Hace unos años el Tribunal de Justicia de la Unión Europea (TJUE) estableció un precedente significativo al reconocer el derecho a recibir compensación monetaria por daños no materiales derivados de infracciones al Reglamento General de Protección de Datos (RGPD). Esta trascendental resolución sentaba las bases para una mayor protección de los derechos individuales en el ámbito digital, ampliando el alcance de las indemnizaciones más allá de los perjuicios puramente económicos.
Tabla de contenidos
El caso
El fallo del TJUE se origina a raíz de un caso presentado contra la empresa de servicios postales austriaca, Österreichische Post. La compañía empleó un algoritmo para categorizar a ciertos ciudadanos según su supuesta afinidad política, basándose en criterios sociodemográficos. Posteriormente, estos datos fueron comercializados a diversas organizaciones con el fin de enviar publicidad personalizada.
Uno de los afectados, al descubrir que había sido etiquetado como simpatizante del Partido de la Libertad de Austria (FPÖ), partido de extrema derecha y tendencias nacionalistas, experimentó una profunda indignación y ofensa. Sintió que esta asociación injustificada dañaba su reputación y confianza, provocándole un gran malestar emocional.
La búsqueda de Justicia: solicitud por daños inmateriales
Como consecuencia de lo anterior y motivado por estos sentimientos negativos, el demandante solicitó una indemnización de 1.000 euros por daños no materiales. Argumentó que la supuesta afinidad política que se le había asignado era «insultante, vergonzosa y extremadamente dañina para su reputación», causándole una pérdida de confianza y la sensación de estar expuesto públicamente.
Sin embargo, tanto en primera como en segunda instancia, los tribunales austriacos desestimaron su reclamo, considerando que estos perjuicios emocionales no eran motivo suficiente para una compensación económica.
La Sentencia TJUE
Ante la incertidumbre legal, el Tribunal Supremo de Austria remitió el caso al TJUE, quien emitió un importante fallo. Si bien el alto tribunal europeo aclaró que la mera infracción del RGPD no confiere automáticamente el derecho a una indemnización, determinó que la comprobación de daños directamente relacionados con la violación de datos personales sí cumple con los requisitos para exigir una compensación, incluso si estos son de naturaleza no material.
Concretamente, el TJUE enfatizó la importancia de interpretar de manera amplia el concepto de «daños» en el contexto del RGPD. Reconoció que los perjuicios emocionales, como la indignación, la ofensa y la pérdida de confianza experimentadas por el demandante, trascienden la mera incomodidad pasajera y merecen ser considerados como daños compensables.
El cálculo de la indemnización: Principios de equivalencia y efectividad
Si bien el TJUE no estableció un monto específico para la indemnización, aclaró que la cuantía deberá ser determinada por los tribunales nacionales en cada caso particular, guiados por los principios de equivalencia y efectividad. Esto significa que la compensación debe ser proporcional al daño sufrido y lo suficientemente disuasoria para garantizar la efectividad de la protección de datos.
No obstante, el tribunal europeo enfatizó que una indemnización apropiada no requiere el pago de cuantías punitivas o excesivamente disuasorias. El objetivo principal es resarcir los daños sufridos, sin la necesidad de castigar de manera desproporcionada a los responsables del tratamiento de datos.
¿Un futuro sin cookies? La guía de cookies 2024 actualizada de la AEPD
Nueva Sentencia (Caso C-590/2022)
Más recientemente, el TJUE ha dictado una Sentencia, de 20 de junio, en el Asunto C-590/2022 en la que razona que para fundamentar un derecho a indemnización basta el temor padecido por una persona a que sus datos personales hayan sido divulgados a terceros, aún cuando no pueda demostrarse que tal ha sido efectivamente el caso, siempre que ese temor, junto con sus consecuencias negativas, resulte debidamente probado.
En esta sentencia, el TJUE delimita los criterios para que una pérdida de control sobre datos personales genere un derecho indemnizatorio cuando no se puede demostrar en qué medida posibles terceros han tenido conocimiento de los datos.
Concretamente, el TJUE afirma que no toda infracción en materia de tratamiento de datos personales genera el derecho a indemnización sino que es necesario acreditar la existencia de un perjuicio causado por la infracción, aunque no es necesario que el perjuicio alcance cierto grado de gravedad.
Implicaciones y desafíos futuros
Estas sentencias del TJUE marcan importantes hitos en la protección de los derechos individuales en el entorno digital. Al reconocer que los daños inmateriales merecen una compensación económica, se envía un mensaje contundente sobre la importancia de salvaguardar la privacidad y la dignidad de las personas en el mundo digital.
Sin embargo, también plantea desafíos significativos. Los tribunales nacionales deberán establecer criterios claros y consistentes para determinar cuándo se han producido daños no materiales y cómo calcular las indemnizaciones correspondientes. Además, será necesario encontrar un equilibrio adecuado entre la protección de los derechos individuales y las necesidades legítimas de las empresas y organizaciones que tratan datos personales.