CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2024:202

Edición provisional

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala)

de 5 de marzo de 2024 (*)

«Recurso de casación — Cooperación policial — Reglamento (UE) 2016/794 — Artículos 49, apartado 3, y 50 — Protección de datos personales — Tratamiento ilícito de datos — Proceso penal incoado en Eslovaquia contra el recurrente — Dictamen pericial realizado por la Agencia de la Unión Europea para la Cooperación Policial (Europol) a efectos de la instrucción — Extracción de datos de teléfonos móviles y de un dispositivo de almacenamiento USB pertenecientes al recurrente — Divulgación de dichos datos — Daño moral — Recurso de indemnización — Naturaleza de la responsabilidad extracontractual»

En el asunto C‑755/21 P,

que tiene por objeto un recurso de casación interpuesto, con arreglo al artículo 56 del Estatuto del Tribunal de Justicia de la Unión Europea, el 8 de diciembre de 2021,

Marián Kočner, con domicilio en Bratislava (Eslovaquia), representado por los Sres. M. Mandzák y M. Para, advokáti,

parte recurrente,

en el que la otra parte en el procedimiento es:

Agencia de la Unión Europea para la Cooperación Policial (Europol), representada por el Sr. A. Nunzi, en calidad de agente, asistido por los Sres. M. Kottmann y G. Ziegenhorn, Rechtsanwälte,

parte demandada en primera instancia,

apoyada por

República Eslovaca, representada inicialmente por la Sra. S. Ondrášiková y posteriormente por las Sras. E. V. Drugda y S. Ondrášiková, en calidad de agentes,

parte coadyuvante en casación,

Reino de España,

parte coadyuvante en primera instancia,

EL TRIBUNAL DE JUSTICIA (Gran Sala),

integrado por el Sr. K. Lenaerts, Presidente, el Sr. L. Bay Larsen, Vicepresidente, el Sr. A. Arabadjiev, la Sra. A. Prechal, los Sres. E. Regan, F. Biltgen y N. Piçarra y la Sra. O. Spineanu-Matei (Ponente), Presidentes de Sala, y los Sres. S. Rodin y P. G. Xuereb, la Sra. L. S. Rossi, el Sr. N. Wahl, la Sra. I. Ziemele y los Sres. J. Passer y D. Gratsias, Jueces;

Abogado General: Sr. A. Rantos;

Secretario: Sr. A. Calot Escobar;

habiendo considerado los escritos obrantes en autos;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 15 de junio de 2023;

dicta la siguiente

Sentencia

1 Mediante su recurso de casación, el Sr. Marián Kočner solicita la anulación de la sentencia del Tribunal General de 29 de septiembre de 2021, Kočner/Europol (T‑528/20, en lo sucesivo, «sentencia recurrida», EU:T:2021:631), mediante la que dicho Tribunal desestimó su demanda basada en el artículo 268 TFUE por la que se solicitaba una indemnización por los daños que supuestamente había sufrido como consecuencia de la divulgación por la Agencia de la Unión Europea para la Cooperación Policial (Europol) de datos personales y de la inclusión por Europol de su nombre en las «listas de mafiosos».

Marco jurídico

2 Según los considerandos 23, 45, 56, 57 y 65 del Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, relativo a la Agencia de la Unión Europea para la Cooperación Policial (Europol) y por el que se sustituyen y derogan las Decisiones 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI y 2009/968/JAI del Consejo (DO 2016, L 135, p. 53):

«(23) A efectos de la prevención y lucha contra los delitos comprendidos en el ámbito de sus objetivos, es preciso que Europol disponga de la información más completa y actualizada posible. Por consiguiente, es necesario que pueda llevar a cabo el tratamiento de los datos que le hayan facilitado los Estados miembros, […]

[…]

(45) Con el fin de garantizar la seguridad de los datos personales, Europol y los Estados miembros deben poner en práctica las medidas técnicas y organizativas necesarias.

[…]

(56) Europol debe estar sujeta a una normativa general sobre responsabilidad contractual y extracontractual aplicable a las instituciones, agencias y organismos de la Unión [Europea], con excepción de la responsabilidad por el tratamiento ilícito de datos.

(57) Puede darse el caso de que para la persona física afectada no esté claro si los daños sufridos como resultado de un tratamiento ilegal son consecuencia de la acción de Europol o de un Estado miembro. Por consiguiente, Europol y el Estado miembro en que se haya producido el hecho generador de los daños deben ser responsables solidarios.

[…]

(65) Europol trata datos que requieren una protección particular, ya que incluyen información sensible e información clasificada y no clasificada de la UE. Europol debe, por tanto, elaborar normas sobre confidencialidad y tratamiento de esa información. Las normas en materia de protección de la información clasificada de la UE deben estar en consonancia con la Decisión 2013/488/UE del Consejo[, de 23 de septiembre de 2013, sobre las normas de seguridad para la protección de la información clasificada de la UE (DO 2013, L 274, p. 1)].»

3 El artículo 2 de este Reglamento, titulado «Definiciones», dispone cuanto sigue:

«A efectos del presente Reglamento, se entenderá por:

[…]

h) “datos personales”: toda información sobre un interesado;

i) “interesado”: una persona física identificada o identificable, esto es, cuya identidad pueda determinarse, directa o indirectamente en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, unos datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

[…]

k) “tratamiento”: cualquier operación o conjunto de operaciones, efectuadas o no con medios automáticos, aplicadas a datos personales o conjuntos de datos personales, como la recogida, anotación, organización, conservación, adaptación o alteración, extracción, consulta, utilización, divulgación mediante transmisión, difusión o cualquier otra forma puesta a disposición, alineación o combinación, bloqueo, cancelación o destrucción;

[…]».

4 El artículo 3 de dicho Reglamento, titulado «Objetivos», enuncia, en su apartado 1, lo siguiente:

«Europol apoyará y reforzará la actuación de las autoridades competentes de los Estados miembros y su cooperación mutua en la prevención y la lucha contra la delincuencia grave que afecte a dos o más Estados miembros, el terrorismo y las formas de delincuencia que afecten a un interés común protegido por una política de la Unión […]».

5 El artículo 17 del mismo Reglamento, titulado «Fuentes de información», dispone lo siguiente en su apartado 1:

«Europol solamente podrá tratar la información que le haya sido facilitada por:

a) los Estados miembros, de conformidad con su Derecho nacional y con el artículo 7;

[…]».

6 El artículo 18 del Reglamento 2016/794, titulado «Fines de las actividades de tratamiento de la información», dispone, en su apartado 1, lo siguiente:

«En la medida en que sea necesario para la consecución de sus objetivos, enunciados en el artículo 3, Europol puede tratar información, incluidos los datos personales.»

7 El artículo 28 de este Reglamento, titulado «Principios generales en materia de protección de datos», dispone cuanto sigue en su apartado 1:

«Los datos personales deberán ser:

a) objeto de un tratamiento equitativo y conforme a la ley;

b) recogidos con fines determinados, explícitos y legítimos, y no ser tratados ulteriormente de forma incompatible con esos fines. […]

[…]

f) tratados de un modo que garantice una seguridad adecuada de los datos personales.»

8 El artículo 32 de dicho Reglamento, titulado «Seguridad del tratamiento», establece lo siguiente en su apartado 1:

«Europol pondrá en práctica medidas técnicas y organizativas apropiadas para proteger los datos personales contra su destrucción accidental o ilícita, extravío accidental o divulgación, alteración y acceso no autorizados o cualquier otra forma de tratamiento no autorizado.»

9 El artículo 38 del mismo Reglamento, titulado «Responsabilidad en materia de protección de datos», establece, en sus apartados 4, 5 y 7, cuanto sigue:

«[…]

4. Europol será responsable del cumplimiento de los principios a que se refiere el artículo 28, apartado 1, letras a), b), […] y f).

5. La responsabilidad por la legalidad de la transferencia de los datos recaerá en:

a) el Estado miembro que facilitó los datos personales a Europol;

b) Europol en el caso de los datos personales facilitados por él a los Estados miembros […]

[…]

7. Europol será responsable de todas las operaciones de tratamiento de datos efectuadas por sus servicios, […]».

10 El artículo 49 del Reglamento 2016/794, titulado «Disposiciones generales sobre responsabilidad y derecho a una indemnización», establece lo siguiente en su apartado 3:

«Sin perjuicio de lo dispuesto en el artículo 49, en el caso de responsabilidad extracontractual, Europol, de conformidad con los principios generales comunes a los Derechos de los Estados miembros, indemnizará los daños causados por sus servicios o por su personal en el ejercicio de sus funciones.»

11 Según el artículo 50 de este Reglamento, titulado «Responsabilidad por el tratamiento incorrecto de datos personales y derecho a una indemnización»:

«1. Cualquier persona física que haya sufrido un daño como consecuencia de una operación de tratamiento ilícita tendrá derecho a recibir una indemnización por el daño sufrido, bien de Europol de conformidad con el artículo 340 del TFUE, bien del Estado miembro en que se haya producido el hecho que originó el daño de conformidad con su Derecho nacional. El interesado deberá interponer una acción contra Europol ante el Tribunal de Justicia de la Unión Europea o contra el Estado miembro ante un tribunal nacional competente de ese Estado miembro.

2. Cualquier litigio entre Europol y los Estados miembros en relación con la responsabilidad última por la indemnización concedida a una persona de conformidad con el apartado 1 deberá someterse al Consejo de Administración, que se pronunciará por mayoría de dos tercios de sus miembros, sin perjuicio del derecho a impugnar dicha decisión de conformidad con el artículo 263 del TFUE.»

Antecedentes del litigio

12 Los antecedentes del litigio, expuestos en los apartados 1 a 16 de la sentencia recurrida, pueden resumirse, a efectos del presente procedimiento, del siguiente modo.

13 En el marco de una investigación llevada a cabo por las autoridades eslovacas a raíz del asesinato en Eslovaquia, en febrero de 2018, de un periodista y de su prometida, Europol, a petición de la Národná kriminálna agentúra (Agencia Nacional de Lucha contra la Delincuencia, Eslovaquia; en lo sucesivo, «NAKA»), prestó su apoyo a dichas autoridades extrayendo datos almacenados, por un lado, en dos teléfonos móviles supuestamente pertenecientes al recurrente (en lo sucesivo, «teléfonos móviles en cuestión») y que le fueron entregados por la NAKA el 10 de octubre de 2018 y, por otro lado, en un soporte de almacenamiento USB.

