RESUMEN
Durante los últimos años, el Tribunal de Luxemburgo ha ido creando, paulatinamente, un concepto autónomo y uniforme de responsabilidad civil por infracción de las disposiciones del Reglamento (UE) 2016/679 de Protección de Datos Personales que gira en torno a la interpretación del art. 82, objeto del presente análisis.
A través de la técnica jurisprudencial de elaboración de un concepto autónomo, se revisa cómo el juzgador europeo está creando un sistema coherente con el espíritu del citado reglamento, que conjuga el derecho de los ciudadanos a proteger sus datos personales con los intereses económicos del mercado único digital.
El carácter funcional de este concepto autónomo sirve para delimitar los sujetos responsables, los tres requisitos acumulativos para la obtención de la indemnización por daños y perjuicios, tanto materiales como inmateriales, el daño indemnizable, el sistema de responsabilidad civil, así como la naturaleza de la medida resarcitoria.
La aplicación práctica de la norma por parte de los tribunales nacionales de diversos Estados miembros ofrece una visión actual de la materia que sirve para constatar tanto su carácter incompleto como las dificultades a las que se enfrenta, especialmente en el ámbito de la cuantificación de las indemnizaciones por daños morales.
Palabras clave: Concepto autónomo; protección de datos personales; responsabilidad civil; indemnización por daños y perjuicios; daños materiales; daños morales.
ABSTRACT
Over the last few years, the Court of Luxembourg has gradually established an autonomous and uniform concept of civil liability for breach Regulation (EU) 2016/679 provisions on personal data protection based on the interpretation of Article 82, object of this analysis.
Through the jurisprudential technique of creating an autonomous concept, we will overview how the European judge is creating a system consistent with the spirit of the aforementioned Regulation, which combines the right of citizens to protect their personal data, with the economic interests of the internal Digital Market.
The functional nature of this autonomous concept serves to delimit the responsible subjects, the three cumulative requirements for obtaining compensation for damages, both material and immaterial, the compensable damage, the civil liability system, as well as the nature of the compensatory measure.
The case law of the European Union Member States on compliance with this rule highlights both its incomplete nature and the difficulties it faces, especially in the area of quantification of non-material loss compensation.
Keywords: Autonomous concept; personal data protection; civil liability; compensatory damages; material damages; non-material harm.
RÉSUMÉ
Au cours des dernières années, la Cour de Luxembourg a progressivement créé une notion autonome et uniforme de responsabilité civile en cas de violation des dispositions du règlement (UE) 2016/679 relatif à la protection des données à caractère personnel, qui s’articule autour de l’interprétation de l’article 82, objet de cette analyse.
Par la technique jurisprudentielle de création d’un concept autonome, on examinera comment le juge européen crée un système conforme à l’esprit du règlement susmentionné, qui combine le droit des citoyens à protéger leurs données personnelles, avec les intérêts économiques du marché unique numérique.
Le caractère fonctionnel de cette notion autonome permet de délimiter les responsables, les trois conditions cumulatives pour obtenir réparation des préjudices, tant matériels qu’immatériels, le préjudice indemnisable, le système de responsabilité civile, ainsi que la nature de la mesure compensatoire.
L’application pratique de la règle par les juridictions nationales de différents États membres offre une vision actuelle de la question qui permet de vérifier à la fois son caractère incomplet et les difficultés auxquelles elles sont confrontées, notamment dans le domaine de la quantification de la réparation du préjudice moral subi.
Mots clés: Notion autonome; protection des données personnelles; responsabilité civile; réparation du dommage; dommage matérielle; préjudice moral.
La era digital ha generado un nuevo activo empresarial de gran valor, los datos, entre los que destacan los datos personales, que son transversales, relativos a cualquier ámbito de la vida, ya sea médico, laboral, social o lúdico.
La información relativa a los datos personales es considerada en el ámbito europeo no como una mercancía, sino como un derecho a proteger, el de la intimidad y la privacidad, al amparo de la Carta de los Derechos Fundamentales de la Unión Europea[2]. Constituye un bien jurídico especialmente sensible que es preciso proteger frente a posibles vulneraciones.
El legislador aprobó el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos por el que se deroga la Directiva 95/46/CEE[3], en adelante denominado Reglamento de protección de datos o, simplemente, el Reglamento.
Por medio de este reglamento, el legislador pretende, con carácter general, crear un entorno jurídico unificado claro y seguro para todos los Estados miembros de la UE[4], buscando el difícil equilibrio entre el derecho a la protección de datos personales de los individuos y los intereses de terceros y de la sociedad en general, en aras del progreso económico y social[5]. El objetivo no reside en limitar el sistema de tratamiento de datos personales en el ámbito europeo, sino en legitimar su uso bajo estrictas condiciones[6].
El citado reglamento incide en la protección de los derechos fundamentales de las personas en la era digital y a la vez facilita la actividad económica al proporcionar unas normas aplicables claras para los operadores económicos y los organismos públicos en el mercado único digital[7]. Para cumplir de forma coherente y satisfactoria con la protección adecuada de la libre circulación de datos en el seno del mercado único y con la defensa de los derechos fundamentales de sus ciudadanos, confluyen en el Reglamento mecanismos de tutela judicial efectiva de carácter público y privado (Puig, 2019: 206).
El Reglamento ofrece una respuesta preventiva y sancionadora frente a conductas irresponsables o tratamientos ilícitos de los datos personales. Introduce mecanismos necesarios ante las autoridades competentes de los Estados miembros a fin de controlar de forma efectiva[8] y supervisar la responsabilidad administrativa derivada de la actuación de los operadores que actúen en el seno del mercado único, el denominado public enforcement.
Estas herramientas se complementan con mecanismos jurídico-privados de tutela civil, el denominado private enforcement, con la finalidad de otorgar a los ciudadanos el derecho de acceso, rectificación, supresión, olvido, oposición, limitación del tratamiento y a la portabilidad de datos. Entre estas medidas de carácter privado, destaca el sistema de responsabilidad civil recogido en el art. 82, objeto de este análisis, que ofrece una protección eficaz y completa a los interesados frente a la infracción de sus derechos en materia de protección de datos personales.
Con carácter previo al estudio del sistema de responsabilidad civil establecido en el art. 82, es preciso enmarcar el Reglamento de protección de datos personales en los diferentes ámbitos de actuación que regirán todas sus disposiciones, tanto en lo relativo a la competencia judicial como a la legislación aplicable.
El Reglamento de protección de datos personales[9], de conformidad con el considerando catorce, está dirigido a las personas físicas, independientemente de su nacionalidad o residencia, en relación con el tratamiento de sus datos. Es un ámbito de aplicación personal muy amplio, en línea con el derecho fundamental que plasma, que es preciso conjugar con los restantes ámbitos de aplicación de carácter material y territorial. Está dirigido a organizaciones, instituciones, profesionales o entidades públicas que realicen un tratamiento de datos de carácter personal de terceros. No son, por tanto, titulares del derecho de protección de datos personales las personas jurídicas, tal como corrobora de forma expresa el texto del Reglamento[10] y la jurisprudencia[11].
El eje central del Reglamento gira en torno al consentimiento de las personas respecto al tratamiento de sus datos personales. La obtención del citado consentimiento se articula a través de nuevas condiciones de validez formales más transparentes. Junto al consentimiento inequívoco[12], expreso y revocable[13], aparece una declaración o clara acción afirmativa del mismo del que se derive su conocimiento real. De esta forma, el responsable del tratamiento deberá acreditar que el interesado consintió libremente en el tratamiento de sus datos personales[14].
El ámbito de aplicación material del Reglamento de protección de datos es transversal y dotado de un enfoque funcional. Engloba el tratamiento automatizado (de forma total o parcial) o no automatizado de los datos personales contenidos o destinados a ser incluidos en un fichero[15]. Los datos de carácter personal son interpretados, no a partir de criterios objetivos, sino de la capacidad de terceros para reconocer los datos que sirven para identificar a las personas[16]. A fin de conocer si un supuesto se encuentra dentro del ámbito de aplicación material del Reglamento, el tribunal nacional debe investigar la fuente exacta de la obligación legal que incumbe a un operador económico, en este caso el Reglamento de protección de datos personales, y que supuestamente ha sido infringida[17].
En el ámbito virtual en que se mueven los datos, entre ellos los de carácter personal, es extremadamente difícil establecer fronteras físicas o geográficas. En consecuencia, el Reglamento tiene un ámbito de aplicación territorial muy extenso que se enmarca en la lógica de mercado único, que implica un espacio sin fronteras interiores. Por tanto, comprende el tratamiento de datos personales desarrollados en el contexto de las actividades de un establecimiento del responsable o encargado en un Estado miembro de la Unión Europea, independientemente de que el tratamiento tenga lugar o no en el seno de la Unión Europea.
El concepto de «establecimiento» del gestor de los datos personales goza de una interpretación amplia y flexible[18], considerado como vínculo territorial que sirve para proteger adecuadamente los datos personales de los ciudadanos de la Unión Europea. Las actividades relativas al tratamiento de datos personales tienen que estar relacionadas con la oferta de bienes o servicios a interesados sitos en la Unión Europea, independientemente de que se les requiera pago, o bien con el control de su comportamiento en la medida en que tenga lugar en el seno del mercado único[19].
El ámbito de aplicación territorial del Reglamento de protección de datos trasciende el territorio del mercado único, buscando proteger el tratamiento de datos personales de ciudadanos del mercado único realizados por parte de organizaciones, empresas e instituciones sitas fuera de la Unión Europea[20]. El art. 3 del Reglamento define el ámbito de aplicación territorial del mismo en función de dos criterios, el del establecimiento en la Unión Europea (primer apartado) y el de selección de los destinatarios, ciudadanos de la Unión Europea (apartado segundo), así como en aquellos lugares donde sea de aplicación el derecho de los Estados miembros, de conformidad con las normas de derecho internacional público[21].
El Reglamento de protección de datos ofrece herramientas a los interesados para defender sus derechos, generando las correspondientes responsabilidades a aquellos que infrinjan el correcto tratamiento de los datos personales, a fin de evitar su uso para fines no previstos o desconocidos. Constituye, por tanto, una manifestación clara del control otorgado por el legislador europeo a los individuos sobre sus datos personales en el ámbito de la legislación europea (Zanfir-Fortuna, 2020: 1164). Es un mecanismo que sirve de forma clara a la finalidad de la responsabilidad civil[22], entendida como la facultad de rendición de cuentas por las infracciones de esta normativa, y la asunción por el sujeto responsable o encargado, en su caso, de las consecuencias que se deriven de las mismas.
Ante la ausencia de un núcleo común entre los Estados miembros en lo que respecta a daños, a su calificación y cuantificación, surge la necesidad de crear un sistema autónomo de responsabilidad civil (Amram y Comandé, 2021: 338). Un concepto propio o autónomo constituye un término común a todos los Estados miembros de la Unión Europea que se va formando a partir de las interpretaciones que realiza el Tribunal de Luxemburgo de conformidad con los Tratados a petición de los órganos jurisdiccionales nacionales, otorgando una solución a problemas prácticos a los que se enfrentan los ciudadanos en general, y, en el ámbito del presente estudio, en particular en materia de protección de datos personales.
Este análisis aborda el concepto autónomo de la responsabilidad civil por infracción de las disposiciones del citado reglamento contemplado en el art. 82[23]. Es una disposición provista de una estructura normativa compleja, que engloba seis apartados. Constituye el fundamento jurídico del sistema de responsabilidad civil, dotado de un alto grado de precisión, pero que no es autosuficiente en sí mismo, en el sentido de que precisa interpretación por parte del órgano jurisdiccional europeo.
Por medio de la técnica jurisprudencial de creación de conceptos autónomos, el Tribunal de Luxemburgo interpreta y aclara aspectos de la normativa, complementando la tarea del legislador que encuentra serias dificultades para regular a través de sus instrumentos jurídicos de forma adecuada ámbitos tan complejos y cambiantes como la protección de datos personales. A través de sus resoluciones, el citado tribunal dota de contenido a conceptos no expresamente contemplados en el derecho de la Unión Europea y sobre los que los distintos Estados miembros presentan diferencias sustanciales (Sánchez-Frías, 2023: 1-252)[24].
