Edición provisional
SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Tercera)
de 20 de junio de 2024 (*)
«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 82, apartado 1 — Derecho a indemnización por los daños y perjuicios causados por un tratamiento de datos en infracción de este Reglamento — Concepto de “daños y perjuicios inmateriales” — Influencia de la gravedad de los daños y perjuicios sufridos — Determinación del importe de la indemnización — Pretensión de indemnización por daños y perjuicios inmateriales basada en un temor — Inaplicabilidad de los criterios establecidos para las multas administrativas en el artículo 83 — Función disuasoria — Determinación en caso de infracciones simultáneas del referido Reglamento y del Derecho nacional»
En el asunto C‑590/22,
que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Amtsgericht Wesel (Tribunal de lo Civil y Penal de Wesel, Alemania), mediante resolución de 5 de agosto de 2022, recibida en el Tribunal de Justicia el 9 de septiembre de 2022, en el procedimiento entre
AT,
BT
y
PS GbR,
VG,
MB,
DH,
WB,
GS,
EL TRIBUNAL DE JUSTICIA (Sala Tercera),
integrado por la Sra. K. Jürimäe, Presidenta de Sala, el Sr. K. Lenaerts, Presidente del Tribunal de Justicia, en funciones de Juez de la Sala Tercera, y los Sres. N. Piçarra, N. Jääskinen (Ponente) y M. Gavalec, Jueces;
Abogado General: Sr. M. Campos Sánchez-Bordona;
Secretario: Sr. A. Calot Escobar;
habiendo considerado los escritos obrantes en autos;
consideradas las observaciones presentadas:
– en nombre de Irlanda, por la Sra. M. Browne, Chief State Solicitor, y los Sres. A. Joyce y M. Tierney, en calidad de agentes, asistidos por el Sr. D. Fennelly, BL;
– en nombre de la Comisión Europea, por el Sr. A. Bouchagiar, la Sra. M. Heller y el Sr. H. Kranenborg, en calidad de agentes;
vista la decisión adoptada por el Tribunal de Justicia, oído el Abogado General, de que el asunto sea juzgado sin conclusiones;
dicta la siguiente
Sentencia
1 La petición de decisión prejudicial tiene por objeto la interpretación del artículo 82, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; en lo sucesivo, «RGPD»).
2 Esta petición se ha presentado en el contexto de un litigio entre, respectivamente, AT y BT, que son los demandantes en el litigio principal, y PS GbR, una sociedad de asesoría fiscal, y VG, MB, DH, WB y GS, socios de PS, en relación con el derecho de los demandantes en el litigio principal a la concesión de una indemnización por daños y perjuicios, en virtud del artículo 82, apartado 1, del RGPD, en concepto de reparación por el sufrimiento que alegan haber padecido debido al hecho de que, a raíz de un error cometido por PS, su declaración tributaria, que contenía datos personales, fuera divulgada a terceros sin su consentimiento.
Marco jurídico
3 Los considerandos 85, 146 y 148 del RGPD tienen el siguiente tenor:
«(85) Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión. […]
[…]
(146) El responsable o el encargado del tratamiento debe indemnizar cualesquiera daños y perjuicios que pueda sufrir una persona como consecuencia de un tratamiento en infracción del presente Reglamento. El responsable o el encargado deben quedar exentos de responsabilidad si se demuestra que en modo alguno son responsables de los daños y perjuicios. El concepto de daños y perjuicios debe interpretarse en sentido amplio a la luz de la jurisprudencia del Tribunal de Justicia, de tal modo que se respeten plenamente los objetivos del presente Reglamento. Lo anterior se entiende sin perjuicio de cualquier reclamación por daños y perjuicios derivada de la vulneración de otras normas del Derecho de la Unión o de los Estados miembros. Un tratamiento en infracción del presente Reglamento también incluye aquel tratamiento que infringe actos delegados y de ejecución adoptados de conformidad con el presente Reglamento y el Derecho de los Estados miembros que especifique las normas del presente Reglamento. Los interesados deben recibir una indemnización total y efectiva por los daños y perjuicios sufridos. […]
[…]
(148) A fin de reforzar la aplicación de las normas del presente Reglamento, cualquier infracción de este debe ser castigada con sanciones, incluidas multas administrativas […]. Debe no obstante prestarse especial atención a la naturaleza, gravedad y duración de la infracción, a su carácter intencional, a las medidas tomadas para paliar los daños y perjuicios sufridos, al grado de responsabilidad o a cualquier infracción anterior pertinente, a la forma en que la autoridad de control haya tenido conocimiento de la infracción, al cumplimiento de medidas ordenadas contra el responsable o encargado, a la adhesión a códigos de conducta y a cualquier otra circunstancia agravante o atenuante. […]»
4 El artículo 4 de este Reglamento, titulado «Definiciones», dispone:
«A efectos del presente Reglamento se entenderá por:
1) “datos personales”: toda información sobre una persona física identificada o identificable (“el interesado”); […]
[…]
7) “responsable del tratamiento” o “responsable”: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; […]
[…]
10) “tercero”: persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado;
[…]
12) “violación de la seguridad de los datos personales”: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos;
[…]».
