Edición provisional
SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Tercera)
de 20 de junio de 2024 (*)
«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 82 — Derecho a indemnización por los daños y perjuicios causados por un tratamiento de datos en infracción de ese Reglamento — Concepto de “daños y perjuicios inmateriales” — Indemnización punitiva o mera compensación y satisfacción — Indemnización mínima o simbólica — Robo de datos personales registrados en una aplicación de negociación con valores — Usurpación de identidad o fraude»
En los asuntos acumulados C‑182/22 y C‑189/22,
que tienen por objeto sendas peticiones de decisión prejudicial planteadas, con arreglo al artículo 267 TFUE, por el Amtsgericht München (Tribunal de lo Civil y Penal de Múnich, Alemania), mediante resoluciones de 3 de marzo de 2022, recibidas en el Tribunal de Justicia los días 10 y 11 de marzo de 2022, en los procedimientos entre
JU (C‑182/22)
SO (C‑189/22)
y
Scalable Capital GmbH,
EL TRIBUNAL DE JUSTICIA (Sala Tercera),
integrado por la Sra. K. Jürimäe, Presidenta de Sala, y los Sres. N. Piçarra y N. Jääskinen (Ponente), Jueces;
Abogado General: Sr. A. M. Collins;
Secretario: Sr. A. Calot Escobar;
habiendo considerado los escritos obrantes en autos;
consideradas las observaciones presentadas:
– en nombre de SO, por el Sr. M. Ruigrok van de Werve, Rechtsanwalt;
– en nombre de Scalable Capital GmbH, por el Sr. M. C. Mekat, Rechtsanwalt;
– en nombre de Irlanda, por la Sra. M. Browne, Chief State Solicitor, y los Sres. A. Joyce y M. Tierney, en calidad de agentes, asistidos por el Sr. D. Fennelly, BL;
– en nombre de la Comisión Europea, por el Sr. A. Bouchagiar, la Sra. M. Heller y el Sr. H. Kranenborg, en calidad de agentes;
oídas las conclusiones del Abogado General, presentadas en audiencia pública el 26 de octubre de 2023;
dicta la siguiente
Sentencia
1 Las peticiones de decisión prejudicial tienen por objeto la interpretación del artículo 82 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; en lo sucesivo, «RGPD»).
2 Estas peticiones se han presentado en el contexto de dos litigios entre JU y SO, por una parte, y Scalable Capital GmbH, por otra, en relación con la indemnización de los daños y perjuicios inmateriales que los primeros afirman haber sufrido como consecuencia del robo, por terceros cuya identidad se desconoce, de sus datos personales registrados en una aplicación de negociación con valores gestionada por dicha sociedad.
Marco jurídico
3 Los considerandos 75, 85 y 146 del RGPD tienen el siguiente tenor:
«(75) Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen el origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas; en los casos en los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales; en los casos en los que se traten datos personales de personas vulnerables, en particular niños; o en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados.
[…]
(85) Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión. […]
[…]
(146) […] El responsable o el encargado deben quedar exentos de responsabilidad si se demuestra que en modo alguno son responsables de los daños y perjuicios. El concepto de daños y perjuicios debe interpretarse en sentido amplio a la luz de la jurisprudencia del Tribunal de Justicia, de tal modo que se respeten plenamente los objetivos del presente Reglamento. […] Los interesados deben recibir una indemnización total y efectiva por los daños y perjuicios sufridos. […]»
4 El artículo 4 de este Reglamento, titulado «Definiciones», establece:
«A efectos del presente Reglamento se entenderá por:
1) “datos personales”: toda información sobre una persona física identificada o identificable (“el interesado”); […]
[…]
7) “responsable del tratamiento” o “responsable”: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; […]
[…]
10) “tercero” persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado;
[…]
12) “violación de la seguridad de los datos personales” toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos;
[…]».
5 El artículo 82 del referido Reglamento, que lleva por título «Derecho a indemnización y responsabilidad», dispone en sus apartados 1 a 3:
«1. Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.
2. Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento. Un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del presente Reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable.
3. El responsable o encargado del tratamiento estará exento de responsabilidad en virtud del apartado 2 si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.»
Litigios principales y cuestiones prejudiciales
6 Scalable Capital, sociedad alemana, gestiona una trading app (aplicación de negociación con valores) en la que los demandantes en el litigio principal, JU y SO, habían abierto una cuenta. A tal efecto, estos registraron determinados datos personales en sus respectivas cuentas, en particular su nombre, fecha de nacimiento, dirección postal, dirección de correo electrónico, así como una copia digital de su documento de identidad. Los demandantes en el litigio principal abonaron un importe de varios miles de euros necesarios para la apertura de dichas cuentas.
