Edición provisional
SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Tercera)
de 11 de abril de 2024 (*)
«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 82 — Derecho a indemnización por los daños y perjuicios causados por un tratamiento de datos en infracción de ese Reglamento — Concepto de “daños y perjuicios inmateriales” — Influencia de la gravedad de los daños y perjuicios sufridos — Responsabilidad del responsable del tratamiento — Eventual exoneración en caso de error de una persona que actúa bajo su autoridad en el sentido del artículo 29 — Determinación del importe de la indemnización — Inaplicabilidad de los criterios establecidos para las multas administrativas en el artículo 83 — Determinación en caso de infracciones múltiples del referido Reglamento»
En el asunto C‑741/21,
que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Landgericht Saarbrücken (Tribunal Regional de lo Civil y Penal de Saarbrücken, Alemania), mediante resolución de 22 de noviembre de 2021, recibida en el Tribunal de Justicia el 1 de diciembre de 2021, en el procedimiento entre
GP
y
juris GmbH,
EL TRIBUNAL DE JUSTICIA (Sala Tercera),
integrado por la Sra. K. Jürimäe, Presidenta de Sala, y los Sres. N. Piçarra y N. Jääskinen (Ponente), Jueces;
Abogado General: Sr. M. Campos Sánchez-Bordona;
Secretario: Sr. A. Calot Escobar;
habiendo considerado los escritos obrantes en autos;
consideradas las observaciones presentadas:
– en nombre de GP, por el Sr. H. Schöning, Rechtsanwalt;
– en nombre de juris GmbH, por la Sra. E. Brandt y el Sr. C. Werkmeister, Rechtsanwälte;
– en nombre de Irlanda, por la Sra. M. Browne, Chief State Solicitor, el Sr. A. Joyce y la Sra. M. Lane, en calidad de agentes, asistidos por el Sr. D. Fennelly, BL;
– en nombre de la Comisión Europea, por el Sr. A. Bouchagiar, la Sra. M. Heller y el Sr. H. Kranenborg, en calidad de agentes;
vista la decisión adoptada por el Tribunal de Justicia, oído el Abogado General, de que el asunto sea juzgado sin conclusiones;
dicta la siguiente
Sentencia
1 La petición de decisión prejudicial tiene por objeto la interpretación del artículo 82, apartados 1 y 3, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; en lo sucesivo, «RGPD»), en relación con los artículos 29 y 83 del citado Reglamento, a la luz de los considerandos 85 y 146 de este.
2 Esta petición se ha presentado en el contexto de un litigio entre GP, una persona física, y juris GmbH, sociedad domiciliada en Alemania, en relación con la indemnización por los daños y perjuicios que GP alega haber sufrido como consecuencia de diversos tratamientos de sus datos personales realizados con fines de mercadotecnia directa, a pesar de haber comunicado formalmente a dicha sociedad su oposición a esos tratamientos.
Marco jurídico
3 Los considerandos 85, 146 y 148 del RGPD tienen el siguiente tenor:
«(85) Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión. […]
[…]
(146) El responsable o el encargado del tratamiento debe indemnizar cualesquiera daños y perjuicios que pueda sufrir una persona como consecuencia de un tratamiento en infracción del presente Reglamento. El responsable o el encargado deben quedar exentos de responsabilidad si se demuestra que en modo alguno son responsables de los daños y perjuicios. El concepto de daños y perjuicios debe interpretarse en sentido amplio a la luz de la jurisprudencia del Tribunal de Justicia, de tal modo que se respeten plenamente los objetivos del presente Reglamento. Lo anterior se entiende sin perjuicio de cualquier reclamación por daños y perjuicios derivada de la vulneración de otras normas del Derecho de la Unión o de los Estados miembros. […] Los interesados deben recibir una indemnización total y efectiva por los daños y perjuicios sufridos. […]
[…]
(148) A fin de reforzar la aplicación de las normas del presente Reglamento, cualquier infracción de este debe ser castigada con sanciones, incluidas multas administrativas, […]. Debe no obstante prestarse especial atención a la naturaleza, gravedad y duración de la infracción, a su carácter intencional, a las medidas tomadas para paliar los daños y perjuicios sufridos, al grado de responsabilidad o a cualquier infracción anterior pertinente, a la forma en que la autoridad de control haya tenido conocimiento de la infracción, al cumplimiento de medidas ordenadas contra el responsable o encargado, a la adhesión a códigos de conducta y a cualquier otra circunstancia agravante o atenuante. […]»
4 El artículo 4 de este Reglamento, titulado «Definiciones», dispone:
«A efectos del presente Reglamento se entenderá por:
1) “datos personales”: toda información sobre una persona física identificada o identificable (“el interesado”); […]
[…]
7) “responsable del tratamiento” o “responsable”: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; […]
[…]
12) «violación de la seguridad de los datos personales» toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos;
[…]».
