Language of document : ECLI:EU:C:2022:756

CONCLUSIONES DEL ABOGADO GENERAL

M. CAMPOS SÁNCHEZ-BORDONA

presentadas el 6 de octubre de 2022 (1)

Asunto C300/21

UI

contra

Österreichische Post AG

[Petición de decisión prejudicial planteada por el Oberster Gerichtshof (Tribunal Supremo de lo civil y penal, Austria)]

«Reenvío prejudicial — Protección de datos personales — Reglamento (UE) 2016/679 — Daño moral resultante de un tratamiento ilícito de datos — Requisitos del derecho a indemnización — Daños y perjuicios por encima de cierto umbral de gravedad»






1.        El Reglamento (UE) 2016/679 (2) confiere a toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción de sus preceptos el derecho a recibir del responsable o del encargado del tratamiento una indemnización.

2.        La posibilidad de reclamar ese derecho en vía jurisdiccional existía ya en la reglamentación precedente (artículo 23 de la Directiva 95/46/CE), (3)aunque fue poco ejercitada. (4) Salvo error por mi parte, el Tribunal de Justicia no llegó a interpretar específicamente aquel artículo.

3.        Bajo el imperio del RGPD las acciones de indemnización han ganado en relevancia. (5) Su incremento es perceptible en los tribunales de los Estados miembros y se refleja en los correlativos reenvíos prejudiciales. (6) En este, el Oberster Gerichtshof (Tribunal Supremo de lo civil y penal, Austria) insta al Tribunal de Justicia a perfilar algunos puntos comunes del régimen de responsabilidad civil que instaura el RGPD.

I.      Marco jurídico. RGPD

4.        Son relevantes para este litigio, en particular, los considerandos recogidos en el preámbulo del RGPD con los números 75, 85 y 146.

5.        En el artículo 6 («Licitud del tratamiento») se lee:

«1.      El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a)      el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

[…]».

6.        El artículo 79 («Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento»), apartado 1, establece:

«Sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77, todo interesado tendrá derecho a la tutela judicial efectiva cuando considere que sus derechos en virtud del presente Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales».

7.        El artículo 82 («Derecho a indemnización y responsabilidad»), apartado 1, indica:

«Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos».

II.    Hechos, litigio y preguntas prejudiciales

8.        Desde 2017, Österreichische Post AG, empresa editora de guías de direcciones, recogió información sobre las afinidades de la población austríaca en relación con partidos políticos. Con la ayuda de un algoritmo, definía las «direcciones de los grupos de destinatarios» en función de ciertas características sociodemográficas.

9.        UI es una persona física respecto a la que Österreichische Post realizó una extrapolación, mediante cálculo estadístico, para determinar su clasificación dentro de los posibles grupos destinatarios de publicidad electoral de varios partidos políticos. De esa extrapolación resultaba que UI presentaba una elevada afinidad con uno de ellos. Estos datos no se transfirieron a terceros.

10.      UI, que no había dado su consentimiento para el tratamiento de sus datos personales, se sintió contrariado por la conservación de los relativos a sus simpatías por partidos políticos, e indignado y ofendido por la afinidad que, en concreto, le había atribuido Österreichische Post.

11.      UI ha solicitado una indemnización de 1 000 euros por daños y perjuicios inmateriales (malestar interno). Alega que la afinidad política que se le asigna es un insulto y le avergüenza, además de ocasionar un daño a su buen nombre. La conducta de Österreichische Post, añade, le ha causado una gran contrariedad y una pérdida de confianza, así como un sentimiento de exposición pública.

12.      El tribunal de primera instancia desestimó la pretensión de indemnización de UI. (7)

13.      El tribunal de apelación confirmó la sentencia de primera instancia. Declaró que una indemnización por daños y perjuicios inmateriales no acompaña automáticamente a toda infracción del RGPD y que:

—      Siendo el derecho austriaco aplicable como complemento del RGPD, solo resultan indemnizables los daños que van más allá de la contrariedad o de los sentimientos («Gefühlsschaden») provocados por la vulneración de los derechos del demandante.

—      Ha de respetarse el principio, subyacente a la normativa austriaca, de que todos han de soportar el mero malestar y los meros sentimientos de desagrado, que carecen de consecuencias en términos de indemnización. Dicho de otro modo, el derecho a indemnización requiere una cierta relevancia de los daños y perjuicios alegados.

14.      La sentencia del tribunal de apelación ha sido recurrida ante el Oberster Gerichtshof (Tribunal Supremo de lo civil y penal, Austria), que eleva al Tribunal de Justicia estas preguntas prejudiciales:

«1)      ¿El reconocimiento del derecho a una indemnización por daños y perjuicios con arreglo al artículo 82 del RGPD […], además de una violación de las disposiciones del RGPD exige que el demandante haya sufrido daños y perjuicios, o la violación de las disposiciones del RGPD es suficiente por sí misma para el reconocimiento del derecho a una indemnización por daños y perjuicios?

2)      ¿Existen otros requisitos del derecho de la Unión para la cuantificación de la indemnización por daños y perjuicios, además de los principios de efectividad y equivalencia?

3)      ¿Es compatible con el derecho de la Unión la opinión de que un requisito para el reconocimiento de daños y perjuicios inmateriales es que exista una consecuencia o secuela de la vulneración de derechos que tenga al menos cierto peso y que vaya más allá de la contrariedad causada por la misma?»

III. Procedimiento

15.      La petición de decisión prejudicial fue registrada en el Tribunal de Justicia el 12 de mayo de 2021.

16.      Han presentado observaciones escritas UI, Österreichische Post, los Gobiernos austriaco, checo, irlandés y la Comisión Europea. No se ha considerado necesaria la celebración de una vista.

IV.    Análisis

A.      Preliminares

1.      Admisibilidad 

17.      UI sostiene que la primera pregunta prejudicial no es pertinente para el litigio, pues su demanda no se basó en la «simple» infracción de una norma del RGPD, sino en sus consecuencias o efectos.

18.      La objeción de inadmisibilidad ha de rechazarse. Aun de admitir que el tratamiento de datos vulneró el RGPD sin daño para UI, este podría tener derecho a indemnización a título del artículo 82 del RGPD, si, como pregunta el tribunal a quo, se confirmara que la mera infracción de una norma relativa al tratamiento genera tal derecho.

19.      Según UI, el Tribunal de Justicia también podría reputar inadmisible la segunda pregunta prejudicial, por ser muy abierta en cuanto a su contenido y excesivamente limitada en lo relativo a las exigencias del derecho de la Unión, sin mencionar ninguna en concreto.

20.      Tampoco esa objeción, aunque más fundada que la precedente, puede prosperar. Es legítimo que un órgano judicial quiera saber si, además de atenerse a los principios de equivalencia y de efectividad, ha de valorar otros requisitos impuestos por el derecho de la Unión para evaluar el daño.

2.      Delimitación del objeto de estas conclusiones

21.      El artículo 82 del RGPD consta de seis apartados. El tribunal de reenvío no se refiere a ninguno en particular, pero implícitamente apela al primero de ellos. Tampoco especifica la norma cuya infracción daría lugar a indemnización.

22.      Mis conclusiones partirán de estas premisas:

—      El tratamiento de los datos personales de UI se llevó a cabo sin recabar su consentimiento a los efectos del artículo 6, apartado 1, letra a), del RGPD.

—      El derecho a indemnización corresponde a toda persona que haya sufrido los daños. En este asunto, UI, en cuanto persona física identificada y afectada por el tratamiento, es «interesado». (8)

—      El RGPD contempla la indemnización de daños y perjuicios materiales e inmateriales. La reclamación de UI se limita a estos últimos y tiene un contenido pecuniario.

B.      Primera pregunta prejudicial

23.      Con su primera pregunta, el tribunal de reenvío desea saber, en síntesis, si la mera vulneración de los preceptos del RGPD da derecho a indemnización, háyase generado o no un daño.

24.      De las afirmaciones del órgano de reenvío y de las observaciones depositadas ante el Tribunal de Justicia puede deducirse que la pregunta admite también otra lectura, algo más compleja: se trataría de dilucidar si la violación de los preceptos del RGPD produce necesariamente un daño que genera el derecho a indemnización, sin que el demandado tenga la posibilidad de demostrar lo contrario.

25.      Hay una cierta diferencia (teórica) entre esos dos planteamientos: en el primero, el daño no es presupuesto de la indemnización; sí lo es, en cambio, en el segundo. En la práctica, la exigencia de que el demandante pruebe el daño desaparece en ambos casos; tampoco debe probar la relación de causalidad entre la infracción y ese daño. (9)

26.      En cualquier caso, avanzo que ninguna de las dos lecturas de la primera pregunta merece, en mi opinión, una respuesta afirmativa. Me referiré a ambas por separado.

1.      ¿Indemnización sin daño?

27.      Sostener que hay derecho a la indemnización, aunque de la infracción del RGPD no deriven para el interesado daños, plantea obvias dificultades, comenzando por la relativa a la literalidad del artículo 82, apartado 1, de aquel Reglamento.

