LA TUTELA CIVIL DE LA PROTECCIÓN DE DATOS
La indemnización ex art. 82 del Reglamento General de Protección de Datos.
Arnau Gómez Echeverría - Entrada Nº3.
Introducción.
El artículo 82 del Reglamento General de Protección de Datos, aplicable directamente en los Estados Miembros dada su naturaleza (principio básico de Derecho de la UE), establece, bajo el título “derecho a indemnización y responsabilidad”, que “toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos”.
No obstante, a pesar de esta previsión en la normativa comunitaria de Protección de Datos, y a pesar de su aplicabilidad directa por razón de la propia naturaleza del Reglamento, a día de hoy (de momento, quiero decir) no hay ninguna resolución civil que reconozca una indemnización en materia de Protección de Datos. En esta tercera Entrada se analizará la viabilidad de accionar ex art. 82 RGPD, teniendo en consideración, la postura del TJUE respecto del referido artículo (conclusiones Abogado General TJUE en el Asunto C-300/21 - UI contra Österreichische Post AG), y se tratará de dar respuesta a la siguiente pregunta: ¿Es suficiente el mero incumplimiento de la normativa comunitaria de Protección de Datos para colmar las exigencias indemnizatorias del art. 82 RGPD, o es preciso un daño concreto, sea este material o inmaterial?
Antecedentes. El Asunto C-300/21 - UI contra Österreichische Post AG.
Österreichische Post AG, una empresa austríaca que se dedica a editar guías de direcciones, recogió, a partir de 2017, información sobre las afinidades políticas de la población austríaca, para, posteriormente, procesar dicha información mediante un algoritmo, que, haciendo uso de ciertas variables sociodemográficas, era capaz de poder definir las “direcciones de los grupos destinatarios” de publicidad electoral.
UI es una persona física sobre la que la editora austríaca aplicó el referido algoritmo, para determinar su clasificación dentro de los potenciales grupos destinatarios de publicidad electoral. Del análisis y extrapolación de datos dimanantes del algoritmo, pudo determinarse como UI presentaba una elevada afinidad con un partido político en concreto. No obstante, UI que en ningún momento había dado su consentimiento para el tratamiento de sus datos personales, (art. 6.1 a. RGPD.- Licitud del tratamiento; consentimiento del interesado) se sintió contrariado y ofendido, como consecuencia de la conservación -y posterior tratamiento- de datos personales (sensibles), relativos a sus simpatías políticas.
Como consecuencia de tal indignación, UI acudió a los Tribunales, haciendo uso de la acción prevista en el artículo 82 del Reglamento General de Protección de Datos, solicitando, en su virtud, una indemnización de 1000 euros, por daños y perjuicios inmateriales, consistentes en un “malestar interno”. UI alegaba que la “afinidad política asignada es un insulto y una vergüenza, además de ocasionar un daño a su buen nombre, y que la conducta de la editora le ha causado un sentimiento de exposición pública.”
El tribunal de primera instancia desestimó la pretensión de indemnización de UI, y el Tribunal de apelación confirmó la sentencia de primera instancia, declarando que “una indemnización por daños y perjuicios inmateriales no acompaña automáticamente a toda infracción del RGPD.”
La sentencia del tribunal de apelación fue recurrida ante el Oberster Gerichtshof (Tribunal Supremo de lo civil y penal, Austria), que, a su vez, elevó al Tribunal de Justicia una serie de cuestiones prejudiciales. A los efectos de esta Entrada, es la siguiente pregunta la que interesa especialmente: ¿El reconocimiento del derecho a una indemnización por daños y perjuicios con arreglo al artículo 82 del RGPD […], además de una violación de las disposiciones del RGPD exige que el demandante haya sufrido daños y perjuicios, o la violación de las disposiciones del RGPD es suficiente por sí misma para el reconocimiento del derecho a una indemnización por daños y perjuicios?
La naturaleza acumulatoria de la indemnización ex art. 82 del RGPD y las Conclusiones del Abogado General TJUE. ¿Es suficiente el mero incumplimiento del RGDP para colmar las exigencias indemnizatorias del art. 82 RGPD?
La acción que el Reglamento General de Protección de Datos prevé en su artículo 82 es acumulable a otras acciones indemnizatorias. En este sentido, El artículo 79 del Reglamento («Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento»), apartado 1, establece que “sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77, todo interesado tendrá derecho a la tutela judicial efectiva cuando considere que sus derechos en virtud del presente Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales.”
En la misma línea, y sin salirnos de la órbita de la acumulación, el considerando 146 del RGPD establece que “el concepto de daños y perjuicios debe interpretarse en sentido amplio a la luz de la jurispru dencia del Tribunal de Justicia, de tal modo que se respeten plenamente los objetivos del presente Reglamento. Lo anterior se entiende sin perjuicio de cualquier reclamación por daños y perjuicios derivada de la vulneración de otras normas del Derecho de la Unión o de los Estados miembros.”
Al margen de todo lo anterior, y para dar respuesta a la pregunta que se ha planteado al principio de esta Entrada, han de tenerse en especial consideración las conclusiones del Abogado General Manuel Campos Sánchez Bordona, en el seno del Asunto C-300/21 - UI contra Österreichische Post AG. (Adjunto link directo: https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:62021CC0300). ¿Es suficiente el mero incumplimiento de la normativa comunitaria de Protección de Datos para colmar las exigencias indemnizatorias del art. 82 RGPD, o es preciso un daño concreto, sea este material o inmaterial?