5 El artículo 5 de dicho Reglamento enumera una serie de principios relativos al tratamiento de datos personales.
6 Incluido en el capítulo III del RGPD, relativo a los «derechos del interesado», el artículo 21 de este, titulado «Derecho de oposición», dispone en su apartado 3:
«Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines.»
7 El capítulo IV de este Reglamento, titulado «Responsable del tratamiento y encargado del tratamiento», comprende los artículos 24 a 43.
8 El artículo 24 del referido Reglamento, titulado «Responsabilidad del responsable del tratamiento», preceptúa en sus apartados 1 y 2:
«1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.
2. Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.»
9 El artículo 25 del mismo Reglamento, titulado «Protección de datos desde el diseño y por defecto», establece en su apartado 1:
«Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.»
10 El artículo 29 RGPD, titulado «Tratamiento bajo la autoridad del responsable o del encargado del tratamiento», dispone:
«El encargado del tratamiento y cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo podrán tratar dichos datos siguiendo instrucciones del responsable, a no ser que estén obligados a ello en virtud del Derecho de la Unión o de los Estados miembros.»
11 El artículo 32 de este Reglamento, titulado «Seguridad del tratamiento», preceptúa:
«1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
[…]
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
[…]
2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
[…]
4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.»
12 El capítulo VIII del RGPD, titulado «Recursos, responsabilidad y sanciones», comprende los artículos 77 a 84 de este.
13 El artículo 79 del citado Reglamento, con la rúbrica «Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento», establece en su apartado 1:
«Sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77, todo interesado tendrá derecho a la tutela judicial efectiva cuando considere que sus derechos en virtud del presente Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales.»
14 El artículo 82 del referido Reglamento, que lleva por título «Derecho a indemnización y responsabilidad», dispone en sus apartados 1 a 3:
«1. Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o [d]el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.
2. Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento. […]
3. El responsable o encargado del tratamiento estará exento de responsabilidad en virtud del apartado 2 si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.»
15 El artículo 83 del RGPD, titulado «Condiciones generales para la imposición de multas administrativas», enuncia en sus apartados 2, 3 y 5:
«2. […] Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate[,] así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
[…]
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.
3. Si un responsable o un encargado del tratamiento incumpliera de forma intencionada o negligente, para las mismas operaciones de tratamiento u operaciones vinculadas, diversas disposiciones del presente Reglamento, la cuantía total de la multa administrativa no será superior a la cuantía prevista para las infracciones más graves.
[…]
5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 [de euros] como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9;
b) los derechos de los interesados a tenor de los artículos 12 a 22;
[…]».
16 El artículo 84 de este Reglamento, rubricado «Sanciones», dispone en su apartado 1:
«Los Estados miembros establecerán las normas en materia de otras sanciones aplicables a las infracciones del presente Reglamento, en particular las infracciones que no se sancionen con multas administrativas de conformidad con el artículo 83, y adoptarán todas las medidas necesarias para garantizar su observancia. Dichas sanciones serán efectivas, proporcionadas y disuasorias.»
Litigio principal y cuestiones prejudiciales
17 El demandante en el litigio principal, una persona física que ejerce la profesión de abogado por cuenta propia, era cliente de juris, una sociedad que opera una base de datos jurídica.
18 El 6 de noviembre de 2018, tras tener conocimiento de que sus datos personales eran utilizados por juris también con fines de mercadotecnia directa, el demandante en el litigio principal revocó por escrito todos sus consentimientos para recibir de dicha sociedad información por correo electrónico o por teléfono y se opuso a cualquier tratamiento de esos datos, salvo para el envío de newsletters de las que deseaba seguir siendo destinatario.
19 En enero de 2019, a pesar de ese trámite, el demandante en el litigio principal recibió en su dirección profesional dos folletos publicitarios enviados a su nombre. Mediante un escrito dirigido a juris el 18 de abril de 2019, recordó a esta entidad su oposición anterior a toda mercadotecnia directa, indicándole que la creación de esos folletos había conllevado un tratamiento ilícito de sus datos, y le reclamó una indemnización de daños y perjuicios con arreglo al artículo 82 del RGPD. Tras recibir un nuevo folleto publicitario el 3 de mayo de 2019, reiteró su oposición, que en esta ocasión fue notificada a juris por medio de un agente judicial.
