Asunto C‑755/21 P
Marián Kočner
contra
Agencia de la Unión Europea para la Cooperación Policial (Europol)
Sentencia del Tribunal de Justicia (Gran Sala) de 5 de marzo de 2024
«Recurso de casación — Cooperación policial — Reglamento (UE) 2016/794 — Artículos 49, apartado 3, y 50 — Protección de datos personales — Tratamiento ilícito de datos — Proceso penal incoado en Eslovaquia contra el recurrente — Dictamen pericial realizado por la Agencia de la Unión Europea para la Cooperación Policial (Europol) a efectos de la instrucción — Extracción de datos de teléfonos móviles y de un dispositivo de almacenamiento USB pertenecientes al recurrente — Divulgación de dichos datos — Daño moral — Recurso de indemnización — Naturaleza de la responsabilidad extracontractual»
1. Responsabilidad extracontractual — Requisitos — Reglamento (UE) 2016/794 — Responsabilidad por un tratamiento ilícito de datos personales — Naturaleza de dicha responsabilidad — Responsabilidad solidaria de Europol y del Estado miembro de que se trate — Criterios — Prueba de la imputabilidad del tratamiento ilícito a Europol o al Estado miembro de que se trate — Inexistencia
[Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, considerandos 56 y 57 y arts. 49, ap. 3, y 50, ap. 1]
(véanse los apartados 54 a 56, 58, 61 a 63, 67 a 71, 73 a 76 y 79 a 81)
2. Responsabilidad extracontractual — Requisitos — Ilegalidad — Perjuicio — Relación de causalidad — Requisitos acumulativos
(Art. 340 TFUE, párr. 2)
(véase el apartado 117)
3. Responsabilidad extracontractual — Requisitos — Ilegalidad — Concepto — Infracción de una norma del Derecho de la Unión que tiene por objeto conferir derechos a los particulares — Infracción suficientemente caracterizada — Requisitos acumulativos
(Art. 340 TFUE, párr. 2)
(véase el apartado 118)
4. Responsabilidad extracontractual — Requisitos — Ilegalidad — Infracción de una norma del Derecho de la Unión que tiene por objeto conferir derechos a los particulares — Concepto — Cooperación entre Europol y las autoridades competentes de los Estados miembros a efectos del ejercicio de acciones penales — Divulgación de datos personales a personas no autorizadas — Inclusión
[Art. 340 TFUE, párr. 2; Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, art. 50, ap. 1]
(véanse los apartados 119 a 121 y 123)
5. Responsabilidad extracontractual — Requisitos — Ilegalidad — Violación suficientemente caracterizada del Derecho de la Unión — Criterios de apreciación — Obligación de protección de los particulares contra el tratamiento ilícito de sus datos personales — Margen de apreciación de las entidades implicadas en la cooperación prevista en el Reglamento 2016/794 — Inexistencia
[Art. 340 TFUE, párr. 2; Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, art. 50, ap. 1]
(véanse los apartados 126 a 129)
6. Responsabilidad extracontractual — Perjuicio — Perjuicio indemnizable — Daño moral causado por la publicación de las conversaciones íntimas del recurrente — Inclusión
[Art. 340 TFUE, párr. 2; Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, art. 50, ap. 1]
(véanse los apartados 135 y 136)
Resumen
La Gran Sala del Tribunal de Justicia, conociendo del recurso de casación interpuesto por el Sr. Kočner, el recurrente, contra la sentencia del Tribunal General dictada en el asunto Kočner/Europol, (1) estima parcialmente este recurso de casación y precisa la naturaleza de la responsabilidad extracontractual de la Agencia de la Unión Europea para la Cooperación Policial (en lo sucesivo, «Europol»), con arreglo al artículo 50 del Reglamento 2016/794, (2) interpretado a la luz de su considerando 57.
