CONCLUSIONES DEL ABOGADO GENERAL
M. CAMPOS SÁNCHEZ-BORDONA
presentadas el 6 de octubre de 2022 (1)
Asunto C‑300/21
UI
contra
Österreichische Post AG
[Petición de decisión prejudicial planteada por el Oberster Gerichtshof (Tribunal Supremo de lo civil y penal, Austria)]
«Reenvío prejudicial — Protección de datos personales — Reglamento (UE) 2016/679 — Daño moral resultante de un tratamiento ilícito de datos — Requisitos del derecho a indemnización — Daños y perjuicios por encima de cierto umbral de gravedad»
1. El Reglamento (UE) 2016/679 (2) confiere a toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción de sus preceptos el derecho a recibir del responsable o del encargado del tratamiento una indemnización.
2. La posibilidad de reclamar ese derecho en vía jurisdiccional existía ya en la reglamentación precedente (artículo 23 de la Directiva 95/46/CE), (3)aunque fue poco ejercitada. (4) Salvo error por mi parte, el Tribunal de Justicia no llegó a interpretar específicamente aquel artículo.
3. Bajo el imperio del RGPD las acciones de indemnización han ganado en relevancia. (5) Su incremento es perceptible en los tribunales de los Estados miembros y se refleja en los correlativos reenvíos prejudiciales. (6) En este, el Oberster Gerichtshof (Tribunal Supremo de lo civil y penal, Austria) insta al Tribunal de Justicia a perfilar algunos puntos comunes del régimen de responsabilidad civil que instaura el RGPD.
I. Marco jurídico. RGPD
4. Son relevantes para este litigio, en particular, los considerandos recogidos en el preámbulo del RGPD con los números 75, 85 y 146.
5. En el artículo 6 («Licitud del tratamiento») se lee:
«1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
[…]».
6. El artículo 79 («Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento»), apartado 1, establece:
«Sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77, todo interesado tendrá derecho a la tutela judicial efectiva cuando considere que sus derechos en virtud del presente Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales».
7. El artículo 82 («Derecho a indemnización y responsabilidad»), apartado 1, indica:
«Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos».
II. Hechos, litigio y preguntas prejudiciales
8. Desde 2017, Österreichische Post AG, empresa editora de guías de direcciones, recogió información sobre las afinidades de la población austríaca en relación con partidos políticos. Con la ayuda de un algoritmo, definía las «direcciones de los grupos de destinatarios» en función de ciertas características sociodemográficas.
9. UI es una persona física respecto a la que Österreichische Post realizó una extrapolación, mediante cálculo estadístico, para determinar su clasificación dentro de los posibles grupos destinatarios de publicidad electoral de varios partidos políticos. De esa extrapolación resultaba que UI presentaba una elevada afinidad con uno de ellos. Estos datos no se transfirieron a terceros.
10. UI, que no había dado su consentimiento para el tratamiento de sus datos personales, se sintió contrariado por la conservación de los relativos a sus simpatías por partidos políticos, e indignado y ofendido por la afinidad que, en concreto, le había atribuido Österreichische Post.
11. UI ha solicitado una indemnización de 1 000 euros por daños y perjuicios inmateriales (malestar interno). Alega que la afinidad política que se le asigna es un insulto y le avergüenza, además de ocasionar un daño a su buen nombre. La conducta de Österreichische Post, añade, le ha causado una gran contrariedad y una pérdida de confianza, así como un sentimiento de exposición pública.
12. El tribunal de primera instancia desestimó la pretensión de indemnización de UI. (7)
13. El tribunal de apelación confirmó la sentencia de primera instancia. Declaró que una indemnización por daños y perjuicios inmateriales no acompaña automáticamente a toda infracción del RGPD y que:
— Siendo el derecho austriaco aplicable como complemento del RGPD, solo resultan indemnizables los daños que van más allá de la contrariedad o de los sentimientos («Gefühlsschaden») provocados por la vulneración de los derechos del demandante.
— Ha de respetarse el principio, subyacente a la normativa austriaca, de que todos han de soportar el mero malestar y los meros sentimientos de desagrado, que carecen de consecuencias en términos de indemnización. Dicho de otro modo, el derecho a indemnización requiere una cierta relevancia de los daños y perjuicios alegados.
14. La sentencia del tribunal de apelación ha sido recurrida ante el Oberster Gerichtshof (Tribunal Supremo de lo civil y penal, Austria), que eleva al Tribunal de Justicia estas preguntas prejudiciales:
«1) ¿El reconocimiento del derecho a una indemnización por daños y perjuicios con arreglo al artículo 82 del RGPD […], además de una violación de las disposiciones del RGPD exige que el demandante haya sufrido daños y perjuicios, o la violación de las disposiciones del RGPD es suficiente por sí misma para el reconocimiento del derecho a una indemnización por daños y perjuicios?
