I. INTRODUCCIÓN
La sentencia del Tribunal de Justicia de la Unión Europea (TJUE) en el caso C-300/21, además de proporcionar criterios respecto al derecho a recibir una indemnización que reconoce el artículo 82 del GDPR, nos aproxima a dar respuestas a las siguientes cuestiones sobre dicha indemnización:
- ¿Cuándo se recibe por el uso ilícito de datos personales?
- ¿Es siempre económica?
- ¿Cómo se calcula el importe?
II. EL CASO
El servicio postal austriaco determinó la afinidad de los ciudadanos austriacos con determinados partidos políticos. Se categorizó al reclamante con una alta afinidad con un partido populista de extrema derecha. El reclamante no había prestado su consentimiento para ese tratamiento y se sintió «enojado y ofendido» por la asignación de esa afinidad a ese partido político.
Por ello, solicitó una indemnización de 1.000 euros por daño moral. En su opinión, la afinidad determinada era «insultante y vergonzosa, además de dañar enormemente su reputación» y «le causó un gran malestar y una pérdida de confianza, y también un sentimiento de exposición pública» .
Los tribunales austriacos consideraron que el tratamiento de datos era ilícito, pero la demanda de indemnización fue desestimada en primera y segunda instancia. El tribunal de segunda instancia señaló que, según la legislación austriaca, la simple sensación de malestar no basta para obtener una indemnización. Para poder tener derecho a una indemnización «el daño reclamado debe ser de cierta importancia».
Como tercera y última instancia, el Tribunal Supremo de Austria remite al TJUE.
III. LA SENTENCIA
1. ¿Cuándo se recibe una indemnización por el uso ilícito de datos personales?
El TJUE proporciona criterios que determinan tres requisitos acumulativos para la indemnización:
- Que se infrinja lo dispuesto en el GDPR,
- Que existan unos daños y perjuicios materiales o inmateriales consecuencia de esa infracción y
- Que haya una relación de causalidad entre los daños y perjuicios y la infracción.
2. ¿Es siempre económica?
El derecho a indemnización no se limita a daños y perjuicios inmateriales que alcancen un determinado umbral de gravedad, el TJUE señala que el GDPR no establece esa exigencia y semejante restricción sería contraria a la acepción amplia del concepto de daños y perjuicios utilizada por el legislador de la Unión. Además, supeditar la indemnización por daños y perjuicios inmateriales a un determinado umbral de gravedad podría menoscabar la coherencia del régimen establecido por el RGPD. De hecho, la graduación de la que dependería la posibilidad de obtener dicha indemnización podría fluctuar en función de la valoración de los jueces que conocieran del asunto.
Una concepción amplia de daño, como exige el considerando 146 del GDPR, no sería alcanzable si sólo se compensaran los daños que alcanzan un cierto grado de gravedad. El Tribunal afirma que la persona afectada debe probar el daño moral.
3. ¿Cómo se calcula el importe de la indemnización?:
El TJUE aclara que una compensación plena y efectiva (considerando 146 del GDPR) significa que el daño se compensa en su totalidad, el pago realizado conforme al artículo 82.1 GDPR tiene como objetivo compensar el daño sufrido, no castigar al responsable o al encargado del tratamiento.
El importe de la indemnización variará entre los tribunales, incluso dentro del mismo Estado miembro. La jurisprudencia de cada Estado miembro puede elaborar precedentes y criterios útiles para casos futuros. Sin embargo, es probable que se necesiten algunos años para que se establezca dicha jurisprudencia.
Para evitar decisiones dispersas, generalmente se han desarrollado cuadros con referencia a precedentes nacionales o locales relevantes en otras áreas del derecho. En estas tablas se podría fijar, por ejemplo, una compensación de 50 euros por un ligero retraso en la respuesta a una solicitud de acceso, mientras que compartir información falsa sobre la solvencia de una persona se podría fijar en 500 euros. Podría ser adecuado disponer de cuadros de este tipo a modo de orientación, dejando cierta discreción al tribunal.
IV. CONCLUSIÓN:
El TJUE declara, en primer lugar, que el derecho a indemnización establecido por el GDPR está supeditado de forma unívoca a tres requisitos acumulativos: una infracción del RGPD, unos daños y perjuicios materiales o inmateriales consecuencia de esa infracción y una relación de causalidad entre los daños y perjuicios y la infracción. Además, con arreglo a lo expuesto en los considerandos del GDPR relativos al derecho a indemnización, la infracción del Reglamento no conlleva necesariamente daños y perjuicios. La reclamación de daños y perjuicios se diferencia de otros recursos previstos por el GDPR, en particular, de aquellos que permiten imponer multas administrativas, para los que no es necesario demostrar la existencia de daños y perjuicios individuales.