demuestra que ha sufrido efectivamente tales daños y perjuicios, por mínimos que sean (sentencias de 25 de enero de 2024, asunto C-687/21, MediaMarktSaturn, p. 66; de 20 de junio de 2024, asunto C-590/22, PS, p. 33; o de 4 de octubre de 2024, asunto C-200/23, Agentsia po vpisvaniyata, p. 150).

    Como antes se ha indicado, la mera infracción de la normativa de protección de datos no otorga a los afectados, per se, el derecho a exigir una indemnización al infractor. Es necesario que acrediten que han sufrido efectivamente los daños y perjuicios reclamados, aun cuando éstos tengan poca entidad (sentencia de 14 de diciembre de 2023, asunto C‑456/22, Gemeinde Ummendorf, p. 22). Ahora bien, un riesgo meramente hipotético de uso indebido de los datos personales por un tercero no autorizado no puede dar lugar a indemnización si, por ejemplo, se demuestra que ningún tercero tuvo conocimiento de los datos personales en cuestión (sentencia de 25 de enero de 2024, asunto C-687/21, MediaMarktSaturn, p. 68).

    Por último, el TJUE ha establecido que, cuando el perjuicio sufrido por el interesado carezca de gravedad, el órgano jurisdiccional nacional podrá reconocer una indemnización mínima, siempre que tal importe poco elevado de indemnización así concedido pueda resarcir íntegramente el perjuicio (sentencias de 20 de junio de 2024, C-182/22 y C-189/22, Scalable Capital, pp. 45-46 y de 4 de octubre de 2024, asunto C-507/23, Patērētāju tiesību aizsardzības centrs, p. 35). Incluso la presentación de una disculpa podría constituir una reparación autónoma o complementaria de un daño moral, conforme a lo previsto en el derecho nacional aplicable; en particular cuando sea imposible restablecer la situación anterior a la causación del daño y siempre que esta forma de reparación pueda compensar íntegramente el perjuicio sufrido por el interesado (sentencia de 4 de octubre de 2024, asunto C-507/23, Patērētāju thiesību aizsardzības centrs, pp. 36 y 37).

  2. Función compensatoria, no punitiva

    El derecho a ser indemnizado, contemplado en el artículo 82 del RGPD, tiene una función compensatoria, de modo que la indemnización pecuniaria debe compensar íntegramente los daños y perjuicios sufridos como consecuencia de la infracción. Ahora bien, no cabe al amparo del mismo imponer el pago de indemnizaciones de carácter punitivo (sentencia de 4 de mayo de 2023, asunto C-300/21, Österreichische Post AG, pp. 57 y 58; de 21 de diciembre de 2023, asunto C-667/2, Medizinischer Dienst der Krankenversicherung Nordrhein, p. 84 y 102; de 25 de enero de 2024, asunto C-687/21, MediaMarktSaturn, p. 47; de 11 de abril de 2024, asunto C-741/21, juris GmbH, pp. 60 y 61; de 20 de junio de 2024, asunto C-590/22, PS, pp. 41-42;  de 4 de octubre de 2024, asunto C-507/23, Patērētāju tiesību aizsardzības centrs, p. 34 o también de 4 de octubre de 2024, asunto C-200/23, Agentsia po vpisvaniyata, p. 153).

    En la medida en que la imposición de multas administrativas, de un lado, y la determinación de indemnizaciones, de otro, responden a ámbitos normativos distintos, no cabe aplicar a estas últimas los criterios de aquéllas (sentencias de 11 de abril de 2024, asunto C-741/21, juris GmbH, p. 57; de 21 de diciembre de 2023, asunto C-667/2, Medizinischer Dienst der Krankenversicherung Nordrhein, pp. 85 y 86, de 20 de junio de 2024, asunto C-590/22, PS, p. 43; también de 20 de junio de 2024, C‑182/22 y C‑189/22, Scalable Capital, pp. 22, 39 y 44; o de 4 de octubre de 2024, asunto C-507/23, Patērētāju tiesību aizsardzības centrs, pp. 39 a 41).

