Edición provisional
CONCLUSIONES DEL ABOGADO GENERAL
SR. ANTHONY MICHAEL COLLINS
presentadas el 26 de octubre de 2023(1)
Asuntos acumulados C‑182/22 y C‑189/22
JU (C‑182/22)
SO (C‑189/22)
contra
Scalable Capital GmbH
[Petición de decisión prejudicial planteada por el Amtsgericht München, (Tribunal de lo Civil y Penal de Múnich, Alemania)]
«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 82, apartado 1 — Derecho a indemnización por los daños y perjuicios ocasionados por un tratamiento contrario a dicho Reglamento — Daños y perjuicios inmateriales — Robo de datos — Usurpación de identidad o fraude»
I. Introducción
1. En dos acciones muy similares ejercitadas contra Scalable Capital GmbH (en lo sucesivo, «Scalable Capital») por JU (asunto C‑182/22) y por SO (asunto C‑189/22), los demandantes solicitan la indemnización de los daños y perjuicios inmateriales ocasionados por los supuestos padecimientos y molestias causados por lo que el órgano jurisdiccional remitente califica de robo, (2) por terceros desconocidos, de sus datos personales almacenados en una aplicación de negociación con valores gestionada por Scalable Capital. Hasta la fecha, los terceros no han utilizado los datos con fines fraudulentos o de otro tipo. El Amtsgericht München (Tribunal de lo Civil y Penal de Múnich, Alemania) solicita orientación al Tribunal de Justicia sobre la interpretación del concepto de daños y perjuicios inmateriales que figura en el artículo 82 del Reglamento (UE) 2016/679 (3) y sobre los requisitos que deben concurrir para que nazca el derecho a la indemnización de dichos daños y perjuicios. Se pregunta, en particular, si el robo de esos datos constituye una «usurpación de identidad» en el sentido del considerando 75 del RGPD.
II. Marco jurídico — Derecho de la Unión
2. El considerando 75 del RGPD tiene el siguiente tenor:
«Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; […]»
3. El considerando 85 del RGPD dispone:
«Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión. […]»
4. El considerando 146 del RGPD está formulado en los siguientes términos:
«El responsable o el encargado del tratamiento debe indemnizar cualesquiera daños y perjuicios que pueda sufrir una persona como consecuencia de un tratamiento en infracción del presente Reglamento. […] El concepto de daños y perjuicios debe interpretarse en sentido amplio a la luz de la jurisprudencia del Tribunal de Justicia, de tal modo que se respeten plenamente los objetivos del presente Reglamento. […] Los interesados deben recibir una indemnización total y efectiva por los daños y perjuicios sufridos. […]»
5. Con arreglo al artículo 82 del RGPD, titulado «Derecho a indemnización y responsabilidad»:
«1. Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.
2. Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento. Un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del presente Reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable.
3. El responsable o encargado del tratamiento estará exento de responsabilidad en virtud del apartado 2 si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.
[…]»
III. Procedimientos principales y cuestiones prejudiciales
6. JU y SO abrieron cuentas de inversión en una aplicación de negociación con valores gestionada por Scalable Capital. Para que se comprobara su identidad, ambos registraron en la aplicación datos personales, incluidos sus nombres, fechas de nacimiento y direcciones de correo postal y electrónico, así como las copias digitales de sus documentos de identidad. (4) Ha quedado acreditado que estos datos fueron robados por infractores desconocidos.
7. El Amtsgericht München (Tribunal de lo Civil y Penal de Múnich) estima que los datos robados son relativamente sensibles y que JU y SO tienen derecho a una indemnización con arreglo al artículo 82 del RGPD. Al considerar que el importe de la indemnización que debe concederse a JU y a SO depende de la interpretación del artículo 82 del RGPD, dicho órgano jurisdiccional decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:
«1. ¿Debe interpretarse el artículo 82 del [RGPD] en el sentido de que el derecho a indemnización no tiene carácter sancionador, en particular no cumple una función disuasoria general o especial, ni siquiera en cuanto a su cuantificación, sino que cumple una función estrictamente indemnizatoria y, en ciertos casos, de desagravio?
