CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:820

Edición provisional

CONCLUSIONES DEL ABOGADO GENERAL

SR. ANTHONY MICHAEL COLLINS

presentadas el 26 de octubre de 2023(1)

Asuntos acumulados C‑182/22 y C‑189/22

JU (C‑182/22)

SO (C‑189/22)

contra

Scalable Capital GmbH

[Petición de decisión prejudicial planteada por el Amtsgericht München, (Tribunal de lo Civil y Penal de Múnich, Alemania)]

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 82, apartado 1 — Derecho a indemnización por los daños y perjuicios ocasionados por un tratamiento contrario a dicho Reglamento — Daños y perjuicios inmateriales — Robo de datos — Usurpación de identidad o fraude»

I. Introducción

1. En dos acciones muy similares ejercitadas contra Scalable Capital GmbH (en lo sucesivo, «Scalable Capital») por JU (asunto C‑182/22) y por SO (asunto C‑189/22), los demandantes solicitan la indemnización de los daños y perjuicios inmateriales ocasionados por los supuestos padecimientos y molestias causados por lo que el órgano jurisdiccional remitente califica de robo, (2) por terceros desconocidos, de sus datos personales almacenados en una aplicación de negociación con valores gestionada por Scalable Capital. Hasta la fecha, los terceros no han utilizado los datos con fines fraudulentos o de otro tipo. El Amtsgericht München (Tribunal de lo Civil y Penal de Múnich, Alemania) solicita orientación al Tribunal de Justicia sobre la interpretación del concepto de daños y perjuicios inmateriales que figura en el artículo 82 del Reglamento (UE) 2016/679 (3) y sobre los requisitos que deben concurrir para que nazca el derecho a la indemnización de dichos daños y perjuicios. Se pregunta, en particular, si el robo de esos datos constituye una «usurpación de identidad» en el sentido del considerando 75 del RGPD.

II. Marco jurídico — Derecho de la Unión

2. El considerando 75 del RGPD tiene el siguiente tenor:

«Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; […]»

3. El considerando 85 del RGPD dispone:

«Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión. […]»

4. El considerando 146 del RGPD está formulado en los siguientes términos:

«El responsable o el encargado del tratamiento debe indemnizar cualesquiera daños y perjuicios que pueda sufrir una persona como consecuencia de un tratamiento en infracción del presente Reglamento. […] El concepto de daños y perjuicios debe interpretarse en sentido amplio a la luz de la jurisprudencia del Tribunal de Justicia, de tal modo que se respeten plenamente los objetivos del presente Reglamento. […] Los interesados deben recibir una indemnización total y efectiva por los daños y perjuicios sufridos. […]»

5. Con arreglo al artículo 82 del RGPD, titulado «Derecho a indemnización y responsabilidad»:

«1. Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.

2. Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento. Un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del presente Reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable.

3. El responsable o encargado del tratamiento estará exento de responsabilidad en virtud del apartado 2 si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.

[…]»

III. Procedimientos principales y cuestiones prejudiciales

6. JU y SO abrieron cuentas de inversión en una aplicación de negociación con valores gestionada por Scalable Capital. Para que se comprobara su identidad, ambos registraron en la aplicación datos personales, incluidos sus nombres, fechas de nacimiento y direcciones de correo postal y electrónico, así como las copias digitales de sus documentos de identidad. (4) Ha quedado acreditado que estos datos fueron robados por infractores desconocidos.

7. El Amtsgericht München (Tribunal de lo Civil y Penal de Múnich) estima que los datos robados son relativamente sensibles y que JU y SO tienen derecho a una indemnización con arreglo al artículo 82 del RGPD. Al considerar que el importe de la indemnización que debe concederse a JU y a SO depende de la interpretación del artículo 82 del RGPD, dicho órgano jurisdiccional decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1. ¿Debe interpretarse el artículo 82 del [RGPD] en el sentido de que el derecho a indemnización no tiene carácter sancionador, en particular no cumple una función disuasoria general o especial, ni siquiera en cuanto a su cuantificación, sino que cumple una función estrictamente indemnizatoria y, en ciertos casos, de desagravio?

2.a En cuanto a la cuantificación de la indemnización de los perjuicios inmateriales, ¿se ha de considerar que el derecho a indemnización cumple también una función de desagravio individual (en este caso, en el sentido del interés particular del perjudicado por ver sancionado el comportamiento dañoso) o cumple solamente una función indemnizatoria (en este caso, en el sentido de compensar el perjuicio sufrido)?

