EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 62022CJ0456
Judgment of the Court (Third Chamber) of 14 December 2023.#VX and AT v Gemeinde Ummendorf.#Request for a preliminary ruling from the Landgericht Ravensburg.#Reference for a preliminary ruling – Protection of personal data – Regulation (EU) 2016/679 – Article 82 – Right to compensation and liability – Concept of ‘non-material damage’ – Online publication of the agenda for a municipal council meeting containing personal data – Publication without the consent of the data subjects – Claim of those data subjects seeking compensation for non-material damage.#Case C-456/22.
Sentencia del Tribunal de Justicia (Sala Tercera) de 14 de diciembre de 2023.
VX y AT contra Gemeinde Ummendorf.
Petición de decisión prejudicial planteada por el Landgericht Ravensburg.
Procedimiento prejudicial — Protección de datos personales — Reglamento (UE) 2016/679 — Artículo 82 — Derecho a indemnización y responsabilidad — Concepto de “daños y perjuicios inmateriales” — Publicación en línea del orden del día de una sesión de un consejo municipal que contiene datos personales — Publicación sin el consentimiento de los interesados — Reclamación por estos de una indemnización por daños y perjuicios inmateriales.
Asunto C-456/22.
Sentencia del Tribunal de Justicia (Sala Tercera) de 14 de diciembre de 2023.
VX y AT contra Gemeinde Ummendorf.
Petición de decisión prejudicial planteada por el Landgericht Ravensburg.
Procedimiento prejudicial — Protección de datos personales — Reglamento (UE) 2016/679 — Artículo 82 — Derecho a indemnización y responsabilidad — Concepto de “daños y perjuicios inmateriales” — Publicación en línea del orden del día de una sesión de un consejo municipal que contiene datos personales — Publicación sin el consentimiento de los interesados — Reclamación por estos de una indemnización por daños y perjuicios inmateriales.
Asunto C-456/22.
ECLI identifier: ECLI:EU:C:2023:988
Edición provisional
SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Tercera)
de 14 de diciembre de 2023 (*)
«Procedimiento prejudicial — Protección de datos personales — Reglamento (UE) 2016/679 — Artículo 82 — Derecho a indemnización y responsabilidad — Concepto de “daños y perjuicios inmateriales” — Publicación en línea del orden del día de una sesión de un consejo municipal que contiene datos personales — Publicación sin el consentimiento de los interesados — Reclamación por estos de una indemnización por daños y perjuicios inmateriales»
En el asunto C‑456/22,
que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Landgericht Ravensburg (Tribunal Regional de lo Civil y Penal de Ravensburg, Alemania), mediante resolución de 30 de junio de 2022, recibida en el Tribunal de Justicia el 8 de julio de 2022, en el procedimiento entre
VX,
AT
y
Gemeinde Ummendorf,
EL TRIBUNAL DE JUSTICIA (Sala Tercera),
integrado por la Sra. K. Jürimäe, Presidenta de Sala, y los Sres. N. Piçarra, M. Safjan, N. Jääskinen (Ponente) y M. Gavalec, Jueces;
Abogado General: Sr. N. Emiliou;
Secretario: Sr. A. Calot Escobar;
habiendo considerado los escritos obrantes en autos;
consideradas las observaciones presentadas:
– en nombre de AT y VX, por el Sr. O. Leuze, Rechtsanwalt;
– en nombre de la Gemeinde Ummendorf, por el Sr. A. Staudacher, Rechtsanwalt;
– en nombre de Irlanda, por la Sra. M. Browne y los Sres. A. Joyce y M. Tierney, en calidad de agentes, asistidos por el Sr. D. Fennelly, BL;
– en nombre de la Comisión Europea, por el Sr. A. Bouchagiar, la Sra. M. Heller y el Sr. H. Kranenborg, en calidad de agentes;
vista la decisión adoptada por el Tribunal de Justicia, oído el Abogado General, de que el asunto sea juzgado sin conclusiones;
dicta la siguiente
Sentencia
1 La petición de decisión prejudicial tiene por objeto la interpretación del artículo 82, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; en lo sucesivo, «RGPD»).
