Revista Española de Derecho Europeo
87 | Julio – Septiembre 2023
pp. 85-107
Madrid, 2023
DOI:10.37417/REDE/num87_2023_1903
© Marcial Pons Ediciones Jurídicas y Sociales
© Alfonso Ortega Giménez
ISSN: 1579-6302
Recibido: 28/08/2023 | Aceptado: 27/09/2023
Derecho a indemnización por los daños y perjuicios causados por un tratamiento de datos en infracción del RGPD, tras la STJUE de 4 de mayo de 2023
RIGHT TO COMPENSATION FOR DAMAGE CAUSED BY DATA PROCESSING IN BREACH OF THE GDPR, AFTER THE ECJ JUDGEMENT OF 4 MAY 2023
Alfonso Ortega Giménez*
RESUMEN: El Tribunal de Justicia ha dictado una sentencia, de fecha 4 de mayo de 2023, abordando la interpretación del artículo 82 del Reglamento General de Protección de Datos (RGPD), donde declara que la mera infracción del RGPD en cuanto al tratamiento de datos personales no fundamenta un derecho a indemnización. En cambio, para que exista un derecho a indemnización no es necesario que los daños y perjuicios inmateriales sufridos hayan alcanzado cierto umbral o grado de gravedad mínimo. Por último, también se analiza el papel de las normas nacionales de los Estados miembros que deben complementar las lagunas del artículo 82 del RGPD, en particular, con respecto a la cuantificación de los daños.
PALABRAS CLAVE: protección de datos; derecho a indemnización, daños y perjuicios; Reglamento General de Protección de Datos; Unión Europea.
Abstract: The Court of Justice has issued a judgment, dated 4 May 2023, addressing the interpretation of Article 82 of the General Data Protection Regulation (GDPR), in which it states that the mere infringement of the GDPR with regard to the processing of personal data does not establish a right to compensation. On the other hand, for there to be a right to compensation, it is not necessary for the non-pecuniary damage suffered to have reached a certain minimum threshold or degree of severity. Finally, the role of Member States’ national rules that should complement the loopholes of Article 82 of the GDPR, in particular with regard to the quantification of damages, is also analysed.
Keywords: data protection; right to compensation, damages and losses; general data protection regulation; European Union
Sumario: PLANTEAMIENTO.— 1. OBJETO DE LA CUESTIÓN PREJUDICIAL PLANTEADA.— 2. LA DECISIÓN DEL TRIBUNAL: 2.1. Sobre la admisibilidad de las cuestiones prejudiciales primera y segunda; 2.2. Sobre el fondo del asunto: 2.2.1. Sobre la primera cuestión prejudicial; 2.2.2. Sobre la tercera cuestión prejudicial; 2.2.3. Sobre la segunda cuestión prejudicial.— A MODO DE CONCLUSIÓN.— REFERENCIAS BIBLIOGRÁFICAS.
La Sentencia del Tribunal de Justicia de la Unión Europea (TJUE), Sala Tercera, de 4 de mayo de 2023, dictada en el Asunto C-300/21 1, es de gran importancia al tener por objetivo la interpretación del artículo 82 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (en lo sucesivo, “RGPD”) 2, en relación con los principios de equivalencia y de efectividad. Resulta necesario resaltar que el artículo 82 del RGPD 3 constituye una pieza clave de nuestro sistema de tutela jurídico-privada 4 en materia de datos personales, que complementa a la tutela jurídico- pública 5 fundamental en este ámbito. La interposición de una reclamación ante una autoridad de control (por ejemplo, la Agencia Española de Protección de Datos), aunque constituya, conforme a los artículos 77 y 78 del RGPD 6 7, la vía más sencilla de reclamación para cualquier interesado —entendido como la persona física identificada o identificable a la que va referida la información—, no es una vía que le permita obtener la reparación del daño. Por consiguiente, el ejercicio de acciones civiles resulta necesario para hacer efectivo el derecho a indemnización 8. Ciertamente, si bien la existencia de una resolución administrativa por parte de la autoridad de control que constate una infracción del RGPD puede ser determinante para acreditar tal infracción en un proceso civil, lo que es un presupuesto del derecho de indemnización conforme al RGPD, la sanción económica con la que puede terminar el procedimiento administrativo ante la autoridad de control tiene finalidad punitiva y no implica ningún beneficio económico ni resarcimiento para el interesado. De ahí la importancia del derecho a indemnización previsto en el artículo 82 del RGPD.
Esta petición se ha presentado en el contexto de un litigio entre UI y Österreichische Post AG, sociedad austriaca dedicada a la venta de direcciones, en relación con el recurso interpuesto por el primero para obtener la reparación de los daños y perjuicios inmateriales que afirma haber sufrido como consecuencia del tratamiento por dicha sociedad de datos relativos a las afinidades políticas de personas residentes en Austria, en particular él mismo, cuando no había dado su consentimiento a tal tratamiento.
Ello se debe a que, a partir de 2017, Österreichische Post recogió información sobre las afinidades políticas de la población austriaca. Con ayuda de un algoritmo que tiene en cuenta diversos criterios sociales y demográficos, definió “direcciones de grupos de destinatarios”. Los datos así generados se vendieron a distintas organizaciones para permitirles realizar el envío de publicidad dirigida.
En el marco de su actividad, Österreichische Post trató datos que, mediante extrapolación estadística, la llevaron a inferir una elevada afinidad del demandante en el litigio principal con un determinado partido político austriaco. Estos elementos no fueron transmitidos a terceros, pero el demandante en el litigio principal, que no había consentido el tratamiento de sus datos personales, se sintió ofendido por el hecho de que se le hubiera atribuido afinidad con el partido en cuestión. La circunstancia de que se conservaran en el seno de la referida sociedad datos relativos a sus supuestas opiniones políticas le causó una importante contrariedad, una pérdida de confianza y un sentimiento de humillación. De la resolución de remisión se desprende que no se ha constatado ningún perjuicio distinto de estos daños temporales de carácter emocional.
En este contexto, el demandante en el litigio principal presentó, ante el Tribunal Regional de lo Civil de Viena (Austria), una demanda en la que solicitaba, por una parte, que se ordenara a Österreichische Post el cese del tratamiento de los datos personales en cuestión y, por otra parte, que se condenara a dicha sociedad a abonarle un importe de 1.000 euros en concepto de indemnización por los daños y perjuicios inmateriales que afirma haber sufrido. Mediante resolución de 14 de julio de 2020, dicho órgano jurisdiccional estimó la pretensión de cesación, pero desestimó la pretensión de indemnización.
En apelación, el Tribunal Superior Regional de Viena (Austria) confirmó, mediante sentencia de 9 de diciembre de 2020, la resolución dictada en primera instancia. Por lo que respecta a la pretensión de indemnización, dicho órgano jurisdiccional se refirió a los considerandos 75, 85 y 146 del RGPD 9 10span id="footnote-019-backlink"> 11 y estimó que las disposiciones de Derecho interno de los Estados miembros en materia de responsabilidad civil completan las disposiciones del citado Reglamento, siempre que este no contenga normas especiales. A este respecto, señaló que, en virtud del Derecho austriaco, la infracción de las normas de protección de datos personales no ocasiona automáticamente daños y perjuicios inmateriales y solo genera derecho a indemnización cuando tales daños y perjuicios alcancen un determinado “umbral de gravedad”. Pues bien, en opinión del referido órgano jurisdiccional, no ocurría así con los sentimientos negativos que había invocado el demandante en el litigio principal.