El órgano jurisdiccional europeo considera que
los conceptos de una disposición del derecho de la Unión que no se remita expresamente al Derecho de los Estados miembros para determinar su sentido y su alcance normalmente deben ser objeto de una interpretación autónoma y uniforme en toda la Unión, que debe buscarse teniendo en cuenta no solo el tenor literal de la disposición en cuestión, sino también el contexto en el que se inscribe, los objetivos que persigue el acto del que forma parte y la génesis de dicha disposición[25].
El Tribunal de Luxemburgo está asistido en sus resoluciones judiciales por las conclusiones que emiten los abogados generales, que, aunque no son vinculantes, asesoran legalmente, de forma imparcial y neutra, sobre las cuestiones prejudiciales planteadas a fin de conocer el sentido y el alcance de las disposiciones europeas. Por medio de la creación de conceptos autónomos, el Tribunal de Luxemburgo plasma el espíritu de la normativa europea.
Sin embargo, no constituyen en modo alguno una creación ex novo. Para la creación de estos conceptos autónomos, el tribunal se basa en tres elementos: la normativa interpretada en su contexto, la jurisprudencia previa del tribunal europeo y la doctrina. Se centra básicamente en la legalidad, en el texto legislativo, en sus antecedentes y en los trabajos preparatorios de la norma, interpretada debidamente en su contexto, en todos sus ámbitos (de carácter literal, histórico, contextual, teleológico y comparado)[26]. La interpretación de la norma está influenciada por la jurisprudencia anterior del propio Tribunal de Luxemburgo, en particular la relativa a la anterior directiva que ha sido sustituida por el vigente Reglamento de protección de datos, que sigue siendo válida, tal como el citado tribunal ha manifestado de forma expresa[27]. Finalmente, toda esta tarea está complementada con la doctrina, especialmente la más reciente, con la finalidad de que el concepto autónomo sea acorde con la realidad social a la que se debe aplicar.
El concepto autónomo de responsabilidad civil englobado en el art. 82 se ha forjado en los últimos años, ya que el Tribunal de Luxemburgo no se había pronunciado con anterioridad sobre su precedente, el art. 23 de la Directiva 95/46/CE. Es un concepto en proceso de evolución a fin de proporcionar un significado coherente en el marco del Reglamento ajustado a la realidad cambiante del mercado digital único.
A fin de construir debidamente un concepto autónomo y propio de responsabilidad civil, es preciso, con carácter previo, contemplar los órganos jurisdiccionales que serán encargados de otorgar la medida resarcitoria de carácter privado.
La estructura del art. 82, tal como hemos constatado, no es autosuficiente y, además, no es ajena al ámbito de la competencia judicial, ya que precisa que el órgano jurisdiccional determine varios de sus principales elementos, tales como la prueba del daño sufrido y la cuantificación de la indemnización que cubra el perjuicio ocasionado, elementos que desarrollaremos en los próximos epígrafes.
Atendido el carácter intrínsecamente transnacional del tratamiento de los datos personales, el legislador europeo ha introducido de forma expresa reglas específicas para determinar la competencia judicial aplicable en el ámbito de la protección de datos personales, con la finalidad de proteger adecuadamente a las personas físicas interesadas en obtener una indemnización[28] (De Miguel Asensio, 2017: 94). De esta forma, el Reglamento asegura el adecuado cumplimiento de las reglas relativas a la protección de datos personales y otorga previsibilidad.
El establecimiento de estas reglas, tal como acreditan los trabajos preparatorios[29], complementa las normas de competencia judicial de carácter general establecidas con anterioridad en el Reglamento (UE) 1215/2012 del Parlamento Europeo y del Consejo, de 12 de diciembre de 2012, relativo a la competencia judicial, el reconocimiento y la ejecución de resoluciones judiciales en materia civil y mercantil, en adelante Reglamento Bruselas I bis.
El art. 79 del Reglamento de protección de datos en su primer apartado faculta a aquellas personas que consideren que sus derechos hayan sido vulnerados como consecuencia de una infracción del tratamiento de sus datos personales a ejercer la tutela efectiva. Dicha acción judicial, de conformidad con el apartado sexto del art. 82 del citado reglamento, «deberá ejercitarse» ante los tribunales competentes de acuerdo al derecho de cada Estado miembro. Remite al apartado segundo del art. 79, que, de forma adecuada, otorga la alternativa de que las acciones no solo se puedan presentar en el lugar donde el responsable o encargado tenga su establecimiento, sino también ante los tribunales del Estado miembro donde el interesado tenga su residencia habitual, con la excepción de aquellos supuestos en que el responsable o el encargado sea una autoridad pública de un Estado miembro que actúe en ejercicio de sus poderes públicos. Esta remision al tribunal del Estado miembro ha sido objeto de diversas interpretaciones, considerándose por algunos autores como una remision procesal para cuestiones de competencia territorial (Franzina, 2016: 99), mientras que otros consideran que solo regula la competencia judicial internacional y sus reglas deben completarse con las disposiciones procesales del foro (Rodríguez Pineau, 2021: 218).
En los casos transfronterizos, ante la dificultad o prácticamente imposibilidad de localizar geográficamente el lugar donde se comete la infracción del Reglamento de protección de datos personales en materia de responsabilidad civil, el legislador europeo otorga al interesado dos foros aplicables tanto al ámbito contractual como extracontractual. El foro del establecimiento del responsable o encargado que presuntamente ha cometido la infracción suele coincidir, aunque no es idéntico[30], con la regla general establecida en el Reglamento Bruselas I bis, concretado en el foro del domicilio del demandado, y resulta, en líneas generales, fácil de prever. O, alternativamente, el foro de la residencia habitual del interesado, que resulta muy adecuado y facilita el acceso a la justicia de la víctima.
El hecho de que el mismo Reglamento de protección de datos facilite dos foros competentes sin establecer jerarquía entre ellos parece suficiente en este ámbito, otorgando certeza y seguridad jurídica. Asimismo, su compatibilidad con la regla general establecida en el Reglamento Bruselas I bis no implica, a mi entender, la necesidad de añadir otros fueros a los expresamente contemplados, tal como corroboran los trabajos preparatorios del Reglamento[31]. No obstante, la cuestión relativa a la compatibilidad de las reglas de competencia entre ambos reglamentos no ha sido pacífica y ha generado cierto debate en la doctrina (Ormaeche Lenguínez, 2022). Existen partidarios de la convivencia pacífica entre los dos textos normativos, mientras que otros autores se decantan por la preeminencia de las normas establecidas en el Reglamento de protección de datos[32]. Actualmente, la posición mayoritaria que prevalece entiende que las reglas de competencia de ambos reglamentos son de aplicación cumulativa (Torralba Mendiola y Rodríguez Pineau, 2023: 164).
Por otro lado, es preciso constatar que, junto con la vía jurisdiccional contemplada en el art. 82, existen otras opciones para el interesado, como la vía arbitral, constando la propuesta de constituir un mecanismo específico de arbitraje ad hoc con carácter urgente (Casanova Asencio, 2019: 24) en el ámbito del tratamiento de datos personales relacionados con la salud[33], y los mecanismos de resolución extrajudicial de conflictos, incluidos generalmente en códigos de conducta u otros mecanismos de autorregulación propios de la responsabilidad proactiva[34].
La piedra angular sobre la que pivota el sistema de responsabilidad civil contemplado en el Reglamento de protección de datos gira en torno al principio de responsabilidad proactiva, también denominada accountability, que es una medida inspirada en el modelo anglosajón. El legislador europeo configura un tipo de responsabilidad activa, no reactiva, estrechamente ligada con la rendición de cuentas (De Marcos, 2021). Parte del sistema ideado en la anterior Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995[35], aplicable, y refuerza los derechos de los interesados y las obligaciones de los responsables del tratamiento incrementando las funciones de las autoridades de control, que están facultadas para imponer sanciones de conformidad con el mismo reglamento.
El legislador europeo asume que el tratamiento de datos personales puede ser fuente de riesgos e impone a los agentes del tratamiento de los citados datos la necesidad de evaluar esos riesgos y adoptar medidas técnicas y organizativas aplicables de conformidad con la normativa, demostrables ante cualquier interesado y, en su caso, ante las autoridades de supervisión[36], a fin de prevenir y minimizar los riesgos que hayan detectado, evitando de esta forma los daños y perjuicios a las personas que pueden resultar afectadas. Además, de forma clara, los responsables están obligados a ofrecer información transparente y de fácil acceso a las personas sobre el tratamiento de sus datos personales
En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades y qué tipo de operaciones de tratamiento llevan a cabo[37] a fin de mitigar los riesgos existentes en este ámbito. Constituye, por tanto, un sistema abierto y receptivo a normas, instrumentos legales de carácter internacional, así como a distintas formas de autorregulación por parte de los operadores.
El legislador europeo, a través del Reglamento de protección de datos, salvaguarda la protección y seguridad de los datos personales de los ciudadanos de la Unión Europea combinando la vía jurídica, a través de sus disposiciones, y la vía técnica, que se concreta en un sistema de responsabilidad proactivo.
La doctrina ha intentado enmarcar el sistema de la responsabilidad contemplado en el art. 82 en las principales corrientes existentes que giran en torno a los sistemas denominados de responsabilidad civil subjetiva y objetiva.
Del texto del art. 82 del Reglamento que instaura un régimen de responsabilidad civil no se desprende ningún indicio relativo a un sistema de responsabilidad subjetivo, condicionado a la culpa del gestor del tratamiento de datos personales, a diferencia de otras disposiciones del mismo texto, como las relativas a la imposición de sanciones administrativas, en las que se alude expresamente a la intencionalidad o negligencia.
En los trabajos preparatorios, tanto del citado reglamento como de la directiva precedente, no hay referencias a la negligencia. El texto no asocia la obligación de indemnizar al incumplimiento del deber de cuidado. Únicamente aparece una mención de strict liability en la Directiva[38]. A mayor abundamiento, a sensu contrario, consta una enmienda que no prosperó en esta materia[39].
No obstante, recientemente el Tribunal de Luxemburgo consideró que un mecanismo de responsabilidad por culpa con inversión de la carga de la prueba garantiza el equilibrio entre los intereses de los responsables del tratamiento de los datos personales y los derechos de las personas cuyos datos tratan, objetivo principal del Reglamento de protección de datos. El juzgador europeo interpreta, por tanto, que del art. 82 del Reglamento se desprende que el «nacimiento de la responsabilidad del responsable del tratamiento está supeditado a la existencia de culpa por parte de este, la cual se presupone, a menos que este demuestre que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios»[40].
Es indudable que el sistema de responsabilidad civil basado en la culpa fomenta la diligencia, exigiendo al agente adoptar las medidas para evitar riesgos propios del sector económico a fin de mantener la seguridad y prevenir cualquier daño que pueda ocasionar la actividad realizada. Según esta interpretación, la culpa aparece inicialmente de forma presunta, al constatar la infracción, y posteriormente condiciona los supuestos de exoneración basándose en la diligencia empleada, entendida como falta de negligencia.
Sin embargo, la responsabilidad contemplada en el art. 82 también presenta rasgos propios de la responsabilidad denominada objetiva, sin culpa.
En los sistemas tradicionales de responsabilidad por culpa la carga de la prueba recae en la víctima, pero la introducción de la inversión de la carga de la prueba por parte del legislador europeo supone una evolución del mismo sistema de responsabilidad subjetiva en busca de una protección frente a los daños generados por las actividades consideradas de riesgo. En estos casos, aquellos agentes que generan el riesgo que se materialice en daños probados responden por estos daños, aunque no medie culpa. Responde a la teoría del riesgo creado, según la cual el agente que inicia una actividad peligrosa debe responder de los eventuales daños en que se concrete la misma.
En el contexto de la inmediatez que rige el tratamiento de los datos personales, la ausencia de culpa no puede impedir a la víctima que haya sufrido un daño probado la obtención una indemnización por daños y perjuicios. La finalidad es proteger a la víctima del daño ocasionado y probado sin incidir en sus causas, en la existencia o no de culpa.
No obstante, un régimen de responsabilidad objetiva que prescindiera totalmente de la culpa no garantizaría la consecución del objetivo de seguridad jurídica perseguido por el legislador[41] y podría desincentivar la precaución, ya que, en el supuesto de que se produzcan daños, se habrán de indemnizar de todas formas.
Al lado de estas teorías tradicionales que han protagonizado el debate doctrinal, surge una tercera postura, que defiende, entre otros, el profesor Puig (2024), que se centra en la valoración de la infracción normativa (non-compliance liability), es decir, en el resultado y no en el comportamiento del agente causante del daño. Esta vía goza de una gran aceptación en el ámbito de las nuevas tecnologías y, en particular, en la regulación europea de la inteligencia artificial.