2.b.1 En caso de que la indemnización de los perjuicios inmateriales cumpla tanto una función indemnizatoria como de desagravio: ¿En cuanto a su cuantificación se ha de considerar que la función indemnizatoria goza de una preferencia sistemática o, al menos, de una preferencia en cuanto relación regla-excepción, respecto a la función de desagravio? ¿Implica esto que la función de desagravio solo entra en juego en caso de infracciones dolosas o por negligencia grave?

2.b.2 En caso de que la indemnización de los perjuicios inmateriales no cumpla una función de desagravio: ¿Solo pueden considerarse agravantes en la cuantificación de la indemnización las infracciones cometidas mediando dolo o negligencia grave que contribuyan causalmente al perjuicio?

3. Respecto a la cuantificación de la indemnización de los perjuicios inmateriales, ¿debe entenderse que existe una jerarquía sistemática o, al menos, una jerarquía en cuanto a relación regla-excepción, con arreglo a la cual el perjuicio experimentado a causa de una infracción en materia de protección de datos tiene menos importancia que los daños y perjuicios sufridos como consecuencia de lesiones corporales?

4. En caso de apreciarse un daño, ¿está facultado el órgano jurisdiccional nacional, en atención a su escasa gravedad, para conceder una indemnización materialmente reducida y que, en ciertos casos, pueda ser percibida por el perjudicado, o con carácter general, como meramente simbólica?

5. Respecto a la valoración de las consecuencias de la indemnización de los perjuicios inmateriales, ¿debe entenderse que solo existe una usurpación de identidad en el sentido del considerando 75 del [RGPD] cuando un infractor ha utilizado efectivamente la identidad del interesado, haciéndose pasar por él de cualquier manera, o existe tal usurpación de identidad desde el momento en que un infractor dispone de datos que permiten identificar al interesado?»

IV. Procedimiento ante el Tribunal de Justicia

8. Mediante decisión del Presidente del Tribunal de Justicia de 19 de abril de 2022, se ordenó la acumulación de los asuntos C‑182/22 y C‑189/22 a efectos de las fases escrita y oral del procedimiento, así como de la sentencia.

9. El 1 de junio de 2022, el Presidente del Tribunal de Justicia desestimó la petición de anonimización del presente procedimiento presentada por Scalable Capital en virtud del artículo 95, apartado 2, del Reglamento de Procedimiento del Tribunal de Justicia.

10. Han presentado observaciones escritas SO, Scalable Capital, Irlanda y la Comisión Europea.

11. Comenzaré abordando las objeciones formuladas contra la admisibilidad de las cuestiones prejudiciales planteadas y, a continuación, ofreceré al Tribunal de Justicia, conforme a su petición, mi propuesta de respuesta a la quinta cuestión prejudicial.

V. Apreciación

A. Admisibilidad

12. En opinión de Scalable Capital, la pérdida de control de los datos personales, sin consecuencias adicionales para el interesado, no da lugar a daños y perjuicios inmateriales en el sentido del artículo 82, apartado 1, del RGPD. Afirma que el tenor literal, el esquema general y la finalidad del artículo 82 del RGPD no apoyan la existencia de una presunción de que tales daños y perjuicios se materialicen como consecuencia de la pérdida de control. Por tanto, considera que el órgano jurisdiccional remitente incurrió en error al presumir que JU y SO habían sufrido daños y perjuicios inmateriales. Añade, pues, que las peticiones de decisión prejudicial carecen de pertinencia para la resolución de los litigios de que conoce el órgano jurisdiccional remitente y son, en consecuencia, inadmisibles.

13. La Comisión señala que la pertinencia de la quinta cuestión prejudicial para la resolución de los litigios de que conoce el órgano jurisdiccional remitente no está clara. Según su parecer, el órgano jurisdiccional remitente solo se refiere a las interpretaciones jurídicas discrepantes que hacen las partes y afirma que «solo existe usurpación de identidad cuando se utilizan datos obtenidos ilegalmente para simular la identidad del interesado». Según la citada institución, mediante la quinta cuestión prejudicial, tampoco se solicita al Tribunal de Justicia que interprete una disposición específica del RGPD.

