CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:370

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Tercera)

de 4 de mayo de 2023 (*)

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 82, apartado 1 — Derecho a indemnización por los daños y perjuicios causados por un tratamiento de datos en infracción de ese Reglamento — Requisitos del derecho a indemnización — Insuficiencia de una mera infracción del citado Reglamento — Necesidad de la existencia de daños y perjuicios causados por la referida infracción — Indemnización por daños y perjuicios inmateriales consecuencia de tal tratamiento — Incompatibilidad de una norma nacional que supedita la indemnización por tales daños y perjuicios a la superación de un “umbral de gravedad” — Reglas de determinación de la indemnización por daños y perjuicios por los jueces nacionales»

En el asunto C‑300/21,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Oberster Gerichtshof (Tribunal Supremo de lo Civil y Penal, Austria), mediante resolución de 15 de abril de 2021, recibida en el Tribunal de Justicia el 12 de mayo de 2021, en el procedimiento entre

Österreichische Post AG,

EL TRIBUNAL DE JUSTICIA (Sala Tercera),

integrado por la Sra. K. Jürimäe, Presidenta de Sala, y los Sres. M. Safjan, N. Piçarra, N. Jääskinen (Ponente) y M. Gavalec, Jueces;

Abogado General: Sr. M. Campos Sánchez‑Bordona;

Secretario: Sr. A. Calot Escobar;

habiendo considerado los escritos obrantes en autos;

consideradas las observaciones presentadas:

– en nombre de UI, por él mismo, en calidad de Rechtsanwalt;

– en nombre de Österreichische Post AG, por el Sr. R. Marko, Rechtsanwalt;

– en nombre del Gobierno austriaco, por el Sr. A. Posch, la Sra. J. Schmoll y el Sr. G. Kunnert, en calidad de agentes;

– en nombre del Gobierno checo, por los Sres. O. Serdula, M. Smolek y J. Vláčil, en calidad de agentes;

– en nombre de Irlanda, por la Sra. M. Browne, el Sr. A. Joyce, la Sra. M. Lane y el Sr. M. Tierney, en calidad de agentes, asistidos por el Sr. D. Fennelly, BL;

– en nombre de la Comisión Europea, por el Sr. A. Bouchagiar, la Sra. M. Heller y el Sr. H. Kranenborg, en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 6 de octubre de 2022;

dicta la siguiente

Sentencia

1 La presente petición de decisión prejudicial tiene por objeto la interpretación del artículo 82 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; en lo sucesivo, «RGPD»), en relación con los principios de equivalencia y de efectividad.

2 Esta petición se ha presentado en el contexto de un litigio entre UI y Österreichische Post AG, en relación con el recurso interpuesto por el primero para obtener la reparación de los daños y perjuicios inmateriales que afirma haber sufrido como consecuencia del tratamiento por dicha sociedad de datos relativos a las afinidades políticas de personas residentes en Austria, en particular él mismo, cuando no había dado su consentimiento a tal tratamiento.

Marco jurídico

3 Los considerandos 10, 75, 85 y 146 del RGPD tienen el siguiente tenor:

«(10) Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión [Europea], el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. […]

[…]

(75) Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que [pudiera] provocar daños y perjuicios físicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen el origen étnico o racial, las opiniones políticas, […]

[…]

(85) Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión. […]

[…]

(146) El responsable o el encargado del tratamiento debe indemnizar cualesquiera daños y perjuicios que pueda sufrir una persona como consecuencia de un tratamiento en infracción del presente Reglamento. El responsable o el encargado deben quedar exentos de responsabilidad si se demuestra que en modo alguno son responsables de los daños y perjuicios. El concepto de daños y perjuicios debe interpretarse en sentido amplio a la luz de la jurisprudencia del Tribunal de Justicia, de tal modo que se respeten plenamente los objetivos del presente Reglamento. Lo anterior se entiende sin perjuicio de cualquier reclamación por daños y perjuicios derivada de la vulneración de otras normas del Derecho de la Unión o de los Estados miembros. Un tratamiento en infracción del presente Reglamento también incluye aquel tratamiento que infringe actos delegados y de ejecución adoptados de conformidad con el presente Reglamento y el Derecho de los Estados miembros que especifique las normas del presente Reglamento. Los interesados deben recibir una indemnización total y efectiva por los daños y perjuicios sufridos. […]»

4 El artículo 1 del RGPD, titulado «Objeto», dispone en sus apartados 1 y 2:

«1. El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.