7 Durante el año 2020, datos personales y datos relativos a la cartera de títulos de los demandantes en el litigio principal fueron pirateados por terceros cuya identidad sigue siendo desconocida. Según Scalable Capital, dichos datos personales no han sido objeto de uso fraudulento hasta la fecha.
8 En este contexto, los demandantes en el litigio principal interpusieron ante el Amtsgericht München (Tribunal de lo Civil y Penal de Múnich, Alemania), que es el órgano jurisdiccional remitente, un recurso dirigido a obtener la indemnización de los daños y perjuicios inmateriales que afirman haber sufrido como consecuencia del robo de sus datos personales.
9 En primer lugar, las dudas del órgano jurisdiccional remitente se derivan de enfoques divergentes de los órganos jurisdiccionales alemanes para determinar la indemnización por daños y perjuicios que debe concederse en este tipo de situaciones. De ello resultan variaciones importantes de la cuantía de la indemnización pecuniaria concedida en casos, sin embargo, análogos a los que son objeto de los litigios principales, en particular en función de que se haya tenido en cuenta, o no, un eventual efecto disuasorio. El órgano jurisdiccional remitente indica que, en los presentes supuestos, varias decenas de miles de personas se ven afectadas por la pérdida de los datos de que se trata y que, por lo tanto, es preciso adoptar una forma de determinación uniforme.
10 En segundo lugar, por lo que respecta a la determinación de los daños y perjuicios inmateriales, el órgano jurisdiccional remitente se basa en el Derecho alemán para distinguir una función de «compensación» de una función de «satisfacción personal». La función de compensación tiene por objeto compensar las consecuencias sufridas y previsibles del perjuicio alegado, mientras que la función de satisfacción personal tiene por objeto neutralizar el sentimiento de injusticia sufrido por la producción de dicho perjuicio. Indica que, en Derecho alemán, esta función de satisfacción solo desempeña un papel accesorio y considera que, en los presentes asuntos, esa función no debería influir en modo alguno en el cálculo de los daños y perjuicios reclamados por los demandantes.
11 En tercer lugar, en Derecho alemán no existe, a juicio del órgano jurisdiccional remitente, un baremo que permita fijar el importe de los daños y perjuicios que deben concederse según las situaciones en las que se reclaman. No obstante, el gran número de decisiones individuales dictadas permite establecer un marco al que referirse, lo que conduce a una forma de sistematización de las compensaciones. A este respecto, en el ordenamiento jurídico alemán, solo se concede una indemnización pecuniaria para compensar las vulneraciones de los derechos de la personalidad cuando estas son especialmente graves. La determinación pecuniaria es, según señala, más objetivable para la compensación de lesiones corporales. Por ello, el órgano jurisdiccional remitente considera que la pérdida de los datos debería tener un peso menor que el de las lesiones físicas.
12 En cuarto lugar, dicho órgano jurisdiccional se pregunta sobre la posibilidad de conceder indemnizaciones reducidas, que podrían percibirse como simbólicas, en los casos en que el perjuicio derivado de una infracción del RGPD sea mínimo.
13 En quinto lugar, el órgano jurisdiccional remitente observa que las partes en el litigio principal interpretan de manera diferente el concepto de «usurpación de identidad». A este respecto, estima que solo existe una usurpación de identidad cuando los datos obtenidos ilegalmente son utilizados por un tercero para suplantar la identidad del interesado.
14 En estas circunstancias, el Amtsgericht München (Tribunal de lo Civil y Penal de Múnich) decidió, en los asuntos C‑182/22 y C‑189/22, suspender los procedimientos y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales, redactadas en términos idénticos en ambos asuntos:
«1) ¿Debe interpretarse el artículo 82 del [RGPD] en el sentido de que el derecho a indemnización no tiene carácter sancionador, en particular no cumple una función disuasoria general o especial, ni siquiera en cuanto a su cuantificación, sino que cumple una función estrictamente indemnizatoria y, en ciertos casos, de desagravio?
2) En cuanto a la cuantificación de la indemnización de los perjuicios inmateriales, ¿se ha de considerar que el derecho a indemnización cumple también una función de desagravio individual (en este caso, en el sentido del interés particular del perjudicado por ver sancionado el comportamiento dañoso) o cumple solamente una función indemnizatoria (en este caso, en el sentido de compensar el perjuicio sufrido)?