28.      Con arreglo a ese precepto, la indemnización (10) se otorga precisamente porque ha habido un previo daño. Se requiere, pues, de modo inequívoco, que la persona física haya sufrido un daño o perjuicio como consecuencia de una infracción del RGPD.

29.      La interpretación que asocia, de modo automático, la noción de «infracción» a la de «compensación» sin que medie daño no casa, pues, con la redacción del artículo 82 del RGPD. Tampoco casa con el objetivo primario de la responsabilidad civil que instaura el RGPD, que es dar satisfacción al interesado, justamente a través de la indemnización «total y efectiva» del daño que haya experimentado. (11)

30.      Faltando el daño, la indemnización no realizaría ya una función resarcitoria de las consecuencias adversas que la infracción ha producido, sino otra de naturaleza diferente, más próxima a la sancionadora.

31.      Es cierto, empero, que el ordenamiento jurídico de un Estado miembro puede prever el pago de una indemnización a título punitivo. (12) Se entiende por tal la condena al pago de una cantidad sustancial, más allá del estricto resarcimiento del daño.

32.      Las indemnizaciones de carácter punitivo no prescinden, por lo general, de la previa existencia del daño. Tomando este como punto de partida, disocian, sin embargo, sus consecuencias patrimoniales del importe del resarcimiento ajustado a ese daño.

33.      No es inimaginable, con todo, que una indemnización de carácter punitivo haga abstracción del daño, o lo considere irrelevante para dar satisfacción a quien la ha demandado.

34.      La respuesta a la primera pregunta prejudicial me obliga a analizar el encaje de este género de indemnizaciones en el RGPD, tanto más cuanto que el auto de reenvío y las observaciones de las partes y de los intervinientes en el incidente prejudicial se han referido a ellas.

2.      ¿Indemnización de carácter punitivo?

a)      Interpretación literal

35.      A la función clásica de la responsabilidad civil se puede sumar otra de carácter «punitivo» o «ejemplar», en cuya virtud, como ya he descrito, el importe de la indemnización no equivalga al perjuicio sufrido, sino que incremente o, incluso, multiplique su cuantía.

36.      En principio, el derecho de la Unión no se opone a estas indemnizaciones, cuando se trate de la infracción de sus normas, si pueden concederse en acciones similares basadas en el derecho interno. (13)

37.      Las indemnizaciones de carácter punitivo tienen una finalidad disuasoria. Esta misma finalidad puede producirse cuando, ante la infracción de una directiva, los Estados miembros hayan de adoptar medidas dirigidas a surtir «un efecto disuasorio real». (14) Algunas directivas contemplan expresamente que las indemnizaciones, concebidas como sanciones, sean disuasorias. (15)

38.      En cambio, en otros textos el legislador declara que el objetivo de una directiva «no es instaurar una obligación de establecer indemnizaciones punitivas»; (16) o que los Estados miembros han de evitar este tipo de indemnizaciones en su transposición. (17) En el derecho de la Unión, la condena directa a los denominados «daños punitivos» es excepcional. (18)

39.      Pues bien, el RGPD no contiene ninguna referencia a la naturaleza sancionadora de la indemnización por daños materiales o inmateriales, o a que el cálculo de su importe refleje ese carácter, o a que aquella indemnización sea disuasoria (cualidad que sí atribuye, en cambio, a las sanciones penales y a las multas administrativas). (19) Desde el punto de vista literal, pues, no permite acoger indemnizaciones de carácter punitivo.

b)      Interpretación a la vista de los antecedentes del precepto

40.      El artículo 82, apartado 1, del RGPD tiene su precedente en el artículo 23, apartado 1, de la Directiva 95/46. Este último era parte de un sistema que confiaba su efectividad a la aplicación pública y privada, (20) pero en el que la compensación (privada) y la sanción (pública) no se confundían. (21) La vigilancia del cumplimiento de las normas correspondía, ante todo, a autoridades de control independientes. (22)

41.      El RGPD retoma ese modelo, pero refuerza los útiles para garantizar la eficacia de sus disposiciones, ahora más detalladas, y de las reacciones previstas, ahora más intensas, ante su infracción o amenaza de infracción:

—      Por un lado, aumenta las funciones de las autoridades de control, a las que compete, entre otras tareas, la de imponer las sanciones armonizadas previstas por el propio RGPD. (23) Subraya así el componente de aplicación pública de las normas.

—      Por otro lado, prevé que los particulares asuman la defensa de los derechos que el RGPD les confiere, (24) bien activando la actuación de las autoridades de control (artículo 77), bien acudiendo a la vía jurisdiccional (artículos 79 y 82). Además, el artículo 80 autoriza a determinadas entidades el ejercicio de acciones de representación, (25) lo que facilita la tutela de intereses generales al alcance de los particulares. (26)

42.      El desarrollo del régimen uniforme de responsabilidad civil por daños en el RGPD fue limitado.Aspectos que pudieron ser dudosos bajo la Directiva 95/46, como el relativo a la inclusión de los daños inmateriales entre los indemnizables, (27) quedaron pronto aclarados. La negociación se centró en otros aspectos de aquel régimen. (28)

43.      No he encontrado en los trabajos legislativos ninguna discusión sobre una eventual función punitiva de la responsabilidad civil contemplada en el RGPD. No es posible, pues, deducir que tenga cabida en su artículo 82, a falta de cualquier debate al respecto, tanto menos cuanto que sí lo hubo sobre su inclusión en otros textos del derecho de la Unión. (29)

44.      En estas condiciones, entiendo que la acción del artículo 82, apartado 1, del RGPD fue concebida y regulada al servicio de las funciones típicas de la responsabilidad civil: la de compensación de daños (para el perjudicado) y, secundariamente, la de prevención de futuros daños (para el infractor).

c)      Interpretación contextual

45.      Como he avanzado, el artículo 82 del RGPD forma parte de un sistema de garantías de la efectividad de las normas en el que la iniciativa privada complementa su aplicación pública. La indemnización a cargo de los responsables o los encargados del tratamiento de datos contribuye a esa efectividad.

46.      El deber de indemnizar opera (idealmente) como incentivo a actuar con más cuidado en el futuro, ateniéndose a las reglas y evitando nuevos daños. De este modo, al reclamar una indemnización para sí mismo, cada individuo contribuye a la eficacia general de las normas.

47.      En este marco, las funciones compensatoria y punitiva están separadas:

—      Sirven a la segunda las multas que pueden imponer las autoridades de control o los tribunales (artículo 83, apartados 1 y 9, del RGPD) y otras sanciones que los Estados adopten en aplicación del artículo 84 del RGPD. (30)

—      Sirven a la primera la reclamación del particular (artículo 77) y los procedimientos judiciales (artículo 79). Juzgar sobre el derecho a indemnización no corresponde, no obstante, a las autoridades de control.

48.      En la misma línea de separación de las funciones de compensación y sanción:

—      Al imponer una multa y fijar su cuantía, la autoridad deberá tener en cuenta los factores enumerados en el artículo 83 del RGPD, que no se prevén en el ámbito de la responsabilidad civil y que, en principio, no son trasladables al cálculo de la indemnización. (31)

—      Si el nivel de daños y perjuicios padecidos por los afectados es un factor de gradación de la multa, (32) el cálculo de su importe no tiene por qué tomar en cuenta la indemnización que hayan podido recibir. (33)

49.      Desde una perspectiva teórica, una interpretación que, en ausencia de cualquier daño, confíe a la responsabilidad civil la función punitiva crea el riesgo de convertir los mecanismos indemnizatorios en redundantes con los sancionadores.

50.      En la práctica, la facilidad para obtener una ganancia «punitiva» a título de indemnización podría inclinar a los interesados a preferir esta vía a la del artículo 77 del RGPD. De generalizarse, se privaría a las autoridades de control de un útil (la reclamación del interesado) para conocer y, por tanto, investigar y sancionar posibles infracciones del RGPD, en detrimento de los instrumentos más apropiados para la defensa del interés general.

d)      Interpretación teleológica

51.      Los objetivos del RGPD son esencialmente dos, que se enuncian ya desde su título: a) por un lado, «la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales»; b) por otro lado, que esa protección se articule de forma tal que «la libre circulación de estos datos» en la Unión no se prohíba ni se restrinja. (34)

52.      Estimo que, para conseguir esos objetivos, el RGPD no exige asociar la indemnización a la mera infracción de la norma que regule el tratamiento, dotando a la responsabilidad civil de funciones punitivas.

53.      En cuanto al primer objetivo, para su consecución no es necesario ampliar por vía interpretativa el ámbito de aplicación del artículo 82 del RGPD, dando cobertura a supuestos en los que ha habido infracción de una norma, pero no daño. En cambio, esta ampliación podría afectar negativamente al segundo.