En el marco de una investigación llevada a cabo por las autoridades eslovacas a raíz del asesinato en Eslovaquia, en 2018, de un periodista y de su prometida, Europol prestó su apoyo a dichas autoridades a petición de la Národná kriminálna agentúra (Agencia Nacional de Lucha contra la Delincuencia, Eslovaquia; en lo sucesivo, «NAKA»). En particular, procedió a la extracción de los datos almacenados en dos teléfonos móviles supuestamente pertenecientes al recurrente. El 23 de octubre de 2018, entregó a la NAKA un disco duro que contenía los datos codificados extraídos y la contraseña que protegía dichos datos. Por otra parte, el 13 de enero de 2019, remitió un informe a la NAKA (en lo sucesivo, «informe de Europol») que mencionaba, entre otras cosas, que el nombre del recurrente estaba directamente relacionado con las denominadas «listas de mafiosos».
El 1 de abril de 2019, las autoridades penales eslovacas utilizaron supuestamente esa información en un proceso penal incoado contra el recurrente. En 2019 y 2020, diversos artículos de prensa y sitios de Internet divulgaron un considerable volumen de información relativa al recurrente procedente, en particular, de los teléfonos móviles en cuestión. En concreto, un sitio de Internet y la prensa eslovaca publicaron unas transcripciones de las comunicaciones íntimas intercambiadas entre el recurrente y una amiga por medio de un servicio de mensajería cifrada y contenidas en dichos teléfonos.
Tras presentar una reclamación ante Europol, el recurrente interpuso ante el Tribunal General un recurso de indemnización basado en los artículos 268 TFUE y 340 TFUE y en el artículo 50, apartado 1, del Reglamento Europol, que establece un régimen de responsabilidad por el tratamiento incorrecto de datos personales. (3) Dicho recurso tenía por objeto obtener una indemnización por el daño moral que el recurrente consideraba haber sufrido debido a la actuación de Europol. A raíz de la desestimación de ese recurso por el Tribunal General, el recurrente interpuso recurso de casación contra la sentencia recurrida. Este recurso de casación se dirigía contra la desestimación, por un lado, de la primera pretensión, que tenía por objeto la reparación del daño moral que el recurrente alegaba haber sufrido debido a la divulgación al público de datos personales procedentes de los teléfonos móviles en cuestión, y, por otro lado, de la segunda pretensión, que tenía por objeto la reparación del daño moral que alegaba haber sufrido debido a la inclusión de su nombre en las «listas de mafiosos».
Apreciación del Tribunal de Justicia
En un primer momento, el Tribunal de Justicia examina los motivos invocados contra la sentencia recurrida.
Por lo que respecta al daño moral derivado de la divulgación al público de datos personales procedentes de los teléfonos móviles en cuestión, precisa la naturaleza del régimen de responsabilidad establecido en el artículo 50, apartado 1, del Reglamento Europol.
En primer lugar, el Tribunal de Justicia señala que del análisis de los términos de esa disposición y del objetivo perseguido por dicho Reglamento se desprende que este último, interpretado a la luz de su exposición de motivos, (4) crea, conforme a la voluntad del legislador de la Unión de favorecer a la persona física perjudicada, un régimen de responsabilidad solidaria de Europol y del Estado miembro de que se trate. Esta interpretación viene corroborada por el contexto en el que se inscribe dicha disposición. En efecto, el artículo 50 del Reglamento Europol tiene por objeto introducir un régimen especial de responsabilidad extracontractual por lo que respecta a las operaciones ilícitas de tratamiento de datos, que constituye una excepción al régimen general de responsabilidad establecido en artículo 49 de ese mismo Reglamento.
El Tribunal de Justicia concluye que el artículo 50 del Reglamento Europol establece un régimen de responsabilidad solidaria de Europol y del Estado miembro en el que se haya producido el daño originado por un tratamiento ilícito de datos.
En segundo lugar, por lo que respecta a los requisitos para que se genere la responsabilidad con arreglo al artículo 50 del Reglamento Europol, el Tribunal de Justicia recuerda que, de conformidad con el régimen de la responsabilidad extracontractual de la Unión mencionado en el artículo 340 TFUE, al que hace referencia dicho artículo 50, esta responsabilidad exige que concurran una serie de requisitos.