2.a En cuanto a la cuantificación de la indemnización de los perjuicios inmateriales, ¿se ha de considerar que el derecho a indemnización cumple también una función de desagravio individual (en este caso, en el sentido del interés particular del perjudicado por ver sancionado el comportamiento dañoso) o cumple solamente una función indemnizatoria (en este caso, en el sentido de compensar el perjuicio sufrido)?
2.b.1 En caso de que la indemnización de los perjuicios inmateriales cumpla tanto una función indemnizatoria como de desagravio: ¿En cuanto a su cuantificación se ha de considerar que la función indemnizatoria goza de una preferencia sistemática o, al menos, de una preferencia en cuanto relación regla-excepción, respecto a la función de desagravio? ¿Implica esto que la función de desagravio solo entra en juego en caso de infracciones dolosas o por negligencia grave?
2.b.2 En caso de que la indemnización de los perjuicios inmateriales no cumpla una función de desagravio: ¿Solo pueden considerarse agravantes en la cuantificación de la indemnización las infracciones cometidas mediando dolo o negligencia grave que contribuyan causalmente al perjuicio?
3. Respecto a la cuantificación de la indemnización de los perjuicios inmateriales, ¿debe entenderse que existe una jerarquía sistemática o, al menos, una jerarquía en cuanto a relación regla-excepción, con arreglo a la cual el perjuicio experimentado a causa de una infracción en materia de protección de datos tiene menos importancia que los daños y perjuicios sufridos como consecuencia de lesiones corporales?
4. En caso de apreciarse un daño, ¿está facultado el órgano jurisdiccional nacional, en atención a su escasa gravedad, para conceder una indemnización materialmente reducida y que, en ciertos casos, pueda ser percibida por el perjudicado, o con carácter general, como meramente simbólica?
5. Respecto a la valoración de las consecuencias de la indemnización de los perjuicios inmateriales, ¿debe entenderse que solo existe una usurpación de identidad en el sentido del considerando 75 del [RGPD] cuando un infractor ha utilizado efectivamente la identidad del interesado, haciéndose pasar por él de cualquier manera, o existe tal usurpación de identidad desde el momento en que un infractor dispone de datos que permiten identificar al interesado?»
IV. Procedimiento ante el Tribunal de Justicia
8. Mediante decisión del Presidente del Tribunal de Justicia de 19 de abril de 2022, se ordenó la acumulación de los asuntos C‑182/22 y C‑189/22 a efectos de las fases escrita y oral del procedimiento, así como de la sentencia.
9. El 1 de junio de 2022, el Presidente del Tribunal de Justicia desestimó la petición de anonimización del presente procedimiento presentada por Scalable Capital en virtud del artículo 95, apartado 2, del Reglamento de Procedimiento del Tribunal de Justicia.
10. Han presentado observaciones escritas SO, Scalable Capital, Irlanda y la Comisión Europea.
11. Comenzaré abordando las objeciones formuladas contra la admisibilidad de las cuestiones prejudiciales planteadas y, a continuación, ofreceré al Tribunal de Justicia, conforme a su petición, mi propuesta de respuesta a la quinta cuestión prejudicial.
V. Apreciación
A. Admisibilidad
12. En opinión de Scalable Capital, la pérdida de control de los datos personales, sin consecuencias adicionales para el interesado, no da lugar a daños y perjuicios inmateriales en el sentido del artículo 82, apartado 1, del RGPD. Afirma que el tenor literal, el esquema general y la finalidad del artículo 82 del RGPD no apoyan la existencia de una presunción de que tales daños y perjuicios se materialicen como consecuencia de la pérdida de control. Por tanto, considera que el órgano jurisdiccional remitente incurrió en error al presumir que JU y SO habían sufrido daños y perjuicios inmateriales. Añade, pues, que las peticiones de decisión prejudicial carecen de pertinencia para la resolución de los litigios de que conoce el órgano jurisdiccional remitente y son, en consecuencia, inadmisibles.