2) ¿Existen otros requisitos del derecho de la Unión para la cuantificación de la indemnización por daños y perjuicios, además de los principios de efectividad y equivalencia?
3) ¿Es compatible con el derecho de la Unión la opinión de que un requisito para el reconocimiento de daños y perjuicios inmateriales es que exista una consecuencia o secuela de la vulneración de derechos que tenga al menos cierto peso y que vaya más allá de la contrariedad causada por la misma?»
III. Procedimiento
15. La petición de decisión prejudicial fue registrada en el Tribunal de Justicia el 12 de mayo de 2021.
16. Han presentado observaciones escritas UI, Österreichische Post, los Gobiernos austriaco, checo, irlandés y la Comisión Europea. No se ha considerado necesaria la celebración de una vista.
IV. Análisis
A. Preliminares
1. Admisibilidad
17. UI sostiene que la primera pregunta prejudicial no es pertinente para el litigio, pues su demanda no se basó en la «simple» infracción de una norma del RGPD, sino en sus consecuencias o efectos.
18. La objeción de inadmisibilidad ha de rechazarse. Aun de admitir que el tratamiento de datos vulneró el RGPD sin daño para UI, este podría tener derecho a indemnización a título del artículo 82 del RGPD, si, como pregunta el tribunal a quo, se confirmara que la mera infracción de una norma relativa al tratamiento genera tal derecho.
19. Según UI, el Tribunal de Justicia también podría reputar inadmisible la segunda pregunta prejudicial, por ser muy abierta en cuanto a su contenido y excesivamente limitada en lo relativo a las exigencias del derecho de la Unión, sin mencionar ninguna en concreto.
20. Tampoco esa objeción, aunque más fundada que la precedente, puede prosperar. Es legítimo que un órgano judicial quiera saber si, además de atenerse a los principios de equivalencia y de efectividad, ha de valorar otros requisitos impuestos por el derecho de la Unión para evaluar el daño.
2. Delimitación del objeto de estas conclusiones
21. El artículo 82 del RGPD consta de seis apartados. El tribunal de reenvío no se refiere a ninguno en particular, pero implícitamente apela al primero de ellos. Tampoco especifica la norma cuya infracción daría lugar a indemnización.
22. Mis conclusiones partirán de estas premisas:
— El tratamiento de los datos personales de UI se llevó a cabo sin recabar su consentimiento a los efectos del artículo 6, apartado 1, letra a), del RGPD.
— El derecho a indemnización corresponde a toda persona que haya sufrido los daños. En este asunto, UI, en cuanto persona física identificada y afectada por el tratamiento, es «interesado». (8)
— El RGPD contempla la indemnización de daños y perjuicios materiales e inmateriales. La reclamación de UI se limita a estos últimos y tiene un contenido pecuniario.
B. Primera pregunta prejudicial
23. Con su primera pregunta, el tribunal de reenvío desea saber, en síntesis, si la mera vulneración de los preceptos del RGPD da derecho a indemnización, háyase generado o no un daño.
24. De las afirmaciones del órgano de reenvío y de las observaciones depositadas ante el Tribunal de Justicia puede deducirse que la pregunta admite también otra lectura, algo más compleja: se trataría de dilucidar si la violación de los preceptos del RGPD produce necesariamente un daño que genera el derecho a indemnización, sin que el demandado tenga la posibilidad de demostrar lo contrario.
25. Hay una cierta diferencia (teórica) entre esos dos planteamientos: en el primero, el daño no es presupuesto de la indemnización; sí lo es, en cambio, en el segundo. En la práctica, la exigencia de que el demandante pruebe el daño desaparece en ambos casos; tampoco debe probar la relación de causalidad entre la infracción y ese daño. (9)
26. En cualquier caso, avanzo que ninguna de las dos lecturas de la primera pregunta merece, en mi opinión, una respuesta afirmativa. Me referiré a ambas por separado.
1. ¿Indemnización sin daño?
27. Sostener que hay derecho a la indemnización, aunque de la infracción del RGPD no deriven para el interesado daños, plantea obvias dificultades, comenzando por la relativa a la literalidad del artículo 82, apartado 1, de aquel Reglamento.
28. Con arreglo a ese precepto, la indemnización (10) se otorga precisamente porque ha habido un previo daño. Se requiere, pues, de modo inequívoco, que la persona física haya sufrido un daño o perjuicio como consecuencia de una infracción del RGPD.
29. La interpretación que asocia, de modo automático, la noción de «infracción» a la de «compensación» sin que medie daño no casa, pues, con la redacción del artículo 82 del RGPD. Tampoco casa con el objetivo primario de la responsabilidad civil que instaura el RGPD, que es dar satisfacción al interesado, justamente a través de la indemnización «total y efectiva» del daño que haya experimentado. (11)
30. Faltando el daño, la indemnización no realizaría ya una función resarcitoria de las consecuencias adversas que la infracción ha producido, sino otra de naturaleza diferente, más próxima a la sancionadora.