Sin embargo, esta tesis, acorde con la evolución tecnológica actual, olvida, a mi entender, que la responsabilidad, en general, no solo surge de la infracción de las normas, que es un presupuesto básico o punto de partida, sino que, además, conlleva la actuación, ya sea de medios o de resultado, del sujeto responsable que trata los datos personales. Eliminar el factor humano de la ecuación no parece una alternativa adecuada en estos casos.
La responsabilidad civil que se desprende del art. 82 del Reglamento de protección de datos tiene, en mi opinión, un carácter mixto. Conjuga la observancia de la diligencia debida por el responsable con la inversión de la carga de la prueba de la culpa y la elevación del nivel de diligencia exigible. El tratamiento de los datos personales es una actividad que conlleva un riesgo y es preciso adoptar unas normas técnicas de elevado nivel de exigencia y de control, así como unas pautas de conducta exigentes para todos los agentes involucrados en el mismo. Surge, de esta forma, un sistema intermedio que no es más que una evolución jurisprudencial del sistema codificado de responsabilidad civil por culpa.
Las particularidades del sistema de responsabilidad civil contemplado en el art. 82 se concretan en una obligación de resultados. Únicamente en el supuesto de que el sujeto responsable pueda acreditar que ha implementado con una diligencia razonable todas las medidas técnicamente adecuadas podrá exonerarse de la responsabilidad del citado art. 82 del Reglamento. Nuestra jurisprudencia, de forma adecuada, matiza que «no basta con diseñar los medios técnicos y organizativos necesarios, también es necesaria su correcta implantación y su utilización de forma apropiada, de modo que también responderá por la falta de la diligencia en su utilización, entendida como una diligencia razonable atendiendo a las circunstancias del caso»[42].
En definitiva, el sistema de responsabilidad civil recogido en el art. 82 del Reglamento de protección de datos parte del aforismo non neminem laedere, consistente en el principio de no dañar a nadie, y se enmarca en un modelo mixto, de carácter sui generis, que podríamos denominar «responsabilidad civil de carácter sectorial».
El análisis de la responsabilidad civil recogida en el art. 82 del Reglamento gira en torno a dos sujetos: la persona física considerada víctima de la infracción que sufre un perjuicio y el responsable de resarcir el daño infringido y probado.
El sujeto que puede activar la vía jurisdiccional contemplada en el citado precepto del Reglamento de protección de datos es el denominado «interesado», aquella persona física identificada e identificable, titular de datos personales, que desea asumir la defensa de aquellos derechos relativos a sus datos personales que crea vulnerados. El Reglamento permite asimismo la representación de los interesados a través del ejercicio de acciones colectivas[43], siempre y cuando esté previsto en la legislación del Estado miembro. Algunos autores han planteado incluso la extensión de la citada acción a los herederos del interesado (Menezes Cordeiro, 2019: 496).
La caracterización del sujeto responsable reviste una gran relevancia, ya que será la persona encargada de cumplir con las obligaciones relativas a garantizar la protección de los datos personales.
Atendido el perímetro material de la responsabilidad, el apartado tercero del texto del art. 82 del Reglamento incluye no solo como responsable al titular del tratamiento de datos utilizados para su actividad[44], sino también al encargado[45], a quien se puede imputar jurídicamente el daño causado para obtener su reparación. Por tanto, pueden existir varios responsables de la infracción, un obligado (denominémoslo principal) y otro que responde a la figura del encargado del tratamiento de datos que se ocupa del desarrollo de la actividad mediante obligaciones organizativas y de seguridad por cuenta del responsable.
La delegación en personas que actúan bajo la autoridad del responsable del tratamiento, como es el caso de sus empleados[46], que tienen acceso a datos de carácter personal no sirve para eludir la responsabilidad, ya que solo pueden tratar los citados datos siguiendo instrucciones del responsable[47] que garantiza la actuación de las personas que actúan bajo su autoridad[48].
El legislador europeo considera responsable del tratamiento a aquella persona física o jurídica que, sola o junto con otras, determina los fines y medios del tratamiento[49]. Es aquella persona que determina el «porqué» y el «cómo» del tratamiento de datos[50].
A fin de establecer un concepto autónomo de responsable[51], el Tribunal de Luxemburgo hace hincapié en un análisis fáctico, de carácter funcional y no formal de los hechos[52], que preserve el espíritu del Reglamento, atendido que su objetivo es otorgar responsabilidades en función de la capacidad de influencia de hecho[53]. No precisa, por tanto, instrucciones escritas que establezcan el papel efectivo en la determinación de los fines y los medios del tratamiento[54].
De esta forma, una persona física o jurídica no se convierte en responsable del tratamiento por el mero hecho de crear o desarrollar una herramienta de recogida de datos personales, sino que tiene que haber actuado de tal forma que haya otorgado su consentimiento, expreso o tácito, para que la citada herramienta sea utilizada con el fin de llevar a cabo dicho tratamiento[55].
Es una interpretación extensa que abarcaría, por ejemplo, a una entidad que ha encargado a una empresa el desarrollo de una aplicación informática móvil y que, en este contexto, ha participado en la determinación de los fines y medios del tratamiento de datos personales realizado mediante dicha aplicación, aunque esta entidad no los haya realizado directamente, a menos que, antes de esa puesta a disposición del público, dicha entidad se haya opuesto expresamente a esta y al tratamiento de los datos personales resultante de ella.
En este sentido, resulta ilustrativa una resolución judicial reciente del Tribunal de Luxemburgo relativa a la actuación de un diario oficial belga que, pese a no tener personalidad jurídica, fue considerado responsable de la publicación de un acuerdo de reducción de capital de una empresa en la que se divulgaron por error los datos personales de uno de los accionistas[56].
La participación en la determinación de los fines y medios del tratamiento puede adoptar distintas formas y resultar tanto de una decisión común adoptada por dos o más entidades como de decisiones convergentes de esas entidades[57].
La responsabilidad es compartida cuando la reclamación verse sobre un mismo tratamiento de datos, de manera que responsable y encargado serán responsables de todos los daños y perjuicios causados al interesado, garantizando así que este reciba la correspondiente indemnización. La responsabilidad conjunta en que diferentes partes actúan como responsables del tratamiento[58] no supone necesariamente que, con respecto a un mismo tratamiento de datos personales, los diversos agentes tengan una responsabilidad equivalente. En este sentido, los agentes pueden estar implicados en distintas etapas del tratamiento y en distintos grados, de modo que el nivel de responsabilidad de cada uno de ellos debe evaluarse teniendo en cuenta todas las circunstancias pertinentes del caso concreto[59].
El art. 82 implica una responsabilidad prorrateada que, en algunos casos, puede convertirse en solidaria[60], lo que supone que los distintos hechos dañosos puedan producir el perjuicio, con independencia de qué infracción haya sido la causa inmediata y determinante del hecho.
En definitiva, el responsable es el garante último frente a los interesados de todos los deberes legales relativos al tratamiento de los datos personales (Puig, 2018: 68) y será el que asumirá las consecuencias de conformidad con lo establecido en el Reglamento.
Del texto del citado reglamento se desprende, por una parte, que el responsable o encargado de esa infracción del Reglamento, es decir, el infractor, solo puede ser exonerado de responsabilidad si demuestra que el hecho causante del daño de que se trate no le es imputable y, por otra parte, puede probar que ha realizado todo lo posible a nivel técnico y organizativo para cumplir sus obligaciones contempladas en el Reglamento[61].
Por tanto, el responsable del tratamiento no puede exonerar su responsabilidad alegando que los daños y perjuicios han sido causados por error de una persona que actuaba bajo su autoridad[62]. En este caso sería preciso probar que esa persona que se encontraba bajo su autoridad incumplió la obligación de seguimiento de sus instrucciones de modo que contribuyó a que se produjeran los daños y perjuicios alegados
Este aspecto reviste una gran relevancia, ya que supone que el Reglamento no impone unas obligaciones imposibles de cumplir para los responsables de los tratamientos de datos personales.
El régimen de responsabilidad establecido por el Reglamento tiene carácter proactivo, así como preventivo y, tal como hemos establecido previamente, impone la carga de la prueba al responsable del tratamiento de los datos (Menezes Cordeiro, 2019: 498), no a la persona que sufre los daños y perjuicios[63]. Este hecho constata que el legislador europeo es consciente de los peligros que entraña establecer un reparto distinto de la carga probatoria. Es decir, si se exigiera a la persona física perjudicada demostrar la culpa del causante del daño, su posición resultaría excesivamente onerosa y, por tanto, en la práctica se pondría en peligro la operatividad de la protección indemnizatoria en un ámbito normativo vinculado al uso de las nuevas tecnologías[64]. Por el contrario, considera que el responsable del tratamiento se encuentra en una posición óptima para aportar la prueba de descargo que acredite su exoneracion de responsabilidad relativa al hecho que ha causado los daños.
En cualquier caso, las causas de exoneración de responsabilidad tendrán carácter excepcional y solo podrán ser aceptadas si, de conformidad con el texto literal del apartado tercero del art. 82, el responsable demuestra que «no es en modo alguno» responsable del hecho que haya causado los daños y perjuicios, tal como ha recalcado la Comisión.
El art. 82 del Reglamento determina, a nivel normativo, el eje central de la responsabilidad[65] contemplando los elementos o requisitos básicos de un régimen de responsabilidad autónomo y uniforme de aplicación directa en la Unión Europea[66].
Parte de la premisa de que el derecho a la privacidad y a la defensa de los datos personales no es un derecho absoluto, sino que debe ser considerado en relación con otros derechos relacionados con su función en la sociedad, tal como ha constatado el órgano jurisdiccional europeo[67].
De la interpretación literal del citado precepto constatamos claramente que cualquier infracción del Reglamento de protección de datos no constituye por sí misma un elemento suficiente para poder reclamar una indemnización por daños y perjuicios, dado que también requiere la existencia real y efectiva de daños y perjuicios y una relación de causalidad entre los daños y la infracción, de modo que estos tres requisitos son necesarios y acumulativos[68]. No obstante, es preciso aclarar que no se precisan más requisitos para que se genere la responsabilidad contemplada en el citado precepto.
El punto de partida de la responsabilidad civil es una infracción del Reglamento de protección de datos personales. Puede versar sobre múltiples acciones que ocasionan perjuicios, tales como las enumeradas sin carácter exhaustivo en el considerando 85 del mismo, que hacen mención a la pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, entre otras.
Un supuesto habitual es el acceso ilegítimo a información sensible de un particular por parte de un sujeto responsable o encargado del que tenga conocimiento el interesado, ya sea de forma directa o a través de terceros. Sin embargo, el Tribunal de Luxemburgo ha constatado que no es suficiente la pérdida del control de datos ni el riesgo de una infracción hipotética[69] para generar la responsabilidad.
Este primer requisito no solo aborda si la infracción es atribuible al sujeto responsable o encargado, sino también conocer si era un resultado buscado o simplemente fue fruto de una negligencia. En este apartado es preciso considerar los supuestos de exoneración de responsabilidad que hemos contemplado anteriormente.
Resulta ilustrativo en nuestra jurisprudencia reciente el caso de una consulta no autorizada, realizada sin consentimiento, a ficheros de solvencia que contenían datos patrimoniales de familiares[70]. En esta resolución, el Tribunal Supremo constata únicamente una infracción del Reglamento de protección de datos, pero no la existencia de otros elementos contemplados en el citado precepto. La citada infracción no causó daños probados, ya que no hubo revelación de datos íntimos, dado que los datos en cuestión eran públicos al constar anotados embargos en registros como el de la propiedad. Por el contrario, el Tribunal Supremo considera infracción del Reglamento la inclusión en un fichero de morosidad con carácter previo al requerimiento de pago realizada por una entidad bancaria, que generó una indemnización en concepto de daños morales ocasionados[71].
Para el reconocimiento del derecho a una indemnización por daños y perjuicios sufridos por una persona como consecuencia de una vulneración del mencionado Reglamento de conformidad con el art. 82, es preciso que vaya acompañada de una lesión en sus bienes o intereses, concretándose en los correspondientes daños y perjuicios, materiales o inmateriales. Por tanto, es indispensable distinguir el riesgo que conlleva el tratamiento de datos personales del daño en que se puede materializar (Li, 2023: 338).