2. El presente Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.»

5 A tenor del artículo 4, punto 1, de este Reglamento, titulado «Definiciones»:

«A efectos del presente Reglamento se entenderá por:

1) “datos personales”: toda información sobre una persona física identificada o identificable (“el interesado”); […]».

6 El capítulo VIII del RGPD, titulado «Recursos, responsabilidad y sanciones», contiene los artículos 77 a 84 de dicho Reglamento.

7 El artículo 77 del citado Reglamento se refiere al «derecho a presentar una reclamación ante una autoridad de control», mientras que su artículo 78 se refiere al «derecho a la tutela judicial efectiva contra una autoridad de control».

8 El artículo 82 del RGPD, titulado «Derecho a indemnización y responsabilidad», establece en sus apartados 1 y 2:

«1. Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o [d]el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.

2. Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento. […]»

9 Según el apartado 1 del artículo 83 de este Reglamento, titulado «Condiciones generales para la imposición de multas administrativas»:

«Cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al presente artículo por las infracciones del presente Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias.»

10 El artículo 84 de dicho Reglamento, titulado «Sanciones», dispone en su apartado 1:

«Los Estados miembros establecerán las normas en materia de otras sanciones aplicables a las infracciones del presente Reglamento, en particular las infracciones que no se sancionen con multas administrativas de conformidad con el artículo 83, y adoptarán todas las medidas necesarias para garantizar su observancia. Dichas sanciones serán efectivas, proporcionadas y disuasorias.»

Litigio principal y cuestiones prejudiciales

11 A partir de 2017, Österreichische Post, sociedad austriaca dedicada a la venta de direcciones, recogió información sobre las afinidades políticas de la población austriaca. Con ayuda de un algoritmo que tiene en cuenta diversos criterios sociales y demográficos, definió «direcciones de grupos de destinatarios». Los datos así generados se vendieron a distintas organizaciones para permitirles realizar el envío de publicidad dirigida.

12 En el marco de su actividad, Österreichische Post trató datos que, mediante extrapolación estadística, la llevaron a inferir una elevada afinidad del demandante en el litigio principal con un determinado partido político austriaco. Estos elementos no fueron transmitidos a terceros, pero el demandante en el litigio principal, que no había consentido el tratamiento de sus datos personales, se sintió ofendido por el hecho de que se le hubiera atribuido afinidad con el partido en cuestión. La circunstancia de que se conservaran en el seno de la referida sociedad datos relativos a sus supuestas opiniones políticas le causó una importante contrariedad, una pérdida de confianza y un sentimiento de humillación. De la resolución de remisión se desprende que no se ha constatado ningún perjuicio distinto de estos daños temporales de carácter emocional.

13 En este contexto, el demandante en el litigio principal presentó, ante el Landesgericht für Zivilrechtssachen Wien (Tribunal Regional de lo Civil de Viena, Austria), una demanda en la que solicitaba, por una parte, que se ordenara a Österreichische Post el cese del tratamiento de los datos personales en cuestión y, por otra parte, que se condenara a dicha sociedad a abonarle un importe de 1 000 euros en concepto de indemnización por los daños y perjuicios inmateriales que afirma haber sufrido. Mediante resolución de 14 de julio de 2020, dicho órgano jurisdiccional estimó la pretensión de cesación, pero desestimó la pretensión de indemnización.

14 En apelación, el Oberlandesgericht Wien (Tribunal Superior Regional de Viena, Austria) confirmó, mediante sentencia de 9 de diciembre de 2020, la resolución dictada en primera instancia. Por lo que respecta a la pretensión de indemnización, dicho órgano jurisdiccional se refirió a los considerandos 75, 85 y 146 del RGPD y estimó que las disposiciones de Derecho interno de los Estados miembros en materia de responsabilidad civil completan las disposiciones del citado Reglamento, siempre que este no contenga normas especiales. A este respecto, señaló que, en virtud del Derecho austriaco, la infracción de las normas de protección de datos personales no ocasiona automáticamente daños y perjuicios inmateriales y solo genera derecho a indemnización cuando tales daños y perjuicios alcancen un determinado «umbral de gravedad». Pues bien, en opinión del referido órgano jurisdiccional, no ocurría así con los sentimientos negativos que había invocado el demandante en el litigio principal.

