No basta la mera infracción de las disposiciones del Reglamento de datos personales para ser indemnizado
Protección de datos personales. Tratamiento de datos personales. Derecho a indemnización por los daños y perjuicios causados por un tratamiento de datos. Requisitos del derecho a indemnización. “Umbral de gravedad”. Reglas de determinación de la indemnización.
El derecho a indemnización establecido por el Reglamento (UE) 2016/679 (RGPD) está supeditado de forma unívoca a tres requisitos acumulativos: una infracción del RGPD, unos daños y perjuicios materiales o inmateriales consecuencia de esa infracción y una relación de causalidad entre los daños y perjuicios y la infracción. Por lo tanto, no toda infracción del RGPD da lugar, por sí sola, al derecho a indemnización. Otra interpretación sería contraria al claro tenor del RGPD. Además, con arreglo a lo expuesto en los considerandos del RGPD relativos, en concreto, al derecho a indemnización, la infracción del Reglamento no conlleva necesariamente daños y perjuicios, y debe existir una relación de causalidad entre la infracción en cuestión y los daños y perjuicios sufridos para fundamentar un derecho a indemnización. De este modo, la reclamación de daños y perjuicios se diferencia de otros recursos previstos por el RGPD, en particular, de aquellos que permiten imponer multas administrativas, para los que no es necesario demostrar la existencia de daños y perjuicios individuales.
El derecho a indemnización no se limita a daños y perjuicios inmateriales que alcancen un determinado umbral de gravedad. El RGPD no establece esa exigencia y semejante restricción sería contraria a la acepción amplia del concepto de «daños y perjuicios» utilizada por el legislador de la Unión. Además, supeditar la indemnización por daños y perjuicios inmateriales a un determinado umbral de gravedad podría menoscabar la coherencia del régimen establecido por el RGPD. De hecho, la graduación de la que dependería la posibilidad de obtener dicha indemnización podría fluctuar en función de la valoración de los jueces que conocieran del asunto.
Respecto a la cuantificación de la indemnización por daños y perjuicios, el Tribunal de Justicia indica que el RGPD no contiene disposiciones al respecto. Corresponde, por tanto, al ordenamiento jurídico interno de cada Estado miembro establecer los tipos de acciones que permitan garantizar los derechos que confiere el RGPD a los justiciables y, en particular, los criterios que permitan determinar la cuantía de la indemnización debida en este contexto, siempre que se respeten los principios de equivalencia y de efectividad.