Ambas partes recurrieron ante el Tribunal Supremo de lo Civil y Penal de Austria que, mediante sentencia interlocutoria de 15 de abril de 2021, desestimó el recurso de casación de Österreichische Post contra la obligación de cesación que se le había impuesto. Por consiguiente, dicho órgano jurisdiccional únicamente continúa conociendo del recurso de casación que el demandante en el litigio principal interpuso contra la desestimación de su pretensión de indemnización.
En apoyo de su petición de decisión prejudicial, el órgano jurisdiccional remitente indica que del considerando 146 del RGPD se desprende que el artículo 82 de dicho Reglamento ha establecido un régimen propio de responsabilidad en materia de protección de datos personales, que sustituye a los regímenes vigentes en los Estados miembros. Por consiguiente, en su opinión, los conceptos que figuran en dicho artículo 82, en particular el concepto de “daños y perjuicios” a que se refiere su apartado 1, deben interpretarse de manera autónoma y los requisitos para que se genere tal responsabilidad no deben definirse a la luz de las normas de Derecho nacional, sino de las exigencias del Derecho de la Unión.
Más concretamente, en primer lugar, por lo que respecta al derecho a indemnización por una vulneración de la protección de los datos personales, dicho órgano jurisdiccional se inclina por considerar, a la luz de la sexta frase del considerando 146 del RGPD, que una indemnización basada en el artículo 82 del citado Reglamento presupone que el interesado haya sufrido realmente daños y perjuicios materiales o inmateriales. Considera que la indemnización está supeditada a la prueba de daños y perjuicios concretos distintos de dicha vulneración, que por sí misma no acredita la existencia de daños y perjuicios inmateriales. El considerando 75 del citado Reglamento alude, según el órgano jurisdiccional remitente, a la mera posibilidad de que se produzcan daños y perjuicios inmateriales como consecuencia de las infracciones que en él se enumeran y, si bien es cierto que su considerando 85 menciona el riesgo de una “pérdida de control” de los datos afectados, este riesgo es incierto en el caso de autos, ya que estos no se transmitieron a terceros.
En segundo lugar, por lo que respecta a la cuantificación de la indemnización que puede concederse con arreglo al artículo 82 del RGPD, dicho órgano jurisdiccional considera que el principio de efectividad del Derecho de la Unión debe tener una incidencia limitada, puesto que este Reglamento ya prevé, para el caso de su infracción, sanciones severas y que, por tanto, no es necesario reconocer además una indemnización por daños y perjuicios elevada para garantizar su efecto útil. A su juicio, la correspondiente indemnización por los daños y perjuicios debe ser proporcionada, efectiva y disuasoria para que pueda cumplir una función compensatoria, pero no tener carácter punitivo, que es ajeno al Derecho de la Unión.
En tercer lugar, el órgano jurisdiccional remitente pone en duda la tesis, defendida por Österreichische Post, según la cual tal indemnización está supeditada al requisito de que la vulneración de la protección de los datos personales haya causado daños y perjuicios particularmente graves. A este respecto, subraya que el considerando 146 del RGPD propugna una interpretación amplia del concepto de “daños y perjuicios” 12, en el sentido de dicho Reglamento. Considera que, en virtud del artículo 82 de este, los daños y perjuicios inmateriales deben ser indemnizados si son tangibles, aún cuando sean escasos. Por el contrario, tales daños y perjuicios no deben indemnizarse si resultan totalmente insignificantes, como ocurre en el caso de los meros sentimientos desagradables que habitualmente acompañan a tal vulneración.
Ante estas circunstancias, el Tribunal Supremo de lo Civil y Penal de Austria decidió suspender el procedimiento y plantear al TJUE las siguientes cuestiones prejudiciales sobre: 1) Si el reconocimiento del derecho a una indemnización por daños y perjuicios con arreglo al artículo 82 del RGPD […], además de una violación de las disposiciones del RGPD exige que el demandante haya sufrido daños y perjuicios, o la violación de las disposiciones del RGPD es suficiente por sí misma para el reconocimiento del derecho a una indemnización por daños y perjuicios; 2) Si existen otros requisitos del Derecho de la Unión para la cuantificación de la indemnización por daños y perjuicios, además de los principios de efectividad y equivalencia; y, 3) Si es compatible con el Derecho de la Unión la opinión de que un requisito para el reconocimiento de daños y perjuicios inmateriales es que exista una consecuencia o secuela de la vulneración de derechos que tenga al menos cierto peso y que vaya más allá de la contrariedad causada por la misma.
Cabe destacar que, el derecho a indemnización de las personas físicas por los daños producidos por un tratamiento ilícito de sus datos personales, regulado en el artículo 82 del RGPD, en la legislación española esta materia no resulta novedosa, ya que, se encuentra regulada en el artículo 19 de la antigua Ley Orgánica de Protección de Datos (en adelante, LOPD) 13.
Por otro lado, el Reglamento refuerza el artículo 82 con el artículo 83 14 relativo a las condiciones generales para la imposición de multas y con el artículo 84 15 de las sanciones, que se pueden imponer al encargado del tratamiento de datos que infrinja los dispuesto en el RGPD y demás posibles responsables.
Como se puede observar el artículo 82 en su apartado primero es muy claro al establecer que la indemnización comprende los daños físicos, morales y patrimoniales de la persona afectada, por lo tanto, cuando el precepto dice “daños y perjuicios”, no debemos hacer una interpretación restrictiva del mismo.
Además, para que se produzca la indemnización, uno de los elementos importantes que también se recoge en la legislación española, es que el daño producido sea real y efectivo y que sea evaluable económicamente. Por lo tanto, como conclusión por la interpretación amplia que se hace del concepto de daños y perjuicios, el Reglamento establece una indemnización integral de la persona perjudicada.
Además, la indemnización se puede derivar de una relación contractual, es decir, de la responsabilidad contractual, como de una responsabilidad extracontractual, en una relación que no medie contrato 16. De los actos que realiza el responsable del tratamiento de datos no hace una mención específica, aunque en el apartado segundo del artículo observamos que la responsabilidad se puede derivar tanto de una acción u omisión, es decir, si el responsable del tratamiento deja de hacer algo que le era de obligado cumplimiento, esa omisión es generadora de responsabilidad.
Otro dato que denota la amplia protección del Reglamento es la responsabilidad solidaria que establece el apartado cuarto, en que dice “cada responsable o encargado será considerado responsable de todos los daños y perjuicios, a fin de garantizar la indemnización efectiva del interesado”. Apuntar que la responsabilidad solidaria no es absoluta, sino que, si se demuestra que alguno de los encargados del tratamiento de los datos, no ha sido responsable del daño producido podrá repetir la cantidad que satisfizo en concepto de indemnización a los responsables, e incluso si aun teniendo responsabilidad satisface la indemnización completa también podrá exigir el abono de la parte que correspondería a cada uno de los responsables.
En caso de tratamiento ilícito internacional de datos, consecuentemente, existirá daño y, por tanto, posible reclamación si se verifica que se ha producido un tratamiento ilícito internacional de datos de carácter personal. De esta forma, la vulneración del derecho a la protección de datos en los supuestos de transferencia internacional de datos trae como resultado la exigencia de responsabilidad civil objetiva extracontractual, derivándose el derecho a indemnización del afectado por el tratamiento de sus datos, al que le han provocado daño o lesión del tratamiento ilícito de sus datos.