54.      Ya he destacado que el RGPD prevé varios dispositivos de garantía del cumplimiento de sus normas, que coexisten y se complementan. Los Estados miembros no tienen que elegir (ni pueden, en realidad) entre los mecanismos del capítulo VIII para garantizar la protección de datos. Ante una infracción que no genere daño, al interesado se le brinda aún (como mínimo) el derecho a presentar una reclamación ante una autoridad de control, al amparo del artículo 77, apartado 1, del RGPD.

55.      Por lo demás, la perspectiva de obtener compensación al margen de cualquier daño estimularía, probablemente, los litigios en vía civil, con demandas quizá no siempre justificadas, (35) y, en esa medida, podría desincentivar la actividad de tratamiento de datos. (36)

3.      ¿Presunción de daño?

56.      En algunas de las observaciones de las partes del litigio se propugna una lectura de la primera pregunta prejudicial diferente a la que he examinado hasta ahora. Si entiendo bien su postura, (37) parecen defender que existe una presunción incontestable de daño, una vez producida la infracción de la norma.

57.      Esa infracción, añaden, conllevaría necesariamente la pérdida de control sobre los datos, lo que constituiría, per se, un daño indemnizable al amparo del artículo 82, apartado 1, del RGPD.

58.      En teoría, esa presunción no permite prescindir de la lesión, con lo que se respeta la estructura típica de la responsabilidad civil, así como la literalidad del precepto del RGPD. En la práctica, sin embargo, para demandante y demandado los efectos de admitirla serían similares a los que derivan de asociar la indemnización del artículo 82, apartado 1, del RGPD a la mera violación de la norma.

59.      De nuevo acudiré a los criterios hermenéuticos usuales para explicar por qué esta interpretación no me parece acertada.

a)      Interpretación literal

60.      Cuando el legislador ha considerado, en otros sectores del derecho de la Unión, que de la infracción de una norma deriva automáticamente el derecho a indemnización, no ha tenido reparos en establecerlo. (38) No sucede así en el RGPD, donde constan reglas relativas a la prueba, o con consecuencias directas sobre ella, (39) pero no aquella vinculación automática, sea directa o por la vía de la presunción irrefragable.

61.      Las referencias al control de los datos (o a la pérdida de ese control) que muestran los considerandos septuagésimo quinto (40) y octogésimo quinto (41) del RGPD no me parece que contrarresten esa ausencia. Más allá de que, en cuanto tales considerandos, carecen de valor normativo, ninguno de ambos sustenta que la infracción de una norma implique per se un daño indemnizable:

—      El considerando septuagésimo quinto alude a que se impida el control sobre los datos personales como uno de los riesgos posibles del tratamiento.

—      El considerando octogésimo quinto se refiere a la pérdida de control como una de las consecuencias que podrían producirse a raíz de una violación de la seguridad de los datos personales. (42)

62.      La pérdida de control de los datos no tiene por qué desencadenar, indefectiblemente, un daño. La expresión puede entenderse como una licencia del lenguaje para aludir a perjuicios subsecuentes a tal pérdida, si llegan a materializarse. (43)

b)      Interpretación a la luz de los antecedentes

63.      El análisis de los antecedentes tampoco apoya la existencia de esa presunción, que no constaba en la Directiva 95/46, (44) sin que los documentos que he examinado de la Comisión, del Parlamento Europeo o del Consejo previos a la aprobación del RGPD la contemplaran.

c)      Interpretación contextual

64.      El sistema del RGPD ofrece elementos para negar que acoja la presunción controvertida, tomando como referente el consentimiento del interesado. (45) En cuanto vehículo de su control sobre los datos, ese consentimiento legitima el tratamiento de estos al mismo nivel que otras bases jurídicas (artículo 6 del RGPD). (46)

65.      Un tratamiento lícito de datos personales es concebible al margen de la autorización del interesado y, por tanto, del control que representa otorgar o negar dicha autorización. Su peso dentro del sistema no es, en definitiva, absoluto.

66.      Además, el RGPD contempla otras posibilidades de ejercicio de ese control: entre ellas, el derecho de supresión que obliga al responsable del tratamiento a eliminar «sin dilación indebida» la información correspondiente. (47)

67.      Para la persona cuyos datos se procesan, este derecho opera como válvula de seguridad del régimen de protección: persiste (como regla de principio) cuando el responsable no obtuvo el consentimiento del interesado, así como cuando no existe ninguna otra base que legitime el tratamiento de datos; y no depende de que este ocasione algún daño. (48)

d)      Interpretación teleológica

1)      El control del interesado sobre sus datos, ¿objetivo del RGPD?

68.      La equivalencia automática entre un tratamiento de datos personales para el que no se ha obtenido el consentimiento del interesado y un perjuicio indemnizable presupone que aquel control, del que el consentimiento es vehículo, constituye un valor en sí mismo.

69.      Admito que, a simple vista, esta opinión no carece de apoyos. Que los ciudadanos posean control sobre sus datos consta en la propuesta de la Comisión como uno de los motivos principales de la reforma. (49) El considerando séptimo del RGPD declara que «las personas físicas deben tener el control de sus propios datos personales».

70.      Lo cierto es que se impone la cautela al interpretar este concepto, más allá de los debates doctrinales que ha suscitado. No hay en el RGPD (ni he encontrado en ningún otro lugar)una definición precisa de «control». (50) El término admite al menos dos acepciones, que no son mutuamente excluyentes: como «poder» o «dominio», y como «supervisión».

71.      La formulación del considerando séptimo del RGPD genera una cierta inseguridad, pues diverge según las versiones lingüísticas. (51) Atendiendo a su contenido, opino que el RGPD proporciona al interesado facultades de vigilancia e intervención en operaciones que otros llevan a cabo sobre los datos, como un instrumento (junto a otros) al servicio de la protección de esos datos.

72.      El interesado mismo contribuye y es responsable de la protección de la información representada en los datos, en la medida —nivel y modalidades— que el RGPD prevé. El perímetro de la acción individual es limitado: se contrae, en cuanto a los derechos que el RGPD enumera, a ejercerlos en condiciones concretas.

73.      El consentimiento del interesado, como máxima expresión de control, (52) es solo una de las bases jurídicas para un tratamiento lícito, pero no tiene la capacidad de convalidar la falta de cumplimiento del resto de las obligaciones y condiciones que pesan sobre el responsable y el encargado del tratamiento.

74.      No me parece sencillo deducir del RGPD que tenga por objetivo conferir al interesado el control sobre datos personales como un valor en sí mismo. Tampoco, que el interesado haya de tener el mayor control posible sobre esos datos.

75.      Esta constatación no sorprende. Por una parte, no es evidente que el control, en su acepción de dominio sobre los datos, forme parte del contenido esencial del derecho fundamental a la protección de datos personales. (53) Por otra parte, la comprensión de este derecho como derecho a la autodeterminación informativa dista de ser unánime: el artículo 8 de la Carta no emplea esos términos. (54)

76.      En la misma línea, tampoco se llevó al texto final del RGPD un considerando a tenor del que «el derecho a la protección de los datos de carácter personal se basa en el derecho del interesado a ejercer el control sobre los datos personales que se estén tratando». (55)

77.      Las reflexiones anteriores, quizá excesivamente abstractas, me inducen a afirmar que, cuando el interesado no consiente un tratamiento y este se lleva a cabo sin otra base jurídica legítima, no por eso ha de ser compensado económicamente en virtud de la pérdida del control sobre sus datos, como si esa pérdida implicase, de suyo, una lesión indemnizable. (56) Si, además, ha sufrido o no un daño, está por ver (y deberá ser probado). (57)

2)      El control del interesado dentro del contexto

78.      Me parece oportuno, en fin, recordar que la protección de los datos personales se enuncia como objetivo del RGPD junto al designio de propiciar la libre circulación de los datos. (58)

79.      El refuerzo del control del ciudadano sobre su información personal en el entorno digital es una de las finalidades reconocidas de la modernización del régimen de protección de los datos personales, pero no un objetivo independiente o aislado.

80.      La Comisión, en la Comunicación que acompañó a su propuesta de RGPD, asociaba un alto nivel de protección de datos a la confianza en los servicios en línea, que permite explotar el potencial de la economía digital y propiciar «el crecimiento económico y la competitividad de las industrias de la UE». Con la renovación (y armonización incrementada) de la normativa de la Unión se «potencia la dimensión de mercado único de la protección de datos». (59)

81.      Ante la evidencia del valor de los datos (personales y no personales) para el progreso económico y social en Europa, el RGPD no pretende magnificar el control del individuo sobre la información que le concierne, plegándose sin más a sus preferencias, sino reconciliar el derecho a la protección de los datos personales de cada uno con los intereses de terceros y de la sociedad. (60)

82.      El RGPD, insisto, no tiene como finalidad limitar por sistema el tratamiento de datos personales, sino legitimarlo bajo estrictas condiciones. A este propósito sirve, ante todo, el fomento de la confianza del interesado en que el tratamiento se hará en un contexto seguro, (61) al que él mismo contribuye. De este modo, se incentiva su disposición voluntaria a permitir el acceso y el uso de sus datos, entre otros ámbitos, en el de las transacciones comerciales en línea.