5 Según establece el artículo 79, apartado 1, del referido Reglamento:
«Sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77, todo interesado tendrá derecho a la tutela judicial efectiva cuando considere que sus derechos en virtud del presente Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales.»
6 El artículo 82 del mismo Reglamento, que lleva por título «Derecho a indemnización y responsabilidad», dispone en sus apartados 1 a 3:
«1. Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o [d]el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.
2. Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento. […]
3. El responsable o encargado del tratamiento estará exento de responsabilidad en virtud del apartado 2 si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.»
7 El artículo 83 del Reglamento, titulado «Condiciones generales para la imposición de multas administrativas», enuncia en sus apartados 2, 3 y 5:
«2. […] Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate[,] así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
[…]
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.
3. Si un responsable o un encargado del tratamiento incumpliera de forma intencionada o negligente, para las mismas operaciones de tratamiento u operaciones vinculadas, diversas disposiciones del presente Reglamento, la cuantía total de la multa administrativa no será superior a la cuantía prevista para las infracciones más graves.
[…]
5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 [de euros] como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9;
b) los derechos de los interesados a tenor de los artículos 12 a 22;
[…]».
Litigio principal y cuestiones prejudiciales
8 Los demandantes en el litigio principal, AT y BT, son clientes de PS, una asesoría fiscal. Informaron a la asesoría del cambio de su dirección postal, que se registró en el sistema informático de tratamiento de datos de PS. Posteriormente, PS utilizó la nueva dirección de los demandantes en el litigio principal para enviar varias cartas.
9 En julio de 2020, los demandantes en el litigio principal solicitaron a PS que preparara su declaración tributaria correspondiente al año 2019. Al no recibir respuesta alguna, se pusieron en contacto con PS, quien los informó de que dicha declaración tributaria les había sido enviada por correo el 29 de septiembre de 2020, sin precisar la dirección a la que se había enviado dicho correo.
10 Los nuevos ocupantes de su antigua dirección les comunicaron que había llegado a dicha dirección un sobre enviado a su nombre y que lo habían abierto por error. Uno de esos nuevos ocupantes indicó que, tras comprobar que no era el destinatario del envío postal en cuestión, volvió a introducir en el sobre los documentos que había encontrado en él. A continuación, se lo entregó a allegados que residían cerca de la antigua dirección de los demandantes en el litigio principal para que estos pudieran recogerlo.
11 Cuando los demandantes en el litigio principal recogieron el sobre de que se trata, comprobaron que únicamente contenía una copia de la declaración tributaria y una carta de acompañamiento. Sin embargo, creen que dicho sobre contenía también la versión original de la declaración tributaria, que incluía datos personales entre los que figuraban sus nombres y fechas de nacimiento, así como los de sus hijos, sus números de identificación fiscal, sus datos bancarios, o también indicaciones relativas a su pertenencia a una comunidad religiosa, a la condición de persona con discapacidad de un miembro de su familia, a sus profesiones y lugares de trabajo o a diferentes gastos realizados por ellos.
12 A este respecto, el órgano jurisdiccional remitente precisa que no ha sido posible determinar qué documentos se encontraban inicialmente en dicho sobre ni en qué medida los nuevos ocupantes de la antigua dirección de los demandantes en el litigio principal habían tenido o no conocimiento del contenido de ese sobre. Asimismo, indica que el envío postal en cuestión a una dirección errónea se debe a que PS había utilizado datos procedentes de una base de datos en la que todavía figuraba la antigua dirección de los demandantes en el litigio principal.