2 Esta petición se ha presentado en el contexto de un litigio entre, por un lado, dos personas físicas, AT y VX, y, por otro, la Gemeinde Ummendorf (Ayuntamiento de Ummendorf, Alemania), relativo a la concesión de una indemnización por daños y perjuicios, con arreglo al artículo 82, apartado 1, del RGPD, por el sufrimiento (pretium doloris) que alegan haber padecido como consecuencia de la divulgación, sin su consentimiento, de sus datos personales en el sitio de Internet de dicho Ayuntamiento.
Marco jurídico
3 El considerando 146, frases primera, tercera y sexta, del RGPD presenta el siguiente tenor:
«El responsable o el encargado del tratamiento debe indemnizar cualesquiera daños y perjuicios que pueda sufrir una persona como consecuencia de un tratamiento en infracción del presente Reglamento. […] El concepto de daños y perjuicios debe interpretarse en sentido amplio a la luz de la jurisprudencia del Tribunal de Justicia [de la Unión Europea], de tal modo que se respeten plenamente los objetivos del presente Reglamento. […] Los interesados deben recibir una indemnización total y efectiva por los daños y perjuicios sufridos. […]»
4 El artículo 5, apartado 1, letra a), de ese Reglamento, bajo el epígrafe «Principios relativos al tratamiento», establece:
«Los datos personales serán:
a) tratados de manera lícita, leal y transparente en relación con el interesado (“licitud, lealtad y transparencia”)».
5 El artículo 82 del citado Reglamento, que lleva por título «Derecho a indemnización y responsabilidad», dispone, en su apartado 1:
«Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.»
Litigio principal y cuestión prejudicial
6 El 19 de junio de 2020, el Ayuntamiento de Ummendorf publicó en Internet, sin el consentimiento de los demandantes en el litigio principal, el orden del día de una sesión del Consejo Municipal en el que se mencionaban varias veces sus nombres, junto con una sentencia dictada el 10 de marzo de 2020 por el Verwaltungsgericht Sigmaringen (Tribunal de lo Contencioso‑Administrativo de Sigmaringen, Alemania), en la que también se citaban sus nombres completos y sus domicilios. Estos documentos estuvieron accesibles en la página de inicio del sitio de Internet del Ayuntamiento hasta el 22 de junio de 2020.
7 Al considerar que dicha publicación infringía el RGPD y que el Ayuntamiento de Ummendorf había actuado intencionadamente, pues se habían suprimido los nombres de las demás partes en el procedimiento que dio lugar a dicha sentencia, los demandantes en el litigio principal solicitaron al Ayuntamiento que les indemnizara por los daños y perjuicios inmateriales que alegaban haber sufrido, en el sentido del artículo 82, apartado 1, de ese Reglamento. Alegan que la divulgación ilícita de los datos personales de una persona constituye «daños y perjuicios», en el sentido de dicha disposición, sin que pueda invocarse un «umbral de minimis», lo que resulta contrario al sistema del RGPD y al efecto disuasorio de la citada disposición.
8 El Ayuntamiento de Ummendorf sostiene, en cambio, que la indemnización de «daños y perjuicios inmateriales» en el sentido del artículo 82, apartado 1, del RGPD exige la prueba de un perjuicio tangible y de una lesión de intereses personales objetivamente concebible.
9 Al conocer de la apelación en el litigio entre las partes en el litigio principal, el Landgericht Ravensburg (Tribunal Regional de lo Civil y Penal de Ravensburg, Alemania), que es el órgano jurisdiccional remitente, considera que, al publicar en Internet los datos personales de los demandantes en el litigio principal, el Ayuntamiento de Ummendorf infringió el artículo 5, apartado 1, letra a), del RGPD. No obstante, dicho órgano jurisdiccional se pregunta si esa publicación causó a los demandantes daños y perjuicios inmateriales en el sentido del artículo 82, apartado 1, de dicho Reglamento, de modo que tienen derecho a una indemnización por el sufrimiento padecido.