31. Es cierto, empero, que el ordenamiento jurídico de un Estado miembro puede prever el pago de una indemnización a título punitivo. (12) Se entiende por tal la condena al pago de una cantidad sustancial, más allá del estricto resarcimiento del daño.
32. Las indemnizaciones de carácter punitivo no prescinden, por lo general, de la previa existencia del daño. Tomando este como punto de partida, disocian, sin embargo, sus consecuencias patrimoniales del importe del resarcimiento ajustado a ese daño.
33. No es inimaginable, con todo, que una indemnización de carácter punitivo haga abstracción del daño, o lo considere irrelevante para dar satisfacción a quien la ha demandado.
34. La respuesta a la primera pregunta prejudicial me obliga a analizar el encaje de este género de indemnizaciones en el RGPD, tanto más cuanto que el auto de reenvío y las observaciones de las partes y de los intervinientes en el incidente prejudicial se han referido a ellas.
2. ¿Indemnización de carácter punitivo?
a) Interpretación literal
35. A la función clásica de la responsabilidad civil se puede sumar otra de carácter «punitivo» o «ejemplar», en cuya virtud, como ya he descrito, el importe de la indemnización no equivalga al perjuicio sufrido, sino que incremente o, incluso, multiplique su cuantía.
36. En principio, el derecho de la Unión no se opone a estas indemnizaciones, cuando se trate de la infracción de sus normas, si pueden concederse en acciones similares basadas en el derecho interno. (13)
37. Las indemnizaciones de carácter punitivo tienen una finalidad disuasoria. Esta misma finalidad puede producirse cuando, ante la infracción de una directiva, los Estados miembros hayan de adoptar medidas dirigidas a surtir «un efecto disuasorio real». (14) Algunas directivas contemplan expresamente que las indemnizaciones, concebidas como sanciones, sean disuasorias. (15)
38. En cambio, en otros textos el legislador declara que el objetivo de una directiva «no es instaurar una obligación de establecer indemnizaciones punitivas»; (16) o que los Estados miembros han de evitar este tipo de indemnizaciones en su transposición. (17) En el derecho de la Unión, la condena directa a los denominados «daños punitivos» es excepcional. (18)
39. Pues bien, el RGPD no contiene ninguna referencia a la naturaleza sancionadora de la indemnización por daños materiales o inmateriales, o a que el cálculo de su importe refleje ese carácter, o a que aquella indemnización sea disuasoria (cualidad que sí atribuye, en cambio, a las sanciones penales y a las multas administrativas). (19) Desde el punto de vista literal, pues, no permite acoger indemnizaciones de carácter punitivo.
b) Interpretación a la vista de los antecedentes del precepto
40. El artículo 82, apartado 1, del RGPD tiene su precedente en el artículo 23, apartado 1, de la Directiva 95/46. Este último era parte de un sistema que confiaba su efectividad a la aplicación pública y privada, (20) pero en el que la compensación (privada) y la sanción (pública) no se confundían. (21) La vigilancia del cumplimiento de las normas correspondía, ante todo, a autoridades de control independientes. (22)
41. El RGPD retoma ese modelo, pero refuerza los útiles para garantizar la eficacia de sus disposiciones, ahora más detalladas, y de las reacciones previstas, ahora más intensas, ante su infracción o amenaza de infracción:
— Por un lado, aumenta las funciones de las autoridades de control, a las que compete, entre otras tareas, la de imponer las sanciones armonizadas previstas por el propio RGPD. (23) Subraya así el componente de aplicación pública de las normas.
— Por otro lado, prevé que los particulares asuman la defensa de los derechos que el RGPD les confiere, (24) bien activando la actuación de las autoridades de control (artículo 77), bien acudiendo a la vía jurisdiccional (artículos 79 y 82). Además, el artículo 80 autoriza a determinadas entidades el ejercicio de acciones de representación, (25) lo que facilita la tutela de intereses generales al alcance de los particulares. (26)
42. El desarrollo del régimen uniforme de responsabilidad civil por daños en el RGPD fue limitado.Aspectos que pudieron ser dudosos bajo la Directiva 95/46, como el relativo a la inclusión de los daños inmateriales entre los indemnizables, (27) quedaron pronto aclarados. La negociación se centró en otros aspectos de aquel régimen. (28)
43. No he encontrado en los trabajos legislativos ninguna discusión sobre una eventual función punitiva de la responsabilidad civil contemplada en el RGPD. No es posible, pues, deducir que tenga cabida en su artículo 82, a falta de cualquier debate al respecto, tanto menos cuanto que sí lo hubo sobre su inclusión en otros textos del derecho de la Unión. (29)
44. En estas condiciones, entiendo que la acción del artículo 82, apartado 1, del RGPD fue concebida y regulada al servicio de las funciones típicas de la responsabilidad civil: la de compensación de daños (para el perjudicado) y, secundariamente, la de prevención de futuros daños (para el infractor).
c) Interpretación contextual
45. Como he avanzado, el artículo 82 del RGPD forma parte de un sistema de garantías de la efectividad de las normas en el que la iniciativa privada complementa su aplicación pública. La indemnización a cargo de los responsables o los encargados del tratamiento de datos contribuye a esa efectividad.