El Tribunal de Luxemburgo establece de forma clara que la obligación de indemnizar no es una obligación de medios, sino que requiere un resultado, que se plasma en unos daños. La indemnización entendida como medida compensatoria requiere, por tanto, la existencia de un daño previo probado[72].
Se considera daño cualquier pérdida, perjuicio, menoscabo que altere el valor de los bienes o valores personales. La víctima precisa acreditar que la infracción ha provocado un daño que ha afectado su vida o imagen como consecuencia de este ilícito, materializándose en hechos concretos, como sería el caso de una filtración de datos en el supuesto de un acceso a una cuenta bancaria que conlleve sustracción de dinero.
El eje reside en la existencia de un daño que constituya un perjuicio, por mínimo que sea, para los intereses personales, pero que pueda ser probado. No requiere, sin embargo, el carácter tangible del daño ni la naturaleza objetiva del perjuicio[73]. El Tribunal de Luxemburgo acredita que, en caso contrario, admitiendo acciones en reclamación de responsabilidad sin daño acreditado, podría conducir a un aumento de demandas indemnizatorias poco justificadas que podrían, en su caso, revestir un carácter abusivo. Además, la obtención de compensación al margen de cualquier daño podría desincentivar la actividad de tratamiento de datos en el seno de la Unión Europea.
Nuestra jurisprudencia interna se ha hecho eco de estos requisitos[74], y aclara que el Reglamento de protección de datos «no dice que el tratamiento ilícito ha de dar lugar a una indemnización por principio, sino que el tratamiento ilícito dará lugar a indemnización cuando se sufra un perjuicio, lo que desplaza el problema a la determinación casuística de si se ha producido o no, en cada caso, un daño que, real y efectivo, merezca ser indemnizado».
El concepto de daños y perjuicios debe interpretarse en sentido amplio a la luz de la jurisprudencia del Tribunal de Luxemburgo, de tal modo que se respeten plenamente los objetivos del Reglamento[75].
El concepto de daño, a diferencia del establecido en la directiva precedente derogada, engloba no solo daños de carácter material, sino también de carácter inmaterial, como es el caso de los daños morales, sin establecer jerarquía entre ellos[76]. La introducción de forma expresa de los daños inmateriales, a petición del Parlamento Europeo, responde a una realidad incuestionable: la mayoría de los daños que producen las infracciones relativas al Reglamento de protección de datos personales no son materiales, pero afectan a intereses igualmente dignos de protección. A modo ilustrativo, podemos considerar que la pérdida de control sobre los datos personales durante un período de tiempo puede causar daños y perjuicios inmateriales que sean susceptibles de indemnización, siempre y cuando sean probados[77].
Asimismo, es preciso puntualizar que algunos Estados miembros son reticentes a la indemnización por daños inmateriales, por lo que su inclusión en el Reglamento es acertada y bienvenida.
El concepto de daño moral es vago[78], difícil de determinar, de probar y de evaluar a efectos de calcular la indemnización por daños y perjuicios. En líneas generales, el daño inmaterial es considerado como el sufrimiento que padecen las personas como consecuencia de la divulgación de sus datos personales sin su consentimiento. Por definición, cualquier infracción de la normativa de protección de datos personales causa malestar, desagrado ante la falta de respeto ajeno. Estas infracciones, a pesar de generar un sentimiento negativo en los perjudicados, no pueden ser identificadas como indemnizables per se.
En este contexto, es preciso distinguir, tal como ha aclarado el Tribunal de Luxemburgo, entre daños inmateriales indemnizables y otros inconvenientes derivados de la falta de respeto a la legalidad tales como las molestias o contrariedades, que, por su escasa entidad, no necesariamente darían derecho a compensación[79].
El daño moral gira en torno a un perjuicio emocional real y no un sentimiento infundado. En este sentido, resulta clarificador el Tribunal de Luxemburgo al establecer expresamente que «lo inefable de las emociones o sensaciones, especialmente si se relacionan con riesgos sobre qué pueda pasar con los datos en el futuro, ha llevado a que no se consideren daños, por falta de concreción suficiente o por su naturaleza hipotética»[80].
Se determina la existencia de un daño moral indemnizable en función de la existencia de diversas situaciones que supongan sufrimiento o padecimiento psíquico, impotencia, zozobra (como sensación anímica de inquietud, pesadumbre, temor o presagio de incertidumbre), ansiedad, angustia, incertidumbre, impacto, quebranto y otras situaciones similares[81] que pueda ser probado.
El daño, incluso de carácter moral, no se puede presumir en el caso de divulgación de datos personales, ya que podría crear problemas económicos y financieros a las organizaciones y tener un efecto nocivo para la economía en general. En el contexto actual, con el aumento de los riesgos cibernéticos, ninguna empresa está a salvo de sufrir un ataque.
Finalmente, el nexo causal entre el hecho generador y el daño probado, requisito para la existencia de dicha responsabilidad, constituye una cuestión de derecho que está sujeta, por consiguiente, al control del Tribunal[82]. Dicho control no puede consistir en poner en entredicho las constataciones y las apreciaciones fácticas realizadas por el Tribunal[83].
La relación de causalidad implica que esa infracción del Reglamento de protección de datos es la conditio sine qua non de la causa del perjuicio a la víctima, ya que, si no se hubiese producido la misma, no hubiera habido daños[84].
La infracción en el ámbito de la protección de datos personales ha de estar suficientemente demostrada a nivel objetivo, pero no podemos obviar que la relación causa-efecto acostumbra a ser de carácter subjetivo. Por tanto, es preciso aportar pruebas que la apoyen basadas en los medios permitidos en derecho. En algunos casos son relaciones difíciles de demostrar o justificar, debido a la subjetividad que implican, especialmente en el ámbito de la imagen personal.
En este sentido, resulta ilustrativa la reciente sentencia del Tribunal de Luxemburgo en la que, en el marco de una investigación policial, se divulgaron a personas no autorizadas datos relativos a conversaciones íntimas y de carácter sexual entre un investigado y su amiga, vulnerando el respeto a su vida privada y familiar, con el correspondiente impacto negativo en las relaciones del interesado con sus hijas, que proporcionó un sentimiento de frustración e injusticia, así como un atentado contra su honor y reputación, causándole un claro daño moral que debía ser indemnizado[85].
Los estrictos requisitos contemplados por el art. 82 obligan a las partes a probar los daños provocados por la infracción del Reglamento, así como verificar el nexo de causalidad, a fin de evitar reclamaciones infundadas y proteger la actividad económica en el seno de la Unión Europea.
La filosofía que impregna el Reglamento[86] determina la naturaleza de la indemnización contemplada en el art. 82, que está al servicio de las funciones intrínsecas de la responsabilidad civil, principalmente la compensación por los daños que ha sufrido el perjudicado, así como, secundariamente, la prevención de futuros daños en que pueda incurrir el infractor[87].
La obtención de una indemnización cuando se ha producido un daño probado es un derecho del interesado que genera confianza en el entorno digital. Constituye un incentivo para que cualquier responsable del tratamiento de datos personales actúe de forma más diligente en el futuro, contribuyendo a la eficacia general de las normas. La compensación[88], por tanto, es un objetivo en sí mismo y ayuda a prevenir daños futuros. Responde al principio pro damnato, que favorece el resarcimiento del daño causado a la víctima en los casos en que esta no se encuentra legalmente obligada a soportarlo.
La citada indemnización tiene un carácter resarcitorio, compensatorio, tal como se deduce de las traducciones oficiales[89], e implica la necesidad de ser proporcionada y efectiva[90]. No tiene carácter punitivo[91], sin perjuicio de que sirva también, secundariamente, para la prevención de conductas no ajustadas a sus disposiciones. En cualquier caso, es importante reseñar que el texto del Reglamento de protección de datos no hace ninguna alusión al carácter sancionador de la indemnización por daños materiales o inmateriales, como realiza en las sanciones penales y en las multas administrativas[92].
Por otro lado, la indemnización contemplada en el art. 82 tiene naturaleza pecuniaria y no debe traducirse en una indemnización simbólica, de origen anglosajón, denominada nominal damages, que no tiene su reflejo en la legislación de los distintos Estados miembros[93]. Una indemnización simbólica no se correspondería con los daños sufridos, que son reales y significativos.
No obstante, los asesores del juzgador europeo no descartan que la reparación del daño inmaterial incorpore otros componentes distintos al pecuniario, como por ejemplo el reconocimiento de la infracción cometida, con lo que se da una cierta satisfacción moral al demandante[94].
Del texto del art. 82 del Reglamento se desprende que el importe de la indemnización por daños y perjuicios debe concretarse en una cantidad que cubra la reparación integral, restitutio in integrum, del daño total causado, lo que equivale al daño emergente. La indemnización busca el resarcimiento de los daños sin exceder la compensación completa de ese perjuicio[95] que constituye el tope máximo, siendo adecuada al daño producido[96]. La indemnización tiende a restablecer el equilibrio de la situación jurídica alterada negativamente (dañada) por la infracción del derecho. No pretende la obtención de una ventaja o beneficio financiero, lo que en derecho denominamos lucro cesante.
En relación con la cuantificación de la indemnización, el Tribunal de Luxemburgo[97] confirmó que el Reglamento de protección de datos no introduce criterios o pautas que puedan servir para la valoración de los daños a fin de facilitar el cálculo del montante de la indemnización ya sea por medio de baremos, de sumas globales o de cualquier otro sistema[98]. Y, en ausencia de normas específicas del derecho de la Unión Europea[99], corresponde a los Estados miembros establecer criterios para determinar la cuantía de la indemnización, siempre que se respeten los principios de equivalencia y efectividad. Estos principios implican que las condiciones que se impongan para la concesión de la indemnización por daños procedente del art. 82 no sean menos favorables a las que rigen la concesión de las mismas en la normativa doméstica (principio de equivalencia), ni tampoco que hagan imposible o excesivamente difícil el ejercicio de este derecho en el seno del mercado único digital (principio de efectividad).
Esta ausencia de disposiciones relativas a la cuantificación de la indemnización ha propiciado que distintos tribunales de los Estados miembros hayan formulado cuestiones prejudiciales a fin de obtener alguna guía sobre la cuantificación, especialmente en lo que respecta a la valoración de los daños que giran en torno al umbral de gravedad de estos, el grado de culpa, la aplicación analógica de los criterios previstos para determinar las sanciones administrativas, así como las infracciones simultáneas de disposiciones nacionales relativas a la protección de datos personales que no tengan por objeto especificar las normas de dicho reglamento.
Las infracciones del Reglamento de protección de datos personales pueden adoptar diversas formas y diferente nivel de gravedad. Un tratamiento no autorizado de datos puede provocar daños reputacionales en general, acarrear un prejuicio económico directo o incluso puede llegar a alcanzar caracteres delictivos en supuestos de usurpación de identidad a través de la revelación de contraseñas. Por este motivo, y considerando los distintos supuestos prácticos a los que se enfrenta el juzgador, se planteó si el requisito de la seriedad de la lesión constituye un elemento determinante a la hora de determinar la cuantificación de la indemnización por daños y perjuicios derivada del art. 82.
El Tribunal de Luxemburgo tampoco consideró adecuado supeditar el derecho de compensación a la existencia de unos daños que revistan cierta relevancia y superen un determinado umbral de gravedad, de minimis. La razón esgrimida consiste en que la graduación de tal umbral, del que dependería la posibilidad de obtener dicha indemnización[100], podría fluctuar en función de la valoración de los jueces nacionales que conocieran del asunto y sería contrario al enfoque amplio de daños y perjuicios utilizado por el legislador del mercado único en particular[101]. Es preciso constatar que la referencia al umbral de gravedad de los daños no es un concepto uniforme en las distintas legislaciones de los Estados miembros de la Unión Europea, sino que es propio de algunos sistemas legislativos como el austriaco o el italiano[102]. De alguna manera, el Tribunal de Luxemburgo hace suyo el adagio minimis non curat Praetor, proveniente del Digesto, que excluye las causas insignificantes o intrascendentes de la competencia de los magistrados.
El Tribunal de Luxemburgo no hace expresa referencia al umbral de gravedad, por lo que para los distintos tribunales nacionales resulta difícil diferenciar aquellas molestias consideradas meros inconvenientes, como situaciones relacionadas con un «estado de incertidumbre prolongado»[103] que no son consideradas indemnizables, de las que suponen un daño o perjuicio mínimo considerado significativo o suficiente y que puede ser probado y, por tanto, indemnizable.