C.      Segunda pregunta prejudicial

83.      El tribunal de reenvío desea saber si hay «otros requisitos del derecho de la Unión para la cuantificación de la indemnización por daños y perjuicios, además de los principios de efectividad y equivalencia».

84.      En realidad, no parece que el principio de equivalencia juegue aquí un papel relevante: el régimen armonizado del RGPD se aplica directamente en esta materia y su artículo 82 rige para todos los daños inmateriales que se produzcan a consecuencia de una infracción, provengan de donde provengan.

85.      Para el principio de efectividad, vale la misma reflexión. Distinto es que la indemnización, al atenerse a lo que propugna el considerando centésimo cuadragésimo sexto del RGPD (los interesados deben recibir una indemnización total y efectiva por los daños y perjuicios sufridos), deba tener un contenido u otro.

86.      El artículo 82 del RGPD no impone otro requisito que la infracción de sus normas cuando tenga como consecuencia los daños y perjuicios, materiales o inmateriales, sufridos por cualquier persona. Sobre el cálculo, en concreto, del importe de la indemnización por esos daños y perjuicios, no marca pautas a los tribunales nacionales.

87.      Ateniéndose a los dos calificativos antes transcritos (total y efectiva), la indemnización dependerá, en primer lugar, de la pretensión que cada demandante formule.

88.      Si esa pretensión consistiese en la condena a una indemnización de carácter punitivo, (62) la respuesta a la primera pregunta prejudicial sería suficiente: ese género de indemnizaciones no aparece en el RGPD. Dentro de él, la responsabilidad civil realiza una función de compensación «privada», mientras que las multas y las sanciones penales tienen la función pública de disuadir y, en su caso, castigar.

89.      No es descartable que la reparación solicitada a título de daño inmaterial incorpore componentes distintos al meramente pecuniario, por ejemplo, el reconocimiento de que la infracción se produjo, con lo que se da una cierta satisfacción moral al demandante. La sentencia del Tribunal de Justicia de 15 de abril de 2021, (63) aunque recaída en un ámbito no coincidente con el de la protección de datos, permitiría, por analogía, atender a esa pretensión.

90.      En los ordenamientos que así lo establezcan, es posible que el régimen de responsabilidad civil prevea condenas a título de vindicación de un derecho (pago de una indemnización simbólica) o de neutralización de un beneficio indebido (entrega de la ganancia injustamente obtenida).

91.      Subyace a las primeras la idea de dar continuidad y realizar el derecho («Rechtsfortsetzungsfunktion») a través de una indemnización puramente simbólica, añadida a la declaración de que el demandado ha cometido un ilícito e infringido derechos del demandante. El artículo 82 del RGPD no la contempla ni hay atisbo de ella en los trabajos previos, lo que no debe extrañar porque no es común a los sistemas jurídicos de los Estados miembros, (64) ni está libre de controversia en los que existe. (65)

92.      El sistema del RGPD y sus objetivos no se oponen, sin embargo, a que los Estados miembros que conocen este remedio lo ofrezcan a los afectados por la violación de una norma, dentro de los recursos que contempla su artículo 79, para el caso de ausencia total de daño. Cuando, por el contrario, el demandante sostiene que ha experimentado un daño pecuniario, la situación la regula el artículo 82 del RGPD y la dificultad para probarlo no debe traducirse en una indemnización simbólica. (66)

93.      En cuanto a las condenas consistentes en la entrega de la cantidad que sigue a la infracción de un derecho, pueden tener por objeto privar a su autor del lucro obtenido. Fuera del ámbito de la propiedad intelectual, (67) esta finalidad no es común en el derecho de daños, que mira más bien a la pérdida del perjudicado y no a la ganancia del infractor. (68) El RGPD no la incorpora en su articulado.

94.      Aporto estas reflexiones para facilitar la labor del tribunal de reenvío, a la vista de la amplitud de su segunda pregunta prejudicial. No se me oculta, sin embargo, que su utilidad puede ser escasa para estimar o desestimar una demanda en la que el interesado pide una indemnización del daño inmaterial estrictamente pecuniaria.

D.      Tercera pregunta prejudicial

95.      El tribunal de reenvío quiere saber si, en el RGPD, el reconocimiento de los daños y perjuicios inmateriales se condiciona a una «vulneración de derechos que tenga al menos cierto peso y que vaya más allá de la contrariedad causada por la misma».

96.      Como criterio de lo que es indemnizable, la petición de decisión prejudicial atiende a la intensidad de la experiencia del afectado. No pregunta, en cambio (al menos, directamente), si determinada emoción o sensación de aquel son relevantes o irrelevantes a efectos del artículo 82, apartado 1, del RGPD por virtud de su contenido. (69)

97.      Se plantea, así, la duda de si los Estados miembros pueden supeditar la indemnización del daño inmaterial a la entidad de las consecuencias derivadas de la infracción de la norma, incluyendo solo las que superen cierto umbral de gravedad. La pregunta no versaría, pues, sobre los conceptos indemnizables (70) ni sobre el montante de la indemnización, sino sobre la existencia de un límite mínimo de la reacción del afectado, por debajo del que no sería compensado.

98.      El artículo 82 RGPD no ofrece una respuesta directa al interrogante. Tampoco lo hacen, a mi juicio, los considerandos septuagésimo quinto y octogésimo quinto. Uno y otro contienen una enumeración ejemplificativa de daños para culminar con una cláusula abierta que parece restringir los indemnizables a los «significativos».

99.      No creo, sin embargo, que esos considerandos sean útiles para solucionar la duda del tribunal de reenvío:

—      El primero atiende a la identificación y la evaluación de los riesgos del tratamiento de datos, y a la adopción de medidas para evitarlos o mitigarlos. Ilustra sobre las consecuencias indeseables de cualquier tratamiento y pone el acento, «en particular», en algunas, seguramente por su carácter más grave.

—      El segundo alude a las violaciones de seguridad de los datos, advirtiendo de que sus secuelas pueden llegar a ser importantes.

100. De la declaración que contiene el considerando centésimo cuadragésimo sexto del RGPD (los responsables deberán indemnizar «cualesquiera daños y perjuicios») (71) tampoco se infieren criterios que permitan responder a ese interrogante.

101. La traslación de ese considerando al texto del RGPD determinó que este último incluyera, explícitamente, los daños inmateriales, sustituyendo al silencio, sobre este extremo de la Directiva 95/46. (72) Pero no se abordó, en particular, la cuestión ahora suscitada ante el Tribunal de Justicia.

102. Ese mismo considerando centésimo cuadragésimo sexto del RGPD declara que «el concepto de daños y perjuicios debe interpretarse en sentido amplio a la luz de la jurisprudencia del Tribunal de Justicia, de tal modo que se respeten plenamente los objetivos del presente Reglamento».

103. No estoy seguro de que esa indicación tuviera demasiada utilidad en el contexto de la protección de datos, pues el Tribunal de Justicia no se había pronunciado aún sobre la materia cuando el RGPD se aprobó. (73) Si se quería aludir a sentencias sobre la responsabilidad civil regulada en otras directivas o reglamentos, una llamada a la analogía habría sido bienvenida.

104. En realidad, el Tribunal de Justicia no ha elaborado una definición general de «daños y perjuicios» aplicable indistintamente en cualquier ámbito. (74) Para lo que aquí importa (los daños inmateriales), de su jurisprudencia puede inferirse que:

—      Cuando el objetivo (o uno de los objetivos) de la disposición que se interpreta es la protección del individuo, o de cierta categoría de individuos, (75) la noción de daños y perjuicios debe ser amplia.

—      En coherencia con ese criterio, la indemnización se extiende a los daños inmateriales, aun cuando no se mencionen en la disposición interpretada. (76)

105. Si la jurisprudencia del Tribunal de Justicia autoriza a defender que, en los términos expuestos, existe en el derecho de la Unión un principio de indemnización de los daños inmateriales, no creo que de ella pueda inferirse, en cambio, una regla en cuya virtud todo daño inmaterial, sea cual sea su seriedad, es compensable.

106. El Tribunal de Justicia ha admitido la compatibilidad con las normas europeas de la nacional que, para calcular la compensación, distingue entre daños inmateriales ligados a lesiones corporales por accidente según el origen de este. (77)

107. También ha valorado qué circunstancias son aptas para provocar daños inmateriales, conforme a la disposición aplicable en cada asunto, (78) pero no se ha pronunciado explícitamente (si no me equivoco) acerca del requisito de seriedad de aquellos daños. (79)

108. Llegados a este punto, creo que a la tercera pregunta prejudicial se debe responder en sentido afirmativo.

109. Para apoyar mi postura, recuerdo que el RGPD no tiene como único objetivo la salvaguarda del derecho fundamental a la protección de datos personales (80) y que su sistema de garantías incorpora mecanismos de tipología diversa. (81)

110. En este contexto, es pertinente la distinción, sugerida al Tribunal de Justicia, entre daños inmateriales indemnizables y otros inconvenientes derivados de la falta de respeto a la legalidad que, por su escasa entidad, no necesariamente darían derecho a compensación.