46. El deber de indemnizar opera (idealmente) como incentivo a actuar con más cuidado en el futuro, ateniéndose a las reglas y evitando nuevos daños. De este modo, al reclamar una indemnización para sí mismo, cada individuo contribuye a la eficacia general de las normas.
47. En este marco, las funciones compensatoria y punitiva están separadas:
— Sirven a la segunda las multas que pueden imponer las autoridades de control o los tribunales (artículo 83, apartados 1 y 9, del RGPD) y otras sanciones que los Estados adopten en aplicación del artículo 84 del RGPD. (30)
— Sirven a la primera la reclamación del particular (artículo 77) y los procedimientos judiciales (artículo 79). Juzgar sobre el derecho a indemnización no corresponde, no obstante, a las autoridades de control.
48. En la misma línea de separación de las funciones de compensación y sanción:
— Al imponer una multa y fijar su cuantía, la autoridad deberá tener en cuenta los factores enumerados en el artículo 83 del RGPD, que no se prevén en el ámbito de la responsabilidad civil y que, en principio, no son trasladables al cálculo de la indemnización. (31)
— Si el nivel de daños y perjuicios padecidos por los afectados es un factor de gradación de la multa, (32) el cálculo de su importe no tiene por qué tomar en cuenta la indemnización que hayan podido recibir. (33)
49. Desde una perspectiva teórica, una interpretación que, en ausencia de cualquier daño, confíe a la responsabilidad civil la función punitiva crea el riesgo de convertir los mecanismos indemnizatorios en redundantes con los sancionadores.
50. En la práctica, la facilidad para obtener una ganancia «punitiva» a título de indemnización podría inclinar a los interesados a preferir esta vía a la del artículo 77 del RGPD. De generalizarse, se privaría a las autoridades de control de un útil (la reclamación del interesado) para conocer y, por tanto, investigar y sancionar posibles infracciones del RGPD, en detrimento de los instrumentos más apropiados para la defensa del interés general.
d) Interpretación teleológica
51. Los objetivos del RGPD son esencialmente dos, que se enuncian ya desde su título: a) por un lado, «la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales»; b) por otro lado, que esa protección se articule de forma tal que «la libre circulación de estos datos» en la Unión no se prohíba ni se restrinja. (34)
52. Estimo que, para conseguir esos objetivos, el RGPD no exige asociar la indemnización a la mera infracción de la norma que regule el tratamiento, dotando a la responsabilidad civil de funciones punitivas.
53. En cuanto al primer objetivo, para su consecución no es necesario ampliar por vía interpretativa el ámbito de aplicación del artículo 82 del RGPD, dando cobertura a supuestos en los que ha habido infracción de una norma, pero no daño. En cambio, esta ampliación podría afectar negativamente al segundo.
54. Ya he destacado que el RGPD prevé varios dispositivos de garantía del cumplimiento de sus normas, que coexisten y se complementan. Los Estados miembros no tienen que elegir (ni pueden, en realidad) entre los mecanismos del capítulo VIII para garantizar la protección de datos. Ante una infracción que no genere daño, al interesado se le brinda aún (como mínimo) el derecho a presentar una reclamación ante una autoridad de control, al amparo del artículo 77, apartado 1, del RGPD.
55. Por lo demás, la perspectiva de obtener compensación al margen de cualquier daño estimularía, probablemente, los litigios en vía civil, con demandas quizá no siempre justificadas, (35) y, en esa medida, podría desincentivar la actividad de tratamiento de datos. (36)
3. ¿Presunción de daño?
56. En algunas de las observaciones de las partes del litigio se propugna una lectura de la primera pregunta prejudicial diferente a la que he examinado hasta ahora. Si entiendo bien su postura, (37) parecen defender que existe una presunción incontestable de daño, una vez producida la infracción de la norma.
57. Esa infracción, añaden, conllevaría necesariamente la pérdida de control sobre los datos, lo que constituiría, per se, un daño indemnizable al amparo del artículo 82, apartado 1, del RGPD.
58. En teoría, esa presunción no permite prescindir de la lesión, con lo que se respeta la estructura típica de la responsabilidad civil, así como la literalidad del precepto del RGPD. En la práctica, sin embargo, para demandante y demandado los efectos de admitirla serían similares a los que derivan de asociar la indemnización del artículo 82, apartado 1, del RGPD a la mera violación de la norma.