13. La Comisión señala que la pertinencia de la quinta cuestión prejudicial para la resolución de los litigios de que conoce el órgano jurisdiccional remitente no está clara. Según su parecer, el órgano jurisdiccional remitente solo se refiere a las interpretaciones jurídicas discrepantes que hacen las partes y afirma que «solo existe usurpación de identidad cuando se utilizan datos obtenidos ilegalmente para simular la identidad del interesado». Según la citada institución, mediante la quinta cuestión prejudicial, tampoco se solicita al Tribunal de Justicia que interprete una disposición específica del RGPD.
14. Conforme a reiterada jurisprudencia del Tribunal de Justicia, las cuestiones sobre la interpretación del Derecho de la Unión planteadas por un órgano jurisdiccional nacional disfrutan de una presunción de pertinencia. El Tribunal de Justicia solo puede abstenerse de pronunciarse sobre una cuestión si resulta patente que la interpretación del Derecho de la Unión solicitada no guarda relación alguna con la realidad o con el objeto del litigio principal, si el problema es de naturaleza hipotética o, también, si el Tribunal de Justicia no dispone de los elementos de hecho o de Derecho necesarios para responder adecuadamente a tales cuestiones. (5)
15. La objeción de Scalable Capital a la admisibilidad de todas las cuestiones prejudiciales planteadas se basa en su interpretación del artículo 82 del RGPD, del derecho a indemnización y de la supuesta inexistencia de daños y perjuicios inmateriales. Las cuestiones prejudiciales versan sobre el derecho a indemnización que asiste a los interesados al amparo del artículo 82 del RGPD. Declarar la existencia de los daños y perjuicios es un requisito previo necesario para obtener la indemnización. (6) Por consiguiente, la excepción propuesta por Scalable Capital contra la admisibilidad de las peticiones de decisión prejudicial se refiere al fondo de la problemática que en ellas se suscita. Por su propia naturaleza, las alegaciones relativas al fondo de las cuestiones planteadas en una petición de decisión prejudicial no pueden afectar a la admisibilidad de dicha petición. (7)
16. En cuanto a la objeción de la Comisión relativa a la admisibilidad de la quinta cuestión prejudicial, no parece evidente que dicha cuestión no guarde relación con los litigios de que conoce el órgano jurisdiccional remitente o que sea de naturaleza hipotética. El órgano jurisdiccional remitente conoce de acciones indemnizatorias ejercitadas con arreglo al RGPD. Las partes no están de acuerdo en cuanto a si el robo de datos personales constituye una usurpación de identidad en el sentido del considerando 75 del RGPD o a si, para que se produzca tal usurpación de identidad, «un infractor [debe haber] utilizado efectivamente la identidad del interesado». (8) Aunque las observaciones del órgano jurisdiccional remitente sobre la quinta cuestión prejudicial son sucintas, de las peticiones de decisión prejudicial se desprende que la referida cuestión está relacionada con las otras cuatro que plantea sobre el concepto de daños y perjuicios inmateriales y sobre el derecho a indemnización previsto en el artículo 82 del RGPD.
17. En consecuencia, propongo al Tribunal de Justicia que desestime las distintas objeciones formuladas contra la admisibilidad de las cuestiones planteadas por el Amtsgericht München (Tribunal de lo Civil y Penal de Múnich).
B. Sobre el fondo
1. Observaciones de las partes
18. Según SO, el considerando 85 del RGPD establece una clara distinción entre la usurpación de identidad y el fraude de identidad. Alega que la usurpación de identidad presupone que el infractor puede usar indebidamente la identidad de la persona al confundir a terceros sobre esa identidad. El fraude de identidad puede cometerse, a su juicio, tras una usurpación de identidad. De ello deduce que la usurpación de identidad no exige el uso indebido efectivo de la identidad de una persona. En su opinión, la naturaleza y el alcance de los datos robados en el presente asunto permiten presumir la existencia de una usurpación de identidad que da derecho a una indemnización por este concepto.