Con relación al carácter intencional del perjuicio sufrido, el citado Tribunal no considera que el grado de culpa pueda influir en la cuantificación del importe de la indemnización por daños y perjuicios concedida como reparación de un daño sufrido en el ámbito de la protección de datos personales[104], atendida la finalidad de la indemnización, que es compensar a la víctima de los daños sufridos.
Por otro lado, el Tribunal de Luxemburgo ha descartado de forma expresa la solicitud de aplicación analógica de los criterios de evaluación previstos para las sanciones administrativas contemplados en el mismo reglamento. Atendida la función compensatoria de la indemnización por daños y perjuicios establecida en el art. 82, que tiene carácter privado, el citado tribunal considera que no se pueden aplicar los criterios de evaluación previstos para la fijación de multas administrativas que cumplen una función de carácter público contenidas en el art. 83[105], respondiendo a criterios como la intencionalidad o la negligencia con una finalidad punitiva. Estas dos categorías de disposiciones son diferentes pero complementarias en su finalidad de incentivar el respeto del citado reglamento y puede disuadir de la reiteración de comportamientos ilícitos[106].
Recientemente, el Tribunal de Luxemburgo también ha rechazado la consideración de la infracción simultánea de disposiciones nacionales relativas a la protección de datos personales que no tengan por objeto especificar las normas de dicho reglamento[107] como factor a considerar para determinar el quantum de la indemnización. En estos casos, el juez nacional, basándose en su legislación interna, puede optar por conceder una indemnización superior a la reparación total y efectiva prevista en el art. 82 si la considera insuficiente atendido el perjuicio causado por la infracción de las disposiciones de derecho nacional.
De alguna manera, el Tribunal de Luxemburgo parece alejarse de baremos de tipo objetivo, de carácter impersonal y abstracto, centrándose en la búsqueda de una indemnización individualizada que se adecúe a las características del daño infringido a cada víctima en particular. Hasta la fecha, el Tribunal de Luxemburgo no solo no ha ofrecido ninguna guía para determinar la magnitud del perjuicio sufrido objeto de compensación, sino que ha descartado los distintos intentos que han formulado los tribunales nacionales para conseguir algún parámetro para cuantificar la indemnización por daños y perjuicios, por lo que constituye en la actualidad una cuestión abierta.
En el seno de la Unión Europea, los distintos tribunales nacionales, conscientes de la dificultad de evaluar el precio justo o fair price que compense estos daños, dictan sus resoluciones sobre la pretensión económica solicitada por los perjudicados y la valoran de conformidad con sus criterios a fin de obtener el importe que consideran adecuado para cada situación. El límite efectivo existente en la concesión de la indemnización por daños y perjuicios reside en el importe solicitado por la víctima. Los tribunales domésticos no pueden, por definición, conceder una cantidad superior a la demandada, dictando un fallo ultra petita. Asimismo, no podemos obviar que, en lo que respecta a la cantidad concedida en concepto de indemnización, la mayoría de los tribunales de los Estados miembros se rigen por principios como el de la razonabilidad y equidad.
A fin de cuantificar la indemnización, es preciso distinguir los daños materiales, concretos y fácilmente evaluables y cuantificables, de aquellos inmateriales, de carácter heterogéneo, que atañen a daños derivados del daño moral concretado en el deterioro de la imagen, de la solvencia profesional, de valoración estimativa, y más difíciles de calcular con baremos objetivos, el denominado pretium doloris.
La aplicación práctica del sistema de responsabilidad autónomo contemplado en el art. 82 ha incidido en la complejidad que conlleva delimitar y cuantificar los daños sufridos, especialmente los inmateriales, dotados de una gran dosis de subjetividad, y en particular en lo que se refiere al ámbito probatorio, ya que no todas las personas los perciben de igual manera.
No obstante, tal como establece el Tribunal Supremo español[108], «el hecho de que la valoración del daño moral no pueda obtenerse de una prueba objetiva no excusa ni imposibilita legalmente a los tribunales para fijar su cuantificación […] a cuyo efecto ha de tenerse en cuenta y ponderar las circunstancias concurrentes en cada caso»[109]. Se parte de una valoración de tipo estimativa utilizando criterios de prudente arbitrio.
Aunque diversos Estados miembros no poseen una tradición jurídica familiarizada con la concesión de indemnización por daños morales en el ámbito de la responsabilidad civil[110] (Knetsch, 2022: 139), están dictando resoluciones judiciales en cumplimiento del Reglamento de protección de datos.
Algunos Estados miembros, como Alemania, conceden indemnizaciones por daños inmateriales solo en aquellos supuestos contemplados de forma expresa por la ley, como es el supuesto contemplado en el art. 82 del Reglamento de protección de datos. En estos supuestos, el objetivo del juzgador es la percepción de una indemnización de carácter equitativo[111].
En Austria siguen asimismo un enfoque restrictivo, pero han proliferado las resoluciones judiciales recientemente, en particular indagando el umbral mínimo de gravedad de los daños, así como la prueba objetiva de los daños sufridos. Resulta interesante la sentencia relativa a una solicitud de indemnización por daños morales por importe de mil euros que solicitaba un ciudadano con motivo del tratamiento de sus datos personales que una empresa realizó sobre sus afinidades políticas, causándole un profundo malestar[112], que fue denegada, pese a que se admitió la petición relativa al cese de conducta infractora del Reglamento.
Por otro lado, el Tribunal Supremo austriaco cifró en quinientos euros la indemnización de daños y perjuicios ocasionados por la enorme molestia causada a un ciudadano con motivo de que no pudo tener acceso a la totalidad de sus datos durante un período largo de tiempo[113].
En Holanda, en 2021, el Tribunal de Rotterdam concedió una indemnización por daños morales por importe de 2500 euros, al considerar que el hecho de que los datos médicos de la demandante hubiesen estado almacenados durante más de diez años en registros, pese a las solicitudes de supresión de datos realizadas por la interesada, implicaba que personas y autoridades hubieran podido tener acceso a estos datos sin estar autorizadas[114]. A fin de cuantificar el montante de la indemnización, el Tribunal tuvo en consideración una resolución judicial anterior de otro Tribunal holandés que, en 2020, concedió una indemnización por importe de quinientos euros por un tratamiento no consentido de datos personales también de carácter médico, a los que tuvieron acceso un grupo reducido de profesionales provisto de secreto profesional durante un breve período de tiempo[115]. Esta forma de comparar la indemnización estimada con la concedida en situaciones similares se denomina «indemnización por contraste»[116] (García Vicente, 2023: 6). No obstante, en este caso concreto el Tribunal de Rotterdam se limitó a indemnizar los daños morales y descartó compensar los daños materiales al considerar que la demandante no resultó perjudicada en su ámbito laboral, ni sufrió menoscabo en sus ingresos a raíz del tratamiento no consentido de sus datos médicos.
Igualmente, el Administrative District Court of the Northern Netherlands moderó el importe de la cantidad solicitada inicialmente y concedió una indemnización por importe de doscientos cincuenta euros debido a un tratamiento indebido de datos personales que causó malestar y estrés[117].
En 2023, el Tribunal de Genderland District concedió una indemnización por daños morales por importe de trescientos euros a un alumno cuyo expediente académico universitario fue filtrado por piratas informáticos dando acceso y difusión a datos médicos sensibles[118].
En Italia, la Corte Suprema de Casación denegó una indemnización por importe de tres mil euros a unos estudiantes de la Universidad de Roma, a raíz de la inclusión en un archivo Excel de sus datos fiscales, situación laboral y salarial[119], sobre la base de que las consecuencias económicas desfavorables para los interesados no habían podido probarse. Posteriormente, el Tribunal Supremo de Casación italiano también denegó la indemnización por daños morales ocasionados por una inclusión ilícita en un sistema de información crediticia al no haberse podido acreditar debidamente los daños a la imagen y a la reputación alegados[120]. Pese a ser muy estrictos en el ámbito probatorio, los tribunales italianos no dudan en conceder la indemnización por daños morales si se acreditan objetivamente estos, como es el supuesto de los que sufrió un trabajador, en este caso funcionario, ocasionados por la publicidad, motivada por un error humano, de un embargo sobre su sueldo, que afectaba su imagen y credibilidad profesional[121].
En lo que respecta a la valoración de los daños en el ámbito de protección de datos personales, dotada de una gran complejidad, tal y como se constata en las anteriores sentencias comentadas, hay ámbitos en los que existe un cierto consenso, como es la inclusión por error en ficheros de morosidad, que afecta al prestigio, así como a la imagen de solvencia, del interesado y conlleva daños económicos negativos reales, como es el caso de la posterior dificultad para acceder a créditos, ya sean de carácter personal o hipotecarios (García Vicente, 2023: 5).
A nivel nacional, los tribunales españoles han optado por otorgarle una orientación amplia a la valoración de daños morales infringidos que conllevan la cuantificación de indemnizaciones, incluyendo los atentados al honor y la intimidad, así como los ataques al prestigio profesional[122]. Los tribunales nacionales parten de unos presupuestos más flexibles que en otros Estados miembros. Abunda la jurisprudencia reciente que incide en analizar pormenorizadamente la casuística de cada situación concreta para determinar la cuantía de la indemnización por daños derivados de la vulneración del Reglamento de protección de datos. En este sentido, resulta especialmente clarificadora la sentencia de la Audiencia Provincial de Lugo de 21 de septiembre de 2021[123] que contempla, para la cuantificación de la compensación derivada de la inclusión en un archivo automatizado de morosidad, diversos parámetros como el importe de la cantidad, la duración de la permanencia en el fichero, las consultas realizadas por diversas empresas al fichero durante ese período, así como las gestiones del interesado para su exclusión del mismo. A partir de la citada documentación, el Tribunal concretó la indemnización en mil quinientos euros.
Por otro lado, en ocasiones las partes cuestionan la existencia de la infracción, pero no el importe de la indemnización por daños y perjuicios solicitada, por lo que el Tribunal, una vez acreditada la infracción, no cuestiona el montante resultante, que es el solicitado por el perjudicado. En este sentido, resulta ilustrativa la sentencia de la Audiencia provincial de Valencia de 28 de junio de 2022[124] que condena al pago de dos mil euros a la empresa que incluyó en su web una fotografía no autorizada de un trabajador en su lugar de trabajo.
En la práctica, la obtención de indemnizaciones por importes poco elevados (Lintvedt 2022: 13) disuade a los interesados en la reclamación de compensación por daños y perjuicios, atendidos los costes procesales y el desgaste personal, pero compensa en algunos casos, atendido el simbolismo que perciben como mecanismo de control sobre sus propios datos, que además permite eliminar o finalizar los daños ocasionados con esa infracción de forma definitiva. En caso contrario, perduraría en el tiempo, prolongando el malestar al sujeto titular de esos datos personales.
La intrínseca dificultad de establecer baremos en este ámbito otorga un gran poder y a la vez una gran responsabilidad a los tribunales de los Estados miembros encargados de delimitar la indemnización a nivel económico, gozando de un gran margen de maniobra al interpretar un fenómeno que, paradójicamente, es cada vez menos nacional y más global.
A fin de valorar la gravedad de los daños morales causados en materia de infracción de datos personales, en Alemania tienen en cuenta diversos factores tales como la naturaleza y alcance de la infracción, el ámbito de la esfera individual afectada, el grado de culpa, así como los motivos que guían la citada infracción (Magnus y Fedtke, 2021).
Otorgar criterios de valoración de daños de forma uniforme a nivel europeo sería conveniente, a fin de lograr una jurisprudencia coherente en el ámbito de la protección de datos personales, introduciendo no solo el método de cálculo, sino las variantes a considerar, tales como el propósito del tratamiento de datos, el alcance, la transferencia a terceros Estados, la vinculación de la actividad del infractor con la realización del tratamiento de datos de carácter personal, o la duración de la infracción. Para la obtención del montante resarcitorio, todos estos elementos deberían ser ponderados según las diferencias del coste de vida y poder adquisitivo existentes, a fin de que conduzcan a una compensación homogénea en el seno de los Estados miembros.
Es indudable que las pautas sobre la calificación de las distintas situaciones irán evolucionando en los próximos años siguiendo el contexto social y económico de la sociedad en la que se enmarca la tecnología disruptiva. Recaerá en el seno de la misma comunidad la percepción de aquellas infracciones que provocan daños probados, especialmente en el ámbito de los daños morales, y deben ser objeto de indemnización.