111. Tal disociación se percibe en ordenamientos jurídicos nacionales, como corolario inevitable de la vida en sociedad. (82) El Tribunal de Justicia no es ajeno a esta diferencia, que admite cuando alude a los trastornos y molestias como categoría autónoma respecto a la de daños, en ámbitos en los que estima que deben ser compensados. (83) Nada impide trasladarla al RGPD.

112. Por lo demás, el derecho a indemnización del artículo 82, apartado 1, del RGPD no me parece el instrumento idóneo para contrarrestar infracciones en el tratamiento de datos personales, si todo lo que provocan en el interesado es enojo o contrariedad.

113. Como regla, cualquier violación de una norma sobre protección de datos personales generará alguna reacción negativa del interesado. Una indemnización derivada del mero sentimiento de desagrado ante la falta de respeto ajeno por la ley se confunde fácilmente con una compensación sin daño, que ya he rechazado antes.

114. Desde un punto de vista práctico, incluir entre los daños inmateriales indemnizables las simples contrariedades no es eficiente, teniendo en cuenta los inconvenientes y dificultades característicos de una reclamación judicial para el demandante, (84) y de la defensa para el demandado. (85)

115. Negar derecho a indemnización por los sentimientos o emociones débiles y pasajeros (86) ligados a la infracción de reglas sobre el tratamiento no deja al interesado en completo desamparo. Como he indicado al hilo de la primera cuestión, el sistema del RGPD le ofrece otros recursos.

116. No dudo de que la frontera entre las meras contrariedades (no indemnizables) y los verdaderos daños inmateriales (sí indemnizables) es tenue, ni ignoro lo complicado de delimitar, en abstracto, las dos categorías y aplicarlas, en concreto, a un litigio. Esa difícil tarea corresponde a los jueces de los Estados miembros quienes, probablemente, no podrán sustraerse en sus pronunciamientos a la percepción que, en cada momento, tenga la sociedad sobre la tolerancia admisible cuando las consecuencias subjetivas de la infracción de una norma en esta materia no superen un nivel de minimis. (87)

V.      Conclusión

117. A tenor de lo expuesto, propongo responder al Oberster Gerichtshof (Tribunal Supremo de lo civil y penal, Austria) en estos términos:

«El artículo 82 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), ha de interpretarse en el sentido de que:

Para el reconocimiento del derecho a una indemnización por daños y perjuicios sufridos por una persona como consecuencia de una vulneración del mencionado Reglamento no es suficiente la mera infracción de la norma, por sí misma, si no va acompañada de los correspondientes daños y perjuicios, materiales o inmateriales.

La indemnización de los daños y perjuicios inmateriales que regula no se extiende a la mera contrariedad que la persona afectada pueda sentir a causa de la infracción de los preceptos del Reglamento 2016/679. Compete a los órganos jurisdiccionales nacionales discernir cuándo, por sus características, la sensación subjetiva de desagrado puede reputarse, en cada caso, un daño y perjuicio inmaterial».

1      Lengua original: español.

2      Reglamento del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1). En lo sucesivo, «RGPD».

3      Directiva del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31).

4      A tenor del Informe de la Agencia de la Unión Europea para los Derechos Fundamentales (FRA), Access to data protection remedies in the EU Member States, Oficina de Publicaciones de la Unión Europea, 2013, puntos 3 y 4.

5      El reconocimiento legislativo de este derecho es, en gran medida, una particularidad del sistema de protección de la Unión. El análisis de la validez de instrumentos legales sobre la transmisión de datos personales a terceros países tiene específicamente en cuenta si existe o no una previsión con la misma finalidad. Véanse los apartados 226 y 227 del dictamen 1/15 [Acuerdo PNR UE - Canadá, de 26 de julio de 2017 (EU:C:2017:592)]; y las sentencias de 16 de julio de 2020, Facebook Ireland y Schrems (C‑311/18, EU:C:2020:559) y de 21 de junio de 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491).

6      En el momento de redactar estas conclusiones hay otras siete peticiones de decisión prejudicial sobre esta materia (asuntos C‑340/21; C‑667/21; C‑687/21; C‑741/21; C‑182/22; C‑189/22 y C-456/22). Paralelamente, se ha solicitado a la Comisión de Peticiones del Parlamento Europeo que «aclare los considerandos del RGPD, en particular en lo que respecta a los daños no materiales, a fin de evitar más sentencias injustas por parte de los tribunales alemanes» (petición n.º 0386/2021).

7      Estimó, en cambio, una petición de cese de la conducta, que fue confirmada en apelación. El recurso de Revision (casación) de Österreichische Post contra la orden de cese se ha desestimado.

8      Utilizo este término en el sentido del artículo 4, apartado 1 del RGPD.

9      En ocasiones, el interesado ni siquiera tendrá que demostrar que no consintió, pues, a tenor del artículo 7, apartado 1, del RGPD, «cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales». Sí cabe requerir del demandante la aportación de elementos que posibiliten cuantificar el daño.

10      El término «indemnización» se emplea en las versiones española y portuguesa («indemnização»). Muy expresivo es también «Schadenersatz», en la versión alemana. En la francesa, no se utiliza «indemnisation», sino «réparation»; en la inglesa, «compensation». Creo que, en cualquiera de esas versiones y otras análogas, el resultado es idéntico: el daño sigue siendo un elemento imprescindible de la responsabilidad civil.

11      Considerando centésimo cuadragésimo sexto del RGPD. La indemnización tiende a restablecer el equilibrio de la situación jurídica alterada negativamente (dañada) por la infracción del derecho.

12      Las indemnizaciones de carácter punitivo (punitive damages) son características del derecho anglosajón. Otros ordenamientos las emplean como reacción frente a comportamientos especialmente dolosos o gravemente negligentes. En ocasiones se asocian a la evaluación del daño moral consecutivo a la lesión a la integridad física o a la esfera de intimidad individual.

13      Sentencia de 13 de julio de 2006, Manfredi y otros (C‑295/04 a C‑298/04, EU:C:2006:461), apartado 92: «En lo que atañe a la concesión de indemnizaciones de daños y perjuicios y a la posibilidad de otorgar indemnizaciones de carácter punitivo, ante la inexistencia de disposiciones comunitarias en este ámbito, corresponde al ordenamiento jurídico interno de cada Estado miembro fijar los criterios que permitan determinar la cuantía de la reparación, siempre que se respeten los principios de equivalencia y de efectividad». Sin cursiva en el original.

14      Sentencia de 11 de octubre de 2007, Paquay (C‑460/06, EU:C:2007:601), apartados 44 y ss., en relación con el artículo 6 de la Directiva 76/207/CEE del Consejo, de 9 de febrero de 1976, relativa a la aplicación del principio de igualdad de trato entre hombres y mujeres en lo que se refiere al acceso al empleo, a la formación y a la promoción profesionales, y a las condiciones de trabajo (DO 1976, L 39, p. 40; EE 05/02, p. 70).

15      Artículo 28 de la Directiva 2004/109/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 2004, sobre la armonización de los requisitos de transparencia relativos a la información sobre los emisores cuyos valores se admiten a negociación en un mercado regulado y por la que se modifica la Directiva 2001/34/CE (DO 2004, L 390, p. 38); o artículo 25 de la Directiva 2006/54/CE del Parlamento Europeo y del Consejo, de 5 de julio de 2006, relativa a la aplicación del principio de igualdad de oportunidades e igualdad de trato entre hombres y mujeres en asuntos de empleo y ocupación (DO 2006, L 204, p. 23).

16      Así, el considerando vigésimo sexto de la Directiva 2004/48/CE del Parlamento Europeo y del Consejo, de 29 de abril de 2004, relativa al respeto de los derechos de propiedad intelectual (DO 2004, L 157, p. 45). En ese caso, la adopción de la medida punitiva no está prohibida, pero no es obligatoria: sentencia de 25 de enero de 2017, Stowarzyszenie Oławska Telewizja Kablowa (C‑367/15, EU:C:2017:36), apartado 28.

17      Artículo 3, apartado 3, de la Directiva 2014/104/UE del Parlamento Europeo y del Consejo, de 26 de noviembre de 2014, relativa a determinadas normas por las que se rigen las acciones por daños en virtud del derecho nacional, por infracciones del derecho de la competencia de los Estados miembros y de la Unión Europea (DO 2014, L 349, p. 1); o considerandos décimo y cuadragésimo segundo de la Directiva (UE) 2020/1828 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2020, relativa a las acciones de representación para la protección de los intereses colectivos de los consumidores, y por la que se deroga la Directiva 2009/22/CE (DO 2020, L 409, p. 1), que cubre el ámbito de la protección de datos.