20 Cada uno de dichos folletos contenía un «código personal de prueba» que permitía acceder, en el sitio web de juris, a un formulario para realizar pedidos de productos de esta sociedad en el que figuraban menciones relativas al demandante en el litigio principal, como hizo constar, a petición de este último, un notario, el 7 de junio de 2019.
21 El demandante en el litigio principal interpuso ante el Landgericht Saarbrücken (Tribunal Regional de lo Civil y Penal de Saarbrücken, Alemania), que es el órgano jurisdiccional remitente en el presente asunto, una demanda dirigida a obtener, sobre la base del artículo 82, apartado 1, del RGPD, una indemnización por daños y perjuicios materiales, relacionados con los gastos judiciales y notariales en que incurrió, así como por daños y perjuicios inmateriales. Sostiene, en particular, que sufrió una pérdida de control sobre sus datos personales, debido a los tratamientos de estos que realizó juris, a pesar de su oposición formal, y que puede obtener una indemnización por este concepto sin tener que demostrar los efectos o la gravedad de la vulneración de sus derechos garantizados por el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea y precisados por dicho Reglamento.
22 En su defensa, juris niega cualquier responsabilidad, alegando que había puesto en marcha un procedimiento para gestionar los casos de oposición formal a la mercadotecnia directa y que la consideración tardía de la oposición formulada por el demandante en el litigio principal se debió bien al hecho de que uno de sus colaboradores no respetara las instrucciones que se habían dado, bien al hecho de que hubiera sido excesivamente oneroso tener en cuenta dicha oposición formal. Alega que el mero incumplimiento de una obligación derivada del RGPD, como la que resulta del artículo 21, apartado 3, de este, no puede constituir por sí solo un supuesto de «daños y perjuicios» a efectos del artículo 82, apartado 1, de dicho Reglamento.
23 En primer lugar, el órgano jurisdiccional remitente parte, para empezar, de la premisa de que el derecho a indemnización previsto en el artículo 82, apartado 1, del RGPD está supeditado a que se cumplan tres requisitos, a saber, una infracción de dicho Reglamento, unos daños y perjuicios materiales o inmateriales y un nexo causal entre el referido incumplimiento y esos daños y perjuicios. A continuación, habida cuenta de las pretensiones del demandante en el litigio principal, el órgano jurisdiccional remitente se pregunta si, no obstante, debería considerarse que una infracción del RGPD constituye por sí sola un daño o perjuicio inmaterial que da derecho a una indemnización, en particular, cuando la disposición infringida de dicho Reglamento confiere un derecho subjetivo al interesado. Por último, dado que el Derecho alemán supedita la indemnización pecuniaria por daños y perjuicios inmateriales al requisito de una vulneración grave de los derechos protegidos, el órgano jurisdiccional remitente se pregunta si debe aplicarse una limitación análoga a las demandas indemnizatorias basadas en el RGPD, a la luz de las indicaciones relativas al concepto de «daños y perjuicios» que figuran en los considerandos 85 y 146 de este Reglamento.
24 En segundo lugar, el referido órgano jurisdiccional estima posible que del artículo 82 del RGPD resulte que, cuando se haya constatado una infracción de este Reglamento, tal infracción se considere imputable al responsable del tratamiento, de modo que existiría una responsabilidad por culpa presunta, o incluso sin culpa. Además, tras resaltar que el apartado 3 de dicho artículo no precisa los requisitos de prueba específicamente vinculados a la exoneración prevista en ese apartado, señala que, si se permitiera al responsable del tratamiento exonerarse de su responsabilidad mediante la mera alegación, en términos generales, de un comportamiento culposo de uno de sus colaboradores, el efecto útil del derecho a indemnización previsto en el apartado 1 de dicho artículo se vería notablemente limitado.
25 En tercer lugar, el órgano jurisdiccional remitente desea saber además si, para determinar el importe de la indemnización pecuniaria por daños y perjuicios, en particular por daños y perjuicios inmateriales, debida con arreglo al artículo 82 del RGPD, los criterios del artículo 83, apartados 2 y 5, de este, para la decisión sobre el importe de las multas administrativas, pueden o deben tenerse en cuenta también en el marco del referido artículo 82.