15 Ambas partes recurrieron ante el Oberster Gerichtshof (Tribunal Supremo de lo Civil y Penal, Austria), que, mediante sentencia interlocutoria de 15 de abril de 2021, desestimó el recurso de casación de Österreichische Post contra la obligación de cesación que se le había impuesto. Por consiguiente, dicho órgano jurisdiccional únicamente continúa conociendo del recurso de casación que el demandante en el litigio principal interpuso contra la desestimación de su pretensión de indemnización.

16 En apoyo de su petición de decisión prejudicial, el órgano jurisdiccional remitente indica que del considerando 146 del RGPD se desprende que el artículo 82 de dicho Reglamento ha establecido un régimen propio de responsabilidad en materia de protección de datos personales, que sustituye a los regímenes vigentes en los Estados miembros. Por consiguiente, en su opinión, los conceptos que figuran en dicho artículo 82, en particular el concepto de «daños y perjuicios» a que se refiere su apartado 1, deben interpretarse de manera autónoma y los requisitos para que se genere tal responsabilidad no deben definirse a la luz de las normas de Derecho nacional, sino de las exigencias del Derecho de la Unión.

17 Más concretamente, en primer lugar, por lo que respecta al derecho a indemnización por una vulneración de la protección de los datos personales, dicho órgano jurisdiccional se inclina por considerar, a la luz de la sexta frase del considerando 146 del RGPD, que una indemnización basada en el artículo 82 del citado Reglamento presupone que el interesado haya sufrido realmente daños y perjuicios materiales o inmateriales. Considera que la indemnización está supeditada a la prueba de daños y perjuicios concretos distintos de dicha vulneración, que por sí misma no acredita la existencia de daños y perjuicios inmateriales. El considerando 75 del citado Reglamento alude, según el órgano jurisdiccional remitente, a la mera posibilidad de que se produzcan daños y perjuicios inmateriales como consecuencia de las infracciones que en él se enumeran y, si bien es cierto que su considerando 85 menciona el riesgo de una «pérdida de control» de los datos afectados, este riesgo es incierto en el caso de autos, ya que estos no se transmitieron a terceros.

18 En segundo lugar, por lo que respecta a la cuantificación de la indemnización que puede concederse con arreglo al artículo 82 del RGPD, dicho órgano jurisdiccional considera que el principio de efectividad del Derecho de la Unión debe tener una incidencia limitada, puesto que este Reglamento ya prevé, para el caso de su infracción, sanciones severas y que, por tanto, no es necesario reconocer además una indemnización por daños y perjuicios elevada para garantizar su efecto útil. A su juicio, la correspondiente indemnización por los daños y perjuicios debe ser proporcionada, efectiva y disuasoria para que pueda cumplir una función compensatoria, pero no tener carácter punitivo, que es ajeno al Derecho de la Unión.

19 En tercer lugar, el órgano jurisdiccional remitente pone en duda la tesis, defendida por Österreichische Post, según la cual tal indemnización está supeditada al requisito de que la vulneración de la protección de los datos personales haya causado daños y perjuicios particularmente graves. A este respecto, subraya que el considerando 146 del RGPD propugna una interpretación amplia del concepto de «daños y perjuicios», en el sentido de dicho Reglamento. Considera que, en virtud del artículo 82 de este, los daños y perjuicios inmateriales deben ser indemnizados si son tangibles, aun cuando sean escasos. Por el contrario, tales daños y perjuicios no deben indemnizarse si resultan totalmente insignificantes, como ocurre en el caso de los meros sentimientos desagradables que habitualmente acompañan a tal vulneración.

20 En estas circunstancias, el Oberster Gerichtshof (Tribunal Supremo de lo Civil y Penal) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1) ¿El reconocimiento del derecho a una indemnización por daños y perjuicios con arreglo al artículo 82 del RGPD […], además de una violación de las disposiciones del RGPD exige que el demandante haya sufrido daños y perjuicios, o la violación de las disposiciones del RGPD es suficiente por sí misma para el reconocimiento del derecho a una indemnización por daños y perjuicios?

2) ¿Existen otros requisitos del Derecho de la Unión para la cuantificación de la indemnización por daños y perjuicios, además de los principios de efectividad y equivalencia?

