Austria: Cuestiones prejudiciales remitidas al TJUE - Indemnización por daños inmateriales en virtud del art. 82 GDPR

En una sentencia reciente, dictada el 15 de abril de 2021, el Tribunal Supremo austriaco (Oberste Gerichtshof, OGH) sostuvo que el tratamiento de datos sobre la afinidad del sujeto con un partido político constituye una categoría especial de datos personales. Esto se aplica incluso si los datos en cuestión se basan en encuestas y estadísticas anonimizadas.

Además, mediante una petición de decisión prejudicial con arreglo al art. 267 TFUE, el OGH planteó cuestiones fundamentales relativas a la interpretación del art. 82 del RGPD al Tribunal de Justicia de las Comunidades Europeas (TJUE). Más concretamente, solicitó aclaraciones sobre los requisitos de la concesión de daños y perjuicios basados en violaciones del GDPR y la evaluación de dicha indemnización en virtud del Art. 82 DEL RGPD.

Hechos

Los hechos subyacentes a este asunto tienen su origen en un litigio distinto (6Ob35/21x).

• El demandado vendió datos personales para fines de marketing de terceros como editor de direcciones ("Adresshändler") con arreglo al artículo 151 de la Ley austriaca de regulación del comercio (Gewerbeordnung 1994, GewO);
• La información recopilada por el demandado incluía datos sobre la afinidad partidista de los nacionales austriacos;
  A raíz de una solicitud de acceso (art. 15 del RGPD), el demandante tuvo conocimiento de que el demandado había presumido que el demandante tenía afinidad política con el Partido Liberal de Austria (FPÖ);
• La información relativa a la afinidad del sujeto se obtuvo mediante el uso de un algoritmo para definir "direcciones de grupos destinatarios" en función de características sociodemográficas;
• Sin que se hubiera dado el consentimiento para el tratamiento y almacenamiento de los datos, el reclamante solicitó
• Una orden judicial para impedir que el demandado trate datos sobre sus presuntas opiniones políticas;
• Una indemnización de 1.000 euros por el daño inmaterial causado como consecuencia de la afinidad partidista que se le había asignado, que consideraba insultante, vergonzosa y lesiva del crédito.

Si bien el Tribunal Regional de Viena para Asuntos Civiles (Landesgericht für Zivilsachen) estimó la solicitud de medida cautelar, denegó la indemnización por daños y perjuicios por no alcanzar el umbral exigido para el daño inmaterial indemnizable. La decisión fue confirmada por el Tribunal Regional Superior (Oberlandesgericht). La decisión fue recurrida por ambas partes.

Cuestiones jurídicas

La sentencia del OGH se centró en 1) si los datos relativos a la afinidad del interesado con partidos políticos se consideran datos personales (art. 4(1) GDPR); 2) si dichos datos constituyen una categoría especial de datos personales (art. 9 GDPR); 3) si el demandado debe abstenerse de seguir tratando los datos del demandante en el futuro; 4) si el tratamiento de los datos da derecho al demandante a una indemnización (art. 82 GDPR).

Sentencia parcial del OGH

• Datos personales (Art. 4(1) GDPR)
• Por datos personales se entiende cualquier información relativa a personas físicas identificadas o identificables ("interesados");
• Una persona física identificable debe ser aquella que pueda ser identificada, directa o indirectamente, por referencia particular a un identificador;
• Se consideró que los datos personales incluían datos obtenidos mediante valoraciones subjetivas y/u objetivas (es decir, datos no personales, por ejemplo, sondeos/estadísticas) dado que permitían asignar directamente la "afinidad por un partido político" a una persona física identificada/identificable;
• La validez de la supuesta afinidad es por tanto irrelevante;
• El hecho de que la información fuera una mera expresión del supuesto interés de los sujetos por un partido político concreto es igualmente irrelevante^[1].

Categoría especial de datos personales (Art. 9 GDPR)

• El término "opinión política" debe interpretarse en sentido amplio para garantizar un nivel uniforme y elevado de protección;
• Debe eliminarse cualquier riesgo de discriminación grave como resultado del tratamiento de tipos particulares de datos;
• Los datos relativos a las preferencias políticas de los interesados dan lugar a una discriminación potencial y, por tanto, deben considerarse incluidos en el ámbito de la opinión política de conformidad con el artículo 9 del RGPD[2]. 9 DEL RGPD^[2].

Recurso (art. 79 del RGPD)

• El derecho a un recurso judicial efectivo está garantizado por el Art. 79 del RGPD cuando se hayan vulnerado los derechos del interesado como consecuencia del tratamiento de sus datos personales en incumplimiento de las disposiciones del RGPD;
• En ausencia de consentimiento explícito por parte del interesado, el tratamiento de datos sobre la afinidad con un partido político se considera ilícito en virtud del artículo 9, apartado 2, letra a), por sí mismo;
• El hecho de que los datos en cuestión hayan sido suprimidos/no publicados, es decir, que hayan tenido lugar internamente pero no hayan aparecido externamente, es irrelevante, ya que no elimina el peligro de que dichos datos sean (re)creados en el futuro;
• Un requerimiento judicial debe mantenerse cuando existe la posibilidad de que los datos se vuelvan a crear en el futuro.

Cuestiones planteadas al TJUE

El Tribunal Supremo austriaco solicitó al TJUE una decisión prejudicial en virtud del art. 267 TFUE sobre la interpretación y aplicación de la reclamación de daños y perjuicios regulada en el Art. 82 GDPR.

En concreto, se solicita al TJUE que aclare:

• Si una reclamación de daños y perjuicios, además de la violación de una disposición del GDPR, requiere que el demandante haya sufrido daños específicos o si dicha violación es suficiente para tener derecho a la indemnización;
• Si los requisitos adicionales de la legislación de la UE, más allá de los principios de efectividad y equivalencia, deben ser considerados por los tribunales nacionales en su evaluación de los daños y perjuicios;
• Si el umbral para los daños no pecuniarios/no materiales requiere que la infracción tenga consecuencias de cierto grado o peso que vayan más allá del enfado o la molestia causados por dicha infracción.

Aunque normalmente se persigue a través de reclamaciones masivas, cualquier persona que haya sufrido daños materiales o inmateriales como resultado de una infracción de una disposición del GDPR, conserva el derecho de emprender acciones legales en virtud del Art. 82 DEL RGPD.

Se aconseja a las empresas que sigan de cerca las noticias de prensa sobre la pérdida de datos e identifiquen con antelación los indicadores de violaciones de la protección de datos para permitir la rápida revisión de las deficiencias de la normativa vigente en materia de protección de datos. Además, sería beneficioso garantizar que la documentación y los procesos internos se ajustan a los principios y requisitos de aplicación del RGPD. A tal fin, la revisión de las decisiones anteriores relativas al art. 82 del RGPD, tanto a escala nacional como de la UE. Es evidente que, a partir de la remisión de cuestiones prejudiciales por parte del OGH al TJUE, se ha sentado una base importante que podría permitir una interpretación uniforme de la ley de protección de datos en materia de daños y perjuicios.

Recursos

1. Ver también 6Ob127 / 20z (OGH); W258 2217446-1 (BVwG).
2. Véase también W258 2217446-1 (BVwG).

El contenido de este artículo pretende ofrecer una guía general sobre la materia. Debe solicitar asesoramiento especializado sobre sus circunstancias específicas.