14. Conforme a reiterada jurisprudencia del Tribunal de Justicia, las cuestiones sobre la interpretación del Derecho de la Unión planteadas por un órgano jurisdiccional nacional disfrutan de una presunción de pertinencia. El Tribunal de Justicia solo puede abstenerse de pronunciarse sobre una cuestión si resulta patente que la interpretación del Derecho de la Unión solicitada no guarda relación alguna con la realidad o con el objeto del litigio principal, si el problema es de naturaleza hipotética o, también, si el Tribunal de Justicia no dispone de los elementos de hecho o de Derecho necesarios para responder adecuadamente a tales cuestiones. (5)

15. La objeción de Scalable Capital a la admisibilidad de todas las cuestiones prejudiciales planteadas se basa en su interpretación del artículo 82 del RGPD, del derecho a indemnización y de la supuesta inexistencia de daños y perjuicios inmateriales. Las cuestiones prejudiciales versan sobre el derecho a indemnización que asiste a los interesados al amparo del artículo 82 del RGPD. Declarar la existencia de los daños y perjuicios es un requisito previo necesario para obtener la indemnización. (6) Por consiguiente, la excepción propuesta por Scalable Capital contra la admisibilidad de las peticiones de decisión prejudicial se refiere al fondo de la problemática que en ellas se suscita. Por su propia naturaleza, las alegaciones relativas al fondo de las cuestiones planteadas en una petición de decisión prejudicial no pueden afectar a la admisibilidad de dicha petición. (7)

16. En cuanto a la objeción de la Comisión relativa a la admisibilidad de la quinta cuestión prejudicial, no parece evidente que dicha cuestión no guarde relación con los litigios de que conoce el órgano jurisdiccional remitente o que sea de naturaleza hipotética. El órgano jurisdiccional remitente conoce de acciones indemnizatorias ejercitadas con arreglo al RGPD. Las partes no están de acuerdo en cuanto a si el robo de datos personales constituye una usurpación de identidad en el sentido del considerando 75 del RGPD o a si, para que se produzca tal usurpación de identidad, «un infractor [debe haber] utilizado efectivamente la identidad del interesado». (8) Aunque las observaciones del órgano jurisdiccional remitente sobre la quinta cuestión prejudicial son sucintas, de las peticiones de decisión prejudicial se desprende que la referida cuestión está relacionada con las otras cuatro que plantea sobre el concepto de daños y perjuicios inmateriales y sobre el derecho a indemnización previsto en el artículo 82 del RGPD.

17. En consecuencia, propongo al Tribunal de Justicia que desestime las distintas objeciones formuladas contra la admisibilidad de las cuestiones planteadas por el Amtsgericht München (Tribunal de lo Civil y Penal de Múnich).

B. Sobre el fondo

1. Observaciones de las partes

18. Según SO, el considerando 85 del RGPD establece una clara distinción entre la usurpación de identidad y el fraude de identidad. Alega que la usurpación de identidad presupone que el infractor puede usar indebidamente la identidad de la persona al confundir a terceros sobre esa identidad. El fraude de identidad puede cometerse, a su juicio, tras una usurpación de identidad. De ello deduce que la usurpación de identidad no exige el uso indebido efectivo de la identidad de una persona. En su opinión, la naturaleza y el alcance de los datos robados en el presente asunto permiten presumir la existencia de una usurpación de identidad que da derecho a una indemnización por este concepto.

19. Scalable Capital aduce que la usurpación de identidad se produce cuando una persona hace un uso indebido de los datos personales de una persona con el objetivo de «simular» su identidad. Señala que el robo de datos puede suponer o facilitar una usurpación de identidad, pero no constituye en sí mismo una usurpación de identidad. A su parecer, una interpretación sistemática del considerando 75 del RGPD respalda este enfoque, puesto que dicha disposición incluye otros ejemplos de uso de determinados datos personales que no constituyen una usurpación de identidad. Añade que el artículo 82 del RGPD tiene por objeto reparar los daños y perjuicios efectivamente sufridos por los particulares. Concluye que interpretar de forma amplia el concepto de usurpación de identidad va en contra de este objetivo, puesto que permitiría ejercitar una acción indemnizatoria sobre la base de la posibilidad abstracta de que puedan ocasionarse daños y perjuicios en el futuro.

20. Irlanda alega que la usurpación de identidad se refiere a circunstancias en las que una parte asume efectivamente la identidad de la persona cuyos datos han sido robados. Por tanto, para que se produzca una usurpación de identidad, estima insuficiente que una parte esté en posesión de datos que identifiquen a una persona. En su opinión, la indemnización de los daños y perjuicios inmateriales con arreglo al artículo 82 del RGPD debe apreciarse, en cualquier caso, atendiendo al fondo de cada caso concreto.

