Protección de datos. Los criterios para determinar el importe de las multas administrativas no pueden utilizarse para evaluar la indemnización por daños y perjuicios
Daños y perjuicios causados por tratamiento de datos en infracción del Reglamento (UE) 2016/679 (RGPD). Concepto de «daños y perjuicios inmateriales». Gravedad. Responsabilidad del responsable del tratamiento. Personal bajo su autoridad. Determinación del importe de la indemnización. Inaplicabilidad de los criterios establecidos para multas administrativas.
En el litigio principal, un abogado, cliente de una sociedad que opera una base de datos jurídica, tras tener conocimiento de que sus datos personales eran utilizados también con fines de mercadotecnia directa, revocó por escrito todos sus consentimientos para recibir de dicha sociedad información por correo electrónico o por teléfono y se opuso a cualquier tratamiento de esos datos, salvo para el envío de newsletters de las que deseaba seguir siendo destinatario. A pesar de ese trámite, continuó recibiendo folletos publicitarios enviados a su nombre y, tras recordar por escrito su oposición anterior, reclamó una indemnización por daños y perjuicios materiales, relacionados con los gastos judiciales y notariales en que incurrió, así como por daños y perjuicios inmateriales.
La persona que reclama una indemnización por daños y perjuicios inmateriales debe acreditar no solo la infracción de las normas de dicho Reglamento, sino también que esa infracción le ha causado tales daños y perjuicios, si bien una norma o a una práctica nacional no puede supeditar tal indemnización por daños y perjuicios inmateriales al requisito de que los daños y perjuicios hayan alcanzado cierto grado de gravedad. La infracción de disposiciones del RGPD que otorgan derechos al interesado no puede pues, por sí sola, fundamentar un derecho material a obtener una indemnización en virtud de dicho Reglamento, que exige que se cumplan también los requisitos de la existencia del perjuicio y su relación de causalidad con la infracción.
Un empleado del responsable del tratamiento es una persona física que actúa bajo la autoridad de ese responsable. Así, corresponde al referido responsable asegurarse de que sus empleados apliquen correctamente sus instrucciones. Por lo tanto, el responsable del tratamiento no puede liberarse de su responsabilidad alegando simplemente una negligencia o un incumplimiento de una persona que actúa bajo su autoridad. En caso de violación de la seguridad de los datos personales por parte de una persona que actúe bajo su autoridad, el referido responsable únicamente puede quedar exento de responsabilidad si demuestra que no existe una relación de causalidad entre el eventual incumplimiento de la obligación de protección de datos que le incumbe y los daños y perjuicios sufridos por el interesado.
Los criterios establecidos en el artículo 83 del RGPD para determinar el importe de las multas administrativas no pueden utilizarse para evaluar el importe de la indemnización por daños y perjuicios en virtud de su artículo 82, que no tiene una función punitiva, sino compensatoria, por lo que solo deben tenerse en cuenta los daños y perjuicios concretamente sufridos. Los jueces nacionales deberán aplicar, a efectos de esta cuantificación, las normas internas de cada Estado miembro relativas al alcance de la indemnización pecuniaria, siempre que se respeten los principios de equivalencia y de efectividad del Derecho de la Unión.
En virtud de lo expuesto, el Tribunal de Justicia declara que:
1) El artículo 82, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), debe interpretarse en el sentido de que una infracción de disposiciones de este Reglamento que confieren derechos al interesado no puede constituir, por sí sola, un supuesto de «daños y perjuicios inmateriales» a efectos de dicha disposición, con independencia de la gravedad de los daños y perjuicios sufridos por ese interesado.
2) El artículo 82 del Reglamento 2016/679 debe interpretarse en el sentido de que, para quedar exento de responsabilidad en virtud del apartado 3 del citado artículo, al responsable del tratamiento no le basta con invocar que los daños y perjuicios han sido causados por el error de una persona que actuaba bajo su autoridad según lo previsto por el artículo 29 de dicho Reglamento.
3) El artículo 82, apartado 1, del Reglamento 2016/679 debe interpretarse en el sentido de que, para determinar el importe de la indemnización por daños y perjuicios debida en virtud del derecho a indemnización consagrado en dicho artículo, no procede, por una parte, aplicar mutatis mutandis los criterios para la fijación del importe de las multas administrativas previstos en el artículo 83 de ese Reglamento y, por otra parte, tener en cuenta el hecho de que varias infracciones del citado Reglamento relativas a una misma operación de tratamiento afecten a la persona que reclama la indemnización.