13 En este contexto, los demandantes en el litigio principal presentaron ante el Amtsgericht Wesel (Tribunal de lo Civil y Penal de Wesel, Alemania), que es el órgano jurisdiccional remitente, una demanda en la que solicitaban, con arreglo al artículo 82, apartado 1, del RGPD, la reparación de los daños y perjuicios inmateriales que consideran haber sufrido como consecuencia de la divulgación de sus datos personales a terceros y que valoran en 15 000 euros.
14 El órgano jurisdiccional remitente se pregunta, en primer lugar, si, en el supuesto de que se invoquen daños y perjuicios inmateriales, un derecho a indemnización en virtud del artículo 82 del RGPD puede basarse únicamente en la infracción de las disposiciones de dicho Reglamento, y precisa que, en Derecho alemán, solo en los casos en que se haya acreditado un perjuicio significativo, que vaya más allá de la mera infracción de una disposición jurídica, puede reconocerse el derecho a una indemnización pecuniaria, siempre que dicho perjuicio no pueda repararse de otro modo.
15 En segundo lugar, el citado órgano jurisdiccional se pregunta si el temor a que los datos personales lleguen a manos de personas no autorizadas puede constituir, por sí solo, un daño inmaterial capaz de generar un derecho a una indemnización pecuniaria en virtud del artículo 82 del RGPD.
16 En tercer lugar, dicho órgano jurisdiccional señala que el artículo 83 del RGPD establece criterios que permiten determinar de manera uniforme el importe de las multas administrativas impuestas en caso de infracción de este Reglamento. Ahora bien, ese artículo no contiene ninguna disposición equivalente en lo que respecta a la reparación pecuniaria de los daños y perjuicios inmateriales. Por lo tanto, se pregunta si estos criterios son extrapolables a la indemnización pecuniaria de los daños y perjuicios inmateriales debidos en virtud del artículo 82 del RGPD.
17 En cuarto lugar, el órgano jurisdiccional remitente recuerda que el considerando 146 del RGPD establece que el concepto de «daños y perjuicios» debe interpretarse en sentido amplio para garantizar una reparación total y efectiva por los daños y perjuicios sufridos. No obstante, se pregunta si la referencia a una reparación «efectiva» significa que la determinación de la indemnización debida por daños y perjuicios inmateriales debe efectuarse de modo que produzca un efecto disuasorio. En su caso, los responsables del tratamiento de datos podrían verse tentados a incumplir las obligaciones establecidas en el RGPD si el coste de la observancia rigurosa de este Reglamento resultase ser superior a los importes de la indemnización por daños y perjuicios que pudieran tener que abonar en caso de infracción del referido Reglamento.
18 En quinto y último lugar, el órgano jurisdiccional remitente se pregunta si, a efectos de determinar la indemnización debida por daños y perjuicios inmateriales en virtud del artículo 82 del RGPD, debe tenerse en cuenta la infracción simultánea de disposiciones del RGPD y de disposiciones de Derecho alemán como las que imponen obligaciones de confidencialidad a determinados profesionales. Señala que alberga dudas a este respecto porque las disposiciones pertinentes de Derecho alemán de que se trata en el presente asunto ya estaban en vigor en el momento de la adopción del RGPD y no pueden considerarse, por tanto, actos delegados o actos de ejecución adoptados de conformidad con dicho Reglamento, en el sentido del considerando 146 de este.
19 En tales circunstancias, el Amtsgericht Wesel (Tribunal de lo Civil y Penal de Wesel) decidió suspender el procedimiento y plantear al Tribunal de Justicia las cuestiones prejudiciales siguientes:
«1) ¿Es suficiente para que exista un derecho a indemnización por daños y perjuicios con arreglo al artículo 82, apartado 1, del [RGPD] que se haya infringido una disposición [de este Reglamento] que protege a quien reclama o es necesario que, además de la infracción de las disposiciones como tal, se haya producido un perjuicio añadido para dicha persona?
2) Para que exista, conforme al Derecho de la Unión, un derecho a indemnización por daños y perjuicios inmateriales con arreglo al artículo 82, apartado 1, del RGPD, ¿es preciso que se haya producido un perjuicio de cierta entidad?