21. La Comisión observa que el RGPD no define la usurpación de identidad. Precisa que los considerandos 75 y 85 del RGPD la mencionan como ejemplo de un tratamiento de datos personales que puede provocar daños y perjuicios físicos, materiales o inmateriales. Según la Comisión, la usurpación de identidad a que se refieren estos considerandos consiste en la obtención ilegal de datos con el fin de «simular la identidad» de la persona afectada. (9) Considera que, para probar la usurpación de identidad, la intención del infractor de hacerse pasar por la persona afectada debe determinarse mediante acciones o actos concretos de preparación de tal suplantación. Puntualiza que, dado que es de reiterada jurisprudencia que el perjuicio ha de ser «real y cierto», (10) la mera posesión de datos que identifiquen a la persona afectada, sin que se hayan efectuado otras actuaciones para hacerse pasar por ella, no constituye una usurpación de identidad.

2. Análisis

22. Mediante su quinta cuestión prejudicial, el órgano jurisdiccional remitente desea saber si el robo de datos personales sensibles de un interesado (11) por un infractor desconocido constituye por sí solo una usurpación de identidad, dando así derecho a indemnización, o si, para que tal usurpación tenga lugar, es necesario que el infractor utilice efectivamente la identidad del interesado o tome medidas a tal fin. La cuestión se plantea en el contexto de una situación en la que consta que unos infractores desconocidos robaron determinados datos personales sensibles de JU y de SO de la aplicación de negociación con valores de Scalable Capital. Aunque no parece haberse hecho ningún uso (indebido) de los datos, dado que no se conoce la identidad de los infractores y que no han sido detenidos, no es posible excluir tal uso (indebido) en el futuro.

23. El artículo 82 del RGPD reconoce con carácter general (12) el derecho de todo interesado que haya sufrido «daños y perjuicios materiales o inmateriales» como consecuencia de una infracción del RGPD a recibir una indemnización y distribuye la responsabilidad entre el responsable y el encargado del tratamiento. Dicha disposición no especifica ni la naturaleza concreta ni la forma de los daños y perjuicios. El RGPD no remite a los ordenamientos jurídicos de los Estados miembros para definir el sentido y el alcance del concepto de «daños y perjuicios inmateriales». (13) Por tanto, este término debe tratarse como un concepto autónomo del Derecho de la Unión e interpretarse de manera uniforme en todos los Estados miembros. (14)

24. El derecho a la indemnización prevista en el artículo 82 del RGPD está sujeto a que se prueben los «concretos daños y perjuicios sufridos» y la existencia de una relación de causalidad entre la infracción cometida y esos daños y perjuicios. (15) El RGPD no establece un sistema de responsabilidad objetiva. (16) El carácter compensatorio del régimen instaurado por el artículo 82, apartado 1, del RGPD también excluye las indemnizaciones de carácter punitivo. (17) La indemnización debe ser «total y efectiva», de modo que «[permita] compensar íntegramente los concretos daños y perjuicios sufridos como consecuencia de la infracción [del RGPD]». (18) No se exige que los daños y perjuicios inmateriales sufridos por el interesado alcancen cierto nivel de gravedad. (19) Aunque no existe un umbral de minimis en cuanto al grado de los daños y perjuicios inmateriales, deben existir pruebas claras y precisas de que el interesado ha sufrido tales daños y perjuicios. Los daños y perjuicios potenciales o hipotéticos (20) o la mera inquietud con referencia al robo de datos personales no bastan.

25. El artículo 82, apartado 3, del RGPD exime de responsabilidad al responsable o encargado del tratamiento «si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios». El Tribunal de Justicia no ha tenido ocasión de examinar en detalle el artículo 82, apartado 3, del RGPD. Una interpretación literal de esta disposición parece sugerir que cualquier negligencia o lapsus (culposos) del responsable o encargado del tratamiento bastan para excluir la aplicación de la exención. Además, la carga de la prueba (21) que esta disposición atribuye al responsable o encargado del tratamiento que pretendan acogerse a la exención puede exigir el mantenimiento de medidas destinadas a evitar violaciones de la seguridad de los datos. (22)

26. El robo de datos personales del interesado da lugar a un derecho a indemnización de los daños y perjuicios inmateriales, de conformidad con el artículo 82, apartado 1, del RGPD, siempre que se cumplan los tres requisitos establecidos en la sentencia Österreichische Post. (23) En virtud del considerando 7 del RGPD, «las personas físicas deben tener el control de sus propios datos personales». Que a los interesados «se les impida ejercer el control sobre sus datos personales» (24) o que las personas físicas pierdan el «control sobre sus datos personales», (25) puede dar lugar a daños y perjuicios inmateriales. En este contexto, el órgano jurisdiccional remitente se pregunta si el robo de datos personales constituye una usurpación de identidad.

