Desde el 9/10/2024, empresas con más de 50 trabajadores tienen 3 meses para negociar medidas LGTBI

Sentencias de junio de 2024 sobre protección de datos: indemnización por daños en el RGPD

En este artículo hablamos sobre:

  • El Tribunal de Justicia de la Unión Europea (TJUE) emitió dos sentencias el 20 de junio de 2024, abordando la indemnización por daños bajo el artículo 82 del RGPD.
  • Las sentencias subrayan que la infracción del RGPD es necesaria, pero no suficiente para recibir compensación; es necesario demostrar un daño y una relación de causalidad.
  • El robo de datos no implica necesariamente una usurpación de identidad, pero sí puede generar el derecho a indemnización si se prueban los daños.

El 20 de junio de 2024, el Tribunal de Justicia de la Unión Europea (TJUE) dictó dos sentencias que aclaran el alcance del artículo 82 del Reglamento General de Protección de Datos (RGPD), relativo a la indemnización por daños en casos de infracción. Estas decisiones son relevantes para la interpretación de las reclamaciones de daños y perjuicios en el contexto de la protección de datos y proporcionan criterios adicionales para que los tribunales nacionales puedan aplicarlos.

Daños y perjuicios: el fundamento de la indemnización

En la primera de las sentencias, el TJUE abordó un caso donde un error llevó al envío de datos fiscales a un tercero no autorizado, sin demostrarse la pérdida de control sobre dichos datos. El tribunal determinó que, si bien la infracción del RGPD es una condición necesaria, no es suficiente para garantizar la indemnización. Es indispensable que se produzca un daño, ya sea material o inmaterial, y que exista una relación de causalidad entre la infracción y el daño.

El TJUE también aclaró que no es necesario que los daños alcancen un cierto grado de gravedad para que el reclamante tenga derecho a indemnización, pero deben probarse consecuencias negativas derivadas de la infracción.

Temor y compensación

Una de las cuestiones planteadas fue si el temor a que los datos hayan sido divulgados a terceros puede justificar una indemnización. El tribunal concluyó que este temor no es suficiente a menos que conlleve consecuencias negativas demostrables para el individuo afectado.

En cuanto a la cuantificación de las indemnizaciones, el TJUE señaló que no deben aplicarse los criterios previstos para la imposición de multas administrativas (artículo 83 del RGPD), ya que ambos persiguen objetivos distintos. La indemnización tiene una función compensatoria, y su cuantía debe basarse en los daños sufridos, sin estar relacionada con la gravedad de la infracción.

Robo de datos y usurpación de identidad

En la segunda sentencia, el TJUE se pronunció sobre un caso relacionado con el robo de datos personales en una plataforma de negociación de valores. El tribunal precisó que el robo de datos no implica automáticamente una usurpación de identidad, a menos que los datos robados sean utilizados efectivamente con ese fin.

Sin embargo, el TJUE dejó claro que el robo de datos por sí solo puede dar lugar a una indemnización si se cumplen los tres requisitos del artículo 82 del RGPD: una infracción del reglamento, un daño y una relación de causalidad entre ambos.

Aspectos clave

Las sentencias del TJUE de junio de 2024 aclaran varios aspectos clave sobre la indemnización por daños en el contexto del RGPD, proporcionando a los tribunales nacionales criterios más precisos para aplicar el artículo 82. No obstante, persiste la falta de directrices generales para calcular la cuantía de las indemnizaciones, lo que sigue dependiendo de las legislaciones nacionales de cada Estado miembro.

Más artículos sobre cumplimiento normativo

Más de 20 años cumpliendo contigo

¿Necesitas ayuda?

Te asignaremos un consultor experto para buscar una solución a tu problema en menos de 24h. ¡Escríbenos!

¡Será un placer ayudarte!

¿Necesitas asesoramiento personalizado?
¿Necesitas un presupuesto a medida?

Te ayudamos

Coméntanos tu problema para asignarte un consultor especializado y darte una solución jurídica en menos de 24hs.

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS
Responsable del tratamiento: AUDIDAT 3.0, S.L. | Dirección del responsable: Paseo de la Castellana 182, 6ª planta 28046 Madrid | Finalidad: Sus datos serán usados para poder atender sus solicitudes y prestarle nuestros servicios. Asimismo, si usted nos ha facilitado su currículum personal, sus datos personales serán utilizados para participar en nuestros procesos de selección. | Publicidad: Solo le enviaremos publicidad con su autorización previa, que podrá facilitarnos mediante la casilla correspondiente establecida al efecto. | Legitimación: Únicamente trataremos sus datos con su consentimiento previo, que podrá facilitarnos mediante la casilla correspondiente establecida al efecto. | Destinatarios: Con carácter general, sólo el personal de nuestra entidad que esté debidamente autorizado podrá tener conocimiento de la información que le pedimos. Así mismo comunicaremos su información a entidades ofertantes interesadas en su perfil curricular. | Derechos: Tiene derecho a saber qué información tenemos sobre usted, corregirla y eliminarla, tal y como se explica en la información adicional disponible en nuestra página web. | Información adicional: Más información en el apartado ““política de privacidad”” de nuestra página web. | Delegado de Protección: de Datos dpd@audidat.com