En caso de que la indemnización de los perjuicios inmateriales cumpla tanto una función indemnizatoria como de desagravio: ¿En cuanto a su cuantificación se ha de considerar que la función indemnizatoria goza de una preferencia sistemática o, al menos, de una preferencia en cuanto relación regla-excepción, respecto a la función de desagravio? ¿Implica esto que la función de desagravio solo entra en juego en caso de infracciones dolosas o por negligencia grave?
En caso de que la indemnización de los perjuicios inmateriales no cumpla una función de desagravio: ¿Solo pueden considerarse agravantes en la cuantificación de la indemnización las infracciones cometidas mediando dolo o negligencia grave que contribuyan causalmente al perjuicio?
3) Respecto a la cuantificación de la indemnización de los perjuicios inmateriales, ¿debe entenderse que existe una jerarquía sistemática o, al menos, una jerarquía en cuanto a relación regla-excepción, con arreglo a la cual el perjuicio experimentado a causa de una violación de la seguridad de los datos tiene menos importancia que los daños y perjuicios sufridos como consecuencia de lesiones corporales?
4) En caso de que deba partirse del principio de que existe un daño, ¿está facultado el órgano jurisdiccional nacional, en atención a su escasa gravedad, para conceder una indemnización materialmente reducida y que, en ciertos casos, pueda ser percibida por el perjudicado, o con carácter general, como meramente simbólica?
5) Respecto a la valoración de las consecuencias de la indemnización de los perjuicios inmateriales, ¿debe entenderse que solo existe una usurpación de identidad en el sentido del considerando 75 del [RGPD] cuando un infractor ha utilizado efectivamente la identidad del interesado, haciéndose pasar por él de cualquier manera, o existe tal usurpación de identidad desde el momento en que un infractor dispone de datos que permiten identificar al interesado?»
Procedimiento ante el Tribunal de Justicia
15 Mediante decisión del Presidente del Tribunal de Justicia de 19 de abril de 2022, se acordó la acumulación de los asuntos C‑182/2 y C‑189/22 a efectos de las fases escrita y oral del procedimiento, así como de la sentencia.
16 El 1 de junio de 2022, el Presidente del Tribunal de Justicia desestimó la petición de anonimización del presente procedimiento presentada por Scalable Capital en virtud del artículo 95, apartado 2, del Reglamento de Procedimiento del Tribunal de Justicia.
Sobre la admisibilidad de las peticiones de decisión prejudicial
17 Scalable Capital sostiene, en esencia, que las presentes peticiones de decisión prejudicial no son admisibles en la medida en que carecen de incidencia en la solución de los litigios principales. Considera que una pérdida abstracta del control sobre los datos, como ocurre en los presentes asuntos, no debe calificarse de «daños y perjuicios», en el sentido del artículo 82, apartado 1, del RGPD, cuando tal pérdida de control carece de consecuencias concretas y, por tanto, no se cumplen los requisitos de aplicación de dicho artículo 82. En efecto, tal calificación equivaldría a considerar que toda infracción del Reglamento genera una presunción de daños y perjuicios, contrariamente al tenor, al sistema general y a la génesis del artículo 82 del RGPD.
18 A este respecto, según reiterada jurisprudencia, corresponde exclusivamente al juez nacional que conoce del litigio y que debe asumir la responsabilidad de la decisión jurisdiccional que ha de adoptarse apreciar, a la luz de las particularidades del asunto, tanto la necesidad de una decisión prejudicial para poder dictar sentencia como la pertinencia de las cuestiones que plantea al Tribunal de Justicia, que disfrutan de una presunción de pertinencia. Por consiguiente, cuando las cuestiones planteadas se refieran a la interpretación o a la validez de una norma del Derecho de la Unión, el Tribunal de Justicia está, en principio, obligado a pronunciarse, salvo si resulta patente que la interpretación solicitada no guarda relación alguna con la realidad o con el objeto del litigio principal, o el problema es de naturaleza hipotética o el Tribunal de Justicia no dispone de los elementos de hecho o de Derecho necesarios para responder adecuadamente a tales cuestiones [véanse las sentencias de 5 de mayo de 2022, Zagrebačka banka, C‑567/20, EU:C:2022:352, apartado 43, y de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartado 23].