En líneas generales, de las conclusiones del Abogado General que han sido referidas, se extrae que la mera vulneración de la normativa comunitaria de Protección de Datos no es suficiente para accionar ex art. 82 RGPD, exigiéndose así no sólo una molestia o un mero sentimiento de desagrado en el interesado, sino un efectivo daño, que habrá de ser acreditado por quien demande la tutela jurisdiccional. Se analizan, seguidamente, los argumentos principales del Abogado General M. Campos Sánchez Bordona, en el Asunto C-300/21 - UI contra Österreichische Post AG.
En el marco de la cuestión prejudicial en que se desenvuelve el Asunto, el Abogado General, mediante sus conclusiones, aclara al tribunal de reenvío si en el RGPD, el reconocimiento de los daños y perjuicios inmateriales se condiciona a una «vulneración de derechos que tenga al menos cierto peso y que vaya más allá de la contrariedad causada por la misma». En este sentido, el Abogado General considera que “a la (…) pregunta prejudicial se debe responder en sentido afirmativo.” Analicemos en que fundamenta su respuesta.
I. En primer lugar, el AG del TJUE pone de manifiesto la diversidad de objetivos de la normativa comunitaria en materia de Protección de Datos, haciendo constar que “el RGPD no tiene como único objetivo la salvaguarda del derecho fundamental a la protección de datos personales,” añadiendo que “su sistema de garantías incorpora mecanismos de tipología diversa.”
II. Principalmente, el AG del TJUE fundamenta su argumentación en que, “como regla, cualquier violación de una norma sobre protección de datos personales generará alguna reacción negativa del interesado. Una indemnización derivada del mero sentimiento de desagrado ante la falta de respeto ajeno por la ley se confunde fácilmente con una compensación sin daño, que ya he rechazado antes.” Es decir, el sistema de responsabilidad civil que se esructura bajo la normativa comunitaria no prevé la llamada “indemnización sin daño”, y exige, en todo caso, que quien demande la tutela jurisdiccional como consecuiencia de un incumplimiento de la normativa comunitaria sea capaz, como mínimo, de acreditar un daño concreto. |
Al hilo de lo anterior, el AG Manuel Campos Sánchez Bordona pone de manifiesto la delgada línea que separa dos conceptos que, muchas veces, pueden llegar a diluirse entre sí: “es pertinente la distinción, sugerida al Tribunal de Justicia, entre daños inmateriales indemnizables y otros inconvenientes derivados de la falta de respeto a la legalidad que, por su escasa entidad, no necesariamente darían derecho a compensación.”
III. Con todo, y a la espera de lo que resuelva el TJUE sobre la cuestión, el Abogado General del TJUE M. Campos Sánchez, considera que, la interpretación que merece el artículo 82 del Reglamento General de Protección de Datos es la que sigue:
“Para el reconocimiento del derecho a una indemnización por daños y perjuicios sufridos por una persona como consecuencia de una vulneración del mencionado Reglamento no es suficiente la mera infracción de la norma, por sí misma, si no va acompañada de los correspondientes daños y perjuicios, materiales o inmateriales.”
(…)
“La indemnización de los daños y perjuicios inmateriales que regula no se extiende a la mera contrariedad que la persona afectada pueda sentir a causa de la infracción de los preceptos del Reglamento 2016/679. Compete a los órganos jurisdiccionales nacionales discernir cuándo, por sus características, la sensación subjetiva de desagrado puede reputarse, en cada caso, un daño y perjuicio inmaterial.”
Para concluir…
Es innegable que el artículo 82 del Reglamento General de Protección de Datos reconoce un remedio uniforme de responsabilidad -civil- en todo el territorio de la UE. No obstante, este régimen de responsabilidad deberá ser aplicado por los tribunales de cada uno de los Estados Miembro, con arreglo a sus reglas procesales, pero sobre todo, y en lo que se refiere a la delimitación y concreción del daño concreto, el régimen que dimana del artículo 82 RGPD deberá adecuarse a las las reglas sustantivas internas, bajo la influencia de la experiencia acumulada en esta materia (RC) en cada jurisdicción. (En este sentido, es interesante el asunto C-33/76, sobre el Principio de Autonomía en Derecho UE)
Con todo, y sintetizando, el artículo 82 del Reglamento General de Protección de Datos contiene un régimen de responsabilidad que es de aplicación directa en todos y cada uno de los Estados Miembro de la UE, pero su prosperabilidad está supeditada a que el reclamante acredite los siguientes extremos: A) La condición de responsable o encargado del tratamiento de la persona a quien se reclama; B) una infracción de la normativa sobre protección de datos personales prevista en el RGPD; C) daños y perjuicios (bien materiales, bien inmateriales, pero concretos) que dicha infracción le ha causado al reclamante; y D) un nexo causal, o si se prefiere, la relación de causalidad entre la infracción cometida y el resultado dañoso. No hemos de olvidar que se trata de requisitos cumulativos, esto es, que es necesaria la concurrencia de todos y cada uno de ellos para que la reclamación en vía judicial tenga posibilidades de prosperar.
Por tanto, no parece en absoluto viable, accionar ex art. 82 RGPD, basando nuestra demanda o pretensión en un mero incumplimiento de la normativa comunitaria de Protección de Datos, ya que, si no acreditamos un daño concreto, (al margen de un incumplimiento de la normativa comunitaria de Protección de Datos) el interesado no podrá gozar de la tutela jurisdiccional que solicita y pretende se haga efectiva.
No hay comentarios:
Publicar un comentario