26 En cuarto y último lugar, este órgano jurisdiccional señala que, en el litigio del que conoce, los datos personales del demandante fueron objeto de varios tratamientos con fines de mercadotecnia directa, a pesar de haberse opuesto formalmente el interesado de manera reiterada. Por lo tanto, el órgano jurisdiccional remitente pretende que se determine si, cuando existe tal pluralidad de infracciones del RGPD, estas deben tenerse en cuenta de forma individual o de forma global a efectos de fijar el importe de la indemnización que debiera pagarse con arreglo al artículo 82 de dicho Reglamento.
27 En tales circunstancias, el Landgericht Saarbrücken (Tribunal Regional de lo Civil y Penal de Saarbrücken) decidió suspender el procedimiento y plantear al Tribunal de Justicia las cuestiones prejudiciales siguientes:
«1) A la vista de los considerandos 85 y 146, tercera frase, del [RGPD], ¿debe interpretarse el concepto de “daños y perjuicios inmateriales” del artículo 82, apartado 1, del RGPD en el sentido de que comprende cualquier menoscabo de la posición jurídica protegida, con independencia de los demás efectos y de su relevancia?
2) ¿Se excluye la responsabilidad por daños y perjuicios prevista en el artículo 82, apartado 3, del RGPD por el hecho de que la infracción en el caso concreto sea imputable a un error humano de una persona que actúa bajo la autoridad del responsable o del encargado en el sentido del artículo 29 del RGPD?
3) Para calcular la indemnización por daños y perjuicios inmateriales, ¿es admisible o necesario recurrir como orientación a los criterios de individualización que establece el artículo 83 del RGPD, en particular, en sus apartados 2 y 5?
4) ¿Debe establecerse la indemnización por daños y perjuicios para cada una de las infracciones o deberán sancionarse varias infracciones —al menos varias de naturaleza similar— con una indemnización global que no se determinará mediante la suma de importes específicos, sino que se basará en una valoración conjunta?»
Sobre las cuestiones prejudiciales
Primera cuestión prejudicial
Sobre la admisibilidad
28 Con carácter preliminar, juris sostiene, en esencia, que la primera cuestión prejudicial es inadmisible en la medida en que tiene por objeto determinar si el nacimiento del derecho a indemnización previsto en el artículo 82 del RGPD está supeditado al requisito de que los daños y perjuicios alegados por el interesado, tal como se define a este último en el artículo 4, punto 1, de dicho Reglamento, hayan alcanzado cierta gravedad. En su opinión, esta duda carece de pertinencia para resolver el litigio principal, dado que no se han producido los daños y perjuicios invocados por el demandante, a saber, la pérdida de control sobre sus datos personales, ya que estos fueron objeto de un tratamiento lícito efectuado en el marco de la relación contractual que vinculaba a las partes litigantes.
29 A este respecto es preciso recordar que corresponde exclusivamente al juez nacional que conoce del litigio y que debe asumir la responsabilidad de la decisión jurisdiccional que ha de adoptarse apreciar, a la luz de las particularidades del asunto, tanto la necesidad de una decisión prejudicial para poder dictar sentencia como la pertinencia de las cuestiones que plantea al Tribunal de Justicia, que disfrutan de una presunción de pertinencia. Por consiguiente, cuando las cuestiones planteadas se refieran a la interpretación o a la validez de una norma del Derecho de la Unión, el Tribunal de Justicia está, en principio, obligado a pronunciarse, salvo si resulta patente que la interpretación solicitada no guarda relación alguna con la realidad o con el objeto del litigio principal, si el problema es de naturaleza hipotética o si el Tribunal de Justicia no dispone de los elementos de hecho o de Derecho necesarios para responder adecuadamente a tales cuestiones [sentencia de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartado 23 y jurisprudencia citada].
30 En el presente asunto, la primera cuestión prejudicial versa sobre los requisitos exigidos para el ejercicio del derecho a indemnización establecido en el artículo 82 del RGPD. Además, no resulta evidente que la interpretación solicitada carezca de relación con el litigio principal o que el problema planteado sea de naturaleza hipotética. En efecto, por una parte, este litigio se refiere a una pretensión de indemnización en virtud del régimen de protección de datos personales establecido por el RGPD. Por otra parte, esta cuestión prejudicial tiene por objeto, en esencia, determinar si, a efectos de la aplicación de las normas de responsabilidad establecidas en dicho Reglamento, es necesario no solo que existan daños y perjuicios inmateriales distintos de la infracción del mismo Reglamento, sino también que esos daños y perjuicios superen un determinado umbral de gravedad.