3) ¿Es compatible con el Derecho de la Unión la opinión de que un requisito para el reconocimiento de daños y perjuicios inmateriales es que exista una consecuencia o secuela de la vulneración de derechos que tenga al menos cierto peso y que vaya más allá de la contrariedad causada por la misma?»

Sobre las cuestiones prejudiciales

Sobre la admisibilidad de las cuestiones prejudiciales primera y segunda

21 El demandante en el litigio principal sostiene, en esencia, que la primera cuestión prejudicial planteada es inadmisible por ser hipotética. Alega, de entrada, que su acción de indemnización por daños y perjuicios no se basa en una «mera» infracción de una disposición del RGPD. A continuación, señala que la resolución de remisión evoca la existencia de un consenso sobre el hecho de que solo debe pagarse una indemnización cuando tal infracción ocasione daños y perjuicios efectivos. Por último, en su opinión, parece que solo es objeto de controversia entre las partes del litigio principal la cuestión de si es preciso que los daños y perjuicios sobrepasen un determinado «umbral de gravedad». Pues bien, si el Tribunal de Justicia respondiera negativamente a la tercera cuestión prejudicial planteada a este respecto —como él mismo propone—, la primera cuestión prejudicial carecería de utilidad para resolver dicho litigio.

22 El demandante en el litigio principal sostiene asimismo que la segunda cuestión prejudicial planteada es inadmisible, por ser a la vez muy amplia en cuanto a su contenido y demasiado imprecisa en cuanto a su formulación, puesto que el órgano jurisdiccional remitente se refiere a «requisitos del Derecho de la Unión», sin señalar concretamente uno de ellos.

23 A este respecto es preciso recordar que, según reiterada jurisprudencia, corresponde exclusivamente al juez nacional que conoce del litigio y que debe asumir la responsabilidad de la decisión jurisdiccional que ha de adoptarse apreciar, a la luz de las particularidades del asunto, tanto la necesidad de una decisión prejudicial para poder dictar sentencia como la pertinencia de las cuestiones que plantea al Tribunal de Justicia, que disfrutan de una presunción de pertinencia. Por consiguiente, cuando las cuestiones planteadas se refieran a la interpretación o a la validez de una norma del Derecho de la Unión, el Tribunal de Justicia está, en principio, obligado a pronunciarse, salvo si resulta patente que la interpretación solicitada no guarda relación alguna con la realidad o con el objeto del litigio principal, o el problema es de naturaleza hipotética o el Tribunal de Justicia no dispone de los elementos de hecho o de Derecho necesarios para responder adecuadamente a tales cuestiones (véanse, en este sentido, las sentencias de 15 de diciembre de 1995, Bosman, C‑415/93, EU:C:1995:463, apartado 61; de 7 de septiembre de 1999, Beck y Bergdorf, C‑355/97, EU:C:1999:391, apartado 22, y de 5 de mayo de 2022, Zagrebačka banka, C‑567/20, EU:C:2022:352, apartado 43 y jurisprudencia citada).

24 En el presente procedimiento, la primera cuestión prejudicial versa sobre los requisitos exigidos para el ejercicio del derecho a indemnización previsto en el artículo 82 del RGPD. Además, no resulta evidente que la interpretación solicitada carezca de relación con el litigio principal o que el problema planteado sea de naturaleza hipotética. En efecto, por una parte, este litigio se refiere a una pretensión de indemnización en virtud del régimen de protección de datos personales establecido por el RGPD. Por otra parte, esta cuestión prejudicial tiene por objeto determinar si, a efectos de la aplicación de las normas de responsabilidad establecidas en dicho Reglamento, es necesario que el interesado haya sufrido daños y perjuicios distintos a la infracción de este.

25 En lo que atañe a la segunda cuestión prejudicial, ya se ha declarado que el mero hecho de que el Tribunal de Justicia haya de pronunciarse en términos abstractos y generales no puede acarrear la inadmisibilidad de una petición de decisión prejudicial (sentencia de 15 de noviembre de 2007, International Mail Spain, C‑162/06, EU:C:2007:681, apartado 24). Una cuestión prejudicial planteada en tales términos puede considerarse hipotética, y, por tanto, inadmisible, si la resolución de remisión no contiene un mínimo de explicaciones que permitan establecer un vínculo entre dicha cuestión y el litigio principal (véase, en este sentido, la sentencia de 8 de julio de 2021, Sanresa, C‑295/20, EU:C:2021:556, apartados 69 y 70).