A este respecto, manifiesta que, en el contexto específico del Reglamento Europol, del tenor de su artículo 50, apartado 1, se desprende que la persona física que pretende hacer valer su derecho a recibir una indemnización únicamente debe acreditar que se ha producido un tratamiento ilícito de datos en el contexto de una cooperación entre Europol y un Estado miembro en virtud de dicho Reglamento.
Esta interpretación literal viene corroborada por el objetivo perseguido por el artículo 50 del Reglamento Europol que consiste, según la exposición de motivos de dicho Reglamento, en responder a las dificultades a las que puede verse expuesta la persona física afectada para determinar si los daños sufridos como resultado de un tratamiento ilícito de datos acaecido en el contexto de tal cooperación es consecuencia de una actuación de Europol o del Estado miembro de que se trate. Pues bien, so pena de privar de eficacia a dicho artículo 50, interpretado a la luz de la exposición de motivos del Reglamento Europol, no puede exigirse a esa persona que demuestre a quién —Europol o el Estado miembro de que se trate— resulta imputable el daño o que demande a esas dos entidades para obtener la reparación íntegra de su daño.
El Tribunal de Justicia también señala que, precisamente para tener en cuenta esas dificultades probatorias, el legislador de la Unión estableció, para la reparación de los daños causados por un tratamiento ilícito de datos en el marco de una cooperación comprendida en el ámbito de aplicación del Reglamento Europol, un mecanismo de responsabilidad en dos fases. Este mecanismo, por un lado, en una primera fase, dispensa a la persona física afectada de la carga de determinar la identidad de la entidad cuyo comportamiento causó el daño alegado y, por otro lado, en una segunda fase, establece que, tras indemnizar a esa persona, la «responsabilidad última» de ese daño debe, en su caso, resolverse definitivamente en el marco de un procedimiento en el que solo intervienen Europol y el Estado miembro de que se trate ante el Consejo de Administración de Europol.
El Tribunal de Justicia deduce de lo anterior que el Reglamento Europol no impone a la persona física afectada la carga de identificar cuál de las entidades implicadas en una cooperación entre Europol y un Estado miembro adoptó el comportamiento constitutivo de un tratamiento ilícito de datos. Así pues, para que se genere la responsabilidad solidaria de Europol o del Estado miembro de que se trate, basta con que esa persona demuestre que se ha efectuado un tratamiento ilícito de datos que le ha causado un perjuicio.
No obstante, el Tribunal de Justicia señala que la entidad demandada sigue teniendo la posibilidad de demostrar, por cualquier medio legal, que el daño alegado no guarda relación con un supuesto tratamiento ilícito de datos acaecido en el marco de tal cooperación, por ejemplo, cuando ese daño sea anterior al tratamiento de que trate.
El Tribunal de Justicia concluye que el Tribunal General incurrió en error de Derecho al considerar, equivocadamente, que el artículo 50, apartado 1, del Reglamento Europol, interpretado a la luz de su exposición de motivos, no eximía a la persona física afectada de demostrar a cuál de las dos entidades implicadas resultaba imputable el tratamiento ilícito de datos. En consecuencia, anula la sentencia recurrida en la medida en que el Tribunal General desestimó la primera pretensión.
Por lo que respecta al daño moral al que se refiere la segunda pretensión y basado en la inclusión del nombre del recurrente en las «listas de mafiosos», el Tribunal de Justicia señala que de la sentencia recurrida se desprende que el informe de Europol es posterior y, por este mero hecho, ajeno al hecho generador de los daños aducido por el recurrente en el marco de esa segunda pretensión. Pues bien, el recurrente no ha demostrado que las apreciaciones en las que se basa la sentencia recurrida a este respecto adolezcan de una desnaturalización de las pruebas o de un error de Derecho. El Tribunal de Justicia considera que, en consecuencia, queda excluido que el perjuicio que alega el recurrente en su segunda pretensión pueda estar relacionado con un eventual tratamiento ilícito de datos acaecido en el marco de la cooperación entre Europol y las autoridades eslovacas.