19 En los presentes asuntos, basta con recordar que, cuando no resulta evidente que la interpretación de una disposición del Derecho de la Unión no guarda ninguna relación con la realidad o el objeto del litigio principal, la objeción basada en que dicha disposición no es aplicable al asunto principal no afecta a la admisibilidad de la petición de decisión prejudicial, sino que se refiere al fondo de las cuestiones prejudiciales (véanse, en este sentido, las sentencias de 13 de julio de 2006, Manfredi y otros, C‑295/04 a C‑298/04, EU:C:2006:461, apartado 30; de 4 de julio de 2019, Kirschstein, C‑393/17, EU:C:2019:563, apartado 28, y de 24 de julio de 2023, Lin, C‑107/23 PPU, EU:C:2023:606, apartado 66).
20 De ello se deduce que las presentes peticiones de decisión prejudicial son admisibles.
Sobre las cuestiones prejudiciales
Primera cuestión prejudicial y primera parte de la segunda cuestión prejudicial
21 Mediante su primera cuestión prejudicial y la primera parte de su segunda cuestión prejudicial, que procede examinar conjuntamente, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que el derecho a indemnización previsto en esa disposición cumple una función compensatoria en la medida en que una indemnización pecuniaria basada en la citada disposición debe permitir compensar íntegramente el perjuicio sufrido como consecuencia de la infracción de dicho Reglamento o si cumple también una función sancionadora que tiene por objeto, en particular, satisfacer los intereses individuales del interesado.
22 A este respecto, el Tribunal de Justicia ya ha declarado que el artículo 82 del RGPD no tiene una función punitiva, sino compensatoria, a diferencia de otras disposiciones de este Reglamento que figuran también en su capítulo VIII, a saber, sus artículos 83 y 84, que, por su parte, tienen esencialmente una finalidad punitiva, puesto que permiten, respectivamente, imponer multas administrativas y otras sanciones. La articulación entre las normas enunciadas en dicho artículo 82 y las establecidas en los citados artículos 83 y 84 demuestra que existe una diferencia entre estas dos categorías de disposiciones, pero también una complementariedad, por cuanto se trata de incentivar el respeto del RGPD, debiendo observarse que el derecho de toda persona a reclamar una indemnización por daños y perjuicios refuerza la operatividad de las normas de protección establecidas en ese Reglamento y puede disuadir de la reiteración de comportamientos ilícitos [véanse, en particular, las sentencias de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartados 38 y 40, y de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, apartado 59].
23 Por lo tanto, el artículo 82, apartado 1, del RGPD ha sido interpretado en el sentido de que el derecho a indemnización previsto en esta disposición, en particular en caso de daños y perjuicios inmateriales, cumple una función exclusivamente compensatoria, en la medida en que una indemnización pecuniaria basada en esta disposición debe permitir compensar íntegramente los concretos daños y perjuicios sufridos como consecuencia de la infracción de dicho Reglamento, y no una función disuasoria o punitiva [véanse, en este sentido, las sentencias de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartados 57 y 58, y de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, apartado 61].
24 Por consiguiente, procede responder a la primera cuestión prejudicial y a la primera parte de la segunda cuestión prejudicial que el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que el derecho a indemnización previsto en esa disposición cumple una función exclusivamente compensatoria, en la medida en que una indemnización pecuniaria basada en la referida disposición debe permitir compensar íntegramente el perjuicio sufrido.
Segunda parte de la segunda cuestión prejudicial
25 Habida cuenta de la respuesta dada a la primera cuestión prejudicial y a la primera parte de la segunda cuestión prejudicial, no es necesario responder a esta segunda parte de la segunda cuestión prejudicial.
Tercera parte de la segunda cuestión prejudicial
26 Mediante la tercera parte de su segunda cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que exige que el grado de gravedad y el eventual carácter doloso de la infracción de dicho Reglamento cometida por el responsable del tratamiento sean tenidos en cuenta a efectos de la indemnización de los daños y perjuicios sobre la base de esta disposición.
27 Por lo que respecta a la evaluación de la indemnización por daños y perjuicios eventualmente debida en virtud del artículo 82 del RGPD, a falta de una disposición que tenga tal objeto en dicho Reglamento, los jueces nacionales deben aplicar las normas internas de cada Estado miembro relativas al alcance de la reparación pecuniaria, siempre que se respeten los principios de equivalencia y de efectividad del Derecho de la Unión [véanse, en este sentido, las sentencias de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartados 53, 54 y 59, y de 25 de enero de 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, apartado 53].