19. Scalable Capital aduce que la usurpación de identidad se produce cuando una persona hace un uso indebido de los datos personales de una persona con el objetivo de «simular» su identidad. Señala que el robo de datos puede suponer o facilitar una usurpación de identidad, pero no constituye en sí mismo una usurpación de identidad. A su parecer, una interpretación sistemática del considerando 75 del RGPD respalda este enfoque, puesto que dicha disposición incluye otros ejemplos de uso de determinados datos personales que no constituyen una usurpación de identidad. Añade que el artículo 82 del RGPD tiene por objeto reparar los daños y perjuicios efectivamente sufridos por los particulares. Concluye que interpretar de forma amplia el concepto de usurpación de identidad va en contra de este objetivo, puesto que permitiría ejercitar una acción indemnizatoria sobre la base de la posibilidad abstracta de que puedan ocasionarse daños y perjuicios en el futuro.
20. Irlanda alega que la usurpación de identidad se refiere a circunstancias en las que una parte asume efectivamente la identidad de la persona cuyos datos han sido robados. Por tanto, para que se produzca una usurpación de identidad, estima insuficiente que una parte esté en posesión de datos que identifiquen a una persona. En su opinión, la indemnización de los daños y perjuicios inmateriales con arreglo al artículo 82 del RGPD debe apreciarse, en cualquier caso, atendiendo al fondo de cada caso concreto.
21. La Comisión observa que el RGPD no define la usurpación de identidad. Precisa que los considerandos 75 y 85 del RGPD la mencionan como ejemplo de un tratamiento de datos personales que puede provocar daños y perjuicios físicos, materiales o inmateriales. Según la Comisión, la usurpación de identidad a que se refieren estos considerandos consiste en la obtención ilegal de datos con el fin de «simular la identidad» de la persona afectada. (9) Considera que, para probar la usurpación de identidad, la intención del infractor de hacerse pasar por la persona afectada debe determinarse mediante acciones o actos concretos de preparación de tal suplantación. Puntualiza que, dado que es de reiterada jurisprudencia que el perjuicio ha de ser «real y cierto», (10) la mera posesión de datos que identifiquen a la persona afectada, sin que se hayan efectuado otras actuaciones para hacerse pasar por ella, no constituye una usurpación de identidad.
2. Análisis
22. Mediante su quinta cuestión prejudicial, el órgano jurisdiccional remitente desea saber si el robo de datos personales sensibles de un interesado (11) por un infractor desconocido constituye por sí solo una usurpación de identidad, dando así derecho a indemnización, o si, para que tal usurpación tenga lugar, es necesario que el infractor utilice efectivamente la identidad del interesado o tome medidas a tal fin. La cuestión se plantea en el contexto de una situación en la que consta que unos infractores desconocidos robaron determinados datos personales sensibles de JU y de SO de la aplicación de negociación con valores de Scalable Capital. Aunque no parece haberse hecho ningún uso (indebido) de los datos, dado que no se conoce la identidad de los infractores y que no han sido detenidos, no es posible excluir tal uso (indebido) en el futuro.