27. Las disposiciones operativas del RGPD no mencionan ni definen el concepto de usurpación de identidad. Los considerandos 75 y 85 del RGPD simplemente recogen la expresión «usurpación de identidad o fraude». El considerando 75 enumera la «usurpación de identidad o fraude» en una lista no exhaustiva (26) de los riesgos para el ejercicio de los derechos y libertades de las personas físicas asociados al tratamiento de sus datos personales. En este sentido, el considerando 85 del RGPD menciona la «usurpación de identidad o fraude» como ejemplo (27) de los daños y perjuicios ocasionados cuando no se toman a tiempo medidas adecuadas. (28)

28. Varios considerandos (29) y disposiciones (30) de otros actos legislativos de la Unión hacen referencia a expresiones como «usurpación de identidad», (31) «fraude de identidad» y «usurpación de identidad o fraude». (32) No he encontrado ninguna disposición de la legislación de la Unión que defina estos conceptos. (33)En efecto, el legislador de la Unión se refiere a ellos con fines ilustrativos. (34)

29. Así se desprende también del examen de las distintas versiones lingüísticas de tales expresiones en los considerandos 75 y 85 del RGPD. Si bien las versiones en lengua alemana, («Identitätsdiebstahl oder —betrug»), inglesa («identity theft or fraud»), estonia («identiteedivargust või —pettust»), irlandesa («goid aitheantais nó calaois aitheantais»), lituana («būti pavogta ar suklastota tapatybė»), neerlandesa («identiteitsdiefstal of —fraude»), polaca («kradzieżą tożsamości lub oszustwem dotyczącym tożsamości»), rumana («furt sau fraudă a identității») y eslovaca («krádeži totožnosti alebo podvodu») son a grandes rasgos similares, las versiones en lengua checa («krádeži či zneužití identity»), francesa («vol ou une usurpation d’identité»), griega («κατάχρηση ή υποκλοπή ταυτότητας»), portuguesa («usurpação ou roubo da identidade»), italiana («furto o usurpazione d’identità») y española («usurpación de identidad o fraude») difieren de ellas en mayor o menor medida. Las diferentes versiones lingüísticas de los considerandos pertinentes del RGPD indican que los conceptos de usurpación de identidad, fraude de identidad, abuso de identidad, uso indebido de identidad, apropiación indebida de identidad y suplantación de identidad se solapan y pueden considerarse, al menos hasta cierto punto, intercambiables. De ello se deduce que los considerandos 75 y 85 del RGPD no establecen una distinción clara entre usurpación de identidad y fraude de identidad, contrariamente a las alegaciones de SO expuestas en el punto 18 de las presentes conclusiones.

30. Los considerandos 75 y 85 del RGPD diferencian entre los ejemplos de «pérdida de control» o de imposibilidad para «ejercer el control» sobre los datos personales y el de «usurpación de identidad o fraude». En consecuencia, el robo de datos personales (35) no constituye por sí solo una usurpación de identidad, aun cuando ese robo pueda llevar en el futuro a un uso (indebido) de tales datos. La usurpación de identidad exige una acción o medida adicional que tenga efectos perjudiciales para el interesado que vayan más allá del robo de los datos personales. (36) Una persona que roba los datos personales de un interesado debe usarlos (indebidamente) o adoptar medidas concretas para ello con fines ilícitos y sin el consentimiento de dicha persona. (37) Tal acción suele implicar fraude u otra forma de engaño y por lo general se lleva a cabo para obtener un beneficio económico o de otro tipo o con el fin de perjudicar al interesado o a su entorno. (38)

31. De lo anterior resulta que, pese a que el robo de datos personales no constituye una usurpación de identidad o fraude, dicho robo puede dar lugar a daños y perjuicios inmateriales y a un derecho a indemnización en virtud del artículo 82, apartado 1, del RGPD. (39) Probar los daños y perjuicios inmateriales puede resultar más sencillo cuando se comprueba que el interesado ha sido víctima de una usurpación de identidad o de un fraude como consecuencia del robo de sus datos personales. (40) El derecho a indemnización de los daños y perjuicios inmateriales previsto en el artículo 82, apartado 1, del RGPD en el caso de robo de datos personales no se supedita, sin embargo, a la existencia de una usurpación de identidad o fraude. (41) Los daños y perjuicios inmateriales y el derecho a indemnización a que se refiere el artículo 82, apartado 1, del RGPD deben apreciarse en cada caso concreto, teniendo en cuenta todas las circunstancias pertinentes.