Los requisitos para que se pueda exigir esta responsabilidad civil obteniendo la reparación de los daños morales y patrimoniales son:
1) que se acredite el incumplimiento, y
2) que no concurra una causa de exoneración de la responsabilidad, se vincule el incumplimiento con el daño o lesión sufrida en los bienes o derechos, el daño o lesión se evalúe y la actuación o la falta de actuación generadora del daño no represente la materialización de los elementos de un tipo penal, pues entonces estaríamos ante la comisión de un delito y no frente a un ilícito penal.
El Tribunal Supremo de lo Civil y Penal de Austria decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:
1) ¿El reconocimiento del derecho a una indemnización por daños y perjuicios con arreglo al artículo 82 del RGPD […], además de una violación de las disposiciones del RGPD exige que el demandante haya sufrido daños y perjuicios, o la violación de las disposiciones del RGPD es suficiente por sí misma para el reconocimiento del derecho a una indemnización por daños y perjuicios?
2) ¿Existen otros requisitos del Derecho de la Unión para la cuantificación de la indemnización por daños y perjuicios, además de los principios de efectividad y equivalencia?
3) ¿Es compatible con el Derecho de la Unión la opinión de que un requisito para el reconocimiento de daños y perjuicios inmateriales es que exista una consecuencia o secuela de la vulneración de derechos que tenga al menos cierto peso y que vaya más allá de la contrariedad causada por la misma?
Como se ha visto, el órgano jurisdiccional remite, en esencia, las siguientes pregunta: 1) Si el reconocimiento del derecho a una indemnización por daños y perjuicios con arreglo al artículo 82 del RGPD […], además de una violación de las disposiciones del RGPD exige que el demandante haya sufrido daños y perjuicios, o la violación de las disposiciones del RGPD es suficiente por sí misma para el reconocimiento del derecho a una indemnización por daños y perjuicios; 2) Si existen otros requisitos del Derecho de la Unión para la cuantificación de la indemnización por daños y perjuicios, además de los principios de efectividad y equivalencia 17; y, 3) Si es compatible con el Derecho de la Unión la opinión de que un requisito para el reconocimiento de daños y perjuicios inmateriales es que exista una consecuencia o secuela de la vulneración de derechos que tenga al menos cierto peso y que vaya más allá de la contrariedad causada por la misma.
Con carácter preliminar, procede recordar que, el demandante en el litigio principal sostiene que la primera cuestión prejudicial planteada es inadmisible por ser hipotética. Alega, de entrada, que su acción de indemnización por daños y perjuicios no se basa en una “mera” infracción de una disposición del RGPD. A continuación, señala que la resolución de remisión evoca la existencia de un consenso sobre el hecho de que solo debe pagarse una indemnización cuando tal infracción ocasione daños y perjuicios efectivos. Por último, en su opinión, parece que solo es objeto de controversia entre las partes del litigio principal la cuestión de si es preciso que los daños y perjuicios sobrepasen un determinado “umbral de gravedad”. Pues bien, si el Tribunal de Justicia respondiera negativamente a la tercera cuestión prejudicial planteada a este respecto —como él mismo propone—, la primera cuestión prejudicial carecería de utilidad para resolver dicho litigio.
El demandante en el litigio principal sostiene, asimismo, que la segunda cuestión prejudicial planteada es inadmisible, por ser a la vez muy amplia en cuanto a su contenido y demasiado imprecisa en cuanto a su formulación, puesto que el órgano jurisdiccional remitente se refiere a “requisitos del Derecho de la Unión”, sin señalar concretamente uno de ellos.
A este respecto es preciso recordar que, según reiterada jurisprudencia, corresponde exclusivamente al juez nacional que conoce del litigio y que debe asumir la responsabilidad de la decisión jurisdiccional que ha de adoptarse apreciar, a la luz de las particularidades del asunto, tanto la necesidad de una decisión prejudicial para poder dictar sentencia como la pertinencia de las cuestiones que plantea al Tribunal de Justicia, que disfrutan de una presunción de pertinencia. Por consiguiente, cuando las cuestiones planteadas se refieran a la interpretación o a la validez de una norma del Derecho de la Unión, el Tribunal de Justicia está, en principio, obligado a pronunciarse, salvo si resulta patente que la interpretación solicitada no guarda relación alguna con la realidad o con el objeto del litigio principal, o el problema es de naturaleza hipotética o el Tribunal de Justicia no dispone de los elementos de hecho o de Derecho necesarios para responder adecuadamente a tales cuestiones 18.
En el presente procedimiento, la primera cuestión prejudicial versa sobre los requisitos exigidos para el ejercicio del derecho a indemnización previsto en el artículo 82 del RGPD 19. Además, no resulta evidente que la interpretación solicitada carezca de relación con el litigio principal o que el problema planteado sea de naturaleza hipotética. En efecto, por una parte, este litigio se refiere a una pretensión de indemnización en virtud del régimen de protección de datos personales establecido por el RGPD. Por otra parte, esta cuestión prejudicial tiene por objeto determinar si, a efectos de la aplicación de las normas de responsabilidad establecidas en dicho Reglamento, es necesario que el interesado haya sufrido daños y perjuicios distintos a la infracción de este.
En lo que atañe a la segunda cuestión prejudicial, ya se ha declarado que el mero hecho de que el Tribunal de Justicia haya de pronunciarse en términos abstractos y generales no puede acarrear la inadmisibilidad de una petición de decisión prejudicial 20. Una cuestión prejudicial planteada en tales términos puede considerarse hipotética, y, por tanto, inadmisible, si la resolución de remisión no contiene un mínimo de explicaciones que permitan establecer un vínculo entre dicha cuestión y el litigio principal 21.
Ahora bien, no sucede así en el caso de autos, puesto que el órgano jurisdiccional remitente explica que su segunda cuestión prejudicial se basa en una duda acerca de si, en el marco de la cuantificación de la indemnización por daños y perjuicios que Österreichische Post podría adeudar a causa de la infracción de las disposiciones del RGPD, es necesario velar por el respeto no solo de los principios de equivalencia y de efectividad, que se mencionan en esta cuestión prejudicial, sino también de otros eventuales requisitos del Derecho de la Unión. En este contexto, la falta de indicaciones más precisas que aquellas proporcionadas por dicho órgano jurisdiccional en relación con esos principios no priva al Tribunal de Justicia de su capacidad para realizar una interpretación útil de las normas pertinentes del Derecho de la Unión.
Por consiguiente, procede declarar la admisibilidad de las cuestiones prejudiciales primera y segunda.
Sobre la primera cuestión prejudicial.
Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que basta la mera infracción de las disposiciones de dicho Reglamento para reconocer un derecho a indemnización.
A este respecto, procede recordar que, según reiterada jurisprudencia, el tenor de una disposición de Derecho de la Unión que no contenga una remisión expresa al Derecho de los Estados miembros para determinar su sentido y su alcance debe normalmente ser objeto de una interpretación autónoma y uniforme en toda la Unión 22.
Pues bien, el RGPD no remite al Derecho de los Estados miembros en relación con el sentido y el alcance de los términos que figuran en el artículo 82 de ese Reglamento, en particular en lo referido a los conceptos de “daños y perjuicios materiales o inmateriales” y de “indemnización por los daños y perjuicios sufridos”. De ello resulta que, a efectos de la aplicación de dicho Reglamento, debe considerarse que estos términos constituyen conceptos autónomos del Derecho de la Unión, que deben interpretarse de manera uniforme en todos los Estados miembros 23.