28 No obstante, es preciso subrayar, por un lado, que el nacimiento de la responsabilidad del responsable del tratamiento con arreglo al artículo 82 del RGPD está supeditado a la existencia de culpa por parte de este, la cual se presume a menos que este demuestre que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios y, por otro lado, que ese artículo 82 no exige que el grado de culpa se tenga en cuenta al fijar el importe de la indemnización por daños y perjuicios concedida como reparación de un daño inmaterial sobre la base de esa disposición (sentencias de 21 de diciembre de 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, apartado 103, y de 25 de enero de 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, apartado 52).
29 Además, la función exclusivamente compensatoria del derecho a indemnización previsto en el artículo 82, apartado 1, del RGPD excluye que el carácter eventualmente doloso de la infracción de dicho Reglamento —que se presume que el responsable del tratamiento ha cometido— se tenga en cuenta al fijar el importe de la indemnización por daños y perjuicios concedida como reparación de un daño inmaterial sobre la base de esa disposición. No obstante, este importe debe fijarse de manera que se compensen íntegramente los daños y perjuicios específicamente sufridos como consecuencia de la infracción de dicho Reglamento (véanse, por analogía, las sentencias de 21 de diciembre de 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, apartado 102, y de 25 de enero de 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, apartado 54).
30 Habida cuenta de los razonamientos anteriores, procede responder a la tercera parte de la segunda cuestión prejudicial que el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que no exige que el grado de gravedad y el eventual carácter doloso de la infracción de dicho Reglamento cometida por el responsable del tratamiento sean tenidos en cuenta a efectos de la indemnización de los daños y perjuicios sobre la base de esta disposición.
Tercera cuestión prejudicial
31 Mediante su tercera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que, en el marco de la cuantificación de la indemnización por daños y perjuicios debidos en virtud del derecho a indemnización de los daños y perjuicios inmateriales, ha de considerarse que unos daños de esa índole causados por una violación de la seguridad de los datos personales son, por naturaleza, menos importantes que unas lesiones corporales.
32 A este respecto, es preciso recordar que, según reiterada jurisprudencia, a falta de normas de la Unión en la materia, corresponde al ordenamiento jurídico interno de cada Estado miembro configurar la regulación procesal de los recursos judiciales destinados a garantizar la salvaguardia de los derechos de los justiciables, en virtud del principio de autonomía procesal, a condición, sin embargo, de que dicha regulación no sea menos favorable que la que rige situaciones similares de carácter interno (principio de equivalencia) y de que no haga imposible en la práctica o excesivamente difícil el ejercicio de los derechos que confiere el ordenamiento jurídico de la Unión (principio de efectividad) [véanse, en este sentido, las sentencias de 13 de diciembre de 2017, El Hassani, C‑403/16, EU:C:2017:960, apartado 26, y de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartado 53].
33 En los presentes asuntos, procede señalar que el RGPD no contiene ninguna disposición que tenga por objeto establecer las normas relativas a la cuantificación de la indemnización por daños y perjuicios a la que tiene derecho el interesado en el sentido del artículo 4, punto 1, de dicho Reglamento, en virtud del artículo 82 de este, cuando una infracción de ese mismo Reglamento le haya causado daños y perjuicios. Por lo tanto, en ausencia de normas del Derecho de la Unión en la materia, corresponde al ordenamiento jurídico interno de cada Estado miembro establecer los tipos de acciones que permitan garantizar los derechos que confiere el citado artículo 82 a los justiciables y, en particular, los criterios que permitan determinar la cuantía de la indemnización debida en este contexto, siempre que se respeten los principios de equivalencia y de efectividad [sentencia de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartado 54].
34 Dado que ningún elemento de los autos que obran en poder del Tribunal de Justicia sugiere que el principio de equivalencia pueda ser pertinente en el contexto de los presentes asuntos, procede centrarse en el principio de efectividad. Desde esta perspectiva, corresponde al órgano jurisdiccional remitente apreciar si los criterios previstos en el Derecho alemán para la determinación judicial de los daños y perjuicios debidos en virtud del derecho a indemnización consagrado en el artículo 82 del RGPD no hacen imposible en la práctica o excesivamente difícil el ejercicio de los derechos conferidos por el Derecho de la Unión y, más concretamente, por dicho Reglamento.
35 A este respecto, de la jurisprudencia recordada en el apartado 23 de la presente sentencia se desprende que, habida cuenta de la función exclusivamente compensatoria del derecho a indemnización previsto en el artículo 82, apartado 1, de dicho Reglamento, una indemnización pecuniaria basada en esta disposición debe considerarse «total y efectiva» si permite compensar íntegramente los concretos daños y perjuicios sufridos como consecuencia de la infracción del citado Reglamento.