18      Suele citarse como ejemplo el artículo 18, apartado 2, del Reglamento (CE) n.º 1768/95 de la Comisión, de 24 de julio de 1995, por el que se adoptan normas de desarrollo de la exención agrícola contemplada en el apartado 3 del artículo 14 del Reglamento (CE) n.º 2100/94 (DO 1995, L 173, p. 14): «la responsabilidad de indemnizar al titular por cualquier perjuicio […] cubrirá, como mínimo, una cantidad a tanto alzado calculada tomando como base el cuádruple del importe cobrado […]».

19      Infra, punto 47.

20      Uso aquí los términos «aplicación pública» y «aplicación privada» en el mismo sentido que la Directiva 2014/104.

21      El considerando quincuagésimo quinto anunciaba el contenido del capítulo III («Recursos judiciales, responsabilidad y sanciones») de la Directiva 95/46. Sus artículos 22, 23 y 24 correspondían respectivamente a cada término. El capítulo VI se dedicaba a las autoridades de control.

22      El Tribunal de Justicia ha confirmado el papel central de estas autoridades en el sistema: por ejemplo, en su sentencia de 9 de marzo de 2010, Comisión/Alemania (C‑518/07, EU:C:2010:125), apartado 23. A ellas aluden el artículo 8, apartado 3, de la Carta de Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta») y el artículo 16 TFUE, apartado 2 in fine.

23      Estonia y Dinamarca tienen un régimen especial, al que alude el considerando centésimo quincuagésimo primero del RGPD.

24      Pese a que falta en el RGPD una mención directa a la relevancia de la aplicación privada de las normas, similar a la del considerando tercero de la Directiva 2014/104.

25      La posibilidad de acciones colectivas ya estaba admitida antes del RGPD: sentencia de 29 de julio de 2019, Fashion ID (C‑40/17, EU:C:2019:629). A tenor del artículo 80, apartado 1, del RGPD, la actuación de las entidades de defensa de los interesados no está disponible, en materia indemnizatoria, a menos que los Estados miembros así lo establezcan y el interesado otorgue el mandato requerido. La situación puede cambiar a raíz de la Directiva 2020/1828.

26      Como indica el abogado general Richard de la Tour en sus conclusiones del asunto Meta Platforms Ireland (C‑319/20, EU:C:2021:979), la acción del artículo 80 del RGPD es apta para servir a la protección de intereses particulares y generales. En aquel asunto estaba en juego la acción de cesación.

27      Especialmente en Estados miembros reticentes a admitir condenas a daños inmateriales sin una previsión legal al respecto.

28      Como la legimitación pasiva, las causas de exoneración y el régimen de responsabilidad de corresponsables y coencargados del tratamiento. En un documento del Consejo se refleja la siguiente pregunta de la delegación belga: «whether a violation of the principles of the Regulation was enough to constitute a damage or whether the data subject had to prove a specific damage». La respuesta de la Comisión fue que la prueba del daño era necesaria: véase por primera vez en Nota de la Presidencia n.º 17831/13, de 16 de diciembre de 2013, nota 541. No consta que esta cuestión fuera objeto de mayor debate.

29      Me remito a los trabajos previos a la adopción de las Directivas 2004/48 y 2014/104. Una interpretación que extendiera el artículo 82 del RGPD a indemnizaciones de carácter punitivo tendría consecuencias relevantes para los Estados miembros: deberían afrontar, por ejemplo, quién ha de ser el receptor de la compensación que hace las veces de sanción, cómo calcularla para que satisfaga el objetivo o cómo articularla con las multas administrativas y las sanciones penales, a fin de evitar el exceso en la punición.

30      Esas «otras sanciones», de naturaleza penal o administrativa, no están armonizadas. Como las multas, han de ser «efectivas, proporcionadas y disuasorias» (artículo 84, apartado 1, in fine).

31      No excluyo que, en abstracto, algunos pudieran serlo también en el marco de la responsabilidad civil [pienso, por ejemplo, en la «intencionalidad o negligencia» del infractor, según el artículo 83, apartado 2, letra b), del RGPD] o reflejarse en la indemnización [así, la «categoría de datos personales afectados por la infracción», según la letra g) del mismo precepto]. Ahora bien, aun en estos casos, la traslación de cada factor de un ámbito a otro no operaría automáticamente.

32      Artículo 83, apartado 2, letra a), del RGPD.

33      Ni como parámetro de cálculo, ni para detraerlo del importe.

34      Artículo 1 del RGPD y considerandos sexto, noveno y centésimo septuagésimo. Recuerda el considerando noveno que estos eran los objetivos de la Directiva 95/46 e insiste en que siguen siendo válidos. Suele subrayarse que en la Directiva 95/46 primaba el objetivo de la libre circulación de datos personales sobre el de la protección, mientras que en el RGPD ocurre lo contrario, lo que se explicaría por el reconocimiento formal del derecho en el artículo 8 de la Carta, que debía trascender a la nueva reglamentación. Sin embargo, el artículo 1 del RGPD es claro en cuanto a la voluntad de conciliar la protección de datos personales y su libre circulación. Eso significa, desde luego, procurar que el nivel de protección sea equivalente en todos los Estados miembros, evitando los obstáculos derivados de la fragmentación normativa, pero también desactivar las reticencias de los particulares a compartir o a facilitar datos personales, a efectos de su tratamiento, por la vía de generar confianza en que están protegidos.

35      En sus observaciones, apartado 53, el Gobierno irlandés afirma: «(…) very many claims for compensation under Article 82 GDPR arise in the context of very minor, marginal or speculative non-material damage» (cursiva añadida). En Alemania, alguna doctrina advierte del riesgo de abuso de las demandas y de la necesidad de evitar el surgimiento de una «datenschutzrechtliche Klageindustrie»: Wybitul, T., Neu, L., Strauch, M., «Schadensersatzrisiken für Unternehmen bei Datenschutzverstößen», Zeitschrift für Datenschutz, 2018, pp. 202 y ss., especialmente p. 206; Paal, B.P., Kritzer, I., „Geltendmachung von DS-GVO-Ansprüchen als Geschäftsmodell“, Neue Juristische Wochenschrift, 2022, pp. 2433 y ss.

36      Un efecto «llamada» o multiplicador, derivado del éxito de la acción de responsabilidad civil sin daño, no es descartable. Con él, aumentarían las probabilidades de que los operadores económicos afronten demandas colectivas, o una pluralidad de demandas individuales (en su caso, más o menos abusivas), además de la posible sanción administrativa o penal.

37      Las observaciones de las partes se limitan a sugerirla, pero no a desarrollarla. No se detalla, por ejemplo, si sería una presunción de carácter absoluto o refutable. La primera posibilidad es la más coherente con la pregunta del tribunal de reenvío, por lo que me limitaré a ella.

38      Véase el artículo 7 del Reglamento (CE) n.º 261/2004 del Parlamento Europeo y del Consejo, de 11 de febrero de 2004, por el que se establecen normas comunes sobre compensación y asistencia a los pasajeros aéreos en caso de denegación de embarque y de cancelación o gran retraso de los vuelos, y se deroga el Reglamento (CEE) n.º 295/91 (DO 2004, L 46, p. 1); o el artículo 19 del Reglamento (UE) n.º 1177/2010 del Parlamento Europeo y del Consejo, de 24 de noviembre de 2010, sobre los derechos de los pasajeros que viajan por mar y por vías navegables y por el que se modifica el Reglamento (CE) n.º 2006/2004 (DO 2010, L 334, p. 1).

39      Sin ir más lejos, en los apartados 3 y 4 del propio artículo 82 del RGPD.

40      «En los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales».

41      «[L]as violaciones de la seguridad […] pueden entrañar […] pérdida de control [de las personas físicas] sobre sus datos […]».

42      Las consecuencias que ese considerando enumera no son automáticas. Conforme al artículo 34 del RGPD, el responsable del tratamiento debe valorar en cada caso si es necesario notificar la violación al interesado.

43      Las consecuencias emocionales ligadas a la pérdida de control sobre los datos, como el miedo o la ansiedad por lo que pueda ocurrir con ellos, son derivados de la pérdida, pero no idénticos a ella.

44      Algunos Estados miembros habían instaurado una presunción de daños en sectores próximos al de la protección de datos. Así, en España, el artículo 9, apartado 3, de la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen (BOE n.º 115, de 14 de mayo de 1982, pp. 12546 a 12548), disponía que «la existencia de perjuicio se presumirá siempre que se acredite la intromisión ilegítima [en los derechos garantizados por esa Ley]».

45      Recuerdo que, en este litigio, la ilicitud de la conducta se vincula, precisamente, a la falta de consentimiento del interesado. Los argumentos sobre el lugar del derecho a indemnización entre las garantías de respeto de las normas del RGPD valen igualmente aquí.

46      Solo se trata, no obstante, de una base para un tratamiento lícito; y todas las que el RGPD enumera valen lo mismo. Véase el Dictamen 06/2014 del Grupo de trabajo sobre protección de datos del artículo 29, sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE, adoptado el 9 de abril de 2014, p. 10. Ahora bien, el responsable no puede cambiar la base del tratamiento, una vez que lo ha comenzado: Comité Europeo de Protección de Datos, Directrices 5/2020 sobre el consentimiento en el sentido del Reglamento (UE) 2016/679, apartados 121 a 123.