14 El 21 de junio de 2019, Europol comunicó a la NAKA los informes forenses definitivos sobre las operaciones realizadas en los teléfonos móviles en cuestión.

15 Según Europol, esta comunicación fue precedida, el 23 de octubre de 2018, por la entrega por esta agencia a la NAKA de un disco duro que contenía datos codificados extraídos de esos teléfonos móviles y, el 13 de febrero de 2019, por la entrega de estos últimos por Europol a la NAKA.

16 Como prueba de dichas entregas, Europol aportó la copia de un acta con el membrete oficial de la NAKA, fechada el 23 de octubre de 2018, con la referencia PPZ-203/NKA-PZ-ZA-2018 y firmada por el jefe del equipo de investigación, A, y la de un formulario de recepción/entrega de pruebas, fechado el 13 de febrero de 2019, con la misma referencia, en el que se mencionaban, en particular, los teléfonos móviles en cuestión y firmado tanto por quien hacía la entrega como por el destinatario de las pruebas.

17 El acta de 23 de octubre de 2018 estaba redactada en los siguientes términos:

«Hoy, 23 de octubre de 2018, a la 1.30, me ha sido entregado un disco externo HDD de color negro que contiene los resultados provisionales de la investigación de Europol, recuperado mediante [decisiones] de 8 de octubre de 2018 y 10 de octubre de 2018. Dicho disco externo lo ha traído personalmente el empleado de Europol B, desde la sede de Europol en La Haya [Países Bajos].

El disco en cuestión contiene resultados provisionales en forma de adquisición y extracción de datos de la memoria para las pruebas 1Z (tarjeta SIM únicamente), 2Z, 3Z, 4Z (tarjeta SIM únicamente), 5Z, 6Z, 7Z, 8Z, 1K, 2K.

El contenido de dicho disco HDD está protegido con una contraseña que me ha sido comunicada.»

18 En relación con el dispositivo de almacenamiento USB, la NAKA solicitó, el 17 de octubre de 2018, la asistencia de Europol para examinar, en particular, los datos que contenía.

19 El informe de Europol de 13 de enero de 2019 (en lo sucesivo, «informe de Europol»), remitido a la NAKA el 14 de febrero de 2019, menciona, bajo el título «Contexto (histórico)», que «[el recurrente] se encuentra en prisión provisional por presunto delito financiero desde el 20 de junio de 2018. Su nombre está, entre otras cosas, directamente relacionado con las denominadas “listas de mafiosos” y con los “papeles de Panamá”.»

20 El 1 de abril de 2019, las autoridades penales eslovacas utilizaron supuestamente la información contenida en los teléfonos móviles en cuestión en un proceso penal incoado contra el recurrente. Asimismo, de un acta de la policía eslovaca de 18 de junio de 2019 se desprende que dichas autoridades llevaron a cabo un análisis completo de los datos contenidos en esos teléfonos.

21 Además, diversos artículos de prensa y sitios de Internet, entre ellos el de una red internacional de periodistas de investigación, divulgaron un considerable volumen de información relativa al recurrente procedente, en particular, de los teléfonos móviles en cuestión y pusieron esta información a disposición del público. En concreto, los días 20 y 29 de mayo de 2019, varios artículos de prensa mencionaron datos procedentes de dichos teléfonos. Asimismo, el 19 de mayo de 2020, un sitio de Internet publicó una selección de documentos relativos al recurrente y, en particular, unas transcripciones de las comunicaciones íntimas intercambiadas entre él y una amiga por medio de un servicio de mensajería cifrada y contenidas en dichos teléfonos. Esta selección fue utilizada por la prensa eslovaca el 21 de mayo de 2020.

22 Mediante escrito de 4 de mayo de 2020, el recurrente reclamó a Europol, sobre la base del artículo 50, apartado 1, del Reglamento 2016/794, el pago de una indemnización por importe de 100 000 euros como reparación del daño moral que considera haber sufrido, por dos motivos, debido a la vulneración del derecho al respeto de su vida privada y familiar. En su opinión, este daño resulta, por un lado, de la publicación de datos personales en la prensa y en Internet, en particular de la publicación de las transcripciones de sus comunicaciones de carácter íntimo y sexual. Por otro lado, considera que dicho daño se deriva de la inclusión de su nombre en las «listas de mafiosos», supuestamente debido al informe de Europol, en la medida en que la prensa se hizo eco de él a raíz de filtraciones relativas a los autos del proceso penal nacional referente al asesinato del periodista y de su prometida mencionados en el apartado 13 de la presente sentencia, autos que incluían dicho informe.

23 A raíz de la investigación llevada a cabo por las autoridades eslovacas, mencionada en el apartado 13 de la presente sentencia, el recurrente fue procesado por complicidad en dicho asesinato, como autor intelectual.

24 El 3 de septiembre de 2020, en primera instancia, el tribunal eslovaco competente absolvió al recurrente. El 15 de junio de 2021, el Najvyšší súd Slovenskej republiky (Tribunal Supremo de la República Eslovaca) anuló la sentencia de primera instancia y devolvió el asunto.

Procedimiento ante el Tribunal General y sentencia recurrida

25 Mediante escrito presentado en la Secretaría del Tribunal General el 18 de agosto de 2020, el recurrente interpuso un recurso, basado en los artículos 268 TFUE y 340 TFUE y en el artículo 50, apartado 1, del Reglamento 2016/794, a fin de ser indemnizado por el daño moral que consideraba haber sufrido debido a la actuación de Europol. En su primera pretensión, solicitó una indemnización de 50 000 euros en concepto de reparación del daño que alegaba haber sufrido debido a la divulgación de datos personales procedentes de los teléfonos móviles en cuestión, datos que luego fueron publicados en Internet y recogidos por la prensa eslovaca. En su opinión, esa divulgación de datos personales había atentado contra su honor y su reputación profesional y vulnerado el derecho al respeto de su vida privada y familiar y el derecho al respeto de sus comunicaciones, garantizados en el artículo 7 de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»). En su segunda pretensión, el recurrente solicitó una indemnización, por el mismo importe, en concepto de reparación del daño que alegaba haber sufrido debido a la inclusión por Europol de su nombre en las «listas de mafiosos».

26 Mediante la sentencia recurrida, en primer lugar, el Tribunal General, tras examinar las causas de inadmisión propuestas por Europol en relación con la primera pretensión del recurrente, declaró que dicha pretensión era admisible únicamente en la medida en que, en ella, el recurrente alegaba un daño moral causado por la supuesta divulgación por Europol de las transcripciones de las conversaciones de carácter íntimo y sexual entre él y su amiga, extraídas de los teléfonos móviles en cuestión. A este respecto, el Tribunal General consideró que, por lo que se refiere al alcance del daño alegado, aunque el recurrente reprochaba a Europol haber divulgado un considerable volumen de datos personales procedentes de dichos teléfonos, únicamente la divulgación de esas transcripciones estaba respaldada por pruebas documentales, contrariamente a la supuesta divulgación de fotografías «de naturaleza altamente confidencial», algunas de las cuales mostraban a esa amiga sin ropa.

27 A continuación, en cuanto al fondo, el Tribunal General desestimó la primera pretensión así delimitada. En primer término, consideró, en los apartados 58 a 91 de la sentencia recurrida, que el recurrente no había aportado «la prueba de una relación de causalidad suficientemente acreditada» entre el daño alegado y un eventual comportamiento de Europol. En particular, el recurrente no había demostrado que la divulgación de los datos contenidos en los teléfonos móviles en cuestión o de las transcripciones de las conversaciones intercambiadas entre el recurrente y su amiga fuera imputable a Europol.

28 En segundo término, en los apartados 92 a 95 de dicha sentencia, el Tribunal General consideró que esta conclusión basada en la no imputabilidad a Europol de la divulgación de los datos controvertidos no quedaba desvirtuada ni por el considerando 57 ni por los artículos 49, apartado 3, y 50 del Reglamento 2016/794, que invocaba el recurrente.

29 Sobre este particular, por un lado, el Tribunal General declaró, en los apartados 93 a 95 de la sentencia recurrida, que los artículos 49, apartado 3, y 50, apartado 1, del Reglamento 2016/794 se limitaban a precisar que, en materia de responsabilidad extracontractual y, en especial, de responsabilidad derivada de operaciones de tratamiento ilícito de datos, Europol debía reparar cualquier daño causado por sus servicios o por su personal en el ejercicio de sus funciones, en las condiciones establecidas en el artículo 340 TFUE. Ahora bien, según el Tribunal General, dichas condiciones no se cumplen en el presente caso. Por otro lado, el Tribunal General recordó que, si bien es cierto que, según se manifiesta, en esencia, en el considerando 57 del Reglamento 2016/794, Europol y el Estado miembro en el que se ha producido el daño, derivado de un tratamiento ilícito de datos efectuado por dicha agencia o por dicho Estado miembro, son responsables solidarios de ese daño, procedía no obstante declarar que ese mecanismo de solidaridad no encuentra expresión ni fundamento en las disposiciones del citado Reglamento. Además, subrayó que, según la jurisprudencia del Tribunal de Justicia, la exposición de motivos de un acto de la Unión no tiene un valor jurídico vinculante y no puede ser invocada para establecer excepciones a las propias disposiciones del acto de que se trate. Así pues, el Tribunal General declaró que «el considerando 57 del Reglamento 2016/794 no puede generar una responsabilidad solidaria que vincule a Europol en el presente caso».

30 En consecuencia, el Tribunal General desestimó la primera pretensión por infundada, al considerar que no era necesario examinar si concurrían los demás requisitos para que se generase la responsabilidad extracontractual de la Unión.

31 Por lo que respecta a la segunda pretensión, relativa a la reparación del daño supuestamente sufrido como consecuencia de la inclusión por Europol del nombre del recurrente en las «listas de mafiosos», el Tribunal General declaró, en los apartados 102 y 105 de la sentencia recurrida, que no se había demostrado que esas listas hubieran sido elaboradas y gestionadas por una institución de la Unión, a efectos del artículo 340 TFUE, párrafo segundo, en particular por Europol, y que esta conclusión no quedaba desvirtuada ni por el considerando 57 ni por los artículos 49, apartado 3, y 50 del Reglamento 2016/794, y ello por las mismas razones que las expuestas en los apartados 92 a 95 de la sentencia recurrida y resumidas en el apartado 29 de la presente sentencia.