36 Desde esta perspectiva, el considerando 146 de dicho Reglamento indica además que «el concepto de daños y perjuicios debe interpretarse en sentido amplio a la luz de la jurisprudencia del Tribunal de Justicia, de tal modo que se respeten plenamente los objetivos del presente Reglamento» y que «los interesados deben recibir una indemnización total y efectiva por los daños y perjuicios sufridos».
37 Asimismo, procede señalar que los considerandos 75 y 85 del RGPD, enumeran distintas circunstancias que pueden calificarse de «daños y perjuicios físicos, materiales o inmateriales», sin establecer jerarquía alguna entre ellas ni indicar que los daños y perjuicios derivados de una violación de la seguridad de los datos sean, por naturaleza, menos importantes que las lesiones corporales.
38 Pues bien, suponer, por principio, que unas lesiones corporales son, por su propia naturaleza, más importante que unos daños y perjuicios inmateriales podría cuestionar el principio de una reparación total y efectiva de los daños y perjuicios sufridos.
39 Habida cuenta de las consideraciones anteriores, procede responder a la tercera cuestión prejudicial que el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que, en el marco de la cuantificación de la indemnización por daños y perjuicios debida en virtud del derecho a indemnización por los daños y perjuicios inmateriales, ha de considerarse que unos daños de esa índole causados por una violación de la seguridad de los datos personales no son, por naturaleza, menos importantes que unas lesiones corporales.
Cuarta cuestión prejudicial
40 Mediante su cuarta cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que, cuando queda singularizada la existencia de daños y perjuicios y estos carecen de gravedad, un órgano jurisdiccional puede compensarlos concediendo al interesado una indemnización mínima, que podría percibirse como simbólica.
41 Procede recordar que de reiterada jurisprudencia se desprende que el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que la mera infracción de este Reglamento no basta para conferir un derecho a indemnización, puesto que la existencia de «daños y perjuicios» materiales o inmateriales o de «daños y perjuicios» que se han «sufrido» constituye uno de los requisitos del derecho a indemnización previsto en dicho artículo 82, apartado 1, al igual que la existencia de una infracción de ese Reglamento y de una relación de causalidad entre dichos daños y perjuicios y esa infracción, de modo que estos tres requisitos son acumulativos [sentencias de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartado 32, y de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, apartado 34].
42 De este modo, la persona que reclama una indemnización por daños y perjuicios inmateriales en virtud de esa disposición debe acreditar no solo la infracción de las normas de dicho Reglamento, sino también que esa infracción le ha causado tales daños y perjuicios, los cuales no pueden presumirse únicamente porque se produzca tal infracción [véanse, en este sentido, las sentencias de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartados 42 y 50, y de 11 de abril de 2024, juris, C‑741/21, EU:C:2024:288, apartado 35].
43 Cuando una persona logra demostrar que la infracción del RGPD le ha causado daños y perjuicios en el sentido del artículo 82 del citado Reglamento, del apartado 33 de la presente sentencia se desprende, en esencia, que los criterios de cuantificación de la indemnización debida en el contexto de las acciones que permiten garantizar los derechos que los justiciables basan en el referido precepto han de ser fijados en el seno del ordenamiento jurídico de cada Estado miembro, a condición de que tal indemnización sea completa y efectiva.
44 A este respecto, el Tribunal de Justicia ha declarado que el artículo 82, apartado 1, del RGPD no exige que, tras una infracción probada de las disposiciones de dicho Reglamento, los daños y perjuicios alegados por el interesado deban alcanzar un «umbral de minimis» para dar derecho a una indemnización (véase, en este sentido, la sentencia de 14 de diciembre de 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, apartado 18).
45 Sin embargo, las anteriores consideraciones no excluyen que los órganos jurisdiccionales nacionales puedan conceder una indemnización de un importe poco elevado siempre que esta compense íntegramente los referidos daños y perjuicios, extremo este que corresponde comprobar al órgano jurisdiccional remitente respetando los principios a que se ha hecho mención en el apartado 43 de la presente sentencia.
46 Habida cuenta de los anteriores razonamientos, procede responder a la cuarta cuestión prejudicial que el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que, cuando queda singularizada la existencia de daños y perjuicios y estos carecen de gravedad, un órgano jurisdiccional puede compensarlos concediendo al interesado una indemnización mínima, a condición de que tal indemnización pueda compensar íntegramente los daños y perjuicios sufridos.