31 En consecuencia, la primera cuestión prejudicial es admisible.
Sobre el fondo
32 Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que una infracción de disposiciones de este Reglamento que confieren derechos al interesado puede constituir, por sí sola, un supuesto de «daños y perjuicios inmateriales» a efectos de dicha disposición, con independencia de la gravedad de los daños y perjuicios sufridos por ese interesado.
33 Con carácter preliminar, procede recordar que el artículo 82, apartado 1, del RGPD establece que «toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o [d]el encargado del tratamiento una indemnización por los daños y perjuicios sufridos».
34 El Tribunal de Justicia ya ha interpretado el artículo 82, apartado 1, del RGPD en el sentido de que la mera infracción de este Reglamento no basta para conferir un derecho a indemnización, puesto que la existencia de «daños y perjuicios» materiales o inmateriales que se han «sufrido» constituye uno de los requisitos del derecho a indemnización previsto en dicho artículo 82, apartado 1, al igual que la existencia de una infracción de ese Reglamento y de una relación de causalidad entre dichos daños y perjuicios y esa infracción, siendo estos tres requisitos acumulativos (véase, en este sentido, la sentencia de 25 de enero de 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, apartado 58 y jurisprudencia citada).
35 De este modo, la persona que reclama una indemnización por daños y perjuicios inmateriales en virtud de esa disposición debe acreditar no solo la infracción de las normas de dicho Reglamento, sino también que esa infracción le ha causado tales daños y perjuicios (véase, en este sentido, la sentencia de 25 de enero de 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, apartados 60 y 61 y jurisprudencia citada).
36 A este respecto, procede señalar que el Tribunal de Justicia ha interpretado el artículo 82, apartado 1, del RGPD en el sentido de que se opone a una norma o a una práctica nacional que supedita la indemnización por daños y perjuicios inmateriales, a efectos de esta disposición, al requisito de que los daños y perjuicios sufridos por el interesado hayan alcanzado cierto grado de gravedad, subrayando al mismo tiempo que dicho interesado debe no obstante demostrar que la infracción de ese Reglamento le ha causado tales daños y perjuicios inmateriales (véase, en este sentido, la sentencia de 25 de enero de 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, apartados 59 y 60 y jurisprudencia citada).
37 Aun cuando la disposición del RGPD que ha sido objeto de una infracción confiera derechos a las personas físicas, tal infracción no puede constituir, por sí sola, un «daño o perjuicio inmaterial» en el sentido de dicho Reglamento.
38 Ciertamente, del artículo 79, apartado 1, del RGPD se desprende que todo interesado tiene derecho a la tutela judicial efectiva frente al responsable o, en su caso, al encargado del tratamiento cuando considere que los «derechos en virtud de [este] Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales».
39 No obstante, esta disposición se limita a proporcionar un cauce judicial a la persona que se considere víctima de una vulneración de los derechos que le confiere el RGPD, sin dispensarla de la obligación que le incumbe en virtud del artículo 82, apartado 1, de dicho Reglamento de probar que efectivamente ha sufrido daños y perjuicios materiales o inmateriales.
40 De ello se deduce que la infracción de disposiciones del RGPD que otorgan derechos al interesado no puede, por sí sola, fundamentar un derecho material a obtener una indemnización en virtud de dicho Reglamento, que exige que se cumplan también los otros dos requisitos mencionados en el apartado 34 de la presente sentencia para que exista ese derecho.
41 En el caso de autos, el demandante en el litigio principal pretende obtener, fundándose en el RGPD, la indemnización por unos daños y perjuicios inmateriales sufridos, a saber, una pérdida de control de sus datos personales objeto de tratamientos efectuados a pesar de su oposición, sin verse obligado a probar que esos daños y perjuicios superaron un determinado umbral de gravedad.
42 A este respecto, es preciso señalar que el considerando 85 del RGPD menciona expresamente la «pérdida de control» entre los daños y perjuicios que puede ocasionar una violación de la seguridad de los datos personales. El Tribunal de Justicia consideró que la pérdida de control sobre los datos personales durante un breve período de tiempo puede causar al interesado «daños y perjuicios inmateriales», a efectos del artículo 82, apartado 1, del RGPD, que den lugar a un derecho a indemnización, siempre que dicho interesado demuestre que ha sufrido efectivamente tales daños y perjuicios, por mínimos que sean (véase, en este sentido, la sentencia de 25 de enero de 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, apartado 66 y jurisprudencia citada).
43 Por las razones expuestas, procede responder a la primera cuestión prejudicial que el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que una infracción de disposiciones de este Reglamento que confieren derechos al interesado no puede constituir, por sí sola, un supuesto de «daños y perjuicios inmateriales» a efectos de dicha disposición, con independencia de la gravedad de los daños y perjuicios sufridos por ese interesado.