32 Además, el Tribunal General precisó, en los apartados 106 a 109 de la sentencia recurrida, que esta segunda pretensión también resultaba infundada aun suponiendo que «deba entenderse en el sentido de que reprocha a Europol haber dado lugar a la evolución de los calificativos utilizados por la prensa eslovaca respecto al recurrente, en el sentido de que, desde entonces, ya no se le presentaba como un “empresario controvertido”, sino como “un mafioso” o como “una persona incluida en las listas de mafiosos”». A este respecto, el Tribunal General consideró, en particular, que el recurrente no había aportado ninguna prueba que acreditara que la información publicada en la prensa eslovaca tuviera su origen en el informe de Europol ni que demostrara de modo suficiente en Derecho la existencia de una relación de causalidad entre la filtración de dicho informe y el hecho de que la prensa eslovaca hubiera modificado, desde principios de 2019, su forma de calificar al recurrente. La coincidencia temporal alegada se vería contradicha por elementos de prueba aportados tanto por el recurrente como por Europol, de los que se desprendía que, mucho antes de principios de 2019, la prensa eslovaca presentaba ocasionalmente al recurrente como un «mafioso», lo que excluiría que tal presentación pudiera tener su origen en la filtración de los autos penales nacionales que se referían al recurrente y que contenían dicho informe.

33 En consecuencia, el Tribunal General desestimó la segunda pretensión por infundada y el recurso en su totalidad.

Procedimiento ante el Tribunal de Justicia y pretensiones de las partes

34 Mediante escrito presentado en la Secretaría del Tribunal de Justicia el 8 de diciembre de 2013, el recurrente interpuso recurso de casación contra la sentencia del Tribunal General.

35 Mediante su recurso de casación, el recurrente solicita al Tribunal de Justicia que:

– Anule la sentencia recurrida.

– Devuelva el asunto al Tribunal General

– Se resuelva sobre las costas en el marco del procedimiento principal.

36 Europol solicita al Tribunal de Justicia que:

– Desestime el recurso de casación.

– Condene en costas al recurrente.

37 Mediante decisión del Presidente del Tribunal de Justicia de 1 de abril de 2022, se admitió la intervención de la República Eslovaca en apoyo de las pretensiones de Europol.

Sobre el recurso de casación

38 En apoyo de su recurso de casación, el recurrente invoca seis motivos. Los motivos primero a cuarto se refieren a la desestimación de la primera pretensión, que tiene por objeto la reparación del daño moral que alega haber sufrido debido a la divulgación al público de datos personales procedentes de los teléfonos móviles en cuestión. Los motivos quinto y sexto se refieren a la desestimación de la segunda pretensión, que tiene por objeto la reparación del daño moral que alega haber sufrido debido a la inclusión de su nombre en las «listas de mafiosos».

Sobre la admisibilidad de los motivos de casación primero y quinto

Alegaciones de las partes

39 Europol alega que los motivos de casación primero y quinto —basados en un error de Derecho supuestamente cometido por el Tribunal General al excluir la responsabilidad solidaria de Europol y del Estado miembro de que se trata por los daños sufridos como consecuencia de un tratamiento ilícito de datos— son inadmisibles en la medida en que se refieren a un motivo presentado extemporáneamente por el recurrente ante el Tribunal General, a saber, en la fase de réplica. Considera que este último debió haber planteado de oficio la inadmisibilidad de dicho motivo.

40 El recurrente solicita que se desestime esta causa de inadmisión.

Apreciación del Tribunal de Justicia

41 Del artículo 84, apartados 1 y 2, del Reglamento de Procedimiento del Tribunal General resulta que procede declarar la inadmisibilidad de los motivos invocados por primera vez en la fase de réplica y que no se funden en razones de hecho y de Derecho que hayan aparecido durante el procedimiento. No obstante, el Tribunal de Justicia ya ha declarado a este respecto que debe considerarse admisible un motivo o una alegación que constituya la ampliación de un motivo enunciado anteriormente en la demanda (véase, en este sentido, la sentencia de 26 de abril de 2007, Alcon/OAMI, C‑412/05 P, EU:C:2007:252, apartados 38 a 40 y jurisprudencia citada). Por lo tanto, no puede declararse la inadmisibilidad de tal motivo por extemporaneidad.

42 En el presente caso, en el punto 58 de su demanda ante el Tribunal General, el recurrente alegó que, en virtud de la responsabilidad solidaria establecida en los artículos 49, apartado 3, y 50 del Reglamento 2016/794, y habida cuenta del considerando 57 de dicho Reglamento, debía considerarse a Europol responsable del daño sufrido aun cuando los actos lesivos se cometieran junto con las autoridades eslovacas. En el punto 24 de la réplica, el recurrente desarrolló esta argumentación alegando que, en virtud de dichas disposiciones y, en particular, habida cuenta del citado considerando, Europol era, en cualquier caso, solidariamente responsable junto con el Estado miembro de que se trata del daño causado por un tratamiento ilícito de datos.

43 De este modo, el recurrente invocó expresamente, en su demanda, la existencia de un mecanismo de responsabilidad solidaria de Europol basado en los artículos 49 y 50 del Reglamento 2016/794, interpretados a la luz de su considerando 57, por lo que el Tribunal General consideró fundadamente que, mediante dicha demanda, la cuestión de esa responsabilidad solidaria se había planteado en el contexto del presente asunto. Por lo tanto, el punto 24 de la réplica debe considerarse una ampliación de la argumentación expuesta en la demanda al respecto.

44 En estas circunstancias, el Tribunal General procedió fundadamente a analizar las disposiciones y el considerando invocados por el recurrente en dicha alegación.

45 En consecuencia, procede desestimar la causa de inadmisión propuesta por Europol.

Primer motivo de casación

Alegaciones de las partes

46 Mediante su primer motivo de casación, el recurrente reprocha al Tribunal General haber incurrido en error de Derecho al decidir, en los apartados 94 y 95 de la sentencia recurrida, no tener en cuenta el considerando 57 del Reglamento 2016/794 a efectos de determinar la responsabilidad de Europol basada en el artículo 50, apartado 1, de dicho Reglamento, debido a que la exposición de motivos de un reglamento carece de valor jurídico vinculante. De ello deduce que el Tribunal General desestimó erróneamente la primera pretensión al declarar que dicho considerando no puede generar una responsabilidad solidaria de Europol por un tratamiento ilícito de datos efectuado por dicha agencia o por el Estado miembro de que se trata.

47 A este respecto, el recurrente alega, en esencia, que el Tribunal General consideró que el daño debía ser soportado por aquel a quien fuera imputable —a saber, Europol o el Estado miembro de que se trata—, siendo así que de los artículos 49, apartado 3, y 50 del Reglamento 2016/794, interpretados a la luz de su considerando 57 y de los objetivos que persigue, se desprende que dicho Reglamento establece una responsabilidad solidaria de Europol y del Estado miembro en el que se haya producido el daño originado por un tratamiento ilícito de datos efectuado por dicha agencia o por dicho Estado miembro.

48 Europol, apoyada por la República Eslovaca, alega que el primer motivo carece de fundamento.

49 Dicha agencia alega que la generación de la responsabilidad de la Unión en virtud del artículo 340 TFUE está supeditada a la concurrencia de una serie de requisitos, entre ellos, la ilegalidad del comportamiento reprochado a la institución de la Unión de que se trate. Sostiene asimismo que, si no existe un comportamiento ilegal de una de sus instituciones, la Unión no puede ser considerada responsable y que los daños causados por los Estados miembros no pueden generar tal responsabilidad. Por otra parte, señala que en aquellas situaciones en las que interactúan las autoridades de la Unión y las de los Estados miembros, el Tribunal de Justicia ha precisado, en particular, que, en caso de daño causado conjuntamente por la Unión y por un Estado miembro, el juez de la Unión solo puede pronunciarse sobre el perjuicio después de que el juez nacional haya adoptado una decisión al respecto. Subraya que la responsabilidad solidaria de la Unión y del Estado miembro de que se trate, cuando ambos actúan conjuntamente, no está reconocida en principio en el artículo 340 TFUE, párrafo segundo, sino que requiere una mención expresa en ese sentido por parte del legislador de la Unión.

50 Añade que el artículo 50 del Reglamento 2016/794 no es aplicable al tratamiento de datos controvertido en el presente caso, por cuanto se aplica exclusivamente a los tratamientos de datos efectuados en el marco de las operaciones y cometidos de Europol. En su opinión, dado que los hechos generadores de los daños alegados se produjeron durante la conservación del expediente de la investigación nacional, no constituyen «operaciones de tratamiento de datos ilícitas», a efectos de dicho artículo, comprendidas en el ámbito de aplicación del citado Reglamento.

51 Por otra parte, considera que el artículo 50, apartado 1, del Reglamento 2016/794 no establece expresamente la responsabilidad solidaria de Europol y del Estado miembro de que se trate. En su opinión, a tenor de esta disposición, Europol únicamente es responsable «de conformidad con el artículo 340 del TFUE», lo que significa que esta responsabilidad solo puede generarse cuando concurren los tres requisitos derivados de dicha disposición. En consecuencia, según Europol, aun cuando dicho artículo 50, apartado 1, fuera aplicable en el presente caso, no se la puede considerar responsable a falta de un comportamiento ilegal por su parte y de una relación de causalidad entre tal comportamiento y el daño sufrido. Añade que no se puede obligar a la Unión a reparar los daños resultantes de la actuación de un Estado miembro en virtud de dicho artículo 50, apartado 1, que solo se aplica a los daños causados conjuntamente por la Unión y por un Estado miembro, como confirma el tenor del artículo 50, apartado 2, de dicho Reglamento.

52 Según Europol, no puede deducirse del considerando 57 del Reglamento 2016/794 que sea de otro modo. Señala que el concepto de «responsabilidad solidaria» mencionado en este considerando supone que más de una entidad es responsable de un mismo perjuicio, y no que, en ausencia de cualquier comportamiento ilegal por su parte, Europol pueda ser considerada responsable de la actuación de un Estado miembro. A su juicio, la interpretación que de ese considerando hace el recurrente se contradice con el alcance de dicho Reglamento y con el tenor de su artículo 50. Pues bien, considera que, dado que la exposición de motivos de un acto de la Unión no tiene un valor jurídico vinculante, no puede ser invocado para apartarse del tenor claro de una disposición.