Quinta cuestión prejudicial
Sobre la admisibilidad
47 En sus observaciones escritas, la Comisión Europea se pregunta sobre la pertinencia de la quinta cuestión prejudicial para responder a los litigios principales, en la medida en que constata que el órgano jurisdiccional remitente no ha hecho ninguna referencia a una disposición concreta del Derecho de la Unión.
48 A este respecto, la quinta cuestión prejudicial se refiere al concepto de «usurpación de identidad», en el sentido del considerando 75 del RGPD, y no se refiere formalmente al artículo 82 de ese Reglamento. Sin embargo, el mero hecho de que el Tribunal de Justicia haya de pronunciarse en términos abstractos y generales no puede acarrear la inadmisibilidad de una petición de decisión prejudicial (sentencia de 15 de noviembre de 2007, International Mail Spain, C‑162/06, EU:C:2007:681, apartado 24).
49 Pues bien, mediante esta cuestión prejudicial, el órgano jurisdiccional remitente solicita al Tribunal de Justicia que interprete el concepto de «usurpación de identidad», tal como figura en el considerando 75 del RGPD, con el fin de determinar la cuantía de la indemnización pecuniaria prevista en el artículo 82 del RGPD. Por lo tanto, dicha cuestión se refiere efectivamente a una disposición del Derecho de la Unión. Por lo demás, la respuesta a esta cuestión prejudicial también es pertinente en la medida en que ni el órgano jurisdiccional remitente ni las partes de los litigios principales están de acuerdo en la definición de este concepto a efectos de la determinación de los daños y perjuicios sufridos en aquellos.
50 Por consiguiente, la quinta cuestión prejudicial es admisible.
Sobre el fondo
51 Según reiterada jurisprudencia, en el marco del procedimiento de cooperación entre los órganos jurisdiccionales nacionales y el Tribunal de Justicia establecido por el artículo 267 TFUE, corresponde a este último proporcionar al juez nacional una respuesta útil que le permita dirimir el litigio del que conoce. Desde este punto de vista, corresponde al Tribunal de Justicia reformular en su caso las cuestiones prejudiciales que se le han planteado. Además, el Tribunal de Justicia puede verse obligado a tomar en consideración normas de Derecho de la Unión a las que el juez nacional no se haya referido en el enunciado de su cuestión prejudicial (sentencia de 7 de septiembre de 2023, Groenland Poultry, C‑169/22, EU:C:2023:638, apartado 47 y jurisprudencia citada).
52 En el presente asunto, la quinta cuestión prejudicial versa sobre el derecho a indemnización previsto en el artículo 82, apartado 1, del RGPD y más concretamente sobre el concepto de «usurpación de identidad», que figura en el considerando 75 del RGPD. Pues bien, es preciso señalar que, además de en ese considerando, este concepto también se menciona en el considerando 85 de dicho Reglamento.
53 Por consiguiente, procede observar que, mediante su quinta cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 82, apartado 1, del RGPD, en relación con los considerandos 75 y 85 de dicho Reglamento, debe interpretarse en el sentido de que, para que se considere usurpación de identidad y dar derecho a una indemnización por los daños y perjuicios inmateriales con arreglo a esa disposición, el concepto de «usurpación de identidad» implica que la identidad de un interesado afectado por un robo de datos personales sea efectivamente usurpada por un tercero o si tal usurpación de identidad se produce cuando ese tercero dispone de datos que permiten identificar al interesado.
54 El RGPD no define el concepto de usurpación de identidad. Sin embargo, el considerando 75 de dicho Reglamento menciona la «usurpación de identidad o fraude» como parte de una lista no exhaustiva de consecuencias de un tratamiento de datos personales que puede provocar daños y perjuicios físicos o materiales o daños o perjuicios inmateriales. En el considerando 85 del citado Reglamento, «la usurpación» de identidad vuelve a mencionarse conjuntamente entre una lista de daños y perjuicios físicos o materiales o de daños y perjuicios inmateriales que pueden ser causados por una violación de la seguridad de los datos personales.
55 Como señaló el Abogado General en el punto 29 de sus conclusiones, las diferentes versiones lingüísticas de los considerandos 75 y 85 del RGPD mencionan los conceptos de «usurpación de identidad», «fraude de identidad», «abuso de identidad», «uso indebido de identidad», «apropiación indebida de identidad» y «suplantación de identidad» que se utilizan indistintamente en ellas. Por consiguiente, los conceptos de «usurpación de identidad» o «fraude» son intercambiables y no cabe distinguir entre ellos. Estos dos últimos conceptos dan lugar a la presunción de una voluntad de apropiarse de la identidad de una persona cuyos datos personales han sido robados con anterioridad.