Segunda cuestión prejudicial
44 Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 82 del RGPD debe interpretarse en el sentido de que, para quedar exento de responsabilidad en virtud del apartado 3 del citado artículo, al responsable del tratamiento le basta con invocar que los daños y perjuicios han sido causados por el error de una persona que actuaba bajo su autoridad según lo previsto por el artículo 29 de dicho Reglamento.
45 A este respecto, procede recordar que el artículo 82 del RGPD establece, en su apartado 2, que cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por ese Reglamento y, en su apartado 3, que el responsable del tratamiento estará exento de responsabilidad en virtud del citado apartado 2 si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.
46 El Tribunal de Justicia ya ha declarado que de un análisis conjunto de los apartados 2 y 3 de dicho artículo 82 se desprende que este establece un régimen de responsabilidad por culpa, en el que se presume que el responsable del tratamiento ha participado en la operación de tratamiento que constituye la infracción de ese Reglamento a la que se hace referencia, de modo que la carga de la prueba no recae sobre la persona que ha sufrido los daños y perjuicios, sino sobre el responsable del tratamiento (véase, en este sentido, la sentencia de 21 de diciembre de 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, apartados 92 a 94).
47 Respecto a la cuestión de si el responsable del tratamiento puede quedar exento de su responsabilidad, en virtud del artículo 82, apartado 3, del RGPD, por el mero hecho de que los daños y perjuicios hayan sido causados por el comportamiento culposo de una persona que actúa bajo su autoridad, en el sentido del artículo 29 de dicho Reglamento, por una parte, se desprende de dicho artículo 29 que las personas que actúan bajo la autoridad del responsable del tratamiento, como sus empleados, que tienen acceso a datos personales, solo pueden, en principio, tratar esos datos siguiendo instrucciones de dicho responsable y de conformidad con estas (véase, en este sentido, la sentencia de 22 de junio de 2023, Pankki S, C‑579/21, EU:C:2023:501, apartados 73 y 74).
48 Por otra parte, el artículo 32, apartado 4, del RGPD, relativo a la seguridad del tratamiento de datos personales, establece que el responsable del tratamiento tomará medidas para garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.
49 Pues bien, un empleado del responsable del tratamiento es efectivamente una persona física que actúa bajo la autoridad de ese responsable. Así, corresponde al referido responsable asegurarse de que sus empleados apliquen correctamente sus instrucciones. Por lo tanto, el responsable del tratamiento no puede liberarse de su responsabilidad en virtud del artículo 82, apartado 3, del RGPD alegando simplemente una negligencia o un incumplimiento de una persona que actúa bajo su autoridad.
50 En el caso de autos, en sus observaciones escritas presentadas ante el Tribunal de Justicia, juris sostiene, en esencia, que el responsable del tratamiento debe quedar exento de responsabilidad, con arreglo al artículo 82, apartado 3, del RGPD, cuando la infracción que causó los daños y perjuicios en cuestión sea imputable al comportamiento de uno de sus empleados que no respetó las instrucciones del referido responsable y siempre que tal infracción no se deba a un incumplimiento de las obligaciones que incumben a este último con arreglo, en particular, a los artículos 24, 25 y 32 de dicho Reglamento.
51 A este respecto, procede resaltar que las circunstancias de la exoneración establecida en el artículo 82, apartado 3, del RGPD deben limitarse estrictamente a aquellas en las que dicho responsable pueda demostrar que el daño no le es imputable (véase, en este sentido, la sentencia de 14 de diciembre de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, apartado 70). Por lo tanto, en caso de violación de la seguridad de los datos personales por parte de una persona que actúe bajo su autoridad, el referido responsable únicamente puede quedar exento de responsabilidad si demuestra que no existe una relación de causalidad entre el eventual incumplimiento de la obligación de protección de datos que le incumbe en virtud de los artículos 5, 24 y 32 de ese Reglamento y los daños y perjuicios sufridos por el interesado (véase, por analogía, la sentencia de 14 de diciembre de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, apartado 72).
52 Por consiguiente, para que el responsable del tratamiento pueda quedar exento de responsabilidad en virtud del artículo 82, apartado 3, del RGPD, no basta con que demuestre que había dado instrucciones a las personas que actuaban bajo su autoridad, en el sentido del artículo 29 de dicho Reglamento, y que una de esas personas incumplió su obligación de seguir esas instrucciones, de modo que esta contribuyó a que se produjeran los daños y perjuicios en cuestión.