En primer lugar, en cuanto atañe al tenor del artículo 82 del RGPD, procede recordar que el apartado 1 de dicho artículo establece que: toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o [d]el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.
Por una parte, del tenor de esta disposición se desprende claramente que la existencia de “daños y perjuicios” o de “daños y perjuicios” que se han “sufrido” constituye uno de los requisitos del derecho a indemnización previsto en dicha disposición, al igual que la existencia de una infracción del RGPD y de una relación de causalidad entre dichos daños y perjuicios y esa infracción, de modo que estos tres requisitos son acumulativos.
Por lo tanto, no puede considerarse que toda “infracción” de las disposiciones del RGPD dé lugar, por sí sola, al referido derecho a una indemnización a favor del interesado, tal como se define en el artículo 4, punto 1, de dicho Reglamento: «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.. Tal interpretación sería contraria al tenor del artículo 82, apartado 1, del citado Reglamento.
Por otra parte, es preciso subrayar que la mención diferenciada de “daños y perjuicios” y de una “infracción” en el artículo 82, apartado 1, del RGPD sería superflua si el legislador de la Unión hubiera considerado que una infracción de las disposiciones de dicho Reglamento pudiera bastar, por sí sola y, en cualquier caso, para fundamentar un derecho a indemnización.
En segundo lugar, la interpretación literal anterior se ve corroborada por el contexto en el que se inscribe esta disposición.
En efecto, el artículo 82, apartado 2, del RGPD, que precisa el régimen de responsabilidad cuyo principio se establece en el apartado 1 de dicho artículo, recoge los tres requisitos necesarios para que nazca el derecho a indemnización, a saber, un tratamiento de datos personales en infracción de las disposiciones del RGPD, daños y perjuicios sufridos por el interesado y una relación de causalidad entre dicho tratamiento ilícito y esos daños y perjuicios.
Además, las precisiones aportadas por los considerandos 75, 85 y 146 del RGPD respaldan esta interpretación. Por una parte, el considerando 146, que versa específicamente sobre el derecho a indemnización previsto en el artículo 82, apartado 1, de ese Reglamento, se refiere, en su primera frase, a: cualesquiera daños y perjuicios que pueda sufrir una persona como consecuencia de un tratamiento en infracción [de dicho] Reglamento. Por otra parte, los considerandos 75 y 85 mencionan, respectivamente, que los riesgos (…) pueden deberse al tratamiento de datos que [pudiera] provocar daños y perjuicios y que las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios. De ello se desprende, en primer término, que la realización de daños y perjuicios en el marco de tal tratamiento solo es potencial; en segundo término, que la infracción del RGPD no conlleva necesariamente daños y perjuicios, y, en tercer término, que debe existir una relación de causalidad entre la infracción en cuestión y los daños y perjuicios sufridos por el interesado para fundamentar un derecho a indemnización.
La interpretación literal del artículo 82, apartado 1, del RGPD se ve corroborada, asimismo, por una comparación con otras disposiciones que figuran también en el capítulo VIII de dicho Reglamento, que regula, en particular, los distintos recursos que permiten proteger los derechos del interesado en caso de un tratamiento de sus datos personales supuestamente contrario a las disposiciones del referido Reglamento.
A este respecto, procede señalar que los artículos 77 y 78 del RGPD, contenidos en ese capítulo, establecen recursos ante o contra una autoridad de control en caso de que se alegue la infracción de dicho Reglamento, sin que se mencione que el interesado deba haber sufrido “daños y perjuicios” para poder interponer tales recursos, a diferencia de los términos empleados en el citado artículo 82 en relación con las acciones de indemnización por daños y perjuicios. Esta diferencia en la formulación revela la importancia del criterio de “daños y perjuicios” y, por tanto, su singularidad con respecto al criterio de la “infracción”, a efectos de las pretensiones de indemnización basadas en el RGPD.
Del mismo modo, los artículos 83 y 84 del RGPD, que permiten imponer multas administrativas y otras sanciones, tienen esencialmente una finalidad punitiva y no están supeditados a la existencia de daños y perjuicios individuales. La articulación entre las normas enunciadas en dicho artículo 82 y las establecidas en los citados artículos 83 y 84 demuestra que existe una diferencia entre estas dos categorías de disposiciones, pero también una complementariedad, por cuanto se trata de incentivar el respeto del RGPD; debe observarse que el derecho de toda persona a reclamar una indemnización por daños y perjuicios refuerza la operatividad de las normas de protección establecidas en dicho Reglamento y puede disuadir de la reiteración de comportamientos ilícitos.
Por último, es importante precisar que el considerando 146, cuarta frase, del RGPD indica que las normas establecidas en este se aplican sin perjuicio de cualquier reclamación por daños y perjuicios basada en la vulneración de otras normas del Derecho de la Unión o de los Estados miembros.
Habida cuenta de todas las consideraciones anteriores, procede responder a la primera cuestión prejudicial que el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que no basta la mera infracción de las disposiciones de dicho Reglamento para reconocer un derecho a indemnización.
Sobre la tercera cuestión prejudicial.
Mediante su tercera cuestión prejudicial, que procede examinar antes de la segunda cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que se opone a una norma o práctica nacional que supedita la indemnización por daños y perjuicios inmateriales, en el sentido de esta disposición, al requisito de que los daños y perjuicios sufridos por el interesado hayan alcanzado cierto grado de gravedad.
A este respecto, procede recordar que, como se ha subrayado anteriormente, el concepto de “daños y perjuicios” y, más concretamente, en el caso de autos, el concepto de “daños y perjuicios inmateriales”, en el sentido del artículo 82 del RGPD, debe recibir, teniendo en cuenta la falta de toda referencia al Derecho interno de los Estados miembros, una definición autónoma y uniforme, propia del Derecho de la Unión.
En primer lugar, el RGPD no define el concepto de “daños y perjuicios” a efectos de la aplicación de ese instrumento. El artículo 82 de este se limita a enunciar de forma explícita que no solo los “daños y perjuicios materiales” pueden dar derecho a una indemnización, sino también los “daños y perjuicios inmateriales”, sin que se mencione ningún umbral de gravedad.
En segundo lugar, el contexto en el que se inscribe esta disposición también indica que el derecho a indemnización no está supeditado a que los daños y perjuicios considerados alcancen un determinado umbral de gravedad. En efecto, el considerando 146 del RGPD establece, en su tercera frase, que: el concepto de daños y perjuicios debe interpretarse en sentido amplio a la luz de la jurisprudencia del Tribunal de Justicia, de tal modo que se respeten plenamente los objetivos [de dicho] Reglamento. Pues bien, esta acepción amplia del concepto de “daños y perjuicios”, propugnada por el legislador de la Unión, se vería contradicha si el referido concepto se limitara únicamente a los daños y perjuicios de cierta gravedad.
En tercer y último lugar, tal interpretación se ve corroborada por los fines perseguidos por el RGPD. A este respecto, es preciso recordar que el considerando 146, tercera frase, del citado Reglamento insta expresamente a que se respeten plenamente los objetivos [de dicho] Reglamento a la hora de definir, en el sentido de este, el concepto de “daños y perjuicios”.