26 Ahora bien, no sucede así en el caso de autos, puesto que el órgano jurisdiccional remitente explica que su segunda cuestión prejudicial se basa en una duda acerca de si, en el marco de la cuantificación de la indemnización por daños y perjuicios que Österreichische Post podría adeudar a causa de la infracción de las disposiciones del RGPD, es necesario velar por el respeto no solo de los principios de equivalencia y de efectividad, que se mencionan en esta cuestión prejudicial, sino también de otros eventuales requisitos del Derecho de la Unión. En este contexto, la falta de indicaciones más precisas que aquellas proporcionadas por dicho órgano jurisdiccional en relación con esos principios no priva al Tribunal de Justicia de su capacidad para realizar una interpretación útil de las normas pertinentes del Derecho de la Unión.

27 Por consiguiente, procede declarar la admisibilidad de las cuestiones prejudiciales primera y segunda.

Sobre el fondo

Primera cuestión prejudicial

28 Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que basta la mera infracción de las disposiciones de dicho Reglamento para reconocer un derecho a indemnización.

29 A este respecto, procede recordar que, según reiterada jurisprudencia, el tenor de una disposición de Derecho de la Unión que no contenga una remisión expresa al Derecho de los Estados miembros para determinar su sentido y su alcance debe normalmente ser objeto de una interpretación autónoma y uniforme en toda la Unión [sentencias de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, apartado 81, y de 10 de febrero de 2022, ShareWood Switzerland, C‑595/20, EU:C:2022:86, apartado 21], que debe buscarse, en particular, teniendo en cuenta el tenor de la disposición en cuestión y el contexto en el que se inscribe (véanse, en este sentido, las sentencias de 15 de abril de 2021, The North of England P & I Association, C‑786/19, EU:C:2021:276, apartado 48, y de 10 de junio de 2021, KRONE — Verlag, C‑65/20, EU:C:2021:471, apartado 25).

30 Pues bien, el RGPD no remite al Derecho de los Estados miembros en relación con el sentido y el alcance de los términos que figuran en el artículo 82 de ese Reglamento, en particular en lo referido a los conceptos de «daños y perjuicios materiales o inmateriales» y de «indemnización por los daños y perjuicios sufridos». De ello resulta que, a efectos de la aplicación de dicho Reglamento, debe considerarse que estos términos constituyen conceptos autónomos del Derecho de la Unión, que deben interpretarse de manera uniforme en todos los Estados miembros.

31 En primer lugar, en cuanto atañe al tenor del artículo 82 del RGPD, procede recordar que el apartado 1 de dicho artículo establece que «toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o [d]el encargado del tratamiento una indemnización por los daños y perjuicios sufridos».

32 Por una parte, del tenor de esta disposición se desprende claramente que la existencia de «daños y perjuicios» o de «daños y perjuicios» que se han «sufrido» constituye uno de los requisitos del derecho a indemnización previsto en dicha disposición, al igual que la existencia de una infracción del RGPD y de una relación de causalidad entre dichos daños y perjuicios y esa infracción, de modo que estos tres requisitos son acumulativos.

33 Por lo tanto, no puede considerarse que toda «infracción» de las disposiciones del RGPD dé lugar, por sí sola, al referido derecho a una indemnización a favor del interesado, tal como se define en el artículo 4, punto 1, de dicho Reglamento. Tal interpretación sería contraria al tenor del artículo 82, apartado 1, del citado Reglamento.

34 Por otra parte, es preciso subrayar que la mención diferenciada de «daños y perjuicios» y de una «infracción» en el artículo 82, apartado 1, del RGPD sería superflua si el legislador de la Unión hubiera considerado que una infracción de las disposiciones de dicho Reglamento pudiera bastar, por sí sola y en cualquier caso, para fundamentar un derecho a indemnización.

35 En segundo lugar, la interpretación literal anterior se ve corroborada por el contexto en el que se inscribe esta disposición.

36 En efecto, el artículo 82, apartado 2, del RGPD, que precisa el régimen de responsabilidad cuyo principio se establece en el apartado 1 de dicho artículo, recoge los tres requisitos necesarios para que nazca el derecho a indemnización, a saber, un tratamiento de datos personales en infracción de las disposiciones del RGPD, daños y perjuicios sufridos por el interesado y una relación de causalidad entre dicho tratamiento ilícito y esos daños y perjuicios.