Apreciación del Tribunal de Justicia

53 Es preciso examinar, en un primer momento, si el artículo 50, apartado 1, del Reglamento 2016/794 establece un régimen de responsabilidad solidaria de Europol y del Estado miembro de que se trate en el supuesto de tratamiento ilícito de datos. En caso afirmativo, habrá que determinar, en un segundo momento, cuáles son los requisitos para que se genere dicha responsabilidad.

– Naturaleza del régimen de responsabilidad con arreglo al artículo 50, apartado 1, del Reglamento 2016/794

54 A efectos de la interpretación del artículo 50, apartado 1, del Reglamento 2016/794, en particular para determinar la naturaleza del régimen de responsabilidad que en él se plasma, procede tener en cuenta, conforme a reiterada jurisprudencia del Tribunal de Justicia, no solo su tenor literal, sino también el contexto en el que se inscribe y los objetivos perseguidos por la normativa de la que forma parte (véase, en este sentido, la sentencia de 3 de junio de 2021, TEAM POWER EUROPE, C‑784/19, EU:C:2021:427, apartado 43 y jurisprudencia citada).

55 Por lo que respecta al tenor literal del artículo 50, apartado 1, del Reglamento 2016/794, este dispone que el perjudicado por una operación de tratamiento de datos ilícita tiene derecho a recibir una indemnización por el daño sufrido, «bien de Europol […], bien del Estado miembro en que se haya producido el hecho que originó el daño […]». Como señaló el Abogado General en el punto 38 de sus conclusiones, estos términos no son unívocos en cuanto a la naturaleza de la responsabilidad a la que se refieren. En efecto, pueden indicar que la persona física perjudicada debe dirigirse bien a Europol en caso de daño imputable total o parcialmente a esta, bien al Estado miembro de que se trate en caso de daño imputable en todo o en parte a este. No obstante, en la medida en que de dichos términos también puede deducirse que el perjudicado puede dirigirse indistintamente a cada una de las entidades —por lo tanto, bien a Europol, bien al Estado miembro de que se trate— para la reparación de la totalidad del daño sufrido como consecuencia de un tratamiento ilícito de datos acaecido en el marco de la cooperación entre Europol y dicho Estado miembro, esos mismos términos no excluyen que dicha disposición pueda establecer a este respecto la responsabilidad solidaria de dichas entidades.

56 Por lo tanto, es preciso examinar si, a la luz del objetivo perseguido por el artículo 50, apartado 1, del Reglamento 2016/794 y de su contexto, esta disposición crea un régimen de responsabilidad solidaria de Europol y del Estado miembro de que se trate en cuanto a los daños sufridos como consecuencia de un tratamiento ilícito de datos acaecido en el marco de la cooperación entre Europol y dicho Estado miembro en virtud del citado Reglamento.

57 Según el considerando 57 del Reglamento 2016/794, que expresa tal objetivo, «puede darse el caso de que para la persona física afectada no esté claro si los daños sufridos como resultado de un tratamiento ilegal son consecuencia de la acción de Europol o de un Estado miembro [y,] por consiguiente, Europol y el Estado miembro en que se haya producido el hecho generador de los daños deben ser responsables solidarios».

58 De ello se desprende que, tomando en consideración la situación en la que una persona física perjudicada por un tratamiento ilícito de datos no puede determinar si su perjuicio es imputable a la actuación de Europol o a la de un Estado miembro con el que esta ha cooperado, el legislador de la Unión estableció un régimen de responsabilidad solidaria entre Europol y el Estado miembro en el que se haya producido el hecho generador de los daños con el fin de garantizar una protección completa a esa persona física en el supuesto de que se encuentre en tal situación.

59 A este respecto, procede recordar que, aun sin tener valor jurídico vinculante, un considerando de un acto de la Unión tiene un importante valor interpretativo, en la medida en que puede precisar el contenido de una disposición de ese acto y arrojar luz sobre la voluntad de su autor (véase, en este sentido, la sentencia de 13 de julio de 2023, Comisión/CK Telecoms UK Investments, C‑376/20 P, EU:C:2023:561, apartados 104 y 105 y jurisprudencia citada).

60 Es cierto que el considerando de un acto de la Unión no puede ser invocado para establecer excepciones a las propias disposiciones del acto de que se trate ni para interpretarlas en un sentido manifiestamente contrario a su tenor literal (véanse, en este sentido, las sentencias de 19 de junio de 2014, Karen Millen Fashions, C‑345/13, EU:C:2014:2013, apartado 31 y jurisprudencia citada, y de 16 de febrero de 2022, Hungría/Parlamento y Consejo, C‑156/21, EU:C:2022:97, apartado 191).

61 Sin embargo, en el caso de autos, el considerando 57 del Reglamento 2016/794 no contradice en modo alguno el tenor del artículo 50, apartado 1, de dicho Reglamento. En efecto, como se ha señalado en el apartado 55 de la presente sentencia, esos términos se prestan, en particular, a una interpretación según la cual dicha disposición establece un régimen de responsabilidad solidaria de Europol y del Estado miembro de que se trate a favor de la persona física perjudicada por un tratamiento ilícito de datos acaecido en el marco de la cooperación entre aquellos.

62 Del análisis anterior se desprende que el artículo 50, apartado 1, del Reglamento 2016/794, interpretado a la luz del considerando 57 de dicho Reglamento, crea, conforme a la voluntad del legislador de la Unión de favorecer a la persona física perjudicada, un régimen de responsabilidad solidaria de Europol y del Estado miembro de que se trate en cuanto a los daños sufridos como consecuencia de tal tratamiento.

63 Esta interpretación viene corroborada por el contexto en el que se inscribe esta disposición, concretamente por los artículos 49 y 50, apartado 2, del Reglamento 2016/794.

64 En efecto, por un lado, el artículo 49 del Reglamento 2016/794 establece, según su título, disposiciones generales sobre responsabilidad y derecho a una indemnización. En cambio, del título del artículo 50 de dicho Reglamento resulta que este artículo se refiere específicamente a la responsabilidad por el tratamiento incorrecto de datos personales y al derecho a una indemnización que de él se deriva. El carácter de excepción de dicho artículo 50 respecto de los principios generales de la responsabilidad extracontractual de la Unión queda subrayado, en particular, en el artículo 49, apartado 3, de dicho Reglamento, interpretado a la luz de su considerando 56.

65 En virtud de esta última disposición, en el caso de responsabilidad extracontractual, Europol indemnizará, de conformidad con los principios generales comunes a los Derechos de los Estados miembros, los daños causados por sus servicios o por su personal en el ejercicio de sus funciones. No obstante, esta norma se enuncia «sin perjuicio de lo dispuesto en el artículo 49» del Reglamento 2016/794.

66 A este respecto, procede observar que la referencia al «artículo 49», mencionada en el tenor del artículo 49, apartado 3, de dicho Reglamento, constituye un manifiesto error de redacción. En efecto, esta referencia carecería de sentido si se remitiera al artículo del que forma parte. Por lo tanto, y dado que el artículo 50 del mismo Reglamento establece un régimen de excepción con respecto a las normas generales sobre responsabilidad extracontractual de la Unión contempladas en el citado artículo 49, apartado 3, esta última disposición debe interpretarse, por lo que respecta a su parte inicial que contiene la expresión «sin perjuicio», en el sentido de que se refiere a dicho artículo 50.

67 El considerando 56 del Reglamento 2016/794 corrobora la interpretación realizada en el apartado anterior al señalar que «Europol debe estar sujeta a una normativa general sobre responsabilidad contractual y extracontractual aplicable a las instituciones, agencias y organismos de la Unión, con excepción de la responsabilidad por el tratamiento ilícito de datos».

68 De ello se deriva que el artículo 50 del Reglamento 2016/794 tiene por objeto introducir un régimen especial de responsabilidad extracontractual por lo que respecta a las operaciones ilícitas de tratamiento de datos, que constituye una excepción al régimen general de responsabilidad establecido en dicho Reglamento.

69 Por otro lado, del artículo 50, apartado 2, del Reglamento 2016/794 se desprende que el hecho de que se cuestione, ante el Tribunal de Justicia de la Unión Europea o ante el tribunal nacional competente, la responsabilidad de Europol o del Estado miembro de que se trate por un tratamiento ilícito de datos acaecido en el marco de la cooperación entre aquellos solo constituye la primera de las dos fases del mecanismo de responsabilidad previsto en el artículo 50 de dicho Reglamento. En efecto, según el artículo 50, apartado 2, de este, la segunda fase de ese mecanismo consiste en determinar la «responsabilidad última» de Europol y/o del Estado miembro de que se trate por la indemnización concedida a una persona de conformidad con el artículo 50, apartado 1, de dicho Reglamento, pudiendo someterse al Consejo de Administración de Europol cualquier litigio entre Europol y los Estados miembros a este respecto, sin perjuicio del derecho a impugnar su decisión ante el Tribunal de Justicia de la Unión Europea de conformidad con el artículo 263 TFUE.

70 Pues bien, la posibilidad prevista en el artículo 50, apartado 2, del Reglamento 2016/794 de que el Consejo de Administración de Europol determine, en el marco de esta segunda fase, la «responsabilidad última» que incumbe a la entidad a la que es imputable el comportamiento ilegal causante del daño, o incluso la parte de responsabilidad que incumbe a cada una de las entidades en caso de concurso de comportamientos ilegales, no tendría razón de ser si no existiera una responsabilidad solidaria de dichas entidades.

71 Habida cuenta de lo anterior, procede considerar que el artículo 50 del Reglamento 2016/794, interpretado a la luz del artículo 49, apartado 3, y de los considerandos 56 y 57 de dicho Reglamento, establece un régimen de responsabilidad solidaria de Europol y del Estado miembro en el que se haya producido el daño originado por un tratamiento ilícito de datos acaecido en el marco de la cooperación entre aquellos en virtud de dicho Reglamento.

72 Como señaló el Abogado General en el punto 51 de sus conclusiones, dicho régimen de responsabilidad solidaria no es ajeno al Derecho de la Unión en materia de tratamiento de datos. Así, el artículo 82, apartado 4, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1), establece ese tipo de responsabilidad en el supuesto de pluralidad de responsables del tratamiento de datos.