En particular, del considerando 10 del RGPD, al señalar que para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión, el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. Debe garantizarse en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de datos de carácter personal sea coherente y homogénea. En lo que respecta al tratamiento de datos personales para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, los Estados miembros deben estar facultados para mantener o adoptar disposiciones nacionales a fin de especificar en mayor grado la aplicación de las normas del presente Reglamento. Junto con la normativa general y horizontal sobre protección de datos por la que se aplica la Directiva 95/46/CE, los Estados miembros cuentan con distintas normas sectoriales específicas en ámbitos que precisan disposiciones más específicas. El presente Reglamento reconoce también un margen de maniobra para que los Estados miembros especifiquen sus normas, inclusive para el tratamiento de categorías especiales de datos personales («datos sensibles»). En este sentido, el presente Reglamento no excluye el Derecho de los Estados miembros que determina las circunstancias relativas a situaciones específicas de tratamiento, incluida la indicación pormenorizada de las condiciones en las que el tratamiento de datos personales es lícito, se desprende que sus disposiciones tienen como objetivo, en especial, garantizar un nivel uniforme y elevado de protección de las personas físicas por lo que se refiere al tratamiento de los datos personales dentro de la Unión y, a tal efecto, garantizar en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de esas personas en relación con el tratamiento de tales datos sea coherente y homogénea 24.
Pues bien, supeditar la indemnización por daños y perjuicios inmateriales a un determinado umbral de gravedad podría menoscabar la coherencia del régimen establecido por el RGPD, puesto que la graduación de tal umbral, del que dependería la posibilidad de obtener dicha indemnización, podría fluctuar en función de la valoración de los jueces que conocieran del asunto.
No obstante, esta interpretación no puede entenderse en el sentido de que implique que un interesado afectado por una infracción del RGPD que haya tenido consecuencias negativas para él no tenga que demostrar que estas consecuencias constituyen daños y perjuicios inmateriales, en el sentido del artículo 82 de dicho Reglamento.
Con respecto al reparto de la carga de la prueba, resulta también relevante que el apartado 3 del artículo 82 del RGPD precisa que el responsable o encargado del tratamiento está exento de responsabilidad si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios, lo que refuerza el criterio de que el derecho a indemnización no depende de la culpa del responsable o encargado del tratamiento (Véanse conclusiones del Abogado General relativas al asunto pendiente C-667/21, aps. 95-100). Se considera que quien sufre el daño debe probar la existencia del daño y del vínculo causal, pero recae sobre el responsable o encargado probar que ha cumplido con lo dispuesto en el RGPD 25.
Habida cuenta de las consideraciones anteriores, procede responder a la tercera cuestión prejudicial que el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que se opone a una norma o práctica nacional que supedita la indemnización por daños y perjuicios inmateriales, en el sentido de esta disposición, al requisito de que los daños y perjuicios sufridos por el interesado hayan alcanzado cierto grado de gravedad.
Sobre la segunda cuestión prejudicial.
Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 82 del RGPD debe interpretarse en el sentido de que, a efectos de la determinación del importe de la indemnización por daños y perjuicios debida en virtud del derecho a indemnización consagrado en dicho artículo, los jueces nacionales deben aplicar las normas internas de cada Estado miembro relativas al alcance de la reparación pecuniaria, respetando no solo los principios de equivalencia y de efectividad del Derecho de la Unión 26.
A este respecto, es preciso recordar que, según reiterada jurisprudencia, a falta de normas de la Unión en la materia, corresponde al ordenamiento jurídico interno de cada Estado miembro configurar la regulación procesal de los recursos judiciales destinados a garantizar la salvaguardia de los derechos de los justiciables, en virtud del principio de autonomía procesal, a condición, sin embargo, de que dicha regulación no sea menos favorable que la que rige situaciones similares de carácter interno (principio de equivalencia) y de que no haga imposible en la práctica o excesivamente difícil el ejercicio de los derechos que confiere el ordenamiento jurídico de la Unión (principio de efectividad) 27.
En el caso de autos, procede señalar que el RGPD no contiene ninguna disposición que tenga por objeto establecer las normas relativas a la cuantificación de la indemnización por daños y perjuicios a la que tiene derecho el interesado, en el sentido del artículo 4, punto 1, de dicho Reglamento, en virtud del artículo 82 de este, cuando una infracción de ese mismo Reglamento le haya causado daños y perjuicios. Por lo tanto, en ausencia de normas del Derecho de la Unión en la materia, corresponde al ordenamiento jurídico interno de cada Estado miembro establecer los tipos de acciones que permitan garantizar los derechos que confiere el citado artículo 82 a los justiciables y, en particular, los criterios que permitan determinar la cuantía de la indemnización debida en este contexto, siempre que se respeten los principios de equivalencia y de efectividad 28.
En cuanto al principio de equivalencia, en el presente procedimiento el Tribunal de Justicia no dispone de ningún elemento que pueda suscitar dudas sobre la conformidad de una normativa nacional aplicable al litigio principal con dicho principio y que, por tanto, indique que tal principio pueda tener una incidencia concreta en ese litigio.
Por lo que respecta al principio de efectividad, corresponde al órgano jurisdiccional remitente apreciar si los criterios previstos en el Derecho austriaco para la determinación judicial de los daños y perjuicios debidos en virtud del derecho a indemnización consagrado en el artículo 82 del RGPD no hacen imposible en la práctica o excesivamente difícil el ejercicio de los derechos conferidos por el Derecho de la Unión y, más concretamente, por dicho Reglamento.
En este contexto, procede subrayar que el considerando 146, sexta frase, del RGPD indica que este instrumento tiene por objeto garantizar una indemnización total y efectiva por los daños y perjuicios sufridos.
A tal respecto, a la vista de la función compensatoria del derecho a indemnización previsto en el artículo 82 del RGPD, una indemnización pecuniaria basada en esta disposición debe considerarse “total y efectiva” si permite compensar íntegramente los concretos daños y perjuicios sufridos como consecuencia de la infracción de dicho Reglamento, sin que sea necesario, a efectos de tal compensación íntegra, imponer el pago de indemnizaciones de carácter punitivo. Con respecto a las situaciones en las que más de un responsable o encargado del tratamiento han participado en la misma operación de tratamiento y son responsables de cualquier daño o perjuicio causado, cabe recordar que los apartados 4 y 5 del artículo 82 del RGPD precisan que, para garantizar la indemnización del interesado, cada responsable o encargado será considerado responsable de todos los daños y perjuicios, si bien en caso de pagar la indemnización total tendrá derecho a reclamar a los demás responsables o encargados la parte de la indemnización correspondiente a su parte de la responsabilidad. Por su parte, el art. 30. 2º de la LOPDGDD establece que en caso de exigencia de responsabilidad en los términos previstos en el artículo 82 del RGPD, “los responsables, encargados y representantes responderán solidariamente de los daños y perjuicios causados”. La amplia formulación de esta norma de la LOPDGDD plantea riesgos de descoordinación el RGPD (por ejemplo, a la luz de sus considerandos 80 y 146 y de sus artículos 27, 79 y 82) 29.
Habida cuenta de todas las consideraciones anteriores, procede responder a la segunda cuestión prejudicial que el artículo 82 del RGPD debe interpretarse en el sentido de que, a efectos de la determinación del importe de la indemnización por daños y perjuicios debida en virtud del derecho a indemnización consagrado en dicho artículo, los jueces nacionales deben aplicar las normas internas de cada Estado miembro relativas al alcance de la reparación pecuniaria, siempre que se respeten los principios de equivalencia y de efectividad del Derecho de la Unión 30.