37 Además, las precisiones aportadas por los considerandos 75, 85 y 146 del RGPD respaldan esta interpretación. Por una parte, el considerando 146, que versa específicamente sobre el derecho a indemnización previsto en el artículo 82, apartado 1, de ese Reglamento, se refiere, en su primera frase, a «cualesquiera daños y perjuicios que pueda sufrir una persona como consecuencia de un tratamiento en infracción [de dicho] Reglamento». Por otra parte, los considerandos 75 y 85 mencionan, respectivamente, que «los riesgos […] pueden deberse al tratamiento de datos que [pudiera] provocar daños y perjuicios» y que las «violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios». De ello se desprende, en primer término, que la realización de daños y perjuicios en el marco de tal tratamiento solo es potencial; en segundo término, que la infracción del RGPD no conlleva necesariamente daños y perjuicios, y, en tercer término, que debe existir una relación de causalidad entre la infracción en cuestión y los daños y perjuicios sufridos por el interesado para fundamentar un derecho a indemnización.

38 La interpretación literal del artículo 82, apartado 1, del RGPD se ve corroborada asimismo por una comparación con otras disposiciones que figuran también en el capítulo VIII de dicho Reglamento, que regula, en particular, los distintos recursos que permiten proteger los derechos del interesado en caso de un tratamiento de sus datos personales supuestamente contrario a las disposiciones del referido Reglamento.

39 A este respecto, procede señalar que los artículos 77 y 78 del RGPD, contenidos en ese capítulo, establecen recursos ante o contra una autoridad de control en caso de que se alegue la infracción de dicho Reglamento, sin que se mencione que el interesado deba haber sufrido «daños y perjuicios» para poder interponer tales recursos, a diferencia de los términos empleados en el citado artículo 82 en relación con las acciones de indemnización por daños y perjuicios. Esta diferencia en la formulación revela la importancia del criterio de «daños y perjuicios» y, por tanto, su singularidad con respecto al criterio de la «infracción», a efectos de las pretensiones de indemnización basadas en el RGPD.

40 Del mismo modo, los artículos 83 y 84 del RGPD, que permiten imponer multas administrativas y otras sanciones, tienen esencialmente una finalidad punitiva y no están supeditados a la existencia de daños y perjuicios individuales. La articulación entre las normas enunciadas en dicho artículo 82 y las establecidas en los citados artículos 83 y 84 demuestra que existe una diferencia entre estas dos categorías de disposiciones, pero también una complementariedad, por cuanto se trata de incentivar el respeto del RGPD; debe observarse que el derecho de toda persona a reclamar una indemnización por daños y perjuicios refuerza la operatividad de las normas de protección establecidas en dicho Reglamento y puede disuadir de la reiteración de comportamientos ilícitos.

41 Por último, es importante precisar que el considerando 146, cuarta frase, del RGPD indica que las normas establecidas en este se aplican sin perjuicio de cualquier reclamación por daños y perjuicios basada en la vulneración de otras normas del Derecho de la Unión o de los Estados miembros.

42 Habida cuenta de todas las consideraciones anteriores, procede responder a la primera cuestión prejudicial que el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que no basta la mera infracción de las disposiciones de dicho Reglamento para reconocer un derecho a indemnización.

Tercera cuestión prejudicial

43 Mediante su tercera cuestión prejudicial, que procede examinar antes de la segunda cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que se opone a una norma o práctica nacional que supedita la indemnización por daños y perjuicios inmateriales, en el sentido de esta disposición, al requisito de que los daños y perjuicios sufridos por el interesado hayan alcanzado cierto grado de gravedad.

44 A este respecto, procede recordar que, como se ha subrayado en el apartado 30 de la presente sentencia, el concepto de «daños y perjuicios» y, más concretamente, en el caso de autos, el concepto de «daños y perjuicios inmateriales», en el sentido del artículo 82 del RGPD, debe recibir, teniendo en cuenta la falta de toda referencia al Derecho interno de los Estados miembros, una definición autónoma y uniforme, propia del Derecho de la Unión.