23. El artículo 82 del RGPD reconoce con carácter general (12) el derecho de todo interesado que haya sufrido «daños y perjuicios materiales o inmateriales» como consecuencia de una infracción del RGPD a recibir una indemnización y distribuye la responsabilidad entre el responsable y el encargado del tratamiento. Dicha disposición no especifica ni la naturaleza concreta ni la forma de los daños y perjuicios. El RGPD no remite a los ordenamientos jurídicos de los Estados miembros para definir el sentido y el alcance del concepto de «daños y perjuicios inmateriales». (13) Por tanto, este término debe tratarse como un concepto autónomo del Derecho de la Unión e interpretarse de manera uniforme en todos los Estados miembros. (14)
24. El derecho a la indemnización prevista en el artículo 82 del RGPD está sujeto a que se prueben los «concretos daños y perjuicios sufridos» y la existencia de una relación de causalidad entre la infracción cometida y esos daños y perjuicios. (15) El RGPD no establece un sistema de responsabilidad objetiva. (16) El carácter compensatorio del régimen instaurado por el artículo 82, apartado 1, del RGPD también excluye las indemnizaciones de carácter punitivo. (17) La indemnización debe ser «total y efectiva», de modo que «[permita] compensar íntegramente los concretos daños y perjuicios sufridos como consecuencia de la infracción [del RGPD]». (18) No se exige que los daños y perjuicios inmateriales sufridos por el interesado alcancen cierto nivel de gravedad. (19) Aunque no existe un umbral de minimis en cuanto al grado de los daños y perjuicios inmateriales, deben existir pruebas claras y precisas de que el interesado ha sufrido tales daños y perjuicios. Los daños y perjuicios potenciales o hipotéticos (20) o la mera inquietud con referencia al robo de datos personales no bastan.
25. El artículo 82, apartado 3, del RGPD exime de responsabilidad al responsable o encargado del tratamiento «si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios». El Tribunal de Justicia no ha tenido ocasión de examinar en detalle el artículo 82, apartado 3, del RGPD. Una interpretación literal de esta disposición parece sugerir que cualquier negligencia o lapsus (culposos) del responsable o encargado del tratamiento bastan para excluir la aplicación de la exención. Además, la carga de la prueba (21) que esta disposición atribuye al responsable o encargado del tratamiento que pretendan acogerse a la exención puede exigir el mantenimiento de medidas destinadas a evitar violaciones de la seguridad de los datos. (22)
26. El robo de datos personales del interesado da lugar a un derecho a indemnización de los daños y perjuicios inmateriales, de conformidad con el artículo 82, apartado 1, del RGPD, siempre que se cumplan los tres requisitos establecidos en la sentencia Österreichische Post. (23) En virtud del considerando 7 del RGPD, «las personas físicas deben tener el control de sus propios datos personales». Que a los interesados «se les impida ejercer el control sobre sus datos personales» (24) o que las personas físicas pierdan el «control sobre sus datos personales», (25) puede dar lugar a daños y perjuicios inmateriales. En este contexto, el órgano jurisdiccional remitente se pregunta si el robo de datos personales constituye una usurpación de identidad.
27. Las disposiciones operativas del RGPD no mencionan ni definen el concepto de usurpación de identidad. Los considerandos 75 y 85 del RGPD simplemente recogen la expresión «usurpación de identidad o fraude». El considerando 75 enumera la «usurpación de identidad o fraude» en una lista no exhaustiva (26) de los riesgos para el ejercicio de los derechos y libertades de las personas físicas asociados al tratamiento de sus datos personales. En este sentido, el considerando 85 del RGPD menciona la «usurpación de identidad o fraude» como ejemplo (27) de los daños y perjuicios ocasionados cuando no se toman a tiempo medidas adecuadas. (28)
28. Varios considerandos (29) y disposiciones (30) de otros actos legislativos de la Unión hacen referencia a expresiones como «usurpación de identidad», (31) «fraude de identidad» y «usurpación de identidad o fraude». (32) No he encontrado ninguna disposición de la legislación de la Unión que defina estos conceptos. (33)En efecto, el legislador de la Unión se refiere a ellos con fines ilustrativos. (34)