59. De nuevo acudiré a los criterios hermenéuticos usuales para explicar por qué esta interpretación no me parece acertada.
a) Interpretación literal
60. Cuando el legislador ha considerado, en otros sectores del derecho de la Unión, que de la infracción de una norma deriva automáticamente el derecho a indemnización, no ha tenido reparos en establecerlo. (38) No sucede así en el RGPD, donde constan reglas relativas a la prueba, o con consecuencias directas sobre ella, (39) pero no aquella vinculación automática, sea directa o por la vía de la presunción irrefragable.
61. Las referencias al control de los datos (o a la pérdida de ese control) que muestran los considerandos septuagésimo quinto (40) y octogésimo quinto (41) del RGPD no me parece que contrarresten esa ausencia. Más allá de que, en cuanto tales considerandos, carecen de valor normativo, ninguno de ambos sustenta que la infracción de una norma implique per se un daño indemnizable:
— El considerando septuagésimo quinto alude a que se impida el control sobre los datos personales como uno de los riesgos posibles del tratamiento.
— El considerando octogésimo quinto se refiere a la pérdida de control como una de las consecuencias que podrían producirse a raíz de una violación de la seguridad de los datos personales. (42)
62. La pérdida de control de los datos no tiene por qué desencadenar, indefectiblemente, un daño. La expresión puede entenderse como una licencia del lenguaje para aludir a perjuicios subsecuentes a tal pérdida, si llegan a materializarse. (43)
b) Interpretación a la luz de los antecedentes
63. El análisis de los antecedentes tampoco apoya la existencia de esa presunción, que no constaba en la Directiva 95/46, (44) sin que los documentos que he examinado de la Comisión, del Parlamento Europeo o del Consejo previos a la aprobación del RGPD la contemplaran.
c) Interpretación contextual
64. El sistema del RGPD ofrece elementos para negar que acoja la presunción controvertida, tomando como referente el consentimiento del interesado. (45) En cuanto vehículo de su control sobre los datos, ese consentimiento legitima el tratamiento de estos al mismo nivel que otras bases jurídicas (artículo 6 del RGPD). (46)
65. Un tratamiento lícito de datos personales es concebible al margen de la autorización del interesado y, por tanto, del control que representa otorgar o negar dicha autorización. Su peso dentro del sistema no es, en definitiva, absoluto.
66. Además, el RGPD contempla otras posibilidades de ejercicio de ese control: entre ellas, el derecho de supresión que obliga al responsable del tratamiento a eliminar «sin dilación indebida» la información correspondiente. (47)
67. Para la persona cuyos datos se procesan, este derecho opera como válvula de seguridad del régimen de protección: persiste (como regla de principio) cuando el responsable no obtuvo el consentimiento del interesado, así como cuando no existe ninguna otra base que legitime el tratamiento de datos; y no depende de que este ocasione algún daño. (48)
d) Interpretación teleológica
1) El control del interesado sobre sus datos, ¿objetivo del RGPD?
68. La equivalencia automática entre un tratamiento de datos personales para el que no se ha obtenido el consentimiento del interesado y un perjuicio indemnizable presupone que aquel control, del que el consentimiento es vehículo, constituye un valor en sí mismo.
69. Admito que, a simple vista, esta opinión no carece de apoyos. Que los ciudadanos posean control sobre sus datos consta en la propuesta de la Comisión como uno de los motivos principales de la reforma. (49) El considerando séptimo del RGPD declara que «las personas físicas deben tener el control de sus propios datos personales».
70. Lo cierto es que se impone la cautela al interpretar este concepto, más allá de los debates doctrinales que ha suscitado. No hay en el RGPD (ni he encontrado en ningún otro lugar)una definición precisa de «control». (50) El término admite al menos dos acepciones, que no son mutuamente excluyentes: como «poder» o «dominio», y como «supervisión».
71. La formulación del considerando séptimo del RGPD genera una cierta inseguridad, pues diverge según las versiones lingüísticas. (51) Atendiendo a su contenido, opino que el RGPD proporciona al interesado facultades de vigilancia e intervención en operaciones que otros llevan a cabo sobre los datos, como un instrumento (junto a otros) al servicio de la protección de esos datos.
72. El interesado mismo contribuye y es responsable de la protección de la información representada en los datos, en la medida —nivel y modalidades— que el RGPD prevé. El perímetro de la acción individual es limitado: se contrae, en cuanto a los derechos que el RGPD enumera, a ejercerlos en condiciones concretas.
73. El consentimiento del interesado, como máxima expresión de control, (52) es solo una de las bases jurídicas para un tratamiento lícito, pero no tiene la capacidad de convalidar la falta de cumplimiento del resto de las obligaciones y condiciones que pesan sobre el responsable y el encargado del tratamiento.
74. No me parece sencillo deducir del RGPD que tenga por objetivo conferir al interesado el control sobre datos personales como un valor en sí mismo. Tampoco, que el interesado haya de tener el mayor control posible sobre esos datos.