En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Tercera) declara:
a) En primer lugar, que el artículo 82, apartado 1 del RGPD debe interpretarse en el sentido de que el derecho a indemnización está supeditado de forma unívoca a tres requisitos acumulativos: una infracción del RGPD, unos daños y perjuicios materiales o inmateriales consecuencia de esa infracción y una relación de causalidad entre los daños y perjuicios y la infracción. Por lo tanto, no toda infracción del Reglamento da lugar, por sí sola, al derecho a indemnización. Otra interpretación sería contraria al claro tenor del RGPD. Además, con arreglo a lo expuesto en los considerandos del propio RGPD relativos, en concreto, al derecho a indemnización, la infracción del Reglamento no conlleva necesariamente daños y perjuicios, y debe existir una relación de causalidad entre la infracción en cuestión y los daños y perjuicios sufridos para fundamentar un derecho a indemnización. De este modo, la reclamación de daños y perjuicios se diferencia de otros recursos previstos por el RGPD, en particular, de aquellos que permiten imponer multas administrativas, para los que no es necesario demostrar la existencia de daños y perjuicios individuales.
b) En segundo lugar, que el artículo 82, apartado 1 del RGPD también debe interpretarse en el sentido de que el derecho a indemnización no se limita a daños y perjuicios inmateriales que alcancen un determinado umbral de gravedad. El Reglamento no establece esa exigencia y semejante restricción sería contraria a la acepción amplia del concepto de “daños y perjuicios” utilizada por el legislador de la Unión. Además, supeditar la indemnización por daños y perjuicios inmateriales a un determinado umbral de gravedad podría menoscabar la coherencia del régimen establecido por el RGPD. De hecho, la graduación de la que dependería la posibilidad de obtener dicha indemnización podría fluctuar en función de la valoración de los jueces que conocieran del asunto.
c) En tercer y último lugar, por lo que atañe a las normas relativas a la cuantificación de la indemnización por daños y perjuicios consagrado en el artículo 82 del RGPD, debe interpretarse en el sentido de que no contiene disposiciones al respecto. Por tanto, corresponde al ordenamiento jurídico interno de cada Estado miembro establecer los tipos de acciones que permitan garantizar los derechos que confiere el Reglamento a los justiciables y, en particular, los criterios que permitan determinar la cuantía de la indemnización debida en este contexto, siempre que se respeten los principios de equivalencia y de efectividad del Derecho de la Unión. Sobre este particular, el Tribunal de Justicia subraya la función compensatoria del derecho a indemnización previsto en el RGPD y recuerda que dicho instrumento tiene por objeto garantizar una indemnización total y efectiva por los daños y perjuicios sufridos.
ARENAS RAMIRO, M.; ORTEGA GIMÉNEZ, A. (Dirs.) y otros, Comentarios a la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (en relación con el RGPD), Editorial Jurídica Sepín, S.L., Madrid (España), 2019.
DE MIGUEL ASENSIO, P.A., “Requisitos del derecho a indemnización en el Reglamento General de Protección de Datos”, en La Ley Unión Europea, Nº 115, Editorial LA LEY, Madrid (España), junio de 2023, pp. 1-8.
—, Conflict of Laws and the Internet, Cheltenham, Edward Elgar, 2020.
MENEZES CORDEIRO, A.B., Civil Liability for Processing of Personal Data in the GDPR, European Data Protection Law Review, vol. 5, 2019, pp. 492-499.
ORTEGA GIMÉNEZ, Alfonso, Código Universitario de Derecho Internacional Privado. Tomos I y II, Boletín Oficial del Estado, Madrid, 2023.
ORTEGA GIMÉNEZ, A. (Dir.) y HEREDIA SÁNCHEZ, L.S. (Coord), Problemas que el COVID-19 plantea en el binomio transparencia y protección de datos. Aportación de soluciones prácticas desde la ciencia jurídica, Editorial Thomson Reuters Aranzadi, Cizur Menor (Navarra), 2022.
ORTEGA GIMÉNEZ, A., El intercambio de datos de carácter personal como paradigma de desarrollo de una economía global. Desde la óptica del Derecho internacional privado, Monografía, Editorial Thomson Reuters Aranzadi, Cizur Menor (Navarra), 2022.
—, El nuevo régimen jurídico de la Unión Europea para las empresas en materia de protección de datos de carácter personal, Thomson Reuters Aranzadi, Cizur Menor (Navarra), 2017.
ORTEGA GIMÉNEZ, A. (Dir.); HEREDIA SÁNCHEZ, L.S.; y LORENTE MARTÍNEZ, I. (Coords.), Problemas que el COVID-19 plantea en el trinomio protección de datos, transferencia y movilidad. Aportación de soluciones prácticas desde la ciencia jurídica, Editorial Thomson Reuters Aranzadi, Cizur Menor (Navarra), abril 2021.
ORTEGA GIMÉNEZ, A. y CASTELLANOS CABEZUELO, A., Comercio Internacional, Empresa y Protección de Datos de Carácter Personal. Adaptación práctica, Formación Alcalá, Alcalá la Real (Jaén), junio 2020.
RODRÍGUEZ PINEAU, E. y TORRALBA MENDIOLA, E., Delimitación del Derecho aplicable en el Reglamento 2016/679: tutela jurídico privada de la protección de datos, Tirant lo Blanch, Valencia, 2023.
SANCHO VILLA, D., Negocios internacionales de tratamiento de datos personales, Navarra, Civitas, 2010.
—, Transferencia internacional de datos personales, Agencia de Protección de Datos, Madrid, 2003.
* Profesor Titular de Derecho internacional privado de la Universidad Miguel Hernández de Elche y Consejero Académico del despacho profesional GRUPO ASESOR ROS https://www.rosgrupoasesor.es Correo-e: alfonso.ortega@umh.es ORCID: 0000-0002-8313-2070
El presente trabajo no ha contado con ninguna financiación directa o indirecta procedente de entidad alguna, pública o privada, con o sin ánimo de lucro.
1 En principio, será solo la primera sentencia de varias, habida cuenta de la creciente importancia de la tutela privada del RGPD y de las dificultades inherentes a la escueta redacción de esa disposición que ocupa un papel central a esos efectos. Resulta muy ilustrativo el cúmulo de referencias prejudiciales relativas a la interpretación del artículo 82 del RGPD que se encuentran ya pendientes ante el Tribunal de Justicia, entre las que cabe reseñar las de los asuntos C-590/22, PS; C-741/21, juris; C-687/21, Saturn Electro (cuestionando incluso la validez del artículo 82 RGPD por su indeterminación en cuanto a las consecuencias en materia de indemnización por daños y perjuicios inmateriales); y, C-667/21, Krankenversicherung Nordrhein.