29. Así se desprende también del examen de las distintas versiones lingüísticas de tales expresiones en los considerandos 75 y 85 del RGPD. Si bien las versiones en lengua alemana, («Identitätsdiebstahl oder —betrug»), inglesa («identity theft or fraud»), estonia («identiteedivargust või —pettust»), irlandesa («goid aitheantais nó calaois aitheantais»), lituana («būti pavogta ar suklastota tapatybė»), neerlandesa («identiteitsdiefstal of —fraude»), polaca («kradzieżą tożsamości lub oszustwem dotyczącym tożsamości»), rumana («furt sau fraudă a identității») y eslovaca («krádeži totožnosti alebo podvodu») son a grandes rasgos similares, las versiones en lengua checa («krádeži či zneužití identity»), francesa («vol ou une usurpation d’identité»), griega («κατάχρηση ή υποκλοπή ταυτότητας»), portuguesa («usurpação ou roubo da identidade»), italiana («furto o usurpazione d’identità») y española («usurpación de identidad o fraude») difieren de ellas en mayor o menor medida. Las diferentes versiones lingüísticas de los considerandos pertinentes del RGPD indican que los conceptos de usurpación de identidad, fraude de identidad, abuso de identidad, uso indebido de identidad, apropiación indebida de identidad y suplantación de identidad se solapan y pueden considerarse, al menos hasta cierto punto, intercambiables. De ello se deduce que los considerandos 75 y 85 del RGPD no establecen una distinción clara entre usurpación de identidad y fraude de identidad, contrariamente a las alegaciones de SO expuestas en el punto 18 de las presentes conclusiones.
30. Los considerandos 75 y 85 del RGPD diferencian entre los ejemplos de «pérdida de control» o de imposibilidad para «ejercer el control» sobre los datos personales y el de «usurpación de identidad o fraude». En consecuencia, el robo de datos personales (35) no constituye por sí solo una usurpación de identidad, aun cuando ese robo pueda llevar en el futuro a un uso (indebido) de tales datos. La usurpación de identidad exige una acción o medida adicional que tenga efectos perjudiciales para el interesado que vayan más allá del robo de los datos personales. (36) Una persona que roba los datos personales de un interesado debe usarlos (indebidamente) o adoptar medidas concretas para ello con fines ilícitos y sin el consentimiento de dicha persona. (37) Tal acción suele implicar fraude u otra forma de engaño y por lo general se lleva a cabo para obtener un beneficio económico o de otro tipo o con el fin de perjudicar al interesado o a su entorno. (38)
31. De lo anterior resulta que, pese a que el robo de datos personales no constituye una usurpación de identidad o fraude, dicho robo puede dar lugar a daños y perjuicios inmateriales y a un derecho a indemnización en virtud del artículo 82, apartado 1, del RGPD. (39) Probar los daños y perjuicios inmateriales puede resultar más sencillo cuando se comprueba que el interesado ha sido víctima de una usurpación de identidad o de un fraude como consecuencia del robo de sus datos personales. (40) El derecho a indemnización de los daños y perjuicios inmateriales previsto en el artículo 82, apartado 1, del RGPD en el caso de robo de datos personales no se supedita, sin embargo, a la existencia de una usurpación de identidad o fraude. (41) Los daños y perjuicios inmateriales y el derecho a indemnización a que se refiere el artículo 82, apartado 1, del RGPD deben apreciarse en cada caso concreto, teniendo en cuenta todas las circunstancias pertinentes.
VI. Conclusión
32. A la luz de las consideraciones que preceden, propongo al Tribunal de Justicia que responda del siguiente modo a la quinta cuestión prejudicial planteada por el Amtsgericht München (Tribunal de lo Civil y Penal de Múnich, Alemania):
«El artículo 82, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),
debe interpretarse en el sentido de que
el robo por un infractor desconocido de los datos personales sensibles de un interesado puede dar lugar a un derecho a indemnización de los daños y perjuicios inmateriales siempre que se pruebe que se ha infringido dicho Reglamento, que se han sufrido daños y perjuicios concretos y que existe una relación de causalidad entre la infracción y los daños y perjuicios. El derecho a recibir tal indemnización no está sujeto a que el infractor suplante la identidad del interesado y la posesión de datos que identifiquen al interesado no constituye por sí sola una usurpación de identidad.»