3) En particular, para que exista un derecho a indemnización por daños y perjuicios inmateriales con arreglo al artículo 82, apartado 1, del RGPD, ¿es suficiente que quien reclama tema que, como consecuencia de infracciones de las disposiciones del RGPD, sus datos personales hayan llegado a manos de terceros, sin que esto pueda establecerse positivamente?
4) ¿Resulta conforme con el Derecho de la Unión que el órgano jurisdiccional nacional, a la hora de cuantificar la indemnización por daños y perjuicios inmateriales con arreglo al artículo 82, apartado 1, del RGPD, recurra por analogía a los criterios del artículo 83, apartado 2, segunda frase, del RGPD, que por su redacción son aplicables únicamente a las multas administrativas?
5) ¿Debe cuantificarse el derecho a una indemnización por daños y perjuicios inmateriales con arreglo al artículo 82, apartado 1, del RGPD atendiendo también al hecho de que con la cuantía del derecho reconocido se logre un efecto disuasorio o se impida la “comercialización” de las infracciones de dicho Reglamento (aceptación calculada de multas administrativas y de pagos en concepto de indemnización por daños y perjuicios)?
6) ¿Es conforme con el Derecho de la Unión que a la hora de cuantificar un derecho a indemnización por daños y perjuicios inmateriales con arreglo al artículo 82, apartado 1, del RGPD se tengan en cuenta las infracciones simultáneas de las disposiciones nacionales que tienen por objeto la protección de los datos personales, pero que no son actos delegados o de ejecución adoptados de conformidad con dicho Reglamento o Derecho de los Estados miembros que especifique las normas de dicho Reglamento?»
Sobre las cuestiones prejudiciales
Cuestiones prejudiciales primera y segunda
20 Mediante sus cuestiones prejudiciales primera y segunda, que procede examinar conjuntamente, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que una infracción de este Reglamento basta, por sí sola, para fundamentar un derecho a indemnización en virtud de dicha disposición o si el interesado también debe acreditar la existencia de un perjuicio, que alcance cierto grado de gravedad, causado por esa infracción.
21 El artículo 82, apartado 1, del RGPD establece que «toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o [d]el encargado del tratamiento una indemnización por los daños y perjuicios sufridos».
22 El Tribunal de Justicia ya ha señalado que del tenor de esta disposición se desprende claramente que la existencia de «daños y perjuicios» materiales o inmateriales que se han «sufrido» constituye uno de los requisitos del derecho a indemnización previsto en dicho artículo 82, apartado 1, al igual que la existencia de una infracción de este Reglamento y de una relación de causalidad entre dichos daños y perjuicios y esa infracción, siendo estos tres requisitos acumulativos [véanse, en este sentido, las sentencias de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartado 32, y de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, apartado 34].
23 Por lo tanto, no puede considerarse que toda «infracción» de las disposiciones del RGPD dé lugar, por sí sola, a ese derecho a una indemnización a favor del interesado, tal como se define en el artículo 4, punto 1, de dicho Reglamento. Además, la mención diferenciada de «daños y perjuicios» y de una «infracción» en el artículo 82, apartado 1, del RGPD sería superflua si el legislador de la Unión hubiera considerado que una infracción de las disposiciones de ese mismo Reglamento pudiera bastar, por sí sola y en cualquier caso, para fundamentar un derecho a indemnización [sentencia de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartados 33 y 34].
24 De ello resulta que el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que no basta la mera infracción de las disposiciones de dicho Reglamento para reconocer un derecho a indemnización [sentencia de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartado 42].
25 En efecto, la persona que reclama una indemnización por daños y perjuicios inmateriales en virtud de esa disposición debe acreditar no solo la infracción de las normas de dicho Reglamento, sino también que esa infracción le ha causado tales daños y perjuicios [véanse, en este sentido, las sentencias de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartados 42 y 50, y de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, apartado 35].
26 Por lo que se refiere a este último requisito, el artículo 82, apartado 1, del RGPD se opone a una norma o a una práctica nacional que supedita la indemnización por daños y perjuicios inmateriales, a efectos de esta disposición, al requisito de que los daños y perjuicios sufridos por el interesado hayan alcanzado cierto grado de gravedad [sentencias de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartado 51, y de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, apartado 36].