47      Artículo 17, apartado 1, del RGPD. Lo que no significa que no exista derecho a indemnización por los daños que haya podido ocasionar el tratamiento realizado hasta su supresión.

48      Sentencia de 13 de mayo de 2014, Google Spain y Google (C‑131/12, EU:C:2014:317), punto 4 del dispositivo.

49      Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) [COM(2012) 011 final], p. 2, y considerando sexto del texto propuesto. Véase también el punto 2 de la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones «La protección de la privacidad en un mundo interconectado. Un marco europeo de protección de datos para el siglo XXI» [COM(2012) 9 final].

50      Me parece que ese silencio no es casual. Más allá de las disquisiciones conceptuales sobre la titularidad de los datos personales, la cuestión es si admitir que el control de sus datos equivale a que las personas físicas ostenten facultades dominicales sobre la información que les concierne (lo que, probablemente, no sería compatible con los intereses de terceros y de la sociedad en su conjunto). La recomendación de reconocer derechos de propiedad sobre los datos personales figura en el Dictamen del Comité Económico y Social Europeo sobre la Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la gobernanza europea de datos (Ley de Gobernanza de Datos), COM(2020) 767 final, (DO 2021, C 286, p. 38), en el punto 4.18: «[…] el CESE recomienda que se reconozcan los derechos de propiedad europeos sobre los datos personales y digitales para que los ciudadanos (trabajadores, consumidores, empresarios) puedan controlar, gestionar o impedir el uso de sus datos» (cursiva añadida). En cambio, negando que los datos sean una mercancía, véase la nota 53 in fine.

51      La española señala que «las personas físicas deben tener el control de sus propios datos personales» (cursiva añadida); la inglesa indica que «natural persons should have control of their own personal data» (y no the control). En otras, como la portuguesa se lee que «as pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais». Con arreglo al artículo 4 del RGPD, el control sobre los datos personales recae sobre la información que representan. El control sobre la utilización de los datos recaería, más bien, sobre su tratamiento

52      En la práctica, el consentimiento está restringido a la aceptación o el rechazo de la propuesta de quien pretende tratar los datos.

53      No descarto que la evolución del régimen jurídico vaya en el sentido de reconocer derechos de propiedad al interesado. Ahora bien, dudo de que eso conllevara la maximización del control individual: una posición de poder dominical del interesado sobre los datos personales podría no cuadrar bien con el desarrollo de la economía y la innovación; su compatibilidad con la dimensión de derecho fundamental sería discutible. Véase el considerando vigésimo cuarto de la Directiva (UE) 2019/770 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativa a determinados aspectos de los contratos de suministro de contenidos y servicios digitales (DO 2019, L 136, p. 1): «Al tiempo que reconoce plenamente que la protección de datos personales es un derecho fundamental, por lo que los datos personales no pueden considerarse una mercancía […]». Cursiva añadida.

54      No prosperaron formulaciones como la propuesta para el artículo 19 en la Nota del Presidium – Projet de Charte des Droits Fondamentaux de l’Union Européenne, Charte 4284/1/00 REV 1, de 11 de mayo de 2000: «Toute personne a le droit de décider elle-même de la divulgation et de l'utilisation de ses données personnelles». Tampoco, la que figura para el mismo precepto en la Nota del Presidium – Projet de Charte des Droits Fondamentaux de l’Union Européenne, Charte 4333/00, de 4 de junio de 2000: «Toute personne a le droit de décider elle-même de la collecte, de l’utilisation et de la divulgation des données à caractère personnel la concernant». A nivel nacional, la idea de autodeterminación informativa ha calado en algunos Estados miembros, como en Alemania, tras la decisión del Bundesverfassungsgericht (Tribunal Constitucional) de 15 de diciembre de 1983, 1 BvR 209/83. En España véase, por ejemplo, la sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre de 2000 (BOE de 4 de enero de 2001). No estoy seguro de que así sea en el caso de la Unión, aunque en ese sentido apuntan las conclusiones del abogado general Szpunar en el asunto Orange Romania (C‑61/19, EU:C:2020:158), punto 37: «El principio rector sobre el que se asienta la legislación de la Unión sobre protección de datos es el de la decisión autónoma de un particular con capacidad para elegir sobre la utilización y el tratamiento de sus datos», con referencia a doctrina, justamente, alemana.

55      Proyecto de Informe sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) (COM(2012) 0011 — C7-0025/2012 — 2012/0011(COD)), PE501.927v04-00, de 16 de enero de 2013, enmienda 29.

56      No estoy sugiriendo que la infracción de la norma deba quedar impune: lo que digo es que una indemnización no es el útil idóneo, si no hubo daño.

57      Excluido que conferir al individuo el control sobre sus datos sea, por sí mismo, una finalidad del RGPD, no descarto atender a la pérdida de control como guía para reconocer los daños inmateriales, en el sentido de tomar en cuenta las reacciones que siguen a dicha pérdida.

58      Véase el punto 51 de estas conclusiones. La libre circulación de datos es objetivo único en relación con los datos no personales: artículo 1 del Reglamento (UE) 2018/1807 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018, relativo a un marco para la libre circulación de datos no personales en la Unión Europea (DO 2018, L 303, p. 59).

59      Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones «La protección de la privacidad en un mundo interconectado. Un marco europeo de protección de datos para el siglo XXI» [COM(2012) 9 final], punto 1. Más adelante, en la p. 5: «las preocupaciones acerca de la falta de privacidad se encuentran entre las razones más frecuentes por las que los ciudadanos no compran bienes ni contratan servicios en línea».

60      Considerando segundo del RGPD: «[…] contribuir a la plena realización de un espacio de libertad, seguridad y justicia y de una unión económica, al progreso económico y social, al refuerzo y la convergencia de las economías dentro del mercado interior, así como al bienestar de las personas físicas». En el considerando cuarto: «[…] El derecho a la protección de los datos personales no es un derecho absoluto, sino que debe considerarse en relación con su función en la sociedad […]». En la misma línea, la sentencia de 24 de septiembre de 2019, Google (Alcance territorial del derecho a la retirada de enlaces) (C‑507/17, EU:C:2019:772), apartado 60, con otras referencias.

61      Esta finalidad es común al marco regulatorio tendente a reforzar el mercado único de datos. En este sentido, la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones «Una Estrategia Europea de Datos», COM(2020) 66 final, apartado 1, explica: «En una sociedad en la que las personas generarán cantidades cada vez mayores de datos, la manera en que se recogen y utilicen los datos debe situar los intereses de la persona en primer lugar, de conformidad con los valores, los derechos fundamentales y las normas europeos. Los ciudadanos solo confiarán y harán suyas las innovaciones basadas en los datos si confían en que todo intercambio de datos personales en la UE estará sujeto al pleno respeto de sus estrictas normas en materia de protección de datos».

62      Parece preocupar al tribunal a quo (auto de reenvío, apartado 5 de la motivación de las preguntas) que la indemnización llegue a tener carácter punitivo, una vez que el RGPD ya prevé elevadas multas, por lo que su eficacia no exigiría también elevadas indemnizaciones por daños morales.

63      Asunto C‑30/19, Braathens Regional Aviation (EU:C:2021:269), apartado 49: «el pago de un importe pecuniario no basta para satisfacer las pretensiones de una persona que quiere primordialmente que se reconozca, como reparación del perjuicio moral sufrido, que ha sido víctima de discriminación, de modo que no puede considerarse, a tal efecto, que ese pago tenga una función reparadora satisfactoria». Aquel asunto versaba sobre la Directiva 2000/43/CE del Consejo, de 29 de junio de 2000, relativa a la aplicación del principio de igualdad de trato de las personas independientemente de su origen racial o étnico (DO 2000, L 180, p. 22).

64      Véase Magnus, U., «Comparative Report on the Law of Damages», en Unification of Tort Law: Damages, Kluwer Law International, 2001, p. 187, párrafos 14 y 15.

65      Típicamente, en sistemas de common law, en particular en los Estados Unidos, donde la reclamación de una compensación simbólica aparece como último recurso para la defensa de derechos constitucionales. Para un resumen de los debates sobre su utilidad en aquel país, véase Grealish, M‑B., «A Dollar for Your Thoughts: Determining Whether Nominal Damages Prevent an Otherwise Moot Case from Being an Advisory Opinion», en Fordham L. Rev., vol. 87, p. 733; y, recientemente, la decisión del Tribunal Supremo de EEUU, de 8 de marzo de 2021, en Uzuegbunam v Preczewski. Tampoco los nominal damages se aceptan pacíficamente en el Reino Unido: se asume que, en la práctica, el interés de una condena a daños nominales depende de que el beneficiario sea tenido por vencedor a efectos de la imputación de las costas judiciales, algo que no es automático después de la decisión Anglo-Cyprian Trade Agencies Ltd v Paphos Wine Industries Ltd [1951] 1 All ER 873.