– Requisitos para que se genere la responsabilidad con arreglo al artículo 50, apartado 1, del Reglamento 2016/794

73 De conformidad con las condiciones derivadas del artículo 340 TFUE, al que hace referencia el artículo 50, apartado 1, del Reglamento 2016/794 en el supuesto de que el perjudicado ejercite una acción contra Europol, la responsabilidad extracontractual de la Unión en virtud de dicho artículo 340 exige que concurran una serie de requisitos, a saber, la ilegalidad del comportamiento imputado a la institución, órgano u organismo de la Unión de que se trate, la realidad del daño y la existencia de una relación de causalidad entre ese comportamiento y el perjuicio invocado (véase, en este sentido, la sentencia de 16 de diciembre de 2020, Consejo/K. Chrysostomides & Co. y otros, C‑597/18 P, C‑598/18 P, C‑603/18 P y C‑604/18 P, EU:C:2020:1028, apartados 79 y 80 y jurisprudencia citada).

74 En el contexto específico del Reglamento 2016/794, del tenor del artículo 50, apartado 1, de este Reglamento se desprende que la persona física que pretende hacer valer su derecho a recibir una indemnización, sobre la base de esta disposición, ya sea frente a Europol o frente al Estado miembro al que demanda, debe acreditar la existencia de una «operación de tratamiento ilícita», la de un «daño» y la de una relación de causalidad entre dicha operación y ese daño. Así pues, a la luz del primero de los requisitos recordados en el apartado anterior, esa persona únicamente debe acreditar que se ha producido un tratamiento ilícito de datos en el contexto de una cooperación entre Europol y un Estado miembro en virtud de dicho Reglamento.

75 Como se ha señalado en los apartados 57 y 58 de la presente sentencia, el objetivo perseguido por el artículo 50, apartado 1, del Reglamento 2016/794 consiste, a tenor del considerando 57 de dicho Reglamento, en responder a las dificultades a las que puede verse expuesta la persona física afectada para determinar si los daños sufridos como resultado de un tratamiento ilícito de datos acaecido en el contexto de tal cooperación es consecuencia de una actuación de Europol o del Estado miembro de que se trate.

76 Pues bien, so pena de privar de eficacia a dicho artículo 50, apartado 1, interpretado a la luz del considerando 57, no puede exigirse a esa persona que demuestre a quién —Europol o el Estado miembro de que se trate— resulta imputable el daño o que demande a esas dos entidades para obtener la reparación íntegra de su daño.

77 A este último respecto, es preciso señalar que el artículo 50, apartado 1, del Reglamento 2016/794 no establece que la persona física afectada pueda demandar a las dos entidades potencialmente responsables del tratamiento ilícito de datos ante el mismo órgano jurisdiccional, ya que esta disposición obliga a esa persona a ejercitar una acción contra Europol ante el Tribunal de Justicia de la Unión Europea o contra el Estado miembro ante un tribunal competente de este.

78 Por lo tanto, en primer término, aunque el Estado miembro de que se trate y Europol puedan intervenir, respectivamente, ante el Tribunal General o ante un tribunal de ese Estado miembro, no puede excluirse que dicha persona se vea obligada a ejercitar su acción en ausencia de una de estas entidades. En segundo término, en cualquier caso, si ambas entidades están presentes en el procedimiento ante el tribunal que conoce del asunto, del apartado anterior se desprende que solo puede exigirse la responsabilidad de una de ellas en el marco del procedimiento en curso, lo que puede perjudicar la determinación de los hechos. Por último, las acciones ejercitadas por el interesado, respectivamente, contra Europol ante el Tribunal General y contra el Estado miembro de que se trate ante un tribunal de ese Estado miembro podrían llevar a la misma conclusión, por parte de esos dos tribunales, de inexistencia de responsabilidad de cada una de esas entidades demandadas, por no haber demostrado de modo suficiente en Derecho el interesado la imputabilidad a estas últimas del daño alegado.

79 Pues bien, es precisamente para tener en cuenta esas dificultades probatorias por lo que el legislador de la Unión estableció, en el artículo 50 del Reglamento 2016/794, para la reparación de los daños causados por un tratamiento ilícito de datos, un mecanismo de responsabilidad en dos fases que, por un lado, dispensa a la persona física afectada de la carga de determinar la identidad de la entidad cuyo comportamiento causó el daño alegado y, por otro, establece que, tras indemnizar a esa persona, la «responsabilidad última» de ese daño debe, en su caso, resolverse definitivamente en el marco de un procedimiento en el que solo intervienen Europol y el Estado miembro de que se trate ante el Consejo de Administración de Europol.

80 De lo anterior se deduce que el artículo 50, apartado 1, del Reglamento 2016/794 debe interpretarse, a la luz del considerando 57 de dicho Reglamento, en el sentido de que no impone a la persona física afectada que ha demostrado la existencia de un tratamiento ilícito de datos acaecido en el marco de la cooperación entre Europol y un Estado miembro en virtud de dicho Reglamento la carga de identificar cuál de las entidades implicadas en dicha cooperación adoptó el comportamiento constitutivo de ese tratamiento ilícito.

81 Para que se genere la responsabilidad solidaria de Europol o del Estado miembro de que se trate y para que la persona física afectada pueda obtener la reparación íntegra del daño sufrido, bien ante el juez de la Unión, bien ante el juez nacional, con arreglo al artículo 50, apartado 1, del Reglamento 2016/794, basta con que esa persona demuestre que, con motivo de la cooperación entre Europol y el Estado miembro de que se trate en virtud de dicho Reglamento, se ha efectuado un tratamiento ilícito de datos que le ha causado un perjuicio, sin que sea necesario que demuestre, además, a cuál de esas dos entidades es imputable ese tratamiento ilícito.

82 Dicho esto, la entidad demandada sigue teniendo la posibilidad de demostrar, por cualquier medio legal, que el daño alegado no guarda relación con un supuesto tratamiento ilícito de datos acaecido en el marco de tal cooperación. Así sucedería, por ejemplo, si dicha entidad demostrara que ese daño tiene su origen en hechos anteriores a la cooperación entablada en virtud del Reglamento 2016/794.

83 De todo lo anterior se deriva que, al desestimar, en el apartado 91 de la sentencia recurrida, la primera pretensión del recurrente por no haber demostrado este que la divulgación de datos personales que lo concernían era imputable a Europol y, por lo tanto, no haber «aportado la prueba de una relación de causalidad suficientemente acreditada entre el daño alegado en el marco de [esta pretensión] y un eventual comportamiento de Europol», y al considerar, en los apartados 92 a 95 de la sentencia recurrida, que esta desestimación no quedaba desvirtuada por el considerando 57 y los artículos 49, apartado 3, y 50 del Reglamento 2016/794, el Tribunal General incurrió en error de Derecho al considerar, equivocadamente, que el artículo 50, apartado 1, de dicho Reglamento, interpretado a la luz del considerando 57 de este último, no eximía a la persona física afectada de demostrar a cuál de las dos entidades implicadas resultaba imputable el tratamiento ilícito de datos.

84 De lo anterior se deduce que el primer motivo es fundado.

85 Este error de Derecho vicia, en su totalidad, la desestimación por el Tribunal General de la primera pretensión, tal como se delimitó en el apartado 49 de la sentencia recurrida, limitación que no se ha impugnado en el marco del recurso de casación.

86 Por consiguiente, procede estimar el primer motivo de casación y anular la sentencia recurrida en la medida en que el Tribunal General desestimó por infundada esta primera pretensión así delimitada.

Motivos de casación segundo a cuarto

87 Los motivos de casación segundo a cuarto se refieren, al igual que el primer motivo de casación, a la desestimación de la primera pretensión, que tiene por objeto la reparación del daño moral que el recurrente alega haber sufrido como consecuencia de la divulgación al público de datos personales procedentes de los teléfonos móviles en cuestión.

88 Dado que el examen de los motivos de casación segundo a cuarto no puede dar lugar a una anulación de la sentencia recurrida más amplia que la resultante de la estimación del primer motivo de casación, no procede examinarlos.

Sexto motivo de casación

Alegaciones de las partes

89 El sexto motivo de casación, que procede examinar antes que el quinto, se articula en dos partes y se refiere a los apartados 102 y 106 a 111 de la sentencia recurrida.

90 En la primera parte del sexto motivo de casación, el recurrente reprocha al Tribunal General haber concluido erróneamente, en esos apartados de la sentencia recurrida, que no existía relación de causalidad entre el comportamiento ilegal aducido en el marco de la segunda pretensión, a saber, la inclusión por Europol de su nombre en las «listas de mafiosos» o el establecimiento por Europol de una relación entre él y esas listas, y el daño que alega haber sufrido como consecuencia de dicha inclusión o del establecimiento de esa relación.

91 En apoyo de esta primera parte, el recurrente sostiene que Europol no motivó el establecimiento de tal relación entre él y las «listas de mafiosos» y que, al establecer esa relación, dicha agencia violó el principio de proporcionalidad al excederse en su cometido consistente únicamente en analizar el soporte de almacenamiento USB en cuestión.

92 Además, dado que el informe de Europol formaba parte de los autos penales nacionales relativos al recurrente y que se filtró información contenida en dichos autos, cabe concluir, en su opinión, que existe una relación de causalidad entre el comportamiento ilegal de Europol y el perjuicio que él sufrió. Añade que el hecho de que ninguno de los artículos de prensa controvertidos mencione dicho informe, como indica el Tribunal General en el apartado 107 de la sentencia recurrida, no pone en entredicho la existencia de esa relación de causalidad.

93 El recurrente sostiene, además, que Europol es la única que ha establecido, en dicho informe, esa relación entre él y las «listas de mafiosos», siendo así que ni el Derecho nacional ni el Derecho de la Unión prevén la posibilidad de elaborar y gestionar tales listas. A este respecto, estima que no pueden tenerse en cuenta los medios de comunicación eslovacos, según los cuales eran los servicios de policía eslovacos quienes gestionaban las «listas de mafiosos». Por otra parte, considera que Europol incumplió las obligaciones que le incumben en virtud del artículo 29, apartado 6, del Reglamento 2016/794 al basarse, para demostrar dicha relación, en fuentes accesibles al público. Según el recurrente, del hecho de que el informe de Europol no indica que encontrara en los medios de comunicación la información relativa a la relación entre el recurrente y las «listas de mafiosos», así como del hecho de que esta información figura expresamente en ese informe debe deducirse que Europol estableció esa relación, que no se desprende de la «prensa sensacionalista».