27 No obstante, conforme al artículo 82, apartado 1, de este Reglamento, el interesado tiene la obligación de probar que efectivamente ha sufrido daños y perjuicios materiales o inmateriales (véase, en este sentido, la sentencia de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, apartado 39).
28 Habida cuenta de todas las consideraciones anteriores, procede responder a las cuestiones prejudiciales primera y segunda que el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que una infracción de este Reglamento no basta, por sí sola, para fundamentar un derecho a indemnización en virtud de dicha disposición. El interesado también debe acreditar la existencia de un perjuicio causado por esa infracción, si bien no es necesario que tal perjuicio alcance cierto grado de gravedad.
Tercera cuestión prejudicial
29 Mediante su tercera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que, para fundamentar un derecho a indemnización de los daños y perjuicios inmateriales, basta el temor padecido por una persona a que, como consecuencia de una infracción de este Reglamento, sus datos personales hayan sido divulgados a terceros, sin que pueda demostrarse que tal ha sido efectivamente el caso.
30 De la resolución de remisión se desprende que los demandantes en el litigio principal desean obtener, sobre la base del RGPD, la reparación de daños y perjuicios inmateriales por la pérdida de control sobre sus datos personales que han sido objeto de tratamiento, sin que puedan demostrar la medida en que terceros han tenido efectivamente conocimiento de los referidos datos.
31 A este respecto, teniendo en cuenta la falta de toda referencia en el artículo 82, apartado 1, del RGPD al Derecho interno de los Estados miembros, el concepto de «daños y perjuicios inmateriales», en el sentido de esa disposición, debe recibir una definición autónoma y uniforme, propia del Derecho de la Unión [véanse, en este sentido, las sentencias de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartados 30 y 44, y de 25 de enero de 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, apartado 64].
32 El Tribunal de Justicia ha declarado que se desprende no solo del tenor del artículo 82, apartado 1, del RGPD, en relación con los considerandos 85 y 146 del mismo Reglamento, que llevan a adoptar una acepción amplia del concepto de «daños y perjuicios inmateriales» en el sentido del mencionado artículo, sino también del objetivo consistente en garantizar un nivel elevado de protección de las personas físicas en lo que respecta al tratamiento de sus datos personales, previsto en dicho Reglamento, que el temor que experimenta un interesado a un potencial uso indebido de sus datos personales por terceros a raíz de una infracción del citado Reglamento puede constituir, por sí solo, un «daño y perjuicio inmaterial» a los efectos del artículo 82, apartado 1 [véanse, en este sentido, las sentencias de 14 de diciembre de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, apartados 79 a 86, y de 25 de enero de 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, apartado 65].
33 La pérdida de control sobre los datos personales, incluso durante un breve período de tiempo, puede causar al interesado «daños y perjuicios inmateriales», en el sentido del artículo 82, apartado 1, del RGPD, que den lugar a un derecho a indemnización, siempre que dicho interesado demuestre que ha sufrido efectivamente tales daños y perjuicios, por mínimos que sean, debiendo recordarse que la mera infracción de las disposiciones del citado Reglamento no basta para reconocer un derecho a indemnización sobre esta base (véanse, en este sentido, las sentencias de 25 de enero de 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, apartado 66, y de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, apartado 42).
34 La persona que considere que sus datos personales han sido objeto de un tratamiento en infracción de las disposiciones pertinentes del RGPD y que reclame una indemnización sobre la base del artículo 82, apartado 1, de dicho Reglamento debe, por tanto, demostrar que ha sufrido efectivamente daños y perjuicios materiales o inmateriales.
35 Así pues, la mera alegación de un temor, sin que resulte probada una consecuencia negativa, no puede dar lugar a reparación con arreglo a esa disposición.
36 Habida cuenta de las consideraciones anteriores, procede responder a la tercera cuestión prejudicial que el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que, para fundamentar un derecho a indemnización, basta el temor padecido por una persona a que, como consecuencia de una infracción de este Reglamento, sus datos personales hayan sido divulgados a terceros, sin que pueda demostrarse que tal ha sido efectivamente el caso, siempre que ese temor, junto con sus consecuencias negativas, resulte debidamente probado.