Pese a que el Tribunal de Luxemburgo no se ha pronunciado en este ámbito, no es descartable que introduzca alguna variable dotada de flexibilidad en él siguiendo alguno de los elementos ya introducidos por los distintos tribunales nacionales, como hemos previamente señalado.
El contorno delimitador del concepto autónomo de responsabilidad civil se centra en todos aquellos aspectos que el legislador no ha regulado o que expresamente establece que sean especificados por el derecho de los Estados miembros[125], de conformidad con el considerando octavo del Reglamento de protección de datos.
El art. 82 del Reglamento de protección de datos personales, al igual que ocurría en la directiva anterior, no incluye ningún plazo de prescripción de la acción indemnizatoria, por lo que corresponde a los diferentes Estados miembros regular este ámbito[126] a fin de complementar el Reglamento. Ante la dificultad de armonizar esta área, incluso dentro de la misma normativa nacional, que diverge según la naturaleza de la obligación de la que dimana la indemnización sea considerada con carácter contractual o extracontractual, el legislador europeo opta de forma consciente por no regularlo.
En líneas generales, en el ámbito de la protección de datos personales, podemos considerar, con carácter extracontractual, los daños ocasionados por empresas titulares de motores de búsqueda, mientras que los daños producidos por plataformas o titulares de redes sociales pueden calificarse como contractuales. En otros supuestos prácticos la calificación puede revestir mayores complicaciones, como puede ser el caso de la facilitación de datos personales para un producto bancario, por ejemplo, una tarjeta de crédito, y el posterior tratamiento de estos para su inclusión sin consentimiento en un listado de morosidad de forma errónea.
En nuestro derecho no tenemos una norma específica en esta materia, por lo que se aplican las reglas generales de prescripción para acciones que difieren según sean de carácter contractual o no contractual[127]. En líneas generales, ante la dificultad de unificar criterios en este ámbito, sería conveniente que los plazos de prescripción no fueran excesivamente largos desde el conocimiento de la infracción o desde que debía haberse tenido, que no excedieran los cinco años bajo ningún supuesto, a fin de que sean eficientes y contribuyan a la seguridad jurídica.
Tal y como se ha comentado anteriormente, otro aspecto no regulado de forma expresa es la forma de cuantificación de la indemnización por daños y perjuicios. El concepto autónomo ha servido para introducir un tope máximo, que consiste en el importe solicitado que compense totalmente el perjuicio causado, difícil de valorar, especialmente en lo que respecta a los daños inmateriales, y un mínimo, consistente en los daños considerados meras molestias o inconvenientes que, por su escasa relevancia, son imposibles de probar de forma objetiva. Sin embargo, remite a la legislación de los Estados miembros la forma de cuantificarlo de conformidad con las particularidades propias de su tradición jurídica. Esta solución no es satisfactoria en la medida en que no se establecen unas reglas uniformes válidas en el ámbito del mercado único y puede propiciar soluciones dispares e incluso fomentar el forum shopping, atendido que el art. 79 del Reglamento permite interponer la demanda ante cualquiera de los tribunales del Estado miembro en el que el responsable o encargado tenga el establecimiento o bien tenga su residencia habitual el interesado.
Sin embargo, tal como hemos constatado, existe una línea moderada establecida por el Tribunal de Luxemburgo que gobierna la concesión de indemnizaciones bajo requisitos estrictos y objetivamente probados en todos los Estados miembros, por lo que las divergencias, en su caso, teóricamente no deberían ser sustanciales. No obstante, y pese a haber descartado hasta la fecha ofrecer alguna guía o parámetro, no es descartable que en el futuro el Tribunal de Luxemburgo se pronuncie en este ámbito, así como sobre otros aspectos sin regular o que presentan lagunas y que son cuestiones que provocan inseguridad jurídica.
El Reglamento de protección de datos personales ha instaurado un sistema uniforme en el seno de la Unión Europea aplicable a todos los Estados miembros en materia de responsabilidad civil especial y de carácter sectorial, que se concreta en el art. 82, y que ha sido objeto de una interpretación autónoma por parte del Tribunal de Luxemburgo. Aunque sirve para proteger de forma clara los intereses de los ciudadanos en el ámbito de la protección de datos personales, no obvia que este derecho no tiene un carácter absoluto y debe conjugarse con la libre circulación de datos personales en el seno de la Unión Europea.
El legislador europeo ha introducido normas de competencia judicial específicas que facilitan la concesión de la medida resarcitoria que depende del juzgador, tanto en lo que respecta a la prueba de daño causado como a su cuantificación. Con esta finalidad, ofrece dos foros alternativos: el foro del establecimiento del responsable o encargado y el foro de la residencia habitual del interesado, siendo ambos adecuados, así como previsibles, favoreciendo el último especialmente los intereses de la víctima.
En la construcción de un concepto autónomo, el juzgador europeo ha perfilado este sistema de responsabilidad civil como un sistema de responsabilidad por culpa, aunque matizado por la inversión de la carga de la prueba, pese a su carácter mixto, que engloba elementos propios de la responsabilidad subjetiva y la objetiva.
El Tribunal de Luxemburgo ha introducido requisitos razonables, prudentes, a fin de limitar la responsabilidad que da lugar a una compensación económica, evitando condiciones imposibles de cumplir por las empresas que actúan en el mercado digital único, así como el aumento indiscriminado de reclamaciones en este contexto.
La interpretación realizada por el citado tribunal ha delimitado los requisitos acumulativos de carácter estricto de los daños sufridos, que abarcan, de forma novedosa, tanto los materiales como los inmateriales, producidos por las infracciones del Reglamento, y garantiza que únicamente se otorguen indemnizaciones por daños y perjuicios debidamente acreditados. El importe de la indemnización por infracción del art. 82 del Reglamento que puede solicitar la víctima en su demanda oscila entre el mínimo indemnizable, que supere las meras molestias o daño insignificante, y el tope máximo, consistente en el importe demandado a fin de cubrir el valor del daño total infringido, aunque este resulta difícil de probar, especialmente en los daños inmateriales o morales. Este enfoque restrictivo se ha visto reflejado en recientes resoluciones judiciales de los tribunales de los Estados miembros, que frecuentemente han denegado indemnizaciones por falta de prueba objetiva sobre el daño sufrido y han ponderado el montante de las indemnizaciones concedidas cifrándolas en importes de baja cuantía. Estos hechos, unidos a los costes y la lentitud procesal, no suponen un aliciente para las personas interesadas en su obtención, que únicamente utilizarán esta vía para infracciones del Reglamento que constituyan claros perjuicios que puedan ser probados.
La interpretación que ha realizado el Tribunal de Luxemburgo de la responsabilidad civil contemplada en el art. 82 del Reglamento ha servido para delinear de forma clara y precisa, con carácter funcional, un concepto autónomo de responsabilidad, aunque de carácter incompleto, dejando algunos aspectos por regular, como el plazo de prescripción de la acción y, en particular, la forma de cuantificar la indemnización. No ha establecido ni pautas ni criterio alguno en esta materia, lo que genera falta de previsibilidad y seguridad jurídica en un ámbito cada vez más global, dejando en manos de los tribunales de los Estados miembros la determinación de su importe y favoreciendo en su caso la posibilidad del forum shopping.
Así pues, actualmente el sistema de responsabilidad civil creado por el art. 82 carece tanto de un modo de cálculo unificado de la cuantía de la indemnización como de criterios orientativos que giren en torno a las circunstancias relevantes que inciden en el daño causado por la infracción, tales como la duración o la divulgación, guiados por la razonabilidad y el principio de equidad, tal como han señalado algunos tribunales nacionales de los Estados miembros. Por este motivo, no se descarta que, en un futuro próximo, el Tribunal reciba cuestiones prejudiciales de los distintos tribunales nacionales y se pronuncie a fin de solventar estas crecientes dificultades, que son comunes y están detectando los distintos tribunales. Los conceptos autónomos, por definición, están en constante evolución y se adecúan a la realidad cambiante, que en el ámbito digital goza de una gran celeridad.
| [1] |
Doctora en Derecho Internacional Privado, profesora ESERP Digital, Business & Law School (Uvic-UCC). ORCID: ID: 0000-0001-8949-5537. |
| [2] |
Art. 8.1 de la Carta de los Derechos Fundamentales de la Unión Europea, de 7 de diciembre de 2000, y art. 16.1 del texto refundido del Tratado de Funcionamiento de la Unión Europea. |
| [3] |
Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 (DO L 281, de 23 de noviembre de 1995, p. 31), derogada por el Reglamento (UE) 2016/679 (DO L 119, de 4 de mayo de 2016, p. 1). |
| [4] |
El legislador no adopta una directiva, sino un reglamento, instrumento unificador directamente aplicable. |
| [5] |
Véanse los considerandos segundo y cuarto del Reglamento de protección de datos. |
| [6] |
Conclusiones del abogado general Sr. Campos Sánchez-Bordona de 6 de octubre de 2022, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C-300/21, EU:C:2022:756, apdo. 82. |
| [7] |
Véase la web oficial de la Unión Europea, accesible en: https://is.gd/5w3aEh. |
| [8] |
Véase el considerando 129, así como los arts. 57 y 58 del Reglamento de protección de datos. |
| [9] |
El Reglamento de protección de datos está en vigor desde el 25 de mayo de 2018 de conformidad con el apartado segundo del art. 99. |
| [10] |
Art. 1 del Reglamento de protección de datos: «El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos», y art. 4 relativo a las disposiciones, especialmente en lo que concierne a los denominados «datos personales». |
| [11] |
Sentencia del Tribunal Supremo (Sala de lo Contencioso-Administrativo, Sección Tercera) de 4 de mayo de 2023, 547/2023, ES:TS:2023:1946. |
| [12] |
El art. 4, apdo. 11, del Reglamento de protección de datos considera consentimiento «toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado acepta ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen». |
| [13] |
Cualquier persona tiene derecho a acceder a sus datos personales y ostenta, asimismo, el derecho a la rectificación, supresión y «olvido» de los mismos, así como el derecho a oponerse al uso de sus datos para la elaboración de perfiles. |
| [14] |
Véase el art. 7, en relación con el art. 6.1 del Reglamento de protección de datos. |
| [15] |
Art. 2, apdo. 1, del Reglamento de protección de datos. |
| [16] |
STJUE de 7 de marzo de 2024, IAB Europe, C-604/22, EU:C:2024:214, y de 19 de octubre de 2016, Breyer, C-582/14, EU:C:2016:779. |
| [17] |
Conclusiones del abogado general Sr. Michal Bobek de 13 de enero de 2021, Facebook Ireland y otros, C-645/19, EU:C:2021:5, punto 38. |
| [18] |