94 La segunda parte de este motivo de casación se basa en la desnaturalización de las pruebas. El recurrente sostiene que es errónea la apreciación del Tribunal General que figura en los apartados 108 y 109 de la sentencia recurrida, según la cual de los artículos de prensa aportados en el procedimiento seguido ante él se desprende que el recurrente fue calificado de «mafioso» incluso antes de que se elaborara el informe de Europol. Añade que el título del artículo de prensa, publicado el 28 de febrero de 2012, que lo presenta como «el mafioso que no existe», es la prueba de que él no tenía ninguna relación con las «listas de mafiosos».

95 Europol y la República Eslovaca solicitan que se desestime el sexto motivo de casación.

Apreciación del Tribunal de Justicia

96 Por lo que respecta a la segunda parte del sexto motivo de casación, que procede examinar en primer lugar, debe recordarse que, según reiterada jurisprudencia, existe desnaturalización de las pruebas cuando el Tribunal General haya sobrepasado manifiestamente los límites de una apreciación razonable de dichas pruebas. La desnaturalización debe resultar manifiestamente de los documentos que obran en autos, sin que sea necesario efectuar una nueva apreciación de los hechos y de las pruebas. A este respecto, no basta con demostrar que un documento pueda ser objeto de una interpretación diferente de la realizada por el Tribunal General (véase, en este sentido, la sentencia de 16 de febrero de 2023, Comisión/Italia y España, C‑635/20 P, EU:C:2023:98, apartado 127 y jurisprudencia citada).

97 En el caso de autos, en el apartado 108 de la sentencia recurrida, el Tribunal General declaró que «las pruebas aportadas por el propio recurrente y por Europol contradicen la coincidencia temporal alegada por el recurrente». A este respecto, señaló, en el mismo apartado, que «el recurrente se [remitía], en la demanda, a un artículo de prensa publicado el 28 de febrero de 2012, titulado “Marián Kočner. El mafioso que no existe”, y a tenor del cual “en las denominadas listas ‘de mafiosos’, que se filtraron de la policía en 2005, el empresario Marián Kočner aparece en la rúbrica “vehículos de motor de interés”» y que «Europol se [refería] a unos artículos de prensa publicados el 21 de junio de 2005 y el 9 de julio de 2017, que también se refieren a posibles implicaciones mafiosas del recurrente».

98 Así pues, resulta que el Tribunal General basó su conclusión de que el recurrente había sido calificado de «mafioso» incluso antes de que se elaborara el informe de Europol en un conjunto de artículos de prensa relativos al recurrente, y no únicamente en el artículo, fechado en 2012, que facilitó el recurrente y que, según él, lo desvinculaba de las «listas de mafiosos». Al proceder de este modo, el Tribunal General, contrariamente a lo que considera el recurrente, no sobrepasó los límites de una apreciación razonable de estas pruebas, consideradas en su conjunto, ni desnaturalizó el referido artículo de prensa invocado por el recurrente interpretándolo de manera incompatible con su tenor.

99 En consecuencia, procede desestimar por infundada la segunda parte del sexto motivo de casación.

100 Por lo que respecta a la primera parte de este motivo de casación, procede recordar que, en el ámbito de la responsabilidad extracontractual de la Unión, la cuestión de la existencia de una relación de causalidad entre el hecho generador y el daño, requisito para la existencia de dicha responsabilidad, constituye una cuestión de Derecho que está sujeta, por consiguiente, al control del Tribunal de Justicia (sentencia de 16 de julio de 2009, Comisión/Schneider Electric, C‑440/07 P, EU:C:2009:459, apartado 192, y auto de 3 de septiembre de 2019, FV/Consejo, C‑188/19 P, EU:C:2019:690, apartado 36). No obstante, para el Tribunal de Justicia, dicho control no puede consistir en poner en entredicho las constataciones y las apreciaciones fácticas realizadas por el Tribunal General (véase, en este sentido, la sentencia de 16 de julio de 2009, Comisión/Schneider Electric, C‑440/07 P, EU:C:2009:459, apartado 193).

101 Pues bien, debe señalarse que, mediante esta primera parte, el recurrente, en realidad, pretende cuestionar determinadas apreciaciones fácticas que efectuó el Tribunal General a la vista de las pruebas que le fueron presentadas. Se trata, en primer término, de la apreciación que figura en el apartado 102 de la sentencia recurrida, según la cual el recurrente no había aportado ninguna prueba que acreditara que las «listas de mafiosos», en las que se incluyó su nombre, habían sido elaboradas y gestionadas por Europol. En segundo término, el recurrente también cuestiona la apreciación del Tribunal General según la cual no existe relación de causalidad entre el comportamiento supuestamente ilegal de Europol y el perjuicio alegado, en la medida en que el Tribunal General declaró, por un lado, en el apartado 107 de la sentencia recurrida, que el recurrente no había aportado ninguna prueba de que la información publicada a este respecto tuviera su origen en el informe de Europol y, por otro, en los apartados 108 y 109 de dicha sentencia, que, mucho antes de principios de 2019, la prensa eslovaca ya presentaba al recurrente como un mafioso. Pues bien, dado que, mediante la presente parte, el recurrente no invoca una desnaturalización de las pruebas, dichas apreciaciones no están sujetas al control del Tribunal de Justicia.

102 En consecuencia, la primera parte del sexto motivo de casación es inadmisible.

103 De lo anterior se deduce que procede desestimar este motivo de casación por ser en parte inadmisible y en parte infundado.

Quinto motivo de casación

104 Mediante su quinto motivo de casación, basado en la misma argumentación que la expuesta en apoyo del primer motivo de casación, el recurrente reprocha al Tribunal General haber incurrido en error de Derecho al decidir, en el apartado 105 de la sentencia recurrida, no tener en cuenta el considerando 57 del Reglamento 2016/794 a efectos de determinar la responsabilidad de Europol, debido a que el preámbulo de un reglamento no tiene valor jurídico vinculante. En su opinión, de ello se desprende que el Tribunal General desestimó erróneamente la segunda pretensión —dirigida a obtener la reparación del daño que el recurrente considera haber sufrido debido a la supuesta inclusión, por Europol, de su nombre en las «listas de mafiosos»— al declarar que ningún mecanismo de responsabilidad solidaria encuentra su expresión o su fundamento en las disposiciones de dicho Reglamento en caso de tratamiento ilícito de datos efectuado por Europol o por el Estado miembro de que se trate.

105 Europol, apoyada por la República Eslovaca, solicita que se desestime el quinto motivo de casación formulando las mismas alegaciones que las mencionadas en los apartados 49 a 52 de la presente sentencia, en respuesta a la argumentación expuesta por el recurrente en el marco del primer motivo de casación.

106 Sobre este particular, es preciso señalar que, para desestimar la segunda pretensión, dirigida a obtener la reparación del daño que el recurrente considera haber sufrido debido a la inscripción por Europol de su nombre en las «listas de mafiosos», el Tribunal General —único competente para constatar y apreciar los hechos y para examinar las pruebas que ha admitido en apoyo de esos hechos— se basó en varios elementos. De este modo, declaró, por un lado, en el apartado 102 de la sentencia recurrida, al que se refiere el sexto motivo del recurso de casación que ha sido desestimado, que el recurrente no había demostrado que Europol elaborara y gestionara las «listas de mafiosos» en las que se había incluido su nombre. Por otro lado, en los apartados 108 y 109 de dicha sentencia, a los que también se refiere el sexto motivo del recurso de casación que ha sido desestimado, el Tribunal General consideró que la coincidencia temporal alegada por el recurrente entre el informe de Europol y la evolución de los calificativos utilizados al referirse al recurrente la prensa eslovaca, que, tras la filtración de los autos penales nacionales que lo concernían, lo presentó como un «mafioso» o como «una persona incluida en las listas de mafiosos», se veía contradicha por las pruebas aportadas tanto por el recurrente como por Europol, referentes a unos artículos de prensa publicados en 2005, 2012 y 2017. A este respecto, el Tribunal General declaró, además, en el apartado 109 de la sentencia recurrida que, «mucho antes de principios de 2019, la prensa eslovaca ya presentaba al recurrente como un “mafioso”, y no solamente como un “empresario controvertido”», y excluyó, basándose en esas pruebas, que «esta presentación del recurrente pudiera tener su origen en la filtración de los autos penales [nacionales que lo concernían], [que contenían] el informe de Europol».

107 De este modo, de las apreciaciones efectuadas en los apartados 108 y 109 de la sentencia recurrida se desprende que, al ser el informe de Europol posterior y, por este mero hecho, ajeno al hecho generador de los daños aducido por el recurrente en el marco de la segunda pretensión, queda excluido que el perjuicio que alega el recurrente pueda estar relacionado con un eventual tratamiento ilícito de datos acaecido en el marco de la cooperación entre Europol y las autoridades eslovacas. Pues bien, como se ha señalado en los apartados 96 a 102 de la presente sentencia, el recurrente no ha demostrado, en el marco del sexto motivo de casación, que el Tribunal General incurriera, por lo que se refiere a dichas apreciaciones, en una desnaturalización de las pruebas o en un error de Derecho.

108 En consecuencia, el requisito, enunciado en el apartado 81 de la presente sentencia, para que se genere la responsabilidad solidaria de Europol sobre la base del artículo 50, apartado 1, del Reglamento 2016/794 no se cumple en el caso de autos, de modo que, en cualquier caso, dicha responsabilidad no puede generarse en virtud de la segunda pretensión.

109 De lo anterior se deduce que, a pesar del error de Derecho en que incurrió el Tribunal General al descartar, en el apartado 105 de la sentencia recurrida y por las razones expuestas en sus apartados 92 a 95, el propio principio de responsabilidad solidaria de Europol en el contexto de dicho Reglamento, procede desestimar el quinto motivo de casación por inoperante.

110 Al haberse desestimado los motivos de casación quinto y sexto, procede desestimar el recurso de casación por cuanto se refiere a la segunda pretensión.

Sobre el recurso ante el Tribunal General

111 Conforme al artículo 61, párrafo primero, segunda frase, del Estatuto del Tribunal de Justicia de la Unión Europea, en caso de anulación de la resolución del Tribunal General, el Tribunal de Justicia puede resolver él mismo definitivamente el litigio, cuando su estado así lo permita.

112 En el presente caso, habida cuenta de que el recurso interpuesto por el recurrente ante el Tribunal General se basa en motivos que fueron objeto de debate contradictorio ante ese Tribunal y cuyo examen no requiere la adopción de ninguna diligencia adicional de ordenación del procedimiento o de instrucción de los autos, el Tribunal de Justicia estima que procede resolver definitivamente el recurso, pues su estado así lo permite, dentro del límite del litigio del que sigue conociendo (véase, en este sentido, la sentencia de 4 de marzo de 2021, Comisión/Fútbol Club Barcelona, C‑362/19 P, EU:C:2021:169, apartado 108 y jurisprudencia citada).