Por consiguiente, el Tribunal de Justicia declara que, a pesar del error en que incurrió el Tribunal General al descartar el propio principio de la responsabilidad solidaria de Europol en el contexto del Reglamento Europol, el requisito de que el recurrente debe probar la existencia de un tratamiento ilícito de datos que le ha causado un perjuicio no se cumple en el caso de autos, de modo que, en cualquier caso, la responsabilidad de Europol no puede generarse en virtud de esa segunda pretensión. De ello deduce que procede desestimar por inoperante el motivo de casación referente a la desestimación de dicha pretensión.
En un segundo momento, dada la anulación parcial de la sentencia recurrida, el Tribunal de Justicia decide resolver definitivamente el litigio del que conocía el Tribunal General pues su estado así lo permite, y, por ello, examina si en el caso de autos concurren los requisitos para que se genere la responsabilidad extracontractual de la Unión con arreglo al artículo 50 del Reglamento Europol.
Por lo que respecta al requisito de la existencia de una infracción de una norma del Derecho de la Unión que tenga por objeto conferir derechos a los particulares, el Tribunal de Justicia señala que el Reglamento Europol impone a esta agencia de la Unión y a las autoridades competentes de los Estados miembros que deben cooperar a efectos del ejercicio de acciones penales una obligación de proteger a los particulares contra el tratamiento ilícito de sus datos personales. (5)
El Tribunal de Justicia deduce de la lectura conjunta de varias disposiciones del Reglamento Europol que toda divulgación de datos personales, objeto de tratamiento en el marco de la cooperación entre Europol y las autoridades nacionales competentes, a personas no autorizadas para tener conocimiento de ellos constituye infracción de una norma del Derecho de la Unión que tiene por objeto conferir derechos a particulares. Así sucede en el caso de autos con la divulgación no autorizada de datos personales extraídos de conversaciones de carácter íntimo del recurrente.
En cuanto a la exigencia de una infracción suficientemente caracterizada de una norma del Derecho de la Unión, el Tribunal de Justicia recuerda que el criterio decisivo a este respecto es la inobservancia manifiesta y grave de los límites de la facultad de apreciación que establece la norma infringida. Además, la apreciación que ha de efectuarse requiere tomar en consideración el ámbito, las circunstancias y el contexto en los que la obligación de que se trate se impone a la autoridad sujeta a ella. También es preciso tener en cuenta, entre otros factores, el grado de claridad y de precisión de la norma infringida y la amplitud del margen de apreciación que dicha norma deja a la autoridad de que se trate, la complejidad de la situación que debe ser regulada y las dificultades de aplicación o de interpretación de los textos.
En el caso de autos, el Tribunal de Justicia concluye que existe tal infracción suficientemente caracterizada. En efecto, por un lado, las disposiciones del Reglamento Europol no dejan a las entidades implicadas en una cooperación entre Europol y un Estado miembro prevista en dicho Reglamento ningún margen de apreciación en cuanto a la necesidad de proteger a los interesados contra tratamientos ilícitos de datos personales que los conciernan. Por otro lado, dicha obligación se inscribe en el contexto sensible de una cooperación para el ejercicio de acciones penales, en el que tales datos se tratan sin intervención alguna de los interesados, la mayoría de las veces sin su conocimiento y, por lo tanto, sin que estos puedan intervenir en modo alguno para prevenir un eventual tratamiento ilícito de sus datos.
Por lo que respecta a los requisitos relativos a la realidad del daño y a la relación de causalidad, el Tribunal de Justicia recuerda que la responsabilidad extracontractual de la Unión solo se genera cuando la parte recurrente ha sufrido efectivamente un daño real y cierto, y deriva de forma suficientemente directa de la supuesta infracción de una norma del Derecho de la Unión. En el caso de autos, considera que la divulgación a personas no autorizadas de datos relativos a conversaciones íntimas entre el recurrente y su amiga vulneró el derecho de este al respeto de su vida privada y familiar y de sus comunicaciones y que esa divulgación atentó contra su honor y su reputación, causándole un daño moral.
En estas circunstancias, el Tribunal de Justicia declara la anulación parcial de la sentencia recurrida y condena a Europol a pagar 2 000 euros al recurrente en concepto de indemnización por el daño moral sufrido.