Cuestiones prejudiciales cuarta y quinta
37 Mediante sus cuestiones prejudiciales cuarta y quinta, que procede examinar conjuntamente, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que, para determinar el importe de la indemnización por daños y perjuicios debida en virtud del derecho a indemnización consagrado en dicho artículo, procede, por una parte, aplicar mutatis mutandis los criterios para la fijación del importe de las multas administrativas previstos en el artículo 83 de este Reglamento y, por otra parte, atribuir a ese derecho a indemnización una función disuasoria.
38 En primer lugar, por lo que respecta a una eventual consideración de los criterios establecidos en el artículo 83 del RGPD para determinar el importe de la indemnización debida en virtud del artículo 82 de este, consta que estas dos disposiciones persiguen objetivos diferentes. En efecto, mientras que el artículo 83 del referido Reglamento determina las «condiciones generales para la imposición de multas administrativas», el artículo 82 del mismo Reglamento regula el «derecho a indemnización y [la] responsabilidad».
39 De ello se desprende que los criterios establecidos en el artículo 83 del RGPD para determinar el importe de las multas administrativas, que también se mencionan en el considerando 148 de este Reglamento, no pueden utilizarse para determinar el importe de la indemnización por daños y perjuicios en virtud del artículo 82 de este (sentencia de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, apartado 57).
40 El RGPD no contiene ninguna disposición que tenga por objeto establecer las normas relativas a la determinación del importe de la indemnización por daños y perjuicios a la que tiene derecho el interesado, en el sentido del artículo 4, punto 1, de dicho Reglamento, en virtud del artículo 82 de este, cuando una infracción de ese mismo Reglamento le haya causado daños y perjuicios. Por lo tanto, en ausencia de normas del Derecho de la Unión en la materia, corresponde al ordenamiento jurídico interno de cada Estado miembro establecer los tipos de acciones que permitan garantizar los derechos que confiere el citado artículo 82 a los justiciables y, en particular, los criterios que permitan determinar la cuantía de la indemnización debida en este contexto, siempre que se respeten los principios de equivalencia y de efectividad [sentencias de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartado 54, y de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, apartado 58].
41 En segundo lugar, el derecho a indemnización previsto en el artículo 82, apartado 1, del RGPD no cumple una función disuasoria o incluso punitiva. De ello resulta que la gravedad de la infracción de este Reglamento que haya causado los daños y perjuicios materiales o inmateriales en cuestión no puede influir en el importe de la indemnización concedida en virtud de dicha disposición y que ese importe no puede fijarse en una cuantía que exceda de la compensación completa de ese perjuicio [véanse, en este sentido, las sentencias de 21 de diciembre de 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, apartado 86, y de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, apartado 60].
42 A la vista de la función compensatoria del derecho a indemnización previsto en el artículo 82 del RGPD, tal como se enuncia en el considerando 146, sexta frase, de este Reglamento, una indemnización pecuniaria basada en este artículo debe considerarse «total y efectiva» si permite compensar íntegramente los daños y perjuicios sufridos concretamente como consecuencia de la infracción de dicho Reglamento, sin que sea necesario, a efectos de tal compensación íntegra, imponer el pago de indemnizaciones de carácter punitivo [véanse, en este sentido, las sentencias de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartados 57 y 58, y de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, apartado 61].
43 Así pues, habida cuenta de la diferente redacción y finalidad del artículo 82 del RGPD, interpretado a la luz del considerando 146 de este, y del artículo 83 del mismo Reglamento, interpretado a la luz de su considerando 148, no puede entenderse que los criterios de evaluación establecidos específicamente en dicho artículo 83 sean aplicables mutatis mutandis en el marco del citado artículo 82, a pesar de que los recursos legales previstos en estas dos disposiciones son efectivamente complementarios para garantizar el cumplimiento del mismo Reglamento (sentencia de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, apartado 62).
44 A la vista de las anteriores consideraciones, ha de responderse a las cuestiones prejudiciales cuarta y quinta que el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que, para determinar el importe de la indemnización por daños y perjuicios debida en virtud del derecho a indemnización consagrado en dicho artículo, no procede, por una parte, aplicar mutatis mutandis los criterios para la fijación del importe de las multas administrativas previstos en el artículo 83 de este Reglamento ni, por otra parte, atribuir a ese derecho a indemnización una función disuasoria.