VI. Conclusión

32. A la luz de las consideraciones que preceden, propongo al Tribunal de Justicia que responda del siguiente modo a la quinta cuestión prejudicial planteada por el Amtsgericht München (Tribunal de lo Civil y Penal de Múnich, Alemania):

«El artículo 82, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),

debe interpretarse en el sentido de que

el robo por un infractor desconocido de los datos personales sensibles de un interesado puede dar lugar a un derecho a indemnización de los daños y perjuicios inmateriales siempre que se pruebe que se ha infringido dicho Reglamento, que se han sufrido daños y perjuicios concretos y que existe una relación de causalidad entre la infracción y los daños y perjuicios. El derecho a recibir tal indemnización no está sujeto a que el infractor suplante la identidad del interesado y la posesión de datos que identifiquen al interesado no constituye por sí sola una usurpación de identidad.»

1 Lengua original: inglés.

2 El órgano jurisdiccional remitente no proporciona una calificación jurídica precisa de los actos de los infractores en Derecho nacional. El término «robo» es amplio y puede incluir la apropiación indebida de datos por terceros.

3 Reglamento del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1) (en lo sucesivo, «RGPD»).

4 De las resoluciones de remisión se desprende asimismo que «el depósito de valores era gestionado por un gestor automatizado («robo[t]-advisor»), de manera que a partir de las operaciones realizadas no se podía elaborar un perfil de disposición al riesgo del demandante».

5 Véase, en este sentido, la sentencia de 2 de septiembre de 2021, OTP Jelzálogbank y otros (C‑932/19, EU:C:2021:673), apartado 26 y jurisprudencia citada.

6 El Tribunal de Justicia ha interpretado el artículo 82 del RGPD en el sentido de que la existencia de «daños y perjuicios» que se han «sufrido» constituye uno de los tres requisitos que deben cumplirse para obtener la indemnización prevista en dicha disposición. La mera infracción del RGPD no basta por sí sola para reconocer un derecho a indemnización. Sentencia de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales consecuencia de un tratamiento de datos ilegal) (C‑300/21; en lo sucesivo, «sentencia Österreichische Post», EU:C:2023:370), apartados 32 y 42.

7 Véase, por analogía, la sentencia de 12 de diciembre de 2019, Slovenské elektrárne (C‑376/18, EU:C:2019:1068), apartado 29.

8 Véase el tenor de la quinta cuestión prejudicial del órgano jurisdiccional remitente.

9 Véanse las Directrices del Comité Europeo de Protección de Datos sobre ejemplos de notificación de violaciones de la seguridad de los datos personales — Adoptadas el 14 de diciembre de 2021 — Versión 2.0, disponibles en https://edpb.europa.eu/system/files/2022‑09/edpb_guidelines_012021_pdbnotification_adopted_es.pdf (europa.eu) (en lo sucesivo, «Directrices de 2021»).

10 Sentencia de 4 de abril de 2017, Defensor del Pueblo/Staelen (C‑337/15 P, EU:C:2017:256), apartados 91 a 95 y 127 a 131.

11 El artículo 4, apartado 1, del RGPD dispone que se entenderá por «datos personales» «toda información sobre una persona física identificada o identificable (“el interesado”); [y] se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona».

12 Véase el Considerando 146 del RGPD.

13 El Tribunal de Justicia no ha definido el concepto de «daños y perjuicios inmateriales» en el contexto del artículo 82 del RGPD. Estoy de acuerdo con el Abogado General Pitruzzella en que las contrariedades o el sentimiento de desagrado ante un ciberataque que afecte a los datos no son suficientes. Para que se estime su acción, el interesado debe demostrar que el temor al uso indebido de sus datos le ha ocasionado un «daño emocional real». Véanse las conclusiones del citado Abogado General presentadas en el asunto Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353), puntos 81 a 83.

14 Sentencia Österreichische Post, apartado 30.

15 Véanse el artículo 82, apartado 2, del RGPD y la sentencia Österreichische Post, apartados 32 y 50.

16 Sentencia Österreichische Post, apartados 31 a 51 y 34 Véanse asimismo las conclusiones del Abogado General Pitruzzella presentadas en el asunto Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353), punto 61.

17 Sentencia Österreichische Post, apartado 58. Véanse asimismo las conclusiones del Abogado General Campos Sánchez-Bordona presentadas en el asunto Österreichische Post (Daños y perjuicios inmateriales consecuencia de un tratamiento de datos ilegal) (C‑300/21, EU:C:2022:756), puntos 27 a 55, y del Abogado General Pitruzzella presentadas en el asunto Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353), punto 74.