53 En efecto, admitir que el responsable del tratamiento puede exonerarse de su responsabilidad invocando meramente el error de una persona que actuaba bajo su autoridad menoscabaría el efecto útil del derecho a indemnización consagrado en el artículo 82, apartado 1, del RGPD, como ha señalado en esencia el órgano jurisdiccional remitente, y ello no sería conforme con el objetivo de dicho Reglamento consistente en garantizar un elevado nivel de protección de las personas físicas en lo que respecta al tratamiento de sus datos personales.
54 Habida cuenta de las anteriores consideraciones, procede responder a la segunda cuestión prejudicial que el artículo 82 del RGPD debe interpretarse en el sentido de que, para quedar exento de responsabilidad en virtud del apartado 3 del citado artículo, al responsable del tratamiento no le basta con invocar que los daños y perjuicios han sido causados por el error de una persona que actuaba bajo su autoridad según lo previsto por el artículo 29 de dicho Reglamento.
Cuestiones prejudiciales tercera y cuarta
55 Mediante sus cuestiones prejudiciales tercera y cuarta, que deben examinarse conjuntamente, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que, para determinar el importe de la indemnización por daños y perjuicios debida en virtud del derecho a indemnización consagrado en dicho artículo, procede, por una parte, aplicar mutatis mutandis los criterios para la fijación del importe de las multas administrativas previstos en el artículo 83 de ese Reglamento y, por otra parte, tener en cuenta el hecho de que varias infracciones del citado Reglamento relativas a una misma operación de tratamiento afecten a la persona que reclama la indemnización.
56 En primer lugar, por lo que respecta a una eventual consideración de los criterios establecidos en el artículo 83 del RGPD para evaluar el importe de la indemnización debida en virtud del artículo 82 de este, consta que estas dos disposiciones persiguen objetivos diferentes. En efecto, mientras que el artículo 83 del referido Reglamento determina las «condiciones generales para la imposición de multas administrativas», el artículo 82 del mismo Reglamento regula el «derecho a indemnización y [la] responsabilidad».
57 De ello se desprende que los criterios establecidos en el artículo 83 del RGPD para determinar el importe de las multas administrativas, que también se mencionan en el considerando 148 de este Reglamento, no pueden utilizarse para evaluar el importe de la indemnización por daños y perjuicios en virtud del artículo 82 de este.
58 Como ya ha puesto de relieve el Tribunal de Justicia, el RGPD no contiene ninguna disposición que tenga por objeto la cuantificación de la indemnización por daños y perjuicios debida en virtud del derecho a indemnización consagrado en el artículo 82 de dicho Reglamento. Por lo tanto, en virtud del principio de autonomía procesal, los jueces nacionales deberán aplicar, a efectos de esta cuantificación, las normas internas de cada Estado miembro relativas al alcance de la indemnización pecuniaria, siempre que se respeten los principios de equivalencia y de efectividad del Derecho de la Unión tal como se definen en reiterada jurisprudencia del Tribunal de Justicia (véanse, en este sentido, las sentencias de 21 de diciembre de 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, apartados 83 y 101 y jurisprudencia citada, y de 25 de enero de 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, apartado 53).
59 A este respecto, el Tribunal de Justicia ha señalado que el artículo 82 del RGPD no tiene una función punitiva, sino compensatoria, a diferencia de otras disposiciones de este Reglamento que figuran también en su capítulo VIII, a saber, sus artículos 83 y 84, que, por su parte, tienen esencialmente una finalidad punitiva, puesto que permiten, respectivamente, imponer multas administrativas y otras sanciones. La articulación entre las normas enunciadas en dicho artículo 82 y las establecidas en los citados artículos 83 y 84 demuestra que existe una diferencia entre estas dos categorías de disposiciones, pero también una complementariedad, por cuanto se trata de incentivar el respeto del RGPD, debiendo observarse que el derecho de toda persona a reclamar una indemnización por daños y perjuicios refuerza la operatividad de las normas de protección establecidas en ese Reglamento y puede disuadir de la reiteración de comportamientos ilícitos (sentencia de 25 de enero de 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, apartado 47 y jurisprudencia citada).
60 Por otra parte, el Tribunal de Justicia dedujo del hecho de que el derecho a indemnización contemplado en el artículo 82, apartado 1, del RGPD no cumple una función disuasoria, ni siquiera punitiva, que la gravedad de la infracción de este Reglamento que haya causado los daños y perjuicios materiales o inmateriales en cuestión no puede influir en el importe de la indemnización concedida en virtud de dicha disposición. De ello resulta que ese importe no puede fijarse en una cuantía que exceda de la compensación completa de ese perjuicio (véase, en este sentido, la sentencia de 21 de diciembre de 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, apartado 86).