45 En primer lugar, el RGPD no define el concepto de «daños y perjuicios» a efectos de la aplicación de ese instrumento. El artículo 82 de este se limita a enunciar de forma explícita que no solo los «daños y perjuicios materiales» pueden dar derecho a una indemnización, sino también los «daños y perjuicios inmateriales», sin que se mencione ningún umbral de gravedad.

46 En segundo lugar, el contexto en el que se inscribe esta disposición también indica que el derecho a indemnización no está supeditado a que los daños y perjuicios considerados alcancen un determinado umbral de gravedad. En efecto, el considerando 146 del RGPD establece, en su tercera frase, que «el concepto de daños y perjuicios debe interpretarse en sentido amplio a la luz de la jurisprudencia del Tribunal de Justicia, de tal modo que se respeten plenamente los objetivos [de dicho] Reglamento». Pues bien, esta acepción amplia del concepto de «daños y perjuicios», propugnada por el legislador de la Unión, se vería contradicha si el referido concepto se limitara únicamente a los daños y perjuicios de cierta gravedad.

47 En tercer y último lugar, tal interpretación se ve corroborada por los fines perseguidos por el RGPD. A este respecto, es preciso recordar que el considerando 146, tercera frase, del citado Reglamento insta expresamente a que «se respeten plenamente los objetivos [de dicho] Reglamento» a la hora de definir, en el sentido de este, el concepto de «daños y perjuicios».

48 En particular, del considerando 10 del RGPD se desprende que sus disposiciones tienen como objetivo, en especial, garantizar un nivel uniforme y elevado de protección de las personas físicas por lo que se refiere al tratamiento de los datos personales dentro de la Unión y, a tal efecto, garantizar en toda la Unión que la aplicación de las normas de protección de los derechos y libertades fundamentales de esas personas en relación con el tratamiento de tales datos sea coherente y homogénea [véanse, en este sentido, las sentencias de 16 de julio de 2020, Facebook Ireland y Schrems, C‑311/18, EU:C:2020:559, apartado 101, y de 12 de enero de 2023, Österreichische Post (Información relativa a los destinatarios de datos personales), C‑154/21, EU:C:2023:3, apartado 44 y jurisprudencia citada].

49 Pues bien, supeditar la indemnización por daños y perjuicios inmateriales a un determinado umbral de gravedad podría menoscabar la coherencia del régimen establecido por el RGPD, puesto que la graduación de tal umbral, del que dependería la posibilidad de obtener dicha indemnización, podría fluctuar en función de la valoración de los jueces que conocieran del asunto.

50 No obstante, esta interpretación no puede entenderse en el sentido de que implique que un interesado afectado por una infracción del RGPD que haya tenido consecuencias negativas para él no tenga que demostrar que estas consecuencias constituyen daños y perjuicios inmateriales, en el sentido del artículo 82 de dicho Reglamento.

51 Habida cuenta de las consideraciones anteriores, procede responder a la tercera cuestión prejudicial que el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que se opone a una norma o práctica nacional que supedita la indemnización por daños y perjuicios inmateriales, en el sentido de esta disposición, al requisito de que los daños y perjuicios sufridos por el interesado hayan alcanzado cierto grado de gravedad.

Segunda cuestión prejudicial

52 Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 82 del RGPD debe interpretarse en el sentido de que, a efectos de la determinación del importe de la indemnización por daños y perjuicios debida en virtud del derecho a indemnización consagrado en dicho artículo, los jueces nacionales deben aplicar las normas internas de cada Estado miembro relativas al alcance de la reparación pecuniaria, respetando no solo los principios de equivalencia y de efectividad del Derecho de la Unión.

53 A este respecto, es preciso recordar que, según reiterada jurisprudencia, a falta de normas de la Unión en la materia, corresponde al ordenamiento jurídico interno de cada Estado miembro configurar la regulación procesal de los recursos judiciales destinados a garantizar la salvaguardia de los derechos de los justiciables, en virtud del principio de autonomía procesal, a condición, sin embargo, de que dicha regulación no sea menos favorable que la que rige situaciones similares de carácter interno (principio de equivalencia) y de que no haga imposible en la práctica o excesivamente difícil el ejercicio de los derechos que confiere el ordenamiento jurídico de la Unión (principio de efectividad) (véanse, en este sentido, las sentencias de 13 de diciembre de 2017, El Hassani, C‑403/16, EU:C:2017:960, apartado 26, y de 15 de septiembre de 2022, Uniqa Versicherungen, C‑18/21, EU:C:2022:682, apartado 36).