113 Dada la anulación parcial de la sentencia recurrida, procede pronunciarse únicamente sobre la primera pretensión formulada ante el Tribunal General, tal como se delimita en el apartado 49 de dicha sentencia.

114 El recurrente reclama, sobre la base de los artículos 268 TFUE y 340 TFUE y del artículo 50, apartado 1, del Reglamento 2016/794, el abono de 50 000 euros como indemnización por el daño que considera haber sufrido como consecuencia de la divulgación de datos personales procedentes de los teléfonos móviles en cuestión, que fueron puestos a disposición del público en Internet y recogidos por la prensa eslovaca. Considera que esa divulgación de datos personales, debido a su publicación, atentó contra su honor y su reputación profesional y vulneró el derecho al respeto de su vida privada y familiar y el derecho al respeto de sus comunicaciones, garantizados en el artículo 7 de la Carta.

115 A este respecto, el recurrente, basándose en el considerando 57 del Reglamento 2016/794, alega que cabe considerar a Europol solidariamente responsable sobre la base del artículo 50, apartado 1, de dicho Reglamento si el daño que alega haber sufrido debido a un tratamiento ilícito de datos es consecuencia de la actuación de Europol o de un Estado miembro.

116 Europol sostiene que no se ha demostrado que realizara un tratamiento ilícito de datos, puesto que no se ha acreditado que la filtración de datos relativos al recurrente procediera de ella. Añade que, en cualquier caso, no toda filtración de información, aunque quedara demostrada, genera automáticamente su responsabilidad extracontractual. Europol alega que, según la jurisprudencia del Tribunal de Justicia, la responsabilidad extracontractual de los órganos de la Unión únicamente puede generarse si se ha producido una infracción suficientemente caracterizada de una norma jurídica que tenga por objeto conferir derechos a los particulares. Pues bien, a su juicio, el artículo 32, apartado 1, del Reglamento 2016/794 no establece una obligación absoluta de resultado, sino que únicamente obliga a Europol a poner en práctica medidas técnicas y organizativas apropiadas para proteger los datos personales contra cualquier forma de tratamiento no autorizado, cosa que hizo. Añade que nunca trató los datos extraídos de los teléfonos móviles en cuestión de forma descifrada e inteligible.

117 Conforme a la jurisprudencia del Tribunal de Justicia, para que se genere la responsabilidad extracontractual de la Unión, en virtud del artículo 340 TFUE, párrafo segundo, es necesario que concurra un conjunto de requisitos, a saber, la existencia de una infracción suficientemente caracterizada de una norma jurídica que tenga por objeto conferir derechos a los particulares, la realidad del daño y la existencia de una relación de causalidad entre el incumplimiento de la obligación que incumbe al autor del acto y el daño sufrido por los perjudicados (sentencia de 10 de septiembre de 2019, HTTS/Consejo, C‑123/18 P, EU:C:2019:694, apartado 32 y jurisprudencia citada).

118 De dicha jurisprudencia se desprende que el primer requisito para que se genere esa responsabilidad, relativo a la ilegalidad del comportamiento imputado a la institución, órgano u organismo de la Unión de que se trate, en el sentido de la jurisprudencia recordada en el apartado 73 de la presente sentencia, tiene dos vertientes, a saber, que es necesario, por un lado, que se haya producido una infracción de una norma del Derecho de la Unión que tenga por objeto conferir derechos a los particulares y, por otro lado, que dicha infracción sea suficientemente caracterizada (véase, en este sentido, la sentencia de 10 de septiembre de 2019, HTTS/Consejo, C‑123/18 P, EU:C:2019:694, apartado 36).

119 Por lo que se refiere a la primera vertiente de dicho requisito, según reiterada jurisprudencia, los derechos de los particulares nacen no solo cuando las disposiciones del Derecho de la Unión los atribuyen expresamente, sino también en virtud de obligaciones positivas o negativas que dichas disposiciones imponen de manera bien definida tanto a los particulares como a los Estados miembros o a las instituciones, órganos y organismos de la Unión [véase, en este sentido, la sentencia de 22 de diciembre de 2022, Ministre de la Transition écologique y Premier ministre (Responsabilidad del Estado por la contaminación del aire), C‑61/21, EU:C:2022:1015, apartado 46]. Esta norma se aplica también a las obligaciones impuestas por el Derecho de la Unión en el marco de la cooperación entre una agencia de la Unión, como Europol, y los Estados miembros.

120 El incumplimiento de tales obligaciones puede vulnerar los derechos que de este modo se confieren implícitamente a los particulares en virtud de las disposiciones del Derecho de la Unión de que se trate. La plena eficacia de dichas disposiciones y la protección de los derechos que reconocen exigen que los particulares tengan la posibilidad de obtener una reparación [véase, en este sentido, la sentencia de 22 de diciembre de 2022, Ministre de la Transition écologique y Premier ministre (Responsabilidad del Estado por la contaminación del aire), C‑61/21, EU:C:2022:1015, apartado 47].

121 En el presente caso, procede señalar que el Reglamento 2016/794 impone a Europol y a las autoridades competentes de los Estados miembros que deben cooperar con esta agencia de la Unión a efectos del ejercicio de acciones penales una obligación de protección de los particulares contra el tratamiento ilícito de sus datos personales que resulta, en particular, de una lectura conjunta del artículo 2, letras h), i) y k), del artículo 28, apartado 1, letras a) y f), del artículo 38, apartado 4, y del artículo 50, apartado 1, de dicho Reglamento.

122 En efecto, el artículo 2, letra k), del Reglamento 2016/794 define el «tratamiento» como cualquier operación o conjunto de operaciones, efectuadas o no con medios automáticos, aplicadas a datos personales o conjuntos de datos personales, como la divulgación mediante transmisión, la difusión o cualquier otra forma puesta a disposición. El artículo 2, letras h) e i), de este Reglamento define los «datos personales» como toda información sobre un «interesado», concepto este último que designa a una persona física identificada o identificable. Por otra parte, el artículo 28, apartado 1, letras a) y f), de dicho Reglamento exige que los datos personales sean objeto de un tratamiento «equitativo y conforme a la ley» y de un modo que garantice una seguridad adecuada de dichos datos. Según el artículo 38, apartado 4, del mismo Reglamento, Europol será responsable del cumplimiento de esos principios a los que se refiere el citado artículo 28, apartado 1, letras a) y f). Por último, el artículo 50, apartado 1, del Reglamento 2016/794, en la medida en que obliga a las entidades implicadas en la cooperación prevista en dicho Reglamento a indemnizar por el daño sufrido por una persona física como consecuencia de un tratamiento ilícito de datos, incluye la obligación implícita de dichas entidades de proteger a toda persona física contra cualquier forma ilícita de puesta a disposición de datos personales que la conciernan.

123 De una lectura conjunta de las disposiciones mencionadas en los dos apartados anteriores se deriva que toda divulgación de datos personales, objeto de tratamiento en el marco de la cooperación entre Europol y las autoridades nacionales competentes en virtud del Reglamento 2016/794, a personas no autorizadas para tener conocimiento de ellos constituye infracción de una norma del Derecho de la Unión que tiene por objeto conferir derechos a particulares.

124 En el caso de autos, de las apreciaciones realizadas por el Tribunal General en los apartados 1, 2, 44, 84, 85 y 90 de la sentencia recurrida, que el Tribunal de Justicia hace suyas, se desprende que unos datos personales relativos al recurrente, consistentes en conversaciones íntimas entre este y su amiga, que estaban contenidos en los teléfonos móviles en cuestión, entregados por las autoridades eslovacas a Europol en el marco de la cooperación en virtud del Reglamento 2016/794, fueron extraídos de esos teléfonos y que dichos datos, que estaban en posesión primero de Europol y, a partir del 23 de octubre de 2018, de Europol y de las referidas autoridades, fueron divulgados a personas no autorizadas a tomar conocimiento de ellos, lo que dio lugar a su publicación en la prensa eslovaca el 20 de mayo de 2019. Tales circunstancias revelan una infracción como la mencionada en el apartado anterior.

125 A este respecto, procede desestimar la alegación de Europol de que cumplió las obligaciones que le impone el Reglamento 2016/794 al poner en práctica medidas técnicas y organizativas apropiadas para proteger los datos personales contra cualquier forma de tratamiento no autorizado. En efecto, como se ha señalado en el apartado 80 de la presente sentencia, el artículo 50, apartado 1, de dicho Reglamento establece un régimen de responsabilidad solidaria en virtud del cual la persona que se considere víctima de un tratamiento ilícito de datos queda dispensada de demostrar a cuál de las entidades implicadas en la cooperación prevista en dicho Reglamento resulta imputable tal tratamiento, sin perjuicio de que Europol pueda posteriormente acudir, en su caso, a su Consejo de Administración, sobre la base del artículo 50, apartado 2, del mismo Reglamento, para que se determine la responsabilidad última de la indemnización concedida a esa persona.

126 Por lo que respecta a la segunda vertiente del primer requisito para que se genere la responsabilidad extracontractual de la Unión, relativo a la exigencia de una infracción suficientemente caracterizada de una norma del Derecho de la Unión que tenga por objeto conferir derechos a los particulares, el criterio decisivo para considerar que una infracción de ese Derecho es suficientemente caracterizada es la inobservancia manifiesta y grave de los límites de la facultad de apreciación que establece la norma infringida (véanse, en este sentido, las sentencias de 4 de julio de 2000, Bergaderm y Goupil/Comisión, C‑352/98 P, EU:C:2000:361, apartado 43 y jurisprudencia citada, y de 4 de abril de 2017, Defensor del Pueblo/Staelen, C‑337/15 P, EU:C:2017:256, apartado 31 y jurisprudencia citada). Cuando la autoridad de que se trate solo dispone de un margen de apreciación muy reducido, o incluso inexistente, la mera infracción del Derecho de la Unión puede bastar para demostrar la existencia de una infracción suficientemente caracterizada de ese Derecho (sentencia de 10 de julio de 2003, Comisión/Fresh Marine, C‑472/00 P, EU:C:2003:399, apartado 26 y jurisprudencia citada). Constituyen ese tipo de infracción, en particular, los errores inexcusables, las negligencias graves en el ejercicio de un deber o la falta de diligencia manifiesta (véase, en este sentido, la sentencia de 30 de enero de 1992, Finsider y otros/Comisión, C‑363/88 y C‑364/88, EU:C:1992:44, apartado 42 y jurisprudencia citada).