75. Esta constatación no sorprende. Por una parte, no es evidente que el control, en su acepción de dominio sobre los datos, forme parte del contenido esencial del derecho fundamental a la protección de datos personales. (53) Por otra parte, la comprensión de este derecho como derecho a la autodeterminación informativa dista de ser unánime: el artículo 8 de la Carta no emplea esos términos. (54)
76. En la misma línea, tampoco se llevó al texto final del RGPD un considerando a tenor del que «el derecho a la protección de los datos de carácter personal se basa en el derecho del interesado a ejercer el control sobre los datos personales que se estén tratando». (55)
77. Las reflexiones anteriores, quizá excesivamente abstractas, me inducen a afirmar que, cuando el interesado no consiente un tratamiento y este se lleva a cabo sin otra base jurídica legítima, no por eso ha de ser compensado económicamente en virtud de la pérdida del control sobre sus datos, como si esa pérdida implicase, de suyo, una lesión indemnizable. (56) Si, además, ha sufrido o no un daño, está por ver (y deberá ser probado). (57)
2) El control del interesado dentro del contexto
78. Me parece oportuno, en fin, recordar que la protección de los datos personales se enuncia como objetivo del RGPD junto al designio de propiciar la libre circulación de los datos. (58)
79. El refuerzo del control del ciudadano sobre su información personal en el entorno digital es una de las finalidades reconocidas de la modernización del régimen de protección de los datos personales, pero no un objetivo independiente o aislado.
80. La Comisión, en la Comunicación que acompañó a su propuesta de RGPD, asociaba un alto nivel de protección de datos a la confianza en los servicios en línea, que permite explotar el potencial de la economía digital y propiciar «el crecimiento económico y la competitividad de las industrias de la UE». Con la renovación (y armonización incrementada) de la normativa de la Unión se «potencia la dimensión de mercado único de la protección de datos». (59)
81. Ante la evidencia del valor de los datos (personales y no personales) para el progreso económico y social en Europa, el RGPD no pretende magnificar el control del individuo sobre la información que le concierne, plegándose sin más a sus preferencias, sino reconciliar el derecho a la protección de los datos personales de cada uno con los intereses de terceros y de la sociedad. (60)
82. El RGPD, insisto, no tiene como finalidad limitar por sistema el tratamiento de datos personales, sino legitimarlo bajo estrictas condiciones. A este propósito sirve, ante todo, el fomento de la confianza del interesado en que el tratamiento se hará en un contexto seguro, (61) al que él mismo contribuye. De este modo, se incentiva su disposición voluntaria a permitir el acceso y el uso de sus datos, entre otros ámbitos, en el de las transacciones comerciales en línea.
C. Segunda pregunta prejudicial
83. El tribunal de reenvío desea saber si hay «otros requisitos del derecho de la Unión para la cuantificación de la indemnización por daños y perjuicios, además de los principios de efectividad y equivalencia».
84. En realidad, no parece que el principio de equivalencia juegue aquí un papel relevante: el régimen armonizado del RGPD se aplica directamente en esta materia y su artículo 82 rige para todos los daños inmateriales que se produzcan a consecuencia de una infracción, provengan de donde provengan.
85. Para el principio de efectividad, vale la misma reflexión. Distinto es que la indemnización, al atenerse a lo que propugna el considerando centésimo cuadragésimo sexto del RGPD (los interesados deben recibir una indemnización total y efectiva por los daños y perjuicios sufridos), deba tener un contenido u otro.
86. El artículo 82 del RGPD no impone otro requisito que la infracción de sus normas cuando tenga como consecuencia los daños y perjuicios, materiales o inmateriales, sufridos por cualquier persona. Sobre el cálculo, en concreto, del importe de la indemnización por esos daños y perjuicios, no marca pautas a los tribunales nacionales.
87. Ateniéndose a los dos calificativos antes transcritos (total y efectiva), la indemnización dependerá, en primer lugar, de la pretensión que cada demandante formule.
88. Si esa pretensión consistiese en la condena a una indemnización de carácter punitivo, (62) la respuesta a la primera pregunta prejudicial sería suficiente: ese género de indemnizaciones no aparece en el RGPD. Dentro de él, la responsabilidad civil realiza una función de compensación «privada», mientras que las multas y las sanciones penales tienen la función pública de disuadir y, en su caso, castigar.
89. No es descartable que la reparación solicitada a título de daño inmaterial incorpore componentes distintos al meramente pecuniario, por ejemplo, el reconocimiento de que la infracción se produjo, con lo que se da una cierta satisfacción moral al demandante. La sentencia del Tribunal de Justicia de 15 de abril de 2021, (63) aunque recaída en un ámbito no coincidente con el de la protección de datos, permitiría, por analogía, atender a esa pretensión.
90. En los ordenamientos que así lo establezcan, es posible que el régimen de responsabilidad civil prevea condenas a título de vindicación de un derecho (pago de una indemnización simbólica) o de neutralización de un beneficio indebido (entrega de la ganancia injustamente obtenida).