18 Sentencia Österreichische Post, apartado 58.

19 Sentencia Österreichische Post, apartados 31 a 33, 51 y 58. Véase también el considerando 146 del RGPD. Véanse, en cambio, las conclusiones del Abogado General Campos Sánchez-Bordona presentadas en el asunto Österreichische Post (Daños y perjuicios inmateriales consecuencia de un tratamiento de datos ilegal) (C‑300/21, EU:C:2022:756), punto 105, y del Abogado General Pitruzzella presentadas en el asunto Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353), punto 78.

20 Véase, a este respecto, la sentencia Österreichische Post, apartado 37.

21 Parece que, para acogerse a la exención, el responsable o encargado del tratamiento deben aportar una prueba negativa.

22 El Abogado General Pitruzzella considera que, para evitar incurrir en responsabilidad con arreglo al artículo 82 del RGPD, los responsables del tratamiento de los sistemas de entidades públicas o privadas titulares de un gran volumen de datos deben instaurar medidas apropiadas para hacer frente, en particular, a los ataques externos: véanse sus conclusiones presentadas en el asunto Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353), puntos 65 a 67. Estas medidas proactivas pueden resultar gravosas y costosas. El propio artículo 82 del RGPD impone un deber de diligencia muy elevado a los responsables y encargados del tratamiento.

23 Véanse los apartados 32 y 50 de dicha sentencia. Véanse asimismo el punto 24 y la nota 6 de las presentes conclusiones.

24 Considerando 75 del RGPD.

25 Considerando 85 del RGPD.

26 Así se desprende del uso, en dicho considerando, de los términos «pueden», «pudiera» y «pueda», y de la expresión «en particular».

27 Como resulta del uso, en dicho considerando, de los términos «pueden», «pudiendo» y «como». Véase, por analogía, la sentencia de 22 de diciembre de 2008, Wallentin-Hermann (C‑549/07, EU:C:2008:771), apartado 22.

28 El artículo 4, punto 12, del RGPD define la «violación de la seguridad de los datos personales» como «toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos».

29 Los considerandos facilitan la interpretación y la comprensión de la legislación de la Unión al indicar, en particular, los objetivos que persigue y el contexto en el que se adoptó. Contribuyen a determinar el sentido de disposiciones legales ambiguas. Los considerandos no pueden utilizarse para interpretar una disposición contra legem. Sentencia de 19 de noviembre de 1998, Nilsson y otros (C‑162/97, EU:C:1998:554), apartado 54.

30 Véanse, por ejemplo, el artículo 86, letra e), de la Decisión del Consejo y de la Comisión (2013/490/UE, Euratom), de 22 de julio de 2013, relativa a la celebración del Acuerdo de Estabilización y Asociación entre las Comunidades Europeas y sus Estados miembros, por una parte, y la República de Serbia, por otra (DO 2013, L 278, p. 14) y los artículos 2, apartado 2, letra b), 21 y 25 del Reglamento (UE) 2019/817 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativo al establecimiento de un marco para la interoperabilidad de los sistemas de información de la UE en el ámbito de las fronteras y los visados y por el que se modifican los Reglamentos (CE) n.º 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 y (UE) 2018/1861 del Parlamento Europeo y del Consejo, y las Decisiones 2004/512/CE y 2008/633/JAI del Consejo (DO 2019, L 135, p. 27).

31 El considerando 14 de la Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión Marco 2005/222/JAI del Consejo (DO 2013, L 218, p. 8) dispone que «otro elemento importante de un enfoque integrado contra la ciberdelincuencia es el establecimiento de medidas eficaces contra la usurpación de identidad y otras infracciones relacionadas con la identidad». En virtud del considerando 31 de la Directiva (UE) 2019/713 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre la lucha contra el fraude y la falsificación de medios de pago distintos del efectivo y por la que se sustituye la Decisión Marco 2001/413/JAI del Consejo (DO 2019, L 123, p. 18), «el fraude y la falsificación de medios de pago distintos del efectivo pueden tener consecuencias económicas y no económicas graves para sus víctimas. En caso de que el fraude implique, por ejemplo, la usurpación de identidad, sus consecuencias se ven a menudo agravadas cuando concurren daños a la reputación y profesionales, daños a la calificación crediticia de la persona y daños emocionales graves». El considerando 33 de dicha Directiva establece que «los Estados miembros deben adoptar medidas de apoyo y asistencia a tales víctimas basadas en las establecidas en [la Directiva 2012/29/UE], pero que respondan de forma más directa a las necesidades específicas de las víctimas de fraude relacionado con la usurpación de identidad».

32 La expresión «usurpación de identidad o fraude» se utiliza, sin definir, en los considerandos de otros actos legislativos de la Unión. Véanse, por ejemplo, el considerando 46 del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE (DO 2018, L 295, p. 39), así como los considerandos 51 y 61 de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO 2016, L 119, p. 89).