61 En referencia al considerando 146, sexta frase, del RGPD, según el cual este instrumento tiene por objeto garantizar una «indemnización total y efectiva por los daños y perjuicios sufridos», el Tribunal de Justicia ha señalado que, a la vista de la función compensatoria del derecho a indemnización previsto en el artículo 82 de ese Reglamento, una indemnización pecuniaria basada en este artículo debe considerarse «total y efectiva» si permite compensar íntegramente los daños y perjuicios sufridos concretamente como consecuencia de la infracción de dicho Reglamento, sin que sea necesario, a efectos de tal compensación íntegra, imponer el pago de indemnizaciones de carácter punitivo (sentencia de 21 de diciembre de 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, apartado 84 y jurisprudencia citada).
62 Así pues, habida cuenta de la diferente redacción y finalidad del artículo 82 del RGPD, interpretado a la luz del considerando 146 de este, y del artículo 83 del mismo Reglamento, interpretado a la luz de su considerando 148, no puede entenderse que los criterios de evaluación establecidos específicamente en dicho artículo 83 sean aplicables mutatis mutandis en el marco del artículo 82, a pesar de que los recursos legales previstos en estas dos disposiciones son efectivamente complementarios para garantizar el cumplimiento del mismo Reglamento.
63 En segundo lugar, por lo que respecta al modo en que los jueces nacionales deben evaluar el importe de una indemnización pecuniaria con arreglo al artículo 82 del RGPD en los casos de múltiples infracciones de dicho Reglamento que afecten a un mismo interesado, procede señalar, antes de nada, que, como se ha mencionado en el apartado 58 de la presente sentencia, corresponde a cada Estado miembro establecer los criterios que permitan determinar el importe de dicha indemnización, siempre que se respeten los principios de efectividad y de equivalencia del Derecho de la Unión.
64 A continuación, habida cuenta de la función no punitiva, sino compensatoria del artículo 82 del RGPD, recordada en los apartados 60 y 61 de la presente sentencia, la circunstancia de que el responsable del tratamiento haya cometido varias infracciones en relación con un mismo interesado no puede constituir un criterio pertinente a efectos de la evaluación de la indemnización por daños y perjuicios que se debe conceder a ese interesado en virtud de dicho artículo 82. En efecto, para fijar el importe de la indemnización pecuniaria debida en concepto de compensación solo deben tenerse en cuenta los daños y perjuicios concretamente sufridos por aquel.
65 En consecuencia, ha de responderse a las cuestiones prejudiciales tercera y cuarta que el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que, para determinar el importe de la indemnización por daños y perjuicios debida en virtud del derecho a indemnización consagrado en dicho artículo, no procede, por una parte, aplicar mutatis mutandis los criterios para la fijación del importe de las multas administrativas previstos en el artículo 83 de ese Reglamento y, por otra parte, tener en cuenta el hecho de que varias infracciones del citado Reglamento relativas a una misma operación de tratamiento afecten a la persona que reclama la indemnización.
Costas
66 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.
En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Tercera) declara:
1) El artículo 82, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),
debe interpretarse en el sentido de que
una infracción de disposiciones de este Reglamento que confieren derechos al interesado no puede constituir, por sí sola, un supuesto de «daños y perjuicios inmateriales» a efectos de dicha disposición, con independencia de la gravedad de los daños y perjuicios sufridos por ese interesado.
2) El artículo 82 del Reglamento 2016/679
debe interpretarse en el sentido de que,
para quedar exento de responsabilidad en virtud del apartado 3 del citado artículo, al responsable del tratamiento no le basta con invocar que los daños y perjuicios han sido causados por el error de una persona que actuaba bajo su autoridad según lo previsto por el artículo 29 de dicho Reglamento.
3) El artículo 82, apartado 1, del Reglamento 2016/679
debe interpretarse en el sentido de que,
para determinar el importe de la indemnización por daños y perjuicios debida en virtud del derecho a indemnización consagrado en dicho artículo, no procede, por una parte, aplicar mutatis mutandis los criterios para la fijación del importe de las multas administrativas previstos en el artículo 83 de ese Reglamento y, por otra parte, tener en cuenta el hecho de que varias infracciones del citado Reglamento relativas a una misma operación de tratamiento afecten a la persona que reclama la indemnización.
Firmas