10 En particular, el órgano jurisdiccional remitente estima que la mera pérdida de control sobre los datos personales de los demandantes en el litigio principal no basta para caracterizar daños y perjuicios inmateriales en el sentido del artículo 82, apartado 1, del RGPD. Considera que, para admitir la existencia de daños y perjuicios inmateriales, debe superarse un «umbral de minimis» y que esto no es lo que sucede cuando los interesados solo han perdido el control sobre sus datos durante un breve período de tiempo, sin que ello les haya causado ningún daño tangible y sin que se haya demostrado ningún perjuicio objetivamente concebible para sus intereses personales.
11 En estas circunstancias, el Landgericht Ravensburg (Tribunal Regional de lo Civil y Penal de Ravensburg) decidió suspender el procedimiento y plantear al Tribunal de Justicia la siguiente cuestión prejudicial:
«¿Debe interpretarse el concepto de daños y perjuicios inmateriales utilizado en el artículo 82, apartado 1, del [RGPD] en el sentido de que la existencia de daños y perjuicios inmateriales exige un perjuicio apreciable y una injerencia objetivamente evidente en intereses de la persona, o basta con que el interesado se haya visto privado temporalmente del poder de disposición sobre sus datos debido a la publicación de datos personales en Internet por un período de pocos días, sin que de ello se hayan derivado para el interesado consecuencias apreciables o perjudiciales de ningún tipo?»
Sobre la cuestión prejudicial
12 Mediante su cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que se opone a una normativa nacional o a una práctica nacional que fija un «umbral de minimis» para caracterizar los daños y perjuicios inmateriales causados por una infracción de ese Reglamento.
13 A este respecto, cabe recordar que esta disposición establece que «toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.»
14 Como ha señalado el Tribunal de Justicia, del tenor del artículo 82, apartado 1, del RGPD se desprende que la existencia de «daños y perjuicios» que se han «sufrido» constituye uno de los requisitos del derecho a indemnización previsto en esa disposición, al igual que la existencia de una infracción de ese Reglamento y de una relación de causalidad entre dichos daños y perjuicios y esa infracción, de modo que estos tres requisitos son acumulativos [sentencias de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartado 32, y de este día, Natsionalna agentsia za prihodite, C‑340/21, apartado 77]. De ello se desprende que esos tres requisitos son necesarios y suficientes para tener derecho a una indemnización en el sentido de la citada disposición.
15 Teniendo en cuenta la falta de toda referencia en el artículo 82, apartado 1, del RGPD al Derecho interno de los Estados miembros, el concepto de «daños y perjuicios inmateriales», en el sentido de esa disposición, debe recibir una definición autónoma y uniforme, propia del Derecho de la Unión [véase, en ese sentido, la sentencia de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartados 30 y 44].
16 Desde ese punto de vista, basándose en consideraciones literales, sistémicas y teleológicas, el Tribunal de Justicia ha interpretado el artículo 82, apartado 1, del RGPD en el sentido de que se opone a una norma o práctica nacional que supedita la indemnización por «daños y perjuicios inmateriales», en el sentido de esta disposición, al requisito de que los daños y perjuicios sufridos por el interesado hayan alcanzado cierto grado de gravedad [sentencias de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartado 51, y de este día, Natsionalna agentsia za prihodite, C‑340/21, apartado 78].
17 Así pues, no cabe considerar que, a los tres requisitos enunciados en el apartado 14 de la presente sentencia, puedan añadirse otros requisitos para que se genere la responsabilidad con arreglo al artículo 82, apartado 1, del RGPD, como el carácter tangible del daño o la naturaleza objetiva del perjuicio.