66      El Tribunal de Justicia, en el marco del (entonces) artículo 215 del Tratado CEE, exigió la prueba del daño incluso cuando, ante la dificultad para demostrarlo, el demandante solicitaba una indemnización simbólica: sentencia de 21 de mayo de 1976, Roquette Frères/Comisión (26/74, EU:C:1976:69), apartados 23 y 24.

67      En el contexto de la propiedad intelectual, la indemnización, en cuanto reacción frente a la infracción de la norma, sirve para lograr el objetivo propio, esencial en la materia, de proteger la integridad económica del derecho. El artículo 13, apartado 1, letra a), de la Directiva 2004/48 alude a los «beneficios ilegítimos obtenidos por el infractor» como uno de los factores que las autoridades judiciales han de ponderar para fijar los daños y perjuicios.

68      Una previsión análoga se halla en el artículo 94, apartado 2, del Reglamento (CE) n.º 2100/94 del Consejo, de 27 de julio de 1994, relativo a la protección comunitaria de las obtenciones vegetales (DO 1994, L 227, p. 1): «En caso de negligencia leve, el derecho de reparación podrá reducirse en consecuencia, sin que pueda no obstante ser inferior a la ventaja obtenida por la persona que cometió la infracción».

69      Lo inefable de las emociones o sensaciones, especialmente si se relacionan con riesgos sobre qué pueda pasar con los datos en el futuro, ha llevado a que no se consideren daños, por falta de concreción suficiente o por su naturaleza hipotética.

70      Es decir, sobre los chefs de préjudice o heads of damage.

71      A tenor de ese considerando, los interesados deben recibir una indemnización «total y efectiva». No creo que esta afirmación sea relevante para la tercera pregunta prejudicial, pues no alude a las categorías de daños compensables, sino al cálculo de la reparación (un paso lógicamente posterior, y no confundible con él, al de la identificación de lo que es compensable). Teniendo en cuenta los trabajos preparatorios del RGPD, la insistencia en la indemnización «total y efectiva» garantiza que la participación de varios responsables o encargados del tratamiento no resulte en una compensación solo parcial del interesado. Por eso, el artículo 82, apartado 4, del RGPD indica que «[…] cada responsable o encargado será considerado responsable de todos los daños y perjuicios, a fin de garantizar la indemnización efectiva del interesado».

72      El artículo 23 de la Directiva 95/46 no explicitaba los daños indemnizables, lo que dio pie a debatir cuáles recibían cobertura. La negociación previa al RGPD se centró en disipar las dudas acerca de la inclusión de los perjuicios inmateriales. En el considerando centésimo décimo octavo de la propuesta de la Comisión citada en la nota 49, se aludía a la indemnización de cualquier perjuicio. En las etapas ulteriores del procedimiento co-legislativo se mencionó «cualquier perjuicio, económico o de otra índole», que daría paso a la fórmula «daños no pecuniarios» y abocaría, finalmente, a la actual de «daños inmateriales».

73      No lo había hecho a propósito del artículo 23 de la Directiva 95/46, ni lo ha hecho, hasta ahora, sobre el artículo 82 del RGPD. Tampoco, salvo error por mi parte, en relación con el artículo 56 de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión marco 2008/977/JAI del Consejo (DO 2016, L 119, p. 89), o el artículo 19 de la Decisión marco derogada.

74      No ha señalado tampoco un método de interpretación —autónoma o por remisión a los ordenamientos nacionales— como preferente: depende de la materia objeto de examen. Compárense las sentencias de 10 de mayo de 2001, Veedfald (C‑203/99, EU:C:2001:258), apartado 27, en materia de productos defectuosos; de 6 de mayo de 2010, Walz (C‑63/09, EU:C:2010:251), apartado 21, sobre responsabilidad de los transportistas aéreos; o de 10 de junio de 2021, Van Ameyde España (C‑923/19, EU:C:2021:475), apartados 37 y ss., en relación con la responsabilidad civil aplicable a los siniestros derivados de la circulación de vehículos automóviles. Documentos relativos a las negociaciones del RGPD reflejan las dudas de Estados miembros sobre si las nociones de daños e indemnización del (entonces) artículo 77 debían ser o no autónomas y dan fe de las distintas posiciones al respecto. La Comisión se mostró partidaria de dejar la cuestión al Tribunal de Justicia. Véase Consejo de la Unión Europea, Nota de la Presidencia n.º 17831/13, de 16 de diciembre de 2013, nota 539.

75      Por ejemplo, los consumidores de productos o las víctimas de accidentes de tráfico.

76      En materia de viajes combinados, la sentencia de 12 de marzo de 2002, Leitner (C‑168/00, EU:C:2002:163); en el ámbito de la responsabilidad civil derivada de la circulación de vehículos automóviles, las sentencias de 24 de octubre de 2013, Haasová (C‑22/12, EU:C:2013:692), apartados 47 a 50; de 24 de octubre de 2013, Drozdovs (C‑277/12, EU:C:2013:685), apartado 40; y de 23 de enero de 2014, Petillo (C‑371/12, EU:C:2014:26), apartado 35.

77      Sentencia de 23 de enero de 2014, Petillo (C‑371/12, EU:C:2014:26), dispositivo: el derecho de la Unión no se opone «a una legislación nacional […] que establece un régimen particular de indemnización de los daños inmateriales derivados de lesiones corporales leves causadas por accidentes de tráfico que limita la indemnización de estos daños si se compara con lo aceptado en materia de indemnización de daños idénticos derivados de causas distintas a dichos accidentes».

78      Por ejemplo, sentencias de 12 de marzo de 2002, Leitner (C‑168/00, EU:C:2002:163), sobre la pérdida del disfrute de las vacaciones; y de 6 de mayo de 2010, Walz (C‑63/09, EU:C:2010:251), sobre la pérdida de equipaje en el ámbito de los viajes combinados.

79      La sentencia de 17 de marzo de 2016, Liffers (C‑99/15, EU:C:2016:173), apartado 17, sobre la interpretación de la Directiva 2004/48, subrayó que el daño moral constituye un componente del daño efectivo sufrido «siempre que se haya demostrado». Lógicamente, la demostración presupone la realidad del daño; esta, a su vez, se aproxima a la idea de seriedad de la lesión, aunque no coincide con ella.

80      Supra, punto 51.

81      Supra, puntos 45 y ss.

82      Recientemente, en materia de protección de datos, en Italia, Tribunale di Palermo, sez. I civile, sentenza 05/10/2017 n. 5261, así como Cass Civ. Ord. Sez 6, núm. 17383/2020. En Alemania, entre otras, AG Diez, 07.11.2018 - 8 C 130/18; LG Karlsruhe, 02.08.2019 - 8 O 26/19; y AG Frankfurt am Main, 10.07.2020 - 385 C 155/19 (70). En Austria, OGH 6 Ob 56/21k.

83      Véase la sentencia de 23 de octubre de 2012, Nelson y otros (C‑581/10 y C‑629/10, EU:C:2012:657), apartado 51, sobre la distinción entre «daños» en el sentido del artículo 19 del Convenio para la unificación de ciertas reglas para el transporte aéreo internacional, concluido en Montreal el 28 de mayo de 1999, y «molestias» en el sentido del Reglamento n.º 261/2004, que son indemnizables al amparo del artículo 7 de este último, a tenor de la sentencia de 19 de noviembre de 2009, Sturgeon y otros (C‑402/07 y C‑432/07, EU:C:2009:716). En este sector, como en el del transporte de pasajeros por mar y vías navegables al que se refiere el Reglamento n.º 1177/2010, el legislador ha podido reconocer una categoría abstracta gracias a que el factor que genera el trastorno, y la esencia de este, son idénticos para todos los afectados. No creo que esa inferencia resulte posible en materia de protección de datos.

84      El mecanismo paradigmático de ejercicio del derecho del artículo 82 RGPD es el contencioso en vía jurisdiccional ordinaria. El principio de efectividad puede, desde luego, condicionar la aplicación de las reglas nacionales sobre aspectos como los gastos del juicio o la prueba. Sin embargo, la dificultad para admitir que las simples molestias son indemnizables no se debe solo a la desproporción entre su valor monetario y lo que cuesta un litigio (aparte de que los costes de la administración de justicia no pesan solo sobre las partes). No me parece justificado, ante el silencio del RGPD, exigir a los Estados miembros que diseñen un procedimiento ad hoc.

85      Recuerdo que, conforme al artículo 82, apartado 3, del RGPD el responsable o el encargado del tratamiento solo quedarán exentos de responsabilidad si prueban que no son responsables en modo alguno del hecho causante del daño.

86      Con estas reflexiones no prejuzgo si, en este asunto, la situación de UI encajaba en una u otra categoría, lo que resolverá el tribunal de reenvío.

87      Lo mismo sucede con el importe de la indemnización.