33 El anexo II del Reglamento (UE) 2018/1798 de la Comisión, de 21 de noviembre de 2018, por el que se establecen disposiciones de aplicación del Reglamento (CE) n.º 808/2004 del Parlamento Europeo y del Consejo, relativo a estadísticas comunitarias de la sociedad de la información, para el año de referencia 2019 (DO 2018, L 296, p. 2) contiene varios ejemplos o referencias a la usurpación de identidad. Entre ellos, se incluye, como ejemplo de «usurpación de identidad en línea», el supuesto en el que «alguien roba los datos personales del interesado y lo suplanta, por ejemplo para efectuar compras a nombre del interesado».

34 Véase, en cambio, el artículo 226‑4-1 del Code pénal (Código Penal) francés [modificado por el artículo 19 de la loi n.º 2020‑936 du 30 juillet 2020 (Ley n.º 2020‑936, de 30 de julio de 2020)], formulado en los siguientes términos: «El que usurpe la identidad de otra persona o utilice uno o varios datos de cualquier naturaleza que permitan identificarla con el fin de perturbar su tranquilidad o la de otras personas, o de perjudicar su honor o su reputación, será castigado con una pena de prisión de un año y una multa de 15 000 euros. Las mismas penas se impondrán cuando el delito sea cometido en una red pública de comunicación en línea. Cuando el delito sea cometido por el cónyuge, pareja de hecho o persona vinculada a la víctima en virtud de un pacte civil de solidarité (unión civil), será castigado con una pena de prisión de dos años y una multa de 30 000 euros». El artículo 1028A, letra a), apartado 1, del 18 U. S. Code (Código de EE. UU. n.º 18) tipifica el delito federal de usurpación de identidad agravada. En virtud de dicho precepto, «el que con ocasión y en el contexto de cualquier delito enumerado en la letra c), ceda, posea o utilice conscientemente, sin un título legítimo, un medio de identificación de otra persona, será condenado, además de a la pena prevista para dicho delito, a una pena de prisión de dos años». Véase asimismo el artículo 1028, letra a), apartado 7, del 18 Código de EE. UU. n.º 18, que establece el delito federal de usurpación de identidad.

35 Y la consiguiente pérdida de control sobre los datos personales robados.

36 La usurpación de identidad exige que el infractor aparente indebidamente ser el interesado, por ejemplo, suplantando su identidad o haciéndose pasar por él.

37 Contrariamente a las alegaciones de SO expuestas en el punto 18 de las presentes conclusiones, a falta de cualquier tipo de uso (indebido) de los datos robados o si no se adoptan medidas concretas a tal fin, la naturaleza y el alcance de esos datos no permiten presuponer una usurpación de identidad.

38 Para consultar algunos ejemplos de usurpación de identidad, véanse Agencia de la Unión Europea para la Ciberseguridad, Robo de Identidad — Panorama de amenazas de la ENISA — De enero de 2019 a abril de 2020, disponible en https://www.enisa.europa.eu/publications/report-files/ETL-translations/es/etl2020-identity-theft-ebook-en-es.pdf; el apartado 7.1 de las Directrices de 2021, disponibles en https://edpb.europa.eu/system/files/2022‑09/edpb_guidelines_012021_pdbnotification_adopted_es.pdf (europa.eu), y el apartado 105 de las Directrices 01/2022 sobre interesados — Derecho de acceso — Versión 1.0 — Adoptadas el 18 de enero de 2022, del Comité Europeo de Protección de Datos, disponibles en https://edpb.europa.eu/system/files/2022‑01/edpb_guidelines_012022_right-of-access_0.pdf.

39 Cuando se cumplan los tres requisitos descritos en el punto 24 de las presentes conclusiones.

40 En sus conclusiones presentadas en el asunto Österreichische Post (Daños y perjuicios inmateriales consecuencia de un tratamiento de datos ilegal) (C‑300/21, EU:C:2022:756), puntos 98 y 99, el Abogado General Campos Sánchez-Bordona señaló que los ejemplos de riesgos o daños que figuran en los considerandos 75 y 85 del RGPD pueden ser «significativos» o de «carácter más grave». En la práctica, la presencia de una usurpación de identidad o fraude contribuirá a demostrar la existencia de daños y perjuicios.

41 Esto se deriva de que la referencia a la «usurpación de identidad o fraude» que figura en los considerandos 75 y 85 del RGPD aparece junto a otros ejemplos de riesgos o daños como la «discriminación», las «pérdidas financieras» y el «daño para la reputación».