91. Subyace a las primeras la idea de dar continuidad y realizar el derecho («Rechtsfortsetzungsfunktion») a través de una indemnización puramente simbólica, añadida a la declaración de que el demandado ha cometido un ilícito e infringido derechos del demandante. El artículo 82 del RGPD no la contempla ni hay atisbo de ella en los trabajos previos, lo que no debe extrañar porque no es común a los sistemas jurídicos de los Estados miembros, (64) ni está libre de controversia en los que existe. (65)
92. El sistema del RGPD y sus objetivos no se oponen, sin embargo, a que los Estados miembros que conocen este remedio lo ofrezcan a los afectados por la violación de una norma, dentro de los recursos que contempla su artículo 79, para el caso de ausencia total de daño. Cuando, por el contrario, el demandante sostiene que ha experimentado un daño pecuniario, la situación la regula el artículo 82 del RGPD y la dificultad para probarlo no debe traducirse en una indemnización simbólica. (66)
93. En cuanto a las condenas consistentes en la entrega de la cantidad que sigue a la infracción de un derecho, pueden tener por objeto privar a su autor del lucro obtenido. Fuera del ámbito de la propiedad intelectual, (67) esta finalidad no es común en el derecho de daños, que mira más bien a la pérdida del perjudicado y no a la ganancia del infractor. (68) El RGPD no la incorpora en su articulado.
94. Aporto estas reflexiones para facilitar la labor del tribunal de reenvío, a la vista de la amplitud de su segunda pregunta prejudicial. No se me oculta, sin embargo, que su utilidad puede ser escasa para estimar o desestimar una demanda en la que el interesado pide una indemnización del daño inmaterial estrictamente pecuniaria.
D. Tercera pregunta prejudicial
95. El tribunal de reenvío quiere saber si, en el RGPD, el reconocimiento de los daños y perjuicios inmateriales se condiciona a una «vulneración de derechos que tenga al menos cierto peso y que vaya más allá de la contrariedad causada por la misma».
96. Como criterio de lo que es indemnizable, la petición de decisión prejudicial atiende a la intensidad de la experiencia del afectado. No pregunta, en cambio (al menos, directamente), si determinada emoción o sensación de aquel son relevantes o irrelevantes a efectos del artículo 82, apartado 1, del RGPD por virtud de su contenido. (69)
97. Se plantea, así, la duda de si los Estados miembros pueden supeditar la indemnización del daño inmaterial a la entidad de las consecuencias derivadas de la infracción de la norma, incluyendo solo las que superen cierto umbral de gravedad. La pregunta no versaría, pues, sobre los conceptos indemnizables (70) ni sobre el montante de la indemnización, sino sobre la existencia de un límite mínimo de la reacción del afectado, por debajo del que no sería compensado.
98. El artículo 82 RGPD no ofrece una respuesta directa al interrogante. Tampoco lo hacen, a mi juicio, los considerandos septuagésimo quinto y octogésimo quinto. Uno y otro contienen una enumeración ejemplificativa de daños para culminar con una cláusula abierta que parece restringir los indemnizables a los «significativos».
99. No creo, sin embargo, que esos considerandos sean útiles para solucionar la duda del tribunal de reenvío:
— El primero atiende a la identificación y la evaluación de los riesgos del tratamiento de datos, y a la adopción de medidas para evitarlos o mitigarlos. Ilustra sobre las consecuencias indeseables de cualquier tratamiento y pone el acento, «en particular», en algunas, seguramente por su carácter más grave.
— El segundo alude a las violaciones de seguridad de los datos, advirtiendo de que sus secuelas pueden llegar a ser importantes.
100. De la declaración que contiene el considerando centésimo cuadragésimo sexto del RGPD (los responsables deberán indemnizar «cualesquiera daños y perjuicios») (71) tampoco se infieren criterios que permitan responder a ese interrogante.
101. La traslación de ese considerando al texto del RGPD determinó que este último incluyera, explícitamente, los daños inmateriales, sustituyendo al silencio, sobre este extremo de la Directiva 95/46. (72) Pero no se abordó, en particular, la cuestión ahora suscitada ante el Tribunal de Justicia.
102. Ese mismo considerando centésimo cuadragésimo sexto del RGPD declara que «el concepto de daños y perjuicios debe interpretarse en sentido amplio a la luz de la jurisprudencia del Tribunal de Justicia, de tal modo que se respeten plenamente los objetivos del presente Reglamento».
103. No estoy seguro de que esa indicación tuviera demasiada utilidad en el contexto de la protección de datos, pues el Tribunal de Justicia no se había pronunciado aún sobre la materia cuando el RGPD se aprobó. (73) Si se quería aludir a sentencias sobre la responsabilidad civil regulada en otras directivas o reglamentos, una llamada a la analogía habría sido bienvenida.