2 DOUE núm. 119 de 4 de mayo de 2016, p.1.
3 Artículo 82 del RGPD: 1. Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos. 2.Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento. Un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del presente Reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable. 3. El responsable o encargado del tratamiento estará exento de responsabilidad en virtud del apartado 2 si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios. 4.Cuando más de un responsable o encargado del tratamiento, o un responsable y un encargado hayan participado en la misma operación de tratamiento y sean, con arreglo a los apartados 2 y 3, responsables de cualquier daño o perjuicio causado por dicho tratamiento, cada responsable o encargado será considerado responsable de todos los daños y perjuicios, a fin de garantizar la indemnización efectiva del interesado. 5.Cuando, de conformidad con el apartado 4, un responsable o encargado del tratamiento haya pagado una indemnización total por el perjuicio ocasionado, dicho responsable o encargado tendrá derecho a reclamar a los demás responsables o encargados que hayan participado en esa misma operación de tratamiento la parte de la indemnización correspondiente a su parte de responsabilidad por los daños y perjuicios causados, de conformidad con las condiciones fijadas en el apartado 2. 6.Las acciones judiciales en ejercicio del derecho a indemnización se presentarán ante los tribunales competentes con arreglo al Derecho del Estado miembro que se indica en el artículo 79, apartado 2.
4 Vid., DE MIGUEL ASENSIO, P.A., “Requisitos del derecho a indemnización en el Reglamento General de Protección de Datos”, en La Ley Unión Europea, Nº 115, Editorial LA LEY, Madrid (España), junio de 2023, p. 4: La aplicación privada es la que resulta de lo dispuesto en el artículo 79 del RGPD —siendo paradigmáticas las acciones judiciales tendentes a la reparación de los daños y perjuicios con base en su artículo 82—, mientras que los artículos 77 y 78 del RGPD (junto con la normativa reguladora de las funciones y poderes de las autoridades de control) contemplan la aplicación pública (aunque en el caso del artículo 77 tenga lugar como consecuencia de la reclamación de un interesado). Como ya había puesto de relieve el Tribunal de Justicia, se trata de dos vías de tutela que “pueden ejercerse de manera concurrente e independiente”, sin que entre ellas exista relación jerárquica o excluyente alguna (véase, STJUE de 12 de enero de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C-132/21, EU:C:2023:2, ap. 35).
5 Vid., DE MIGUEL ASENSIO, P.A., “Requisitos del derecho a indemnización en el Reglamento General de Protección de Datos”, en La Ley Unión Europea, N.º 115, Editorial LA LEY, Madrid (España), junio de 2023, p. 3: Tal planteamiento acerca de los requisitos a los que se subordina el derecho a indemnización se considera coherente con la existencia junto a la tutela privada del derecho a la protección de datos, en el que como ha quedado reseñado se inserta el derecho del interesado a ser indemnizado establecido en el artículo 82 del RGPD, de la tutela jurídico-pública. Ambas resultan complementarias. Como es conocido, la tutela jurídico-privada tiene su reflejo especialmente en la previsión en el artículo 79 del RGPD, relativo al derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento, como vía para el ejercicio de las acciones de indemnización, eventualmente junto a otras, por ejemplo, de cesación. Esa disposición precisa que el mencionado derecho a la tutela judicial opera “(s)in perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77”. Además, el artículo 78 del RGPD recoge el derecho de toda persona a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna.
6 Artículo 77 del RGPD: 1. Sin perjuicio de cualquier otro recurso administrativo o acción judicial, todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento. 2.La autoridad de control ante la que se haya presentado la reclamación informará al reclamante sobre el curso y el resultado de la reclamación, inclusive sobre la posibilidad de acceder a la tutela judicial en virtud del artículo 78.
7 Artículo 78 del RGPD: 1. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica tendrá derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna. 2.Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, todo interesado tendrá derecho a la tutela judicial efectiva en caso de que la autoridad de control que sea competente en virtud de los artículos 55 y 56 no dé curso a una reclamación o no informe al interesado en el plazo de tres meses sobre el curso o el resultado de la reclamación presentada en virtud del artículo 77. 3.Las acciones contra una autoridad de control deberán ejercitarse ante los tribunales del Estado miembro en que esté establecida la autoridad de control. 4.Cuando se ejerciten acciones contra una decisión de una autoridad de control que haya sido precedida de un dictamen o una decisión del Comité en el marco del mecanismo de coherencia, la autoridad de control remitirá al tribunal dicho dictamen o decisión.
8 Vid., v.gr., STS Civ 1ª 5 de abril de 2016, ES:TS:2016:1280, en relación con el llamado derecho al olvido.
9 Considerando 75 del RGPD: Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen el origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas; en los casos en los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales; en los casos en los que se traten datos personales de personas vulnerables, en particular niños; o en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados.
10 Considerando 85 del RGPD: Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión. Por consiguiente, tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, el responsable debe, sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, notificar la violación de la seguridad de los datos personales a la autoridad de control competente, a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas. Si dicha notificación no es posible en el plazo de 72 horas, debe acompañarse de una indicación de los motivos de la dilación, pudiendo facilitarse información por fases sin más dilación indebida.
11 Considerando 146 del RGPD: El responsable o el encargado del tratamiento debe indemnizar cualesquiera daños y perjuicios que pueda sufrir una persona como consecuencia de un tratamiento en infracción del presente Reglamento. El responsable o el encargado deben quedar exentos de responsabilidad si se demuestra que en modo alguno son responsables de los daños y perjuicios. El concepto de daños y perjuicios debe interpretarse en sentido amplio a la luz de la jurisprudencia del Tribunal de Justicia, de tal modo que se respeten plenamente los objetivos del presente Reglamento. Lo anterior se entiende sin perjuicio de cualquier reclamación por daños y perjuicios derivada de la vulneración de otras normas del Derecho de la Unión o de los Estados miembros. Un tratamiento en infracción del presente Reglamento también incluye aquel tratamiento que infringe actos delegados y de ejecución adoptados de conformidad con el presente Reglamento y el Derecho de los Estados miembros que especifique las normas del presente Reglamento. Los interesados deben recibir una indemnización total y efectiva por los daños y perjuicios sufridos. Si los responsables o encargados participan en el mismo tratamiento, cada responsable o encargado debe ser considerado responsable de la totalidad de los daños y perjuicios. No obstante, si se acumulan en la misma causa de conformidad con el Derecho de los Estados miembros, la indemnización puede prorratearse en función de la responsabilidad de cada responsable o encargado por los daños y perjuicios causados por el tratamiento, siempre que se garantice la indemnización total y efectiva del interesado que sufrió los daños y perjuicios. Todo responsable o encargado que haya abonado la totalidad de la indemnización puede interponer recurso posteriormente contra otros responsables o encargados que hayan participado en el mismo tratamiento.
12 Vid., en sentido amplio, MENEZES CORDEIRO, A.B., Civil Liability for Processing of Personal Data in the GDPR, European Data Protection Law Review, vol. 5, 2019, pp. 492-499.
13 Vid., en este sentido, ARENAS RAMIRO, M.; ORTEGA GIMÉNEZ, A. (Dirs.) y otros, Comentarios a la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (en relación con el RGPD), Editorial Jurídica Sepín, S.L., Madrid (España), 2019.