56 Además, como también señaló el Abogado General en el punto 30 de sus conclusiones, entre los distintos conceptos mencionados en las listas que figuran en los considerandos 75 y 85 del RGPD, la «pérdida de control» o la imposibilidad para «ejercer el control» sobre datos personales se diferencian de la «usurpación de identidad» o «fraude». De ello se deduce que el acceso y la toma de control sobre tales datos, que podrían asimilarse a un robo de estos, no son, en sí mismos, asimilables a una «usurpación de identidad» o a un «fraude». En otras palabras, el robo de datos personales no constituye, por sí mismo, una usurpación de identidad o fraude.
57 No obstante, debe precisarse, a este respecto, que la indemnización de los daños y perjuicios inmateriales causados por el robo de datos personales, con arreglo al artículo 82, apartado 1, del RGPD, no puede limitarse a los casos en que se demuestre que tal robo de datos dio lugar a una usurpación de identidad o fraude. En efecto, el robo de datos personales de un interesado da derecho a una indemnización por los daños y perjuicios inmateriales sufridos, en virtud del artículo 82, apartado 1, del RGPD, si se aplican los tres requisitos establecidos en dicha disposición, a saber, un tratamiento de datos personales en infracción de las disposiciones del RGPD, daños y perjuicios sufridos por el interesado y una relación de causalidad entre dicho tratamiento ilícito y esos daños y perjuicios [véase, en este sentido, la sentencia de 4 de mayo de 2023 Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales) (C‑300/21, EU:C:2023:370), apartados 32 y 36].
58 Por estos motivos, procede responder a la quinta cuestión prejudicial que el artículo 82, apartado 1, del RGPD, en relación con los considerandos 75 y 85 de dicho Reglamento, debe interpretarse en el sentido de que, para que se considere usurpación de identidad y dar derecho a indemnización de los daños y perjuicios inmateriales con arreglo a esa disposición, el concepto de «usurpación de identidad» implica que la identidad del interesado afectado por un robo de datos personales sea efectivamente usurpada por un tercero. No obstante, la indemnización de los daños y perjuicios inmateriales causados por el robo de datos personales, en virtud de la referida disposición, no puede limitarse a los casos en los que se demuestre que tal robo de datos provocó posteriormente una usurpación de identidad o fraude.
Costas
59 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.
En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Tercera) declara:
1) El artículo 82, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),
debe interpretarse en el sentido de que
el derecho a indemnización previsto en esa disposición cumple una función exclusivamente compensatoria, en la medida en que una indemnización pecuniaria basada en la referida disposición debe permitir compensar íntegramente el perjuicio sufrido.
2) El artículo 82, apartado 1, del Reglamento 2016/679
debe interpretarse en el sentido de que
no exige que el grado de gravedad y el eventual carácter doloso de la infracción de dicho Reglamento cometida por el responsable del tratamiento sean tenidos en cuenta a efectos de la indemnización de los daños y perjuicios sobre la base de esta disposición.
3) El artículo 82, apartado 1, del Reglamento 2016/679
debe interpretarse en el sentido de que,
en el marco de la cuantificación de la indemnización por daños y perjuicios debida en virtud del derecho a indemnización por los daños y perjuicios inmateriales, ha de considerarse que unos daños de esa índole causados por una violación de la seguridad de los datos personales no son, por naturaleza, menos importantes que unas lesiones corporales.
4) El artículo 82, apartado 1, del Reglamento 2016/679
debe interpretarse en el sentido de que,
cuando queda singularizada la existencia de daños y perjuicios y estos carecen de gravedad, un órgano jurisdiccional puede compensarlos concediendo al interesado una indemnización mínima, a condición de que tal indemnización pueda compensar íntegramente los daños y perjuicios sufridos.
5) El artículo 82, apartado 1, del Reglamento 2016/679, en relación con los considerandos 75 y 85 de dicho Reglamento
debe interpretarse en el sentido de que,
para que se considere usurpación de identidad y dar derecho a indemnización de los daños y perjuicios inmateriales con arreglo a esa disposición, el concepto de «usurpación de identidad» implica que la identidad del interesado afectado por un robo de datos personales sea efectivamente usurpada por un tercero. No obstante, la indemnización de los daños y perjuicios inmateriales causados por el robo de datos personales, en virtud de la referida disposición, no puede limitarse a los casos en los que se demuestre que tal robo de datos provocó posteriormente una usurpación de identidad o fraude.
Firmas