En particular, véase la STJUE (Gran Sala) de 13 de mayo de 2014, Google Spain L y Google, C-131/12, C:EU:2014:317, apdos. 58 y 60, y la STJUE (Gran Sala) de 24 de octubre de 2019, Google (Alcance territorial del derecho a la retirada de enlaces), C-507/17, EU:C:2019:772, así como también la STJUE (Sala Tercera) de 1 de octubre de 2015, Weltimmo, C-230/14 EU:C:2015:639, que interpreta de forma extensiva el concepto de «establecimiento». |
| [19] |
Art. 3 in fine del Reglamento de protección de datos. |
| [20] |
Ver considerandos 23 y 24 del Reglamento de protección de datos. |
| [21] |
Directrices 3/2018 del Comité Europeo de Protección de Datos relativas al ámbito territorial del Reglamento (UE) 2016/679, art. 3, versión 2.1, de 12 noviembre 2019, accesibles en: https://is.gd/hU47p3. |
| [22] |
El término «responsabilidad» etimológicamente proviene del latín responsum, relativo a la habilidad de responder. |
| [23] |
El texto del art. 82, apdo. 1, del Reglamento reza: «Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos». |
| [24] |
En el ámbito de los conceptos autónomos es preciso consultar el magnífico manual de Sánchez-Frías. |
| [25] |
Conclusiones del abogado general Sr. Pitruzzella, de 27 de abril de 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:353, punto 76. |
| [26] |
Conclusiones del abogado general Sr. Campos Sánchez-Bordona, de 6 de octubre de 2022, Österreichische Post, C-300/21, EU:C:2022:756, punto 27 y siguientes. |
| [27] |
STJUE (Gran Sala) de 10 de julio de 2018, Jehovan Todistajat, C-25/17, EU:C:2018:551. |
| [28] |
Véase el considerando 147 del Reglamento de protección de datos. |
| [29] |
Documento 9083/15 de la Presidencia a miembros JAI del Grupo Protección de Datos, de 27 de mayo de 2015, apdo. 118 a), p. 8, accesible en: https://is.gd/Xa6UZM. |
| [30] |
Un sujeto responsable a efectos del Reglamento de protección de datos personales puede tener más de un establecimiento, aunque suele coincidir con su domicilio, mientras que los interesados tienen un único domicilio, que coincide con su residencia habitual. |
| [31] |
Propuesta de Reglamento del Parlamento y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, y a la libre circulación de estos datos (Reglamento General de Protección de Datos) COM(2012) 11 final-2012/0011 (COD), de 25 de enero de 2012, p. 14, accesible en: https://is.gd/IsOWEU. |
| [32] |
Ambas teorías tienen sus defensores, pero es preciso remarcar que, en el ámbito extracontractual, la aplicación del Reglamento Bruselas I bis ofrece en el ámbito de derechos de la personalidad multiplicidad de foros, hecho que no facilita la previsibilidad de la competencia judicial. Por este motivo, algunos autores (Requejo, 2017) se decantan por la preeminencia de las normas de competencia judicial establecidas en el Reglamento de protección de datos, que ofrece únicamente dos foros. |
| [33] |
Working document on the processing of personal data relating to health in electronic health records (EHR), produced by the Article 29 Data Protection Working Party, de 15 de febrero de 2007 (00323/07/EN, WP 131), p. 21. |
| [34] |
Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, BOE 294, de 6 de diciembre de 2018, art. 38.1. |
| [35] |
Véase el art. 23, apdo. primero, de la Directiva 95/46/CE. |
| [36] |
Los arts. 24 y 28 del Reglamento de protección de datos. Conclusiones de la abogada general Sra. Capeta presentadas el 6 de octubre de 2022, Norra Stockholm Bygg, C-268/21, EU:C:2022:755, punto 11. |
| [37] |
Véase, al respecto, la Guía del Reglamento General de Protección de Datos para responsables de tratamiento, Agencia Española de Protección de Datos, mayo de 2016, accesible en: https://is.gd/m5jIt8. |
| [38] |
Revised Version of the General Data Protection, Council of the European Union 17831/13, de 16 de diciembre de 2013, nota 542, p 221. «COM reservation as the current draft (contrary to the initial version and the 195 Directive) no longer embodies the principle of strict liability», accesible en: https://is.gd/LlBdxQ. |
| [39] |
Conclusiones del abogado general Sr. Campos Sánchez Bordona de 25 de mayo de 2023, Krankenversicherung Nordrhein, C-667/21, ECLI: EU:C:2023:433, punto 61, donde se cita la enmienda 2819 del Sr. Ilchev contenida en la Propuesta de Reglamento del Parlamento y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, y a la libre circulación de estos datos (Reglamento General de Protección de Datos) COM(2012) 011-C-70025/2012-2012(0011 COD) del Parlamento Europeo, de 16 de enero de 2013, PE501.927v04-00: «Any person who has suffered damage as a result of an unlawful processing operation or of an action incompatible with this Regulation shall have the right to receive compensation from the controller or the processor for the damage suffered unless the controller or processor proves that they are not responsible for the damage either by intent or negligence». |
| [40] |
STJUE (Sala Tercera) de 21 de diciembre de 2023, Krankenversicherung Nordrhein, C-667/21, EU:2023:1022, apdo. 103. |
| [41] |
STJUE (Sala Tercera) de 21 de diciembre de 2023, Krankenversicherung Nordrhein, C-667/21, EU:2023:1022, apdo. 100, que hace referencia al considerando 7 del Reglamento. |
| [42] |
Sentencia del Tribunal Supremo (Sala de lo Contencioso-Administrativo, Sección Tercera) de 15 de febrero de 2022, 188/2022, ES:TS:2022:543, fundamento de derecho tercero. |
| [43] |
Véase el considerando 142 y el art. 80 del Reglamento de protección de datos. |
| [44] |
Véase el art. 23 de la Directiva 95/46/CE. |
| [45] |
Véase, al respecto, el Documento n.º 9083/15, Presidencia a miembros JAI del Grupo Protección de Datos, de 27 de mayo de 2015. |
| [46] |
Véase el art. 29 del Reglamento de protección de datos. |
| [47] |
STJUE (Sala Tercera) de 22 de junio de 2023, Pankki S, C-579/21, ECLI:C:EU:2023:50, apdo. 73. |
| [48] |
Art. 32, apdo. 4, del Reglamento de protección de datos. |
| [49] |
Art. 4, apdo. 7, del Reglamento de protección de datos. |
| [50] |
Dictamen 1/2010 sobre los conceptos de responsable de tratamiento y encargado del tratamiento, de 16 de febrero de 2010, elaborado por un órgano consultivo europeo independiente en materia de protección de datos y derecho a la intimidad denominado Grupo de Trabajo del art. 29 de protección de datos, que actúa en el ámbito supranacional, p. 14, accesible en: https://is.gd/b2cGC0. |
| [51] |
STJUE (Sala Segunda) de 29 de julio de 2019, Fashion ID, C-40/17, EU:C: 2019:629, apdos. 79, 81 y 82. |
| [52] |
STJUE (Gran Sala) de 6 de diciembre de 2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:949 |
| [53] |
Dictamen 1/2010 sobre los conceptos de responsable del tratamiento y encargado del tratamiento, adoptado el 16 de febrero de 2010, Grupo de Trabajo del art. 29 sobre protección de datos, 00264/10/ES, WP 169, p. 3. |
| [54] |
STJUE (Gran Sala) de 10 de julio de 2018, Jehovan Todistajat, C-25/17, EU:C:2018:551, apdo. 68. |
| [55] |
Conclusiones del abogado general Sr. Nicholas Emiliou de 4 de mayo de 2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:376, punto 32. |
| [56] |
STJUE (Sala Tercera) de 11 de enero de 2024, État Belge (Datos tratados en un diario oficial), C-231/22, EU:C: 2024:7. |
| [57] |
STJUE (Gran Sala) de 5 de diciembre de 2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:949, apdo. 43. |
| [58] |
Dictamen 1/2010 sobre los conceptos de responsable de tratamiento y encargado del tratamiento, de 16 de febrero de 2010, Grupo de Trabajo del art. 29, p. 36. |
| [59] |
STJUE (Gran Sala) de 5 de junio de 2018, Wirtschaftsakademie Schleswig‑Holstein, C-210/16, EU:C:2018:388, apdos. 28, 43 y 44. |
| [60] |
Conclusiones del abogado general Sr. Athanasios Rantos de 15 de junio de 2023, Kočner/Europol, C-755/21 P, EU:C:2023:481. |
| [61] |
STJUE (Sala Tercera) de 25 de enero de 2024, MediamarktSaturn, C-687/21, EU:C:2024:72, apdo. 44, y arts. 24 y 32 del Reglamento de protección de datos. |
| [62] |
STJUE (Sala Tercera) de 11 de abril de 2024, juris, C-741/21, EU:C:2024:288, apdo. 54. |
| [63] |
STJUE (Sala Tercera) de 21 de diciembre de 2023, Krankenversicherung Nordrhein, C-667/21, EU:2023:1022, apdos. 92 a 94. |
| [64] |
Conclusiones del abogado general Sr. Pitruzzella de 27 de abril de 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:353, punto 63. |
| [65] |
Considerando 146 del Reglamento de protección de datos. |
| [66] |
STJUE (Sala Tercera) de 14 de diciembre de 2023, Gemeinde Ummendorf, C-456/22, EU:C.2023:988, apdo. 15. |
| [67] |
STJUE (Gran Sala) de 13 de mayo de 2014, Google Spain y Google, C-131/14, EU:C:2014:317, apdos. 96 y 97 y considerando 4 del Reglamento de protección de datos. |
| [68] |
Conclusiones del abogado general Sr. Pitruzzella de 27 de abril de 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:353, punto 50. |
| [69] |
STJUE (Sala Tercera) de 25 de enero de 2024, MediamarktSaturn, C-687/21, EU:C:2024:72, apdos. 67 y 68. |
| [70] |
Sentencia del Tribunal Supremo (Sala de lo Civil, Sección Primera) de 19 de marzo de 2024, 1495/2024, ES:TS: 2024:495. |
| [71] |
Sentencia del Tribunal Supremo, (Sala de lo Civil, Sección Primera) de 9 de septiembre de 2021, 592/2021, ES:TS:2021:3295. |
| [72] |
Conclusiones del abogado general Sr. Campos Sánchez-Bordona de 6 de octubre de 2022, Österreichische Pos, C-300/21, EU:C:2022:756, punto 30. |
| [73] |
STJUE (Sala Tercera) de 14 de diciembre de 2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, apdo. 17. |
| [74] |
Sentencia del Tribunal Supremo (Sala de lo Contencioso-Administrativo, Sección Quinta) de 17 de enero de 2019, 29/2019, ES:TS: 2019: 95. |
| [75] |
Véase el considerando 146 del Reglamento de protección de datos. |
| [76] |
STJUE (Sala Tercera) de 20 de junio de 2024, Scalable Capital, C-182/22 y C-189/22, EU:C:2024:531, apdo. 37. No indica que «los daños y perjuicios derivados de una violación de la seguridad de los datos sean, por naturaleza, menos importantes que las lesiones corporales». |
| [77] |
STJUE (Sala Tercera) de 25 de enero de 2024, MediamarktSaturn, C-687/21, EU:C:2024:72, apdo. 66. |
| [78] |
Las traducciones francesas e inglesas souffrance morale, moral suffering que constan en los trabajos preparatorios no son las más adecuadas, ya que existen daños que provocan malestar o inconvenientes, pero no implican sufrimiento propiamente dicho. |
| [79] |
Conclusiones del abogado general Sr. Campos Sánchez-Bordona de 6 de octubre de 2022, Österreichische Post, C-300/21, EU:C:2022:756, punto 110. |
| [80] |
STJUE (Sala Tercera) de 4 de mayo de 2023, Österreichische Post, C-300/21, EU:C:2023:370, apdo. 96. |
| [81] |
Sentencia del Tribunal Supremo (Sala de lo Civil, Sección Primera) de 29 de abril de 2019, 245/2019, ES:TS:2019:1321, fundamento de derecho sexto, apdo. tercero. |
| [82] |
STJUE (Gran Sala) de 16 de julio de 2009, Comisión/Schneider Electric, C-440/07, EU:C:2009:459, apdo. 192. |
| [83] |
STJUE (Sala Tercera) de 25 de enero de 2024, MediamarktSaturn, C-687/21, EU:C:2024:72, apdos. 60 y 61. |
| [84] |
Principios de derecho europeo de la responsabilidad civil, European Group on Tort Law, mayo de 2005, art. 3.101. Grupo formado por prestigiosos académicos y abogados especializados no solo europeos, sino también provenientes de otros Estados como Sudáfrica o Estados Unidos de América. |
| [85] |
STJUE (Gran Sala) de 21 de marzo de 2024, Kočner/Europol, C-755/21 P, EU:C:2024:202, apdo. 133. |
| [86] |
Considerando 146 del Reglamento de protección de datos: «Los interesados deben recibir una indemnización total y efectiva por los daños y perjuicios causados». |
| [87] |
Conclusiones del abogado general Campos Sánchez Bordona de 6 de octubre de 2022, Österreichische Post, C-300/21, EU:C:2022:756, punto 44. |
| [88] |
STJUE (Sala Tercera) de 20 de junio de 2024, Scalable Capital, C-182/22 y C-189/22, EU:C:2024:531, apdo. 23. |