14 Artículo 83 del RGPD: 1. Cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al presente artículo por las infracciones del presente Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias. 2.Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta: a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido; b) la intencionalidad o negligencia en la infracción; c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados; d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32; e) toda infracción anterior cometida por el responsable o el encargado del tratamiento; f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción; g) las categorías de los datos de carácter personal afectados por la infracción; h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida; i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas; j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42, y k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción. 3.Si un responsable o un encargado del tratamiento incumpliera de forma intencionada o negligente, para las mismas operaciones de tratamiento u operaciones vinculadas, diversas disposiciones del presente Reglamento, la cuantía total de la multa administrativa no será superior a la cuantía prevista para las infracciones más graves. 4.Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 por cien como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43; b) las obligaciones de los organismos de certificación a tenor de los artículos 42 y 43; c) las obligaciones de la autoridad de control a tenor del artículo 41, apartado 4. 5.Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 por cien como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9; b) los derechos de los interesados a tenor de los artículos 12 a 22; c) las transferencias de datos personales a un destinatario en un tercer país o una organización internacional a tenor de los artículos 44 a 49; d) toda obligación en virtud del Derecho de los Estados miembros que se adopte con arreglo al capítulo IX; e) el incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control con arreglo al artículo 58, apartado 2, o el no facilitar acceso en incumplimiento del artículo 58, apartado 1. 6.El incumplimiento de las resoluciones de la autoridad de control a tenor del artículo 58, apartado 2, se sancionará de acuerdo con el apartado 2 del presente artículo con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 por cien como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. 7.Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro. 8.El ejercicio por una autoridad de control de sus poderes en virtud del presente artículo estará sujeto a garantías procesales adecuadas de conformidad con el Derecho de la Unión y de los Estados miembros, entre ellas la tutela judicial efectiva y el respeto de las garantías procesales. 9.Cuando el ordenamiento jurídico de un Estado miembro no establezca multas administrativas, el presente artículo podrá aplicarse de tal modo que la incoación de la multa corresponda a la autoridad de control competente y su imposición a los tribunales nacionales competentes, garantizando al mismo tiempo que estas vías de derecho sean efectivas y tengan un efecto equivalente a las multas administrativas impuestas por las autoridades de control. En cualquier caso, las multas impuestas serán efectivas, proporcionadas y disuasorias. Los Estados miembros de que se trate notificarán a la Comisión las disposiciones legislativas que adopten en virtud del presente apartado a más tardar el 25 de mayo de 2018 y, sin dilación, cualquier ley de modificación o modificación posterior que les sea aplicable.
15 Artículo 84 del RGPD: 1. Los Estados miembros establecerán las normas en materia de otras sanciones aplicables a las infracciones del presente Reglamento, en particular las infracciones que no se sancionen con multas administrativas de conformidad con el artículo 83, y adoptarán todas las medidas necesarias para garantizar su observancia. Dichas sanciones serán efectivas, proporcionadas y disuasorias. 2.Cada Estado miembro notificará a la Comisión las disposiciones legislativas que adopte de conformidad con el apartado 1 a más tardar el 25 de mayo de 2018 y, sin dilación, cualquier modificación posterior que les sea aplicable.
16 Vid., en este sentido, ORTEGA GIMÉNEZ, A. y CASTELLANOS CABEZUELO, A., Comercio Internacional, Empresa y Protección de Datos de Carácter Personal. Adaptación práctica, Formación Alcalá, Alcalá la Real (Jaén), junio 2020.
17 Vid., en este sentido, ORTEGA GIMÉNEZ, A., El intercambio de datos de carácter personal como paradigma de desarrollo de una economía global. Desde la óptica del Derecho internacional privado, Monografía, Editorial Thomson Reuters Aranzadi, Cizur Menor (Navarra), 2022.
18 Vid., en este sentido, las sentencias de 15 de diciembre de 1995, Bosman, C 415/93, EU: C: 1995:463, apartado 61; de 7 de septiembre de 1999, Beck y Bergdorf, C 355/97, EU: C: 1999:391, apartado 22, y de 5 de mayo de 2022, Zagrebačka banka, C 567/20, EU: C: 2022:352, apartado 43 y jurisprudencia citada.
19 Vid., en sentido particular sobre los requisitos del derecho a ser indemnizado, DE MIGUEL ASENSIO, P.A., “Requisitos del derecho a indemnización en el Reglamento General de Protección de Datos”, en La Ley Unión Europea, Nº 115, Editorial LA LEY, Madrid (España), junio de 2023, pp. 3-4.
20 Vid. Sentencia de 15 noviembre de 2007, International Mail Spain, C 162/06, EU: C: 2007:681, apartado 24.
21 Vid., en este sentido, la sentencia de 8 de julio de 2021, Sanresa, C 295/20, EU: C: 2021:556, apartados 69 y 70.
22 Vid. Sentencias de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C 439/19, EU:C:2021:504, apartado 81, y de 10 de febrero de 2022, ShareWood Switzerland, C 595/20, EU:C:2022:86, apartado 21, que debe buscarse, en particular, teniendo en cuenta el tenor de la disposición en cuestión y el contexto en el que se inscribe (véanse, en este sentido, las sentencias de 15 de abril de 2021, The North of England P & I Association, C 786/19, EU:C:2021:276, apartado 48, y de 10 de junio de 2021, KRONE — Verlag, C 65/20, EU:C:2021:471, apartado 25).
23 Vid., en sentido particular sobre la ausencia de un cierto umbral o grado de gravedad mínimo, DE MIGUEL ASENSIO, P.A., “Requisitos del derecho a indemnización en el Reglamento General de Protección de Datos”, en La Ley Unión Europea, Nº 115, Editorial LA LEY, Madrid (España), junio de 2023, pp. 4-5.
24 Vid.: En este sentido, las sentencias de 16 de julio de 2020, Facebook Ireland y Schrems, C 311/18, EU:C:2020:559, apartado 101, y de 12 de enero de 2023, Österreichische Post (Información relativa a los destinatarios de datos personales), C 154/21, EU:C:2023:3, apartado 44 y jurisprudencia citada.
25 Vid., DE MIGUEL ASENSIO, P.A., “Requisitos del derecho a indemnización en el Reglamento General de Protección de Datos”, en La Ley Unión Europea, Nº 115, Editorial LA LEY, Madrid (España), junio de 2023, p. 5 y A.B. Menezes Cordeiro, “Civil Liability for Processing of Personal Data in the GDPR”, European Data Protection Law Review, vol. 5, 2019, pp. 492-499, p. 498.
26 Vid., en sentido particular sobre la determinación del importe de la indemnización, DE MIGUEL ASENSIO, P.A., “Requisitos del derecho a indemnización en el Reglamento General de Protección de Datos”, en La Ley Unión Europea, Nº 115, Editorial LA LEY, Madrid (España), junio de 2023, pp. 5-6.
27 Vid., en este sentido, las sentencias de 13 de diciembre de 2017, El Hassani, C 403/16, EU: C: 2017:960, apartado 26, y de 15 de septiembre de 2022, Uniqa Versicherungen, C 18/21, EU: C: 2022:682, apartado 36.
28 Vid., por analogía, la sentencia de 13 de julio de 2006, Manfredi y otros, C 295/04 a C 298/04, EU: C: 2006:461, apartados 92 y 98.
29 Vid., DE MIGUEL ASENSIO, P. A., “Requisitos del derecho a indemnización en el Reglamento General de Protección de Datos”, en La Ley Unión Europea, Nº 115, Editorial LA LEY, Madrid (España), junio de 2023, p. 5.
30 Vid., en sentido particular sobre la interacción entre el RGPD y las legislaciones de los Estados miembros, DE MIGUEL ASENSIO, P.A., “Requisitos del derecho a indemnización en el Reglamento General de Protección de Datos”, en La Ley Unión Europea, Nº 115, Editorial LA LEY, Madrid (España), junio de 2023, pp. 6-7.