54 En el caso de autos, procede señalar que el RGPD no contiene ninguna disposición que tenga por objeto establecer las normas relativas a la cuantificación de la indemnización por daños y perjuicios a la que tiene derecho el interesado, en el sentido del artículo 4, punto 1, de dicho Reglamento, en virtud del artículo 82 de este, cuando una infracción de ese mismo Reglamento le haya causado daños y perjuicios. Por lo tanto, en ausencia de normas del Derecho de la Unión en la materia, corresponde al ordenamiento jurídico interno de cada Estado miembro establecer los tipos de acciones que permitan garantizar los derechos que confiere el citado artículo 82 a los justiciables y, en particular, los criterios que permitan determinar la cuantía de la indemnización debida en este contexto, siempre que se respeten los principios de equivalencia y de efectividad (véase, por analogía, la sentencia de 13 de julio de 2006, Manfredi y otros, C‑295/04 a C‑298/04, EU:C:2006:461, apartados 92 y 98).

55 En cuanto al principio de equivalencia, en el presente procedimiento el Tribunal de Justicia no dispone de ningún elemento que pueda suscitar dudas sobre la conformidad de una normativa nacional aplicable al litigio principal con dicho principio y que, por tanto, indique que tal principio pueda tener una incidencia concreta en ese litigio.

56 Por lo que respecta al principio de efectividad, corresponde al órgano jurisdiccional remitente apreciar si los criterios previstos en el Derecho austriaco para la determinación judicial de los daños y perjuicios debidos en virtud del derecho a indemnización consagrado en el artículo 82 del RGPD no hacen imposible en la práctica o excesivamente difícil el ejercicio de los derechos conferidos por el Derecho de la Unión y, más concretamente, por dicho Reglamento.

57 En este contexto, procede subrayar que el considerando 146, sexta frase, del RGPD indica que este instrumento tiene por objeto garantizar una «indemnización total y efectiva por los daños y perjuicios sufridos».

58 A tal respecto, a la vista de la función compensatoria del derecho a indemnización previsto en el artículo 82 del RGPD, como ha señalado el Abogado General, en esencia, en los puntos 39, 49 y 52 de sus conclusiones, una indemnización pecuniaria basada en esta disposición debe considerarse «total y efectiva» si permite compensar íntegramente los concretos daños y perjuicios sufridos como consecuencia de la infracción de dicho Reglamento, sin que sea necesario, a efectos de tal compensación íntegra, imponer el pago de indemnizaciones de carácter punitivo.

59 Habida cuenta de todas las consideraciones anteriores, procede responder a la segunda cuestión prejudicial que el artículo 82 del RGPD debe interpretarse en el sentido de que, a efectos de la determinación del importe de la indemnización por daños y perjuicios debida en virtud del derecho a indemnización consagrado en dicho artículo, los jueces nacionales deben aplicar las normas internas de cada Estado miembro relativas al alcance de la reparación pecuniaria, siempre que se respeten los principios de equivalencia y de efectividad del Derecho de la Unión.

Costas

60 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional nacional, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes han presentado observaciones ante el Tribunal de Justicia sin ser partes del litigio principal no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Tercera) declara:

1) El artículo 82, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),

debe interpretarse en el sentido de que

no basta la mera infracción de las disposiciones de dicho Reglamento para reconocer un derecho a indemnización.

2) El artículo 82, apartado 1, del Reglamento 2016/679

debe interpretarse en el sentido de que

se opone a una norma o práctica nacional que supedita la indemnización por daños y perjuicios inmateriales, en el sentido de esta disposición, al requisito de que los daños y perjuicios sufridos por el interesado hayan alcanzado cierto grado de gravedad.

3) El artículo 82 del Reglamento 2016/679

debe interpretarse en el sentido de que,

a efectos de la determinación del importe de la indemnización por daños y perjuicios debida en virtud del derecho a indemnización consagrado en dicho artículo, los jueces nacionales deben aplicar las normas internas de cada Estado miembro relativas al alcance de la reparación pecuniaria, siempre que se respeten los principios de equivalencia y de efectividad del Derecho de la Unión.

Firmas

* Lengua de procedimiento: alemán.