127 La apreciación que ha de efectuarse requiere tomar en consideración el ámbito, las circunstancias y el contexto en los que la obligación de que se trate se impone a la autoridad sujeta a ella (véase, en este sentido, la sentencia de 4 de abril de 2017, Defensor del Pueblo/Staelen, C‑337/15 P, EU:C:2017:256, apartado 40 y jurisprudencia citada).

128 Además, procede tener en cuenta, entre otros factores, el grado de claridad y de precisión de la norma infringida y la amplitud del margen de apreciación que dicha norma deja a las autoridad de que se trate (véase, en este sentido, la sentencia de 30 de mayo de 2017, Safa Nicu Sepahan/Consejo, C‑45/15 P, EU:C:2017:402, apartado 30 y jurisprudencia citada), la complejidad de la situación que debe ser regulada y las dificultades de aplicación o de interpretación de los textos [sentencia de 19 de abril de 2007, Holcim (Deutschland)/Comisión, C‑282/05 P, EU:C:2007:226, apartado 50 y jurisprudencia citada].

129 En el caso de autos, procede señalar, por un lado, que las disposiciones mencionadas en los apartados 122 y 123 de la presente sentencia no dejan a las entidades implicadas en la cooperación prevista en el Reglamento 2016/794 ningún margen de apreciación en cuanto a su obligación de proteger a toda persona física contra cualquier forma ilícita de puesta a disposición de datos personales que la conciernan, poniendo en práctica las medidas técnicas y organizativas apropiadas a tal fin. Por otro lado, dicha obligación se inscribe en el contexto sensible de la cooperación entre Europol y los Estados miembros para el ejercicio de acciones penales, en el que tales datos se tratan sin intervención alguna de los interesados, la mayoría de las veces sin su conocimiento y, por lo tanto, sin que estos puedan intervenir en modo alguno para prevenir un eventual tratamiento ilícito de sus datos.

130 El carácter íntimo de los datos que pueden estar contenidos en soportes como los controvertidos en el presente asunto refuerza la necesidad que existía de garantizar estrictamente la protección de esos datos relativos al recurrente, tanto más cuanto que dichos datos no guardaban relación alguna con los hechos por los que el recurrente era objeto de un proceso penal.

131 En estas circunstancias, procede considerar, habida cuenta de las apreciaciones del Tribunal General recordadas en el apartado 124 de la presente sentencia, que el tratamiento ilícito de dichos datos acaecido en el marco de la cooperación entre Europol y las autoridades eslovacas en virtud del Reglamento 2016/794 constituyó una infracción suficientemente caracterizada de una norma del Derecho de la Unión que tiene por objeto conferir derechos a los particulares.

132 Procede añadir que la alegación de Europol de que nunca dispuso en forma descifrada e inteligible de los datos extraídos de los teléfonos móviles en cuestión no pone en entredicho la propia existencia de tal infracción debido al tratamiento ilícito de datos acaecido en el marco de dicha cooperación. Pues bien, como se desprende del apartado 80 de la presente sentencia, el artículo 50, apartado 1, del Reglamento 2016/794 establece un régimen de responsabilidad solidaria en virtud del cual la víctima de tal tratamiento queda dispensada de demostrar a cuál de las entidades implicadas en dicha cooperación resulta imputable ese tratamiento. De ello se deduce que, en cualquier caso, esta alegación no puede prosperar en el contexto del presente asunto, sin perjuicio de que Europol pueda formularla, en su caso, en el marco de la consulta a su Consejo de Administración con arreglo al artículo 50, apartado 2, de dicho Reglamento.

133 Por lo que respecta a los requisitos segundo y tercero para que se genere la responsabilidad extracontractual de la Unión que se derivan del artículo 340 TFUE, párrafo segundo, relativos a la prueba del daño sufrido y a la relación de causalidad entre dicho daño y la infracción suficientemente caracterizada de una norma del Derecho de la Unión, que constituye en el presente caso el tratamiento ilícito de datos, el recurrente sostiene que la divulgación de sus datos personales contenidos en los teléfonos móviles en cuestión no solo vulneró, como consecuencia de la publicación de esos datos, el derecho al respeto de su vida privada, sino también el derecho al respeto de su vida familiar. Considera que esa divulgación tuvo un impacto negativo en las relaciones entre él y sus hijas, que se vieron profundamente afectadas por la publicación de dichos datos, que revelan la relación íntima de su padre con su amiga, expuesta públicamente, así como sus conversaciones íntimas. Añade que ello dio lugar a un sentimiento de frustración y de injusticia, así como a un atentado contra el honor y la reputación profesional del recurrente. A su juicio, dicha divulgación también vulneró el derecho al respeto de sus comunicaciones garantizado en el artículo 7 de la Carta.

134 Europol no ha formulado ninguna alegación específica sobre la realidad del daño moral alegado por el recurrente ni sobre la existencia de una relación de causalidad entre el tratamiento ilícito de datos y dicho daño. Se limitó a sostener que, a falta de prueba de un hecho generador de los daños o de su imputabilidad a Europol, debía desestimarse la primera pretensión.

135 Por lo que respecta a los requisitos relativos a la realidad del daño y a la relación de causalidad, la responsabilidad extracontractual de la Unión solo se genera cuando la parte recurrente ha sufrido efectivamente un daño real y cierto, y cuando deriva de forma suficientemente directa de la supuesta infracción de una norma del Derecho de la Unión. Incumbe a la parte recurrente aportar pruebas al juez de la Unión para demostrar la existencia y la amplitud del daño que alega, así como la existencia de una relación suficientemente directa de causa a efecto entre dicha infracción y el daño alegado (véase, en este sentido, la sentencia de 30 de mayo de 2017, Safa Nicu Sepahan/Consejo, C‑45/15 P, EU:C:2017:402, apartados 61 y 62 y jurisprudencia citada).

136 En el caso de autos, como se ha señalado en el apartado 124 de la presente sentencia, el tratamiento ilícito de datos que constituyó la divulgación a personas no autorizadas de datos relativos a conversaciones íntimas entre el recurrente y su amiga dio lugar a que dichos datos fueran accesibles al público, como demuestra su publicación en la prensa eslovaca. Habida cuenta del contenido de esas conversaciones, procede considerar que dicho tratamiento ilícito de datos vulneró el derecho del recurrente al respeto de su vida privada y familiar y de sus comunicaciones, garantizado en el artículo 7 de la Carta, y atentó contra su honor y su reputación, causándole un daño moral.

137 En concepto de indemnización por el daño alegado en el marco de la primera pretensión, el recurrente reclama el abono de 50 000 euros.

138 Sin embargo, el Tribunal General estimó que el examen de la primera pretensión debía limitarse al daño alegado resultante únicamente de la divulgación de las transcripciones de las conversaciones de carácter íntimo y sexual entre el recurrente y su amiga, ya que el recurrente no había aportado ningún elemento que demostrara directa o indirectamente la realidad de la divulgación de las fotografías mencionadas en el apartado 26 de la presente sentencia.

139 Dado que esa desestimación parcial de la primera pretensión no ha sido impugnada en el recurso de casación, procede excluir de la indemnización que debe concederse al recurrente esta parte del daño alegado.

140 En estas circunstancias, procede decidir que el daño moral sufrido por el recurrente debido a la divulgación de las transcripciones de las conversaciones de carácter íntimo mantenidas con su amiga se reparará adecuadamente mediante el abono al recurrente de una indemnización fijada, con arreglo a criterios de equidad, en 2 000 euros.

Costas

141 A tenor del artículo 184, apartado 2, de su Reglamento de Procedimiento, el Tribunal de Justicia decidirá sobre las costas cuando el recurso de casación sea infundado o cuando, siendo este fundado, dicho Tribunal resuelva definitivamente el litigio.

142 Según el artículo 138, apartado 1, del mismo Reglamento, aplicable al procedimiento de casación en virtud de su artículo 184, apartado 1, la parte que haya visto desestimadas sus pretensiones será condenada en costas, si así lo hubiera solicitado la otra parte. Conforme a dicho artículo 138, apartado 3, primera frase, cuando se estimen parcialmente las pretensiones de una y otra parte, cada parte cargará con sus propias costas.

143 En el presente asunto, el recurrente solicita que se resuelva sobre las costas «en el marco del procedimiento principal». A este respecto, procede señalar que, si bien en sus pretensiones formuladas en primera instancia solicitó que se condenara en costas a Europol, en su recurso de casación no ha solicitado la correspondiente condena en costas.

144 Europol solicitó que se condenara al recurrente al pago de las costas causadas tanto en el procedimiento en primera instancia como en el procedimiento de casación.

145 En estas circunstancias, por haberse estimado parcialmente las pretensiones de cada una de las partes tanto en la fase de casación como en primera instancia, cada una de ellas cargará con sus propias costas causadas tanto en el procedimiento de primera instancia como en el procedimiento de casación.

146 Conforme al artículo 140, apartado 1, del Reglamento de Procedimiento, aplicable al procedimiento de casación en virtud de su artículo 184, apartado 1, los Estados miembros y las instituciones que intervengan como coadyuvantes en el litigio cargarán con sus propias costas. Por lo tanto, la República Eslovaca, parte coadyuvante ante el Tribunal de Justicia, deberá cargar con sus propias costas.

En virtud de todo lo expuesto, el Tribunal de Justicia (Gran Sala) decide:

1) Anular la sentencia del Tribunal General de 29 de septiembre de 2021, Kočner/Europol (T‑528/20, EU:T:2021:631), en la medida en que desestima la primera pretensión tal y como aparece delimitada en dicha sentencia.

2) Desestimar el recurso de casación en todo lo demás.

3) Condenar a la Agencia de la Unión Europea para la Cooperación Policial (Europol) a pagar al Sr. Marián Kočner una indemnización por importe de 2 000 euros.

4) Desestimar el recurso en todo lo demás.

5) El Sr. Marián Kočner y Europol cargarán cada uno con sus propias costas causadas tanto en el procedimiento en primera instancia como en el procedimiento de casación.

6) La República Eslovaca cargará con sus propias costas.

Firmas

* Lengua de procedimiento: eslovaco.