| [89] |
La traducción de indemnización en el art. 82 utilizada en el Reglamento de protección de datos en francés es réparation, en inglés compensation, mientras que en alemán es Schadenersatz, equivalente a daños y perjuicios. |
| [90] |
STJUE (Sala Tercera) de 4 de mayo de 2023, Österreichische Post, C-300/21, EU:C:2023:370, apdo. 18. |
| [91] |
STJUE (Sala Tercera) de 25 de enero de 2024, MediamarktSaturn, C-687/21, EU:C:2024:722. |
| [92] |
Conclusiones del abogado general Campos Sánchez Bordona, de 6 de octubre de 2022, Österreichische Post, C-300/21, EU:C:2022:756, apdo. 39. |
| [93] |
Tal como se desprende tanto de su texto como de los trabajos preparatorios del Reglamento. Véase las Conclusiones del abogado general M. Campos Sánchez Bordona, de 6 de octubre de 2022, Österreichische Post, C-300/21, EU:C:2022:756, punto 91, así como la Sentencia del Tribunal Supremo (Sala de lo Civil, Sección Primera) de 21 septiembre de 2017, 512/2017, ES:TS:2017:3322, fundamento de derecho tercero. |
| [94] |
Véase las Conclusiones del abogado general Sr. Campos Sánchez Bordona de 6 de octubre de 2022, Österreichische Post, C-300/21, EU:C:2022:756, punto 89. |
| [95] |
STJUE (Sala Tercera) de 21 de diciembre de 2023, Krankenversicherung Nordrhein, C-667/21, EU:2023:1022, apdo. 86. |
| [96] |
Conclusiones del abogado general Geelhoed de 26 de enero de 2006, Manfredi/Assitalia, C-295/04, EU:C:2006:67, punto 69. |
| [97] |
STJUE (Sala Tercera) de 4 de mayo de 2023, Österreichische Post, C-300/21, EU:C:2023:370, apdo. 54. |
| [98] |
Conclusiones del abogado general Sr. Manuel Campos Sánchez Bordona de 25 de mayo de 2023, Krankenversicherung Nordrhein, C-667/21, ECLI: EU:C:2023:433, punto 114. |
| [99] |
Esta materia está excluida del ámbito de aplicación del Reglamento (CE) 864/2007 del Parlamento y del Consejo, de 11 de julio de 2007, relativo a la ley aplicable a las obligaciones extracontractuales, denominado asimismo Reglamento Roma II, DOUE L 199/40, de 31 de julio de 2007. Véase el excelente manual de Torralba Mendiola y Rodríguez Pineau (2023) en relación con las cuestiones relativas a los conflictos de leyes transfronterizos desde una perspectiva internacional privatista. |
| [100] |
STJUE (Sala Tercera) de 4 de mayo de 2023, Österreichische Post, C-300/21, EU:C:2023:370, apdos. 48 y 49. |
| [101] |
STJUE (Sala Tercera) de 14 de diciembre de 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, apdo. 81, y STJUE (Sala Tercera) de 14 de diciembre de 2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, apdo. 19. |
| [102] |
Sentencia de la Corte Suprema de Cassazione italiana (Sección Civil) de 26 de febrero de 2021, n.º 16402. |
| [103] |
Conclusiones del abogado general Sr. Nils Wahl de 27 de octubre de 2016, Defensor del Pueblo/ Staelen, C-337/15 P, EU:C:2016:823, punto 114. |
| [104] |
STJUE (Sala Tercera) de 21 de diciembre de 2023, Krankenversicherung Nordrhein, C-667/21, EU:2023:1022, apdo. 86. |
| [105] |
STJUE (Sala Tercera) de 11 de abril de 2024, juris, C-741/21, EU:C:2024:288. |
| [106] |
Considerando 148 del Reglamento de protección de datos. |
| [107] |
STJUE (Sala Tercera) de 20 de junio de 2024, PS (Dirección errónea), C-590/22, EU:C:2024:536, apdos. 48 y 49. |
| [108] |
Sentencia del Tribunal Supremo (Sala de lo Civil, Sección Primera) de 27 de febrero, 130/2020, ES:TS:2020:655, fundamento de derecho segundo, apartado cuarto. |
| [109] |
Sentencia del Tribunal Supremo (Sala de lo Civil, Sección Primera) de 19 de octubre de 2000, 964/2000, ES:TS:2000:7533, y Sentencia del Tribunal Supremo (Sala de lo Civil, Sección Primera) de 22 de enero de 2014, 12/2014, ES:TS:2014:355. |
| [110] |
Alemania, Polonia, Rumanía, Holanda, entre otros. |
| [111] |
La indemnización equitativa se denomina angemessene Entschädigung y se aplica tanto a la responsabilidad civil con carácter contractual como extracontractual. |
| [112] |
Sentencia del Tribunal Regional de Viena de 14 de julio de 2020, que derivó posteriormente en la cuestión prejudicial C-300/21 instada por el Tribunal Supremo (OGH) austriaco el 15 de abril de 2021. |
| [113] |
Sentencia del OGH austríaco de 21 de agosto de 2021, 6 Ob 56/21K, AT:OGH0002:2021:0060OB00056.21K.0623.000. |
| [114] |
Sentencia del District Court de Rotterdam 20/3286, de 12 de julio de 2021, NL:RBROT:2021:6822. |
| [115] |
Sentencia del Raad Van State de 1 de abril de 2020, NL:RVS:2020:898. |
| [116] |
Sentencia del Tribunal Supremo de 13 de enero de 2022 (Sala de lo Civil, Sección Primera), 16/2022, ES:TS:2022:93, fundamento de derecho segundo. |
| [117] |
Sentencia del Administrative District Court of the Northern Netherlands de 15 de enero de 2020, C/18/189406/ HA ZA 19-6, NL:RBNNE:2020:247. |
| [118] |
Sentencia del Genderland District Court de 4 de octubre de 2023, NL:RBGEL:2023:5435. |
| [119] |
Sentencia de la Corte Suprema di Cassazione (Civile, sez III) de 15 de julio de 2014, n.º 16133. |
| [120] |
Sentencia de la Corte Suprema di Cassazione (Civile, sez VI) de 7 de octubre de 2021, n.º 27301. En este caso fue por un período muy breve de tiempo, inferior a un día, hecho que motivó el desistimiento del demandante. |
| [121] |
Sentencia de la Corte Suprema di Cassazione (Civile, sez I) de 12 de mayo de 2023, n.º 13073. |
| [122] |
Sentencia del Tribunal Supremo (Sala de lo Civil, Sección Primera) de 29 de abril de 2019, 245/2019, ES:TS:2019:1321, fundamento de derecho sexto, apartado segundo. |
| [123] |
Sentencia de la Audiencia Provincial de Lugo (Sección Primera) de 21 de septiembre de 2021, 358/2021, ES:APLU:2021:597, fundamento de derecho segundo. |
| [124] |
Sentencia de la Audiencia Provincial de Valencia (Sección Undécima) de 28 de junio de 2022, 277/2022, ES:APV:2022:2568. |
| [125] |
Véase el art. 6.2 relativo a cuestiones específicas y el art. 9.4 del Reglamento sobre aspectos adicionales. |
| [126] |
Malta, en su Data Protection Act de 28 de mayo 2018, en Section 30, apdo. 4, establece un plazo de doce meses desde que el interesado tuvo conocimiento o debía haberlo tenido. |
| [127] |
El plazo de prescripción de las acciones civiles por indemnización de daños y perjuicios depende de si la acción es contractual o no contractual en el sistema español, concretándose en un año en el caso de la responsabilidad extracontractual y siendo más amplio en el de la responsabilidad contractual. |
|
Amram, D. y Comandé, G. (2021). Tort damages for non-economic losses: methodological approaches for comparative analysis served by new technologies. En Comparative Tort Law Global Perspectives (pp. 336-353). Cheltenham: Edward Elgar Publishing. Disponible en: https://doi.org/10.4337/9781789905984.00023. |
|
|
Casanova Asencio, A. S. C. (2019). Protección de datos personales en el ámbito de la historia clínica: el acceso indebido por el personal sanitario y sus consecuencias. InDret. Revista para el Análisis del Derecho, 2, 1-31. |
|
|
De Marcos, L. D. F. (2021). Accountability en mi entidad: qué, quién, cómo, cuándo y por qué. Actualidad Administrativa, 9. |
|
|
De Miguel Asensio, P. A. (2017). Competencia y Derecho aplicable en el Reglamento General sobre Protección de Datos de la Unión Europea. Revista Española de Derecho Internacional, 69 (1), 75-108. Disponible en: https://doi.org/10.17103/redi.69.1.2017.1.03. |
|
|
Franzina, P. (2016), Jurisdiction regarding claims for the infringement of privacy right under the General Data Protection Regulation. En European Contract Law and the Digital Single Market, the implications of the Digital Revolution (pp. 81-108). Cambridge: Intersentia. Disponible en: https://doi.org/10.1017/ 9781780685212.005. |
|
|
García Vicente, J. R. G. (2023). Daño moral y función disuasoria de la responsabilidad civil en los daños al honor: el caso de los ficheros de solvencia; jurisprudencia del Tribunal Supremo. Actualidad Civil, 1. |
|
|
Knetsch, J. (2022). The compensation of non-pecuniary loss in General Data Protection Regulation, infringement cases. Journal of European Tort, 13 (2), 132-153. Disponible en: https://doi.org/10.1515/jetl-2022-0008. |
|
|
Li, S. (2023). Compensation for non-material damage under art. 82 General Data Protection Regulation: a review of case C-300/21. Maastricht Journal of European and Comparative Law, 30 (3), 335-345. Disponible en: https://doi.org/10.1177/1023263X231208835. |
|
|
Lintvedt, M. N. (2022). Putting a price on data protection infringement. International Data Privacy Law, 12 (1), 1-15. Disponible en: https://doi.org/10.1093/idpl/ipab024. |
|
|
Magnus, J. y Fedtke, J. (2021). Country Reports: Germany. En H. Rogers (ed.). Damages for Non-Pecuniary Loss in a Comparative Perspective (pp. 1-318). Vienna, New York: Springer. |
|
|
Menezes Cordeiro, A. B. (2019). Civil liability for processing of personal data in the General Data Protection Regulation. European Data Protection Law Review, 5, 492-499. Disponible en: https://doi.org/10.21552/edpl/2019/4/7. |
|
|
Ormaeche Lenguínez, I. (2022). Competencia judicial internacional y protección de datos personales en el Reglamento general de protección de datos: su encaje con el Reglamento Bruselas I bis. Revista Jurídica de la Universidad Autónoma de Madrid, 45 (1), 100-127. Disponible en: https://doi.org/10.15366/rjuam2022.45.006. |
|
|
Puig, A. R. (2018). Daños por infracciones del derecho a la protección de datos personales. El remedio indemnizatorio del art. 82 Reglamento General de Protección de Datos. Revista de Derecho Civil, 5 (4), 53-87. |
|
|
Puig, A. R. (2019). Problemas de coordinación y compatibilidad entre la acción indemnizatoria del art. 82 del Reglamento General de Protección de Datos y otras acciones en derecho español. Derecho Privado y Constitución, 34, 197-232. Disponible en: https://doi.org/10.18042/cepc/dpc.34.05. |
|
|
Puig, A. R. (2024). El principio de culpabilidad en el derecho de protección de datos personales y la condición de responsable del tratamiento, Sentencia del Tribunal de Justicia, Gran Sala, de 5 de diciembre de 2023, asunto C-683/21: Nacionalinis Visuomenės Sveikatos Centras prie Sveikatos apsaugos Ministerijos Valstybinė Duomenų Apsaugos Inspekcija. La Ley Unión Europea, 121. |
|
|
Requejo Isidro, M. (2017). La aplicación privada del derecho para la protección de las personas físicas en materia de tratamiento de datos personales en el Reglamento de la Unión Europea, 2016/679. La Ley Mercantil, 42. |
|
|
Rodríguez Pineau, E. (2021). Acciones de indemnización por vulneración de la protección de datos. En E. Rodríguez Pineau y E. C. Torralba Mendiola (dirs.). La protección de las transmisiones de datos fronterizos (pp. 213-262). Cizur Menor: Aranzadi Thomson Reuters. |
|
|
Torralba Mendiola, E. C. y Rodríguez Pineau, E. (2023). Delimitación del derecho aplicable en el Reglamento 2016/679: tutela jurídico-privada de la protección de datos. Valencia: Tirant lo Blanch. |
|
|
Sánchez-Frías, A. (2023). Los conceptos autónomos en el Derecho de la Unión Europea. Valencia: Tirant lo Blanch. |
|
|
Wagner, J. y Fenecke, A. (2016). National Legislation within the framework of the General Data Protection Regulation: limits and opportunities of Member State Data Protection Law. European Data Protection Law Review, 2 (3), 353-361. Disponible en: https://doi.org/10.21552/EDPL/2016/3/10. |
|
|
Zanfir-Fortuna, G. (2020). Art. 82. Right to compensation and liability. En C. Kuner, L. A. Bygrave, C. Docksey y L. Drechsler (eds.). The European Union General Data Protection Regulation: a commentary (pp. 1160-1179). Oxford: Oxford University Press. Disponible en: https://doi.org/10.1093/oso/9780198826491.003.0128. |