A partir de 2017, Österreichische Post recabó información sobre las afinidades políticas de la población austriaca. Con ayuda de un algoritmo, definió «direcciones de grupos de destinatarios» según criterios sociales y demográficos. Los datos así obtenidos llevaron a Österreichische Post a concluir que un determinado ciudadano tenía una elevada afinidad con cierto partido político austriaco. En cambio, los datos tratados no fueron transmitidos a terceros.
El ciudadano de que se trata, que no había consentido el tratamiento de sus datos personales, afirma haber sufrido una importante contrariedad, una pérdida de confianza y un sentimiento de humillación por el hecho de que se le hubiera atribuido una especial afinidad con el partido en cuestión. Reclama ante los órganos jurisdiccionales austriacos un importe de 1.000 euros en concepto de indemnización por los daños y perjuicios inmateriales que afirma haber sufrido.
El Tribunal Supremo de lo Civil y Penal austriaco ha expresado sus dudas por lo que respecta al alcance del derecho a indemnización que el Reglamento general de protección de datos 1 establece en caso de daños materiales o inmateriales como consecuencia de una infracción de ese Reglamento. Dicho órgano jurisdiccional pregunta al Tribunal de Justicia si la mera infracción del RGPD basta para reconocer ese derecho y si solo cabe la indemnización cuando los daños y perjuicios superen cierto grado de gravedad. Asimismo, desea saber cuáles son las exigencias del Derecho de la Unión en relación con la determinación del importe de la indemnización por daños y perjuicios.
En su sentencia dictada hoy, el Tribunal de Justicia declara, en primer lugar, que el derecho a indemnización establecido por el RGPD está supeditado de forma unívoca a tres requisitos acumulativos: una infracción del RGPD, unos daños y perjuicios materiales o inmateriales consecuencia de esa infracción y una relación de causalidad entre los daños y perjuicios y la infracción. Por lo tanto, no toda infracción del RGPD da lugar, por sí sola, al derecho a indemnización. Otra interpretación sería contraria al claro tenor del RGPD. Además, con arreglo a lo expuesto en los considerandos del RGPD relativos, en concreto, al derecho a indemnización, la infracción del Reglamento no conlleva necesariamente daños y perjuicios, y debe existir una relación de causalidad entre la infracción en cuestión y los daños y perjuicios sufridos para fundamentar un derecho a indemnización. De este modo, la reclamación de daños y perjuicios se diferencia de otros recursos previstos por el RGPD, en particular, de aquellos que permiten imponer multas administrativas, para los que no es necesario demostrar la existencia de daños y perjuicios individuales.
En segundo lugar, el Tribunal de Justicia señala que el derecho a indemnización no se limita a daños y perjuicios inmateriales que alcancen un determinado umbral de gravedad. El RGPD no establece esa exigencia y semejante restricción sería contraria a la acepción amplia del concepto de «daños y perjuicios» utilizada por el legislador de la Unión. Además, supeditar la indemnización por daños y perjuicios inmateriales a un determinado umbral de gravedad podría menoscabar la coherencia del régimen establecido por el RGPD. De hecho, la graduación de la que dependería la posibilidad de obtener dicha indemnización podría fluctuar en función de la valoración de los jueces que conocieran del asunto
Por lo que atañe, en tercer y último lugar, a las normas relativas a la cuantificación de la indemnización por daños y perjuicios, el Tribunal de Justicia indica que el RGPD no contiene disposiciones al respecto. Corresponde, por tanto, al ordenamiento jurídico interno de cada Estado miembro establecer los tipos de acciones que permitan garantizar los derechos que confiere el RGPD a los justiciables y, en particular, los criterios que permitan determinar la cuantía de la indemnización debida en este contexto, siempre que se respeten los principios de equivalencia y de efectividad. Sobre este particular, el Tribunal de Justicia subraya la función compensatoria del derecho a indemnización previsto en el RGPD y recuerda que dicho instrumento tiene por objeto garantizar una indemnización total y efectiva por los daños y perjuicios sufridos.
________________
1 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1, en lo sucesivo “RGPD”).
No hay comentarios.