104. En realidad, el Tribunal de Justicia no ha elaborado una definición general de «daños y perjuicios» aplicable indistintamente en cualquier ámbito. (74) Para lo que aquí importa (los daños inmateriales), de su jurisprudencia puede inferirse que:
— Cuando el objetivo (o uno de los objetivos) de la disposición que se interpreta es la protección del individuo, o de cierta categoría de individuos, (75) la noción de daños y perjuicios debe ser amplia.
— En coherencia con ese criterio, la indemnización se extiende a los daños inmateriales, aun cuando no se mencionen en la disposición interpretada. (76)
105. Si la jurisprudencia del Tribunal de Justicia autoriza a defender que, en los términos expuestos, existe en el derecho de la Unión un principio de indemnización de los daños inmateriales, no creo que de ella pueda inferirse, en cambio, una regla en cuya virtud todo daño inmaterial, sea cual sea su seriedad, es compensable.
106. El Tribunal de Justicia ha admitido la compatibilidad con las normas europeas de la nacional que, para calcular la compensación, distingue entre daños inmateriales ligados a lesiones corporales por accidente según el origen de este. (77)
107. También ha valorado qué circunstancias son aptas para provocar daños inmateriales, conforme a la disposición aplicable en cada asunto, (78) pero no se ha pronunciado explícitamente (si no me equivoco) acerca del requisito de seriedad de aquellos daños. (79)
108. Llegados a este punto, creo que a la tercera pregunta prejudicial se debe responder en sentido afirmativo.
109. Para apoyar mi postura, recuerdo que el RGPD no tiene como único objetivo la salvaguarda del derecho fundamental a la protección de datos personales (80) y que su sistema de garantías incorpora mecanismos de tipología diversa. (81)
110. En este contexto, es pertinente la distinción, sugerida al Tribunal de Justicia, entre daños inmateriales indemnizables y otros inconvenientes derivados de la falta de respeto a la legalidad que, por su escasa entidad, no necesariamente darían derecho a compensación.
111. Tal disociación se percibe en ordenamientos jurídicos nacionales, como corolario inevitable de la vida en sociedad. (82) El Tribunal de Justicia no es ajeno a esta diferencia, que admite cuando alude a los trastornos y molestias como categoría autónoma respecto a la de daños, en ámbitos en los que estima que deben ser compensados. (83) Nada impide trasladarla al RGPD.
112. Por lo demás, el derecho a indemnización del artículo 82, apartado 1, del RGPD no me parece el instrumento idóneo para contrarrestar infracciones en el tratamiento de datos personales, si todo lo que provocan en el interesado es enojo o contrariedad.
113. Como regla, cualquier violación de una norma sobre protección de datos personales generará alguna reacción negativa del interesado. Una indemnización derivada del mero sentimiento de desagrado ante la falta de respeto ajeno por la ley se confunde fácilmente con una compensación sin daño, que ya he rechazado antes.
114. Desde un punto de vista práctico, incluir entre los daños inmateriales indemnizables las simples contrariedades no es eficiente, teniendo en cuenta los inconvenientes y dificultades característicos de una reclamación judicial para el demandante, (84) y de la defensa para el demandado. (85)
115. Negar derecho a indemnización por los sentimientos o emociones débiles y pasajeros (86) ligados a la infracción de reglas sobre el tratamiento no deja al interesado en completo desamparo. Como he indicado al hilo de la primera cuestión, el sistema del RGPD le ofrece otros recursos.
116. No dudo de que la frontera entre las meras contrariedades (no indemnizables) y los verdaderos daños inmateriales (sí indemnizables) es tenue, ni ignoro lo complicado de delimitar, en abstracto, las dos categorías y aplicarlas, en concreto, a un litigio. Esa difícil tarea corresponde a los jueces de los Estados miembros quienes, probablemente, no podrán sustraerse en sus pronunciamientos a la percepción que, en cada momento, tenga la sociedad sobre la tolerancia admisible cuando las consecuencias subjetivas de la infracción de una norma en esta materia no superen un nivel de minimis. (87)
V. Conclusión
117. A tenor de lo expuesto, propongo responder al Oberster Gerichtshof (Tribunal Supremo de lo civil y penal, Austria) en estos términos:
«El artículo 82 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), ha de interpretarse en el sentido de que:
Para el reconocimiento del derecho a una indemnización por daños y perjuicios sufridos por una persona como consecuencia de una vulneración del mencionado Reglamento no es suficiente la mera infracción de la norma, por sí misma, si no va acompañada de los correspondientes daños y perjuicios, materiales o inmateriales.
La indemnización de los daños y perjuicios inmateriales que regula no se extiende a la mera contrariedad que la persona afectada pueda sentir a causa de la infracción de los preceptos del Reglamento 2016/679. Compete a los órganos jurisdiccionales nacionales discernir cuándo, por sus características, la sensación subjetiva de desagrado puede reputarse, en cada caso, un daño y perjuicio inmaterial».