Alarmante: El Tribunal de Justicia puede limitar severamente la aplicación de los derechos de privacidad de los europeos
El Abogado General (AG) del Tribunal de Justicia de la Unión Europea (TJUE) ha emitido un dictamen que pretende limitar una de las últimas vías posibles para que los usuarios hagan valer sus derechos de privacidad en virtud del RGPD. Según el fiscal general, los europeos apenas podrían obtener indemnizaciones por las infracciones del RGPD, a pesar de que éste prevé explícitamente la posibilidad de reclamar daños y perjuicios no materiales. El TJUE emitirá la sentencia definitiva en los próximos meses.
- Dictamen del GC en el asunto C-300/21
- Referencia austriaca al TJUE sobre el daño moral (en alemán)
- Sentencia final austriaca sobre las demás reclamaciones en este caso (en alemán)
Más recursos:
- Análisis detallado de la opinión del AG por Max Schrems
- podcast "Grump GDPR" con Max Schrems sobre este dictamen (en transistor.fm)
Antecedentes del caso. El servicio postal austriaco calculó ilegalmente la inclinación política de millones de austriacos, violando el GDPR. Un demandante vienés que fue asociado injustamente con el Partido de la Libertad, populista y de derechas, demandó al Servicio Postal por daños y perjuicios, reclamando 1.000 euros por el enfado masivo, la pérdida de confianza y el sentimiento de exposición. El GDPR nombra explícitamente una reclamación por daños no materiales. Sin embargo, el Tribunal Supremo de Austria (OGH) remitió tres cuestiones al TJUE, preguntando si el artículo 82 del RGPD permite la indemnización por daños y perjuicios sin daños materiales o si los tribunales austriacos pueden exigir un "umbral" adicional para conceder daños no materiales.
¿No hay daños y perjuicios para la mayoría de las violaciones del RGPD? El Tribunal Supremo austriaco preguntó principalmente si podría limitar la concesión de daños no materiales, si la ira de un demandante no va más allá de la ira que conlleva la violación de los derechos del GDPR. Dado que esta definición incluiría todos los tipos de ira realistas que pueden provenir de una violación del GDPR, socavaría en gran medida la intención del legislador de conceder daños no materiales por violaciones del derecho a la protección de datos.
Max Schrems: "Este caso es profundamente preocupante. Si la opinión del Tribunal Supremo austriaco y del Abogado General prevalece, la mayoría de los usuarios ya no verán la compensación por las violaciones del GDPR. He hablado con muchos expertos en los últimos días y se escucha una preocupación generalizada."
Otras opciones no son eficientes El dictamen del Abogado General señala repetidamente otras opciones distintas de la indemnización por daños y perjuicios, como meras declaraciones, indemnizaciones nominales (normalmente de 1 euro) o medidas cautelares. Aunque cualquier demandante sin duda, tiene derecho a presentar este tipo de reclamaciones, por lo general no pueden remediar violaciones pasadas ni recuperar datos compartidos ilegalmente. Los demandantes tendrían que invertir elevadas cantidades de dinero para limitarse a obtener un papel que diga que tienen razón. Los responsables del tratamiento se irían con los beneficios de las violaciones del RGPD y sin consecuencias realistas.
Max Schrems: "Cuesta miles y, a menudo, diez mil euros presentar una demanda civil. Nadie interpondría una demanda para obtener simplemente un papel que diga que tiene razón"
El dictamen del fiscal general también señala a las autoridades de protección de datos (APD) para que hagan su trabajo. En realidad, muchas APD siguen considerando que no tienen la obligación de hacer valer los derechos de los usuarios. Algunas APD creen que los usuarios ni siquiera son parte en un procedimiento ante ellas. El dictamen del fiscal general argumenta que un mayor número de casos en los tribunales civiles "privaría" a las APD de reclamaciones, cuando en realidad muchas ni siquiera tramitan el número actual de reclamaciones.
Max Schrems: "Algunas secciones de este dictamen resultan profundamente cínicas para cualquiera que trabaje en este campo. Tenemos una enorme laguna en la aplicación del RGPD. Al mismo tiempo, parece que el dictamen contempla muchos argumentos para limitar la aplicación. Se trata de un enfoque muy problemático que proviene del Tribunal de Justicia"."
¿Daños fragmentados en la UE? El dictamen del fiscal general parece permitir que los 30 Estados miembros de la UE y del EEE establezcan sus propios "umbrales" u otras leyes nacionales que puedan limitar la compensación total claramente prevista de los daños no materiales en virtud del RGPD. Esto llevaría a una fragmentación masiva, ya que algunos Estados miembros permitirían la compensación total y otros podrían introducir límites cada vez más altos.
Ni siquiera hay claridad en el caso referido. Incluso si se aceptan las opiniones del dictamen del GC, no hay una respuesta clara al caso subyacente. La propia nota 86 admite que al "exponerestas consideraciones, no prejuzgo si, en este caso, la situación [del demandante] entraba en una categoría o en otra", lo que significa que sigue sin estar claro si el demandante del caso austriaco debe obtener una indemnización o no.
Dictamen poco riguroso desde el punto de vista jurídico. Además de las cuestiones relativas a las conclusiones del dictamen del GC, también presenta graves deficiencias jurídicas. El dictamen sostiene en parte que las normas sobre daños y perjuicios estarían armonizadas en la UE, para luego argumentar que los Estados miembros pueden apartarse de la ley. Igualmente, conceptos como la "pérdida de control" o la libre circulación de datos personales en la UE parecen estar drásticamente mal entendidos en el dictamen del AG.noyb ha preparado un resumen jurídico de 10 páginas del dictamen del AG, en el que se destacan muchos de estos errores más bien técnicos del dictamen.
Max Schrems: "Esperamos que los jueces no sigan este dictamen. No resuelve las cuestiones ante el Tribunal, ni es jurídicamente sólida, pero puede ser utilizada para cerrar uno de los últimos caminos para la aplicación del GDPR."
Creciente acción judicial contra los derechos del GDPR. Si bien el TJUE ha adoptado hasta ahora un enfoque muy neutral y técnico del RGPD, cada vez es más evidente que algunos tribunales nacionales remiten al TJUE innumerables cuestiones que pretenden limitar el RGPD. Actualmente, hay unas 40 referencias al TJUE, predominantemente con cuestiones que permitirían limitar los derechos del RGPD, o con cuestiones que no se deciden claramente en el marco del RGPD.
Max Schrems: "Vemos una tendencia preocupante de que los tribunales están limitando poco a poco los derechos bajo el GDPR y añaden más y más obstáculos. Mientras que el 96% del Parlamento Europeo y todos los Estados miembros de la UE apoyaron una fuerte protección de la privacidad, apenas vemos la aplicación sobre el terreno. Parece que algunos jueces fueron convencidos por la industria de que el RGPD debe ser limitado. Vemos cada vez más sentencias que intentan deshacer gradualmente el RGPD limitando a los demandantes y a las autoridades. Esta es una tendencia especialmente en los países de habla alemana y en los Países Bajos. Algunos tribunales parecen esperar que el TJUE limite el RGPD. Muchas sentencias se leen como si los jueces quisieran hacer lo correcto al añadir estos obstáculos, cuando en realidad se apartan de una clara decisión democrática."
La decisión final del TJUE en este caso se emitirá en los próximos meses.