- El Tribunal de Justicia de la Unión Europea (TJUE) emitió dos sentencias el 20 de junio de 2024, abordando la indemnización por daños bajo el artículo 82 del RGPD.
- Las sentencias subrayan que la infracción del RGPD es necesaria, pero no suficiente para recibir compensación; es necesario demostrar un daño y una relación de causalidad.
- El robo de datos no implica necesariamente una usurpación de identidad, pero sí puede generar el derecho a indemnización si se prueban los daños.
El 20 de junio de 2024, el Tribunal de Justicia de la Unión Europea (TJUE) dictó dos sentencias que aclaran el alcance del artículo 82 del Reglamento General de Protección de Datos (RGPD), relativo a la indemnización por daños en casos de infracción. Estas decisiones son relevantes para la interpretación de las reclamaciones de daños y perjuicios en el contexto de la protección de datos y proporcionan criterios adicionales para que los tribunales nacionales puedan aplicarlos.
Daños y perjuicios: el fundamento de la indemnización
En la primera de las sentencias, el TJUE abordó un caso donde un error llevó al envío de datos fiscales a un tercero no autorizado, sin demostrarse la pérdida de control sobre dichos datos. El tribunal determinó que, si bien la infracción del RGPD es una condición necesaria, no es suficiente para garantizar la indemnización. Es indispensable que se produzca un daño, ya sea material o inmaterial, y que exista una relación de causalidad entre la infracción y el daño.
El TJUE también aclaró que no es necesario que los daños alcancen un cierto grado de gravedad para que el reclamante tenga derecho a indemnización, pero deben probarse consecuencias negativas derivadas de la infracción.
Temor y compensación
Una de las cuestiones planteadas fue si el temor a que los datos hayan sido divulgados a terceros puede justificar una indemnización. El tribunal concluyó que este temor no es suficiente a menos que conlleve consecuencias negativas demostrables para el individuo afectado.
En cuanto a la cuantificación de las indemnizaciones, el TJUE señaló que no deben aplicarse los criterios previstos para la imposición de multas administrativas (artículo 83 del RGPD), ya que ambos persiguen objetivos distintos. La indemnización tiene una función compensatoria, y su cuantía debe basarse en los daños sufridos, sin estar relacionada con la gravedad de la infracción.
Robo de datos y usurpación de identidad
En la segunda sentencia, el TJUE se pronunció sobre un caso relacionado con el robo de datos personales en una plataforma de negociación de valores. El tribunal precisó que el robo de datos no implica automáticamente una usurpación de identidad, a menos que los datos robados sean utilizados efectivamente con ese fin.
Sin embargo, el TJUE dejó claro que el robo de datos por sí solo puede dar lugar a una indemnización si se cumplen los tres requisitos del artículo 82 del RGPD: una infracción del reglamento, un daño y una relación de causalidad entre ambos.
Aspectos clave
Las sentencias del TJUE de junio de 2024 aclaran varios aspectos clave sobre la indemnización por daños en el contexto del RGPD, proporcionando a los tribunales nacionales criterios más precisos para aplicar el artículo 82. No obstante, persiste la falta de directrices generales para calcular la cuantía de las indemnizaciones, lo que sigue dependiendo de las legislaciones nacionales de cada Estado miembro.