En una sentencia reciente, dictada el 15 de abril de 2021, el Tribunal Supremo austriaco (Oberste Gerichtshof, OGH) sostuvo que el tratamiento de datos sobre la afinidad del sujeto con un partido político constituye una categoría especial de datos personales. Esto se aplica incluso si los datos en cuestión se basan en encuestas y estadísticas anónimas.

Además, mediante una petición de decisión prejudicial con arreglo al art. 267 del TFUE, el OGH planteó cuestiones fundamentales relativas a la interpretación del art. 82 del RGPD al Tribunal de Justicia de las Comunidades Europeas (TJUE). Más concretamente, solicitó una aclaración sobre los requisitos para conceder una indemnización por daños y perjuicios basada en violaciones del RGPD y la evaluación de dicha indemnización en virtud del art. 82 del RGPD. 82 DEL RGPD.

Hechos

Los hechos subyacentes a este caso tienen su origen en un litigio distinto (6Ob35/21x).

• El demandado vendió datos personales para fines de marketing de terceros como editor de direcciones ("Adresshändler") en virtud del artículo 151 de la Ley austriaca de regulación del comercio (Gewerbeordnung 1994, GewO);
• La información recopilada por el demandado incluía datos sobre la afinidad partidista de los nacionales austriacos;
  A raíz de una solicitud de acceso (art. 15 del RGPD), el demandante se enteró de que el demandado había presumido la afinidad política del demandante con el Partido Liberal de Austria (FPÖ);
• La información relativa a la afinidad del sujeto se obtuvo mediante el uso de un algoritmo para definir las "direcciones del grupo objetivo" según las características sociodemográficas;
• Sin que se haya dado el consentimiento respecto al tratamiento y almacenamiento de los datos, el demandante solicitó:
• Una orden judicial para impedir que el demandado procese datos sobre sus presuntas opiniones políticas;
• Indemnización de 1, 000 euros por los daños inmateriales causados como consecuencia de la afinidad partidista que se le había asignado, que consideraba insultante, vergonzosa y perjudicial para el crédito.

Si bien el Tribunal Regional de Viena para Asuntos Civiles (Landesgericht für Zivilsachen) estimó la solicitud de requerimiento, se denegó la indemnización por daños y perjuicios por no alcanzar el umbral requerido de daño inmaterial indemnizable. La decisión fue confirmada por el Tribunal Regional Superior (Oberlandesgericht). La decisión fue recurrida por ambas partes.

Cuestiones jurídicas

La sentencia del OGH se centró en 1) si los datos relativos a la afinidad con los partidos políticos califican como datos personales (Art. 4(1) GDPR); 2) si dichos datos constituyen una categoría especial de datos personales (Art. 9 GDPR); 3) si el demandado debe abstenerse de seguir tratando los datos del demandante en el futuro; 4) si el tratamiento de los datos da derecho al demandante a una indemnización (Art. 82 GDPR).

Sentencia parcial del OGH

• Datos personales (Art. 4(1) GDPR)
• Los datos personales se refieren a cualquier información relativa a personas físicas identificadas o identificables ("sujetos de datos");
• Una persona física identificable debe ser aquella que puede ser identificada, directa o indirectamente, por referencia particular a un identificador;
• Se consideró que los datos personales incluían los datos obtenidos mediante evaluaciones subjetivas y/u objetivas (es decir, datos no personales, por ejemplo, encuestas/estadísticas), dado que permitían asignar directamente la "afinidad por un partido político" a una persona física identificada/identificable;
• La validez de la supuesta afinidad es por tanto irrelevante;
• El hecho de que la información fuera una mera expresión del supuesto interés de los sujetos por un partido político concreto es igualmente irrelevante.¹

Categoría especial de datos personales (Art. 9 GDPR)

• El término "opinión política" debe interpretarse de forma amplia para garantizar un nivel de protección uniforme y elevado;
• Hay que eliminar cualquier riesgo de discriminación grave como consecuencia del tratamiento de determinados tipos de datos;
• Los datos relativos a las preferencias políticas de los sujetos dan lugar a una posible discriminación y, por tanto, deben considerarse incluidos en el ámbito de la opinión política de conformidad con el artículo 9 del RGPD. 9 DEL GDPR.²

Recurso (Art. 79 GDPR)

• El derecho a un recurso judicial efectivo está garantizado por el art. 79 del RGPD cuando se hayan vulnerado los derechos del interesado como consecuencia del tratamiento de sus datos personales en incumplimiento de las disposiciones del RGPD;
• En ausencia de un consentimiento explícito por parte del sujeto, el tratamiento de datos sobre la afinidad a un partido político se considera ilegal en virtud de la letra a) del apartado 2 del artículo 9 por sí mismo;
• El hecho de que los datos relevantes hayan sido borrados/no publicados, es decir, que se produzcan internamente pero no aparezcan externamente, es irrelevante, ya que no elimina el peligro de que dichos datos se (re)creen en el futuro;
• El requerimiento se mantendrá cuando exista la posibilidad de que los datos se vuelvan a crear en el futuro.

Cuestiones planteadas al TJUE

El Tribunal Supremo de Austria solicitó al TJUE una decisión prejudicial en virtud del art. 267 TFUE sobre la interpretación y aplicación de la reclamación de daños y perjuicios regulada en el Art. 82 DEL GDPR.

En particular, se pide al TJUE que aclare:

• Si una reclamación por daños y perjuicios, además de la violación de una disposición del RGPD, requiere que el reclamante haya sufrido daños específicos o si dicha violación es suficiente para tener derecho a la indemnización;
• Si los requisitos adicionales del derecho de la UE, más allá de los principios de eficacia y equivalencia, deben ser considerados por los tribunales nacionales en su evaluación de los daños;
• Si el umbral de los daños no pecuniarios/no materiales requiere que la infracción tenga consecuencias de cierto grado o peso que vayan más allá del enfado o las molestias causadas por dicha infracción.

Aunque normalmente se persigue a través de reclamaciones masivas, cualquier persona que haya sufrido un daño material o no material como resultado de una infracción de una disposición del GDPR, conserva el derecho a emprender acciones legales en virtud del Art. 82 DEL RGPD.

Se aconseja a las empresas que sigan de cerca los informes de prensa sobre la pérdida de datos y que identifiquen los indicadores de violaciones de la protección de datos con antelación para permitir la rápida revisión de las deficiencias de la normativa vigente en materia de protección de datos. Además, sería beneficioso garantizar que la documentación y los procesos internos se ajusten a los principios y requisitos de aplicación del RGPD. Con este fin, la revisión de las decisiones anteriores relacionadas con el art. 82 del RGPD tanto a nivel nacional como de la UE. Es evidente que, a partir de la remisión de las cuestiones prejudiciales por parte del TGH al TJUE, se ha sentado una base importante que podría permitir una interpretación uniforme de la ley de protección de datos en materia de daños y perjuicios.

Notas a pie de página

1. Véase también 6Ob127 / 20z (OGH); W258 2217446-1 (BVwG).

2. Véase también W258 2217446-1 (BVwG).

El contenido de este artículo tiene por objeto proporcionar una guía general sobre el tema. Se debe buscar el asesoramiento de especialistas sobre sus circunstancias específicas.