Sexta cuestión prejudicial
45 Mediante su sexta cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que, para determinar el importe de la indemnización por daños y perjuicios debida en virtud del derecho a indemnización consagrado en ese artículo, deben tenerse en cuenta las infracciones simultáneas de disposiciones nacionales relativas a la protección de datos personales que no tengan por objeto especificar las normas de dicho Reglamento.
46 Esta cuestión se plantea a la luz del hecho de que los demandantes en el litigio principal consideran que la infracción combinada de disposiciones del RGPD y de la legislación alemana aplicable a los asesores fiscales, que fue adoptada con anterioridad a la entrada en vigor de este Reglamento y que, por tanto, no tiene por objeto especificar sus normas, debería conllevar un incremento de la indemnización por daños y perjuicios que reclaman con arreglo al artículo 82, apartado 1, del RGPD, como compensación de los daños y perjuicios inmateriales que alegan haber sufrido.
47 Ciertamente, a este respecto, del considerando 146, quinta frase, del RGPD se desprende, en esencia, que un tratamiento de datos personales en infracción de este Reglamento «también incluye aquel tratamiento que infringe actos delegados y de ejecución adoptados de conformidad con el presente Reglamento y el Derecho de los Estados miembros que especifique las normas del presente Reglamento».
48 No obstante, el hecho de que tal tratamiento de datos también se haya llevado a cabo infringiendo disposiciones de Derecho nacional relativas a la protección de datos personales, pero que no tienen por objeto especificar las normas de dicho Reglamento, no constituye un factor pertinente a efectos de la determinación del importe de la indemnización por daños y perjuicios concedida con arreglo al artículo 82, apartado 1, del RGPD. En efecto, la infracción de tales disposiciones nacionales no está amparada por el artículo 82, apartado 1, de este Reglamento, en relación con su considerando 146.
49 Ello se entiende sin perjuicio del hecho de que, si el Derecho nacional lo permite, el juez nacional pueda conceder al interesado una indemnización superior a la reparación total y efectiva prevista en el artículo 82, apartado 1, del RGPD en caso de que, habida cuenta de que el perjuicio también ha sido causado por la infracción de disposiciones de Derecho nacional como las mencionadas en el apartado anterior, esta última reparación no se considere suficiente o adecuada.
50 En atención a las consideraciones anteriores, procede responder a la sexta cuestión prejudicial que el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que, para determinar el importe de la indemnización por daños y perjuicios debida en virtud del derecho a indemnización consagrado en ese artículo, no deben tenerse en cuenta las infracciones simultáneas de disposiciones nacionales relativas a la protección de datos personales que no tengan por objeto especificar las normas de dicho Reglamento.
Costas
51 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.
En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Tercera) declara:
1) El artículo 82, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),
debe interpretarse en el sentido de que
una infracción de este Reglamento no basta, por sí sola, para fundamentar un derecho a indemnización en virtud de dicha disposición. El interesado también debe acreditar la existencia de un perjuicio causado por esa infracción, si bien no es necesario que tal perjuicio alcance cierto grado de gravedad.
2) El artículo 82, apartado 1, del Reglamento 2016/679
debe interpretarse en el sentido de que,
para fundamentar un derecho a indemnización, basta el temor padecido por una persona a que, como consecuencia de una infracción de este Reglamento, sus datos personales hayan sido divulgados a terceros, sin que pueda demostrarse que tal ha sido efectivamente el caso, siempre que ese temor, junto con sus consecuencias negativas, resulte debidamente probado.
3) El artículo 82, apartado 1, del Reglamento 2016/679
debe interpretarse en el sentido de que,
para determinar el importe de la indemnización por daños y perjuicios debida en virtud del derecho a indemnización consagrado en dicho artículo, no procede, por una parte, aplicar mutatis mutandis los criterios para la fijación del importe de las multas administrativas previstos en el artículo 83 de este Reglamento ni, por otra parte, atribuir a ese derecho a indemnización una función disuasoria.
4) El artículo 82, apartado 1, del Reglamento 2016/679
debe interpretarse en el sentido de que,
para determinar el importe de la indemnización por daños y perjuicios debida en virtud del derecho a indemnización consagrado en ese artículo, no deben tenerse en cuenta las infracciones simultáneas de disposiciones nacionales relativas a la protección de datos personales que no tengan por objeto especificar las normas de dicho Reglamento.
Firmas