18 De ello se deduce que el artículo 82, apartado 1, del RGPD no exige que, tras una infracción probada de las disposiciones de dicho Reglamento, los «daños y perjuicios inmateriales» alegados por el interesado deban alcanzar un «umbral de minimis» para poder ser objeto de indemnización.
19 Esta interpretación se ve corroborada por el considerando 146, tercera frase, del RGPD, que establece que «el concepto de daños y perjuicios debe interpretarse en sentido amplio a la luz de la jurisprudencia del Tribunal de Justicia, de tal modo que se respeten plenamente los objetivos [de ese Reglamento]». Pues bien, esta acepción amplia del concepto de «daños y perjuicios», propugnada por el legislador de la Unión, se vería contradicha si el referido concepto se limitara únicamente a los daños y perjuicios de cierta gravedad, en particular, por lo que respecta a la duración del período durante el cual las personas afectadas sufrieron las consecuencias negativas de la infracción de dicho Reglamento [véanse, en ese sentido, las sentencias de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartado 46, y de este día, Natsionalna agentsia za prihodite, C‑340/21, apartado 81].
20 Además, tal interpretación resulta conforme con uno de los objetivos del RGPD, que consiste en garantizar un nivel coherente y elevado de protección de las personas físicas en lo que respecta al tratamiento de datos personales en la Unión. En efecto, supeditar la indemnización por daños y perjuicios inmateriales a un determinado umbral de gravedad podría menoscabar la coherencia del régimen establecido por el RGPD, puesto que la graduación de tal umbral, del que dependería la posibilidad de obtener dicha indemnización, podría fluctuar en función de la valoración de los jueces que conocieran del asunto [véase, en ese sentido, la sentencia de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartados 48 y 49].
21 Un interesado afectado por una infracción del RGPD que haya tenido consecuencias negativas para él debe no obstante demostrar que estas consecuencias constituyen daños y perjuicios inmateriales, en el sentido del artículo 82 de dicho Reglamento [véanse, en ese sentido, las sentencias de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartado 50, y de este día, Natsionalna agentsia za prihodite, C‑340/21, apartado 84]. En efecto, no basta la mera infracción de las disposiciones de dicho Reglamento para reconocer un derecho a indemnización [sentencia de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartado 42].
22 En estas circunstancias, si bien nada se opone a que la publicación en Internet de datos personales y la consiguiente pérdida de control sobre ellos durante un breve período de tiempo pueden causar a los interesados «daños y perjuicios inmateriales», en el sentido del artículo 82, apartado 1, del RGPD, que den lugar a un derecho a indemnización, sigue siendo necesario que dichos interesados demuestren que han sufrido efectivamente tales daños y perjuicios, por mínimos que sean.
23 Habida cuenta de las consideraciones anteriores, procede responder a la cuestión prejudicial planteada que el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que se opone a una normativa nacional o a una práctica nacional que fija un «umbral de minimis» para caracterizar los daños y perjuicios inmateriales causados por una infracción de ese Reglamento. El interesado debe demostrar que las consecuencias de esa infracción que afirma haber sufrido constituyen un perjuicio distinto de la mera infracción de las disposiciones de dicho Reglamento.
Costas
24 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes han presentado observaciones ante el Tribunal de Justicia sin ser partes del litigio principal no pueden ser objeto de reembolso.
En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Tercera) declara:
El artículo 82, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),
debe interpretarse en el sentido de que
se opone a una normativa nacional o a una práctica nacional que fija un «umbral de minimis» para caracterizar los daños y perjuicios inmateriales causados por una infracción de ese Reglamento. El interesado debe demostrar que las consecuencias de esa infracción que afirma haber sufrido constituyen un perjuicio distinto de la mera infracción de las disposiciones de dicho Reglamento.
Firmas
* Lengua de procedimiento: alemán.