    Así, y dada la función exclusivamente compensatoria de la indemnización, elementos como el nivel de gravedad o el carácter eventualmente doloso de la infracción por el responsable del tratamiento no han de ser tenidos en cuenta a efectos de la reparación del daño, sino sólo el perjuicio sufrido por el interesado (sentencias de 11 de abril de 2024, asunto C-741/21, juris GmbH, p. 64; de 20 de junio de 2024, C‑182/22 y C‑189/22, Scalable Capital, pp. 28-30; o de 4 de octubre de 2024, asunto C-507/23, Patērētāju tiesību aizsardzības centrs, pp. 42-43), sin que quepa considerar, por principio, que unas lesiones corporales son, por su propia naturaleza, más importantes que unos daños y perjuicios inmateriales (sentencias de 20 de junio de 2024, C‑182/22 y C‑189/22, Scalable Capital, pp. 38 y 39 o de 4 de octubre de 2024, asunto C-200/23, Agentsia po vpisvaniyata, p. 151).

    A su vez, tampoco la actitud y la motivación del responsable del tratamiento han de ser tenidos en cuenta para conceder una indemnización de un “nivel inferior” a la compensación íntegra del perjuicio sufrido por el interesado (sentencia de 4 de octubre de 2024, asunto C-507/23, Patērētāju tiesību aizsardzības centrs, pp. 44-45).

  3. El régimen de responsabilidad por culpa con inversión de la carga de la prueba

    El afectado habrá de acreditar la existencia de la infracción y de los daños y perjuicios sufridos, mientras que será el responsable o encargado del tratamiento de los datos personales quien habrá de probar la ausencia de culpa en el hecho que ha causado los daños y perjuicios si pretende exonerarse de responsabilidad, pues se presume la existencia de culpa (sentencias de 21 de diciembre de 2023, asunto C-667/2, Medizinischer Dienst der Krankenversicherung Nordrhein, pp- 93-94, 98-99 y 103; de 11 de abril de 2024, asunto C-741/21, juris GmbH, pp. 46 y 47; de 20 de junio de 2024, C-182/22 y C-189/22, Scalable Capital p. 28; o de 4 de octubre de 2024, asunto C-200/23, Agentsia po vpisvaniyata, p. 154 y pp.160-164) o la falta de relación de causalidad entre la eventual infracción de protección de datos y los daños y perjuicios sufridos por el interesado (Sentencia de 14 de diciembre de 2023, Natsionalnaagentsia za prihodite, C‑340/21, pp. 70 y 72).

    De este modo, cuando la violación de la seguridad de los datos personales ha sido cometida por cibercriminales, el responsable del tratamiento puede quedar exonerado de responsabilidad, si demuestra que no incumplió las obligaciones de protección de datos a que está sujeto (sentencia de 14 de diciembre de 2023, Natsionalnaagentsia za prihodite, C‑340/21, pp. 70-72).

    Por su parte, el responsable del tratamiento no se libera alegando una negligencia o incumplimiento de una persona que actúa bajo su autoridad, en la medida en que corresponde a aquél asegurarse de que sus empleados aplican correctamente sus instrucciones (sentencia de 11 de abril de 2024, asunto C-741/21, juris GmbH, pp. 49 y 52). Como tampoco exime de responsabilidad la existencia de un dictamen consultivo y no vinculante emitido por una autoridad de control al responsable del tratamiento (sentencia de 4 de octubre de 2024, asunto C-200/23, Agentsia po vpisvaniyata, pp. 174 - 176).

Conclusión

No son extraños los casos en los que los afectados por vulneraciones en materia de datos personales pretenden que se determine la responsabilidad civil de quienes han incurrido en la infracción correspondiente. 

Por ello, es fundamental tener en cuenta la delimitación de la responsabilidad que viene haciendo el TJUE, pues la mera existencia de una infracción de la normativa de datos personales no determina de forma automática que nazca una obligación de indemnización, sino que sólo tendrá lugar cuando efectiva y causalmente se hayan producido daños y perjuicios para los afectados, que habrán de acreditarse por mínimos que sean. Además, las indemnizaciones habrán de ser compensatorias de los daños y perjuicios sufridos, pero no podrán tener, en ningún caso, un carácter punitivo o disuasorio.

Litigación y Arbitraje, España, Unión Europea, Protección de datos

Profesionales de contacto

Cecilia Rosende

Contactar

Ana López

Contactar

Foto del socio

Alberto Pimenta

Contactar

Antonio Entrena

Contactar

Consultar más profesionales

Buscar publicación

Date of publication

Buscador de noticias