Indemnización por robo de datos personales que no han sido objeto de uso fraudulento posteriormente

Tratamiento de datos personales. Derecho a indemnización. Concepto de «daños y perjuicios inmateriales». Robo de datos personales registrados en una aplicación de negociación con valores (trading) que no han sido objeto de uso fraudulento.

El Tribunal de Justicia declara que:

1. El artículo 82, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), debe interpretarse en el sentido de que el derecho a indemnización previsto en esa disposición cumple una función exclusivamente compensatoria, en la medida en que una indemnización pecuniaria basada en la referida disposición debe permitir compensar íntegramente el perjuicio sufrido.
2. El artículo 82, apartado 1, del Reglamento 2016/679 debe interpretarse en el sentido de que no exige que el grado de gravedad y el eventual carácter doloso de la infracción de dicho Reglamento cometida por el responsable del tratamiento sean tenidos en cuenta a efectos de la indemnización de los daños y perjuicios sobre la base de esta disposición.
3. El artículo 82, apartado 1, del Reglamento 2016/679 debe interpretarse en el sentido de que, en el marco de la cuantificación de la indemnización por daños y perjuicios debida en virtud del derecho a indemnización por los daños y perjuicios inmateriales, ha de considerarse que unos daños de esa índole causados por una violación de la seguridad de los datos personales no son, por naturaleza, menos importantes que unas lesiones corporales.
4. El artículo 82, apartado 1, del Reglamento 2016/679 debe interpretarse en el sentido de que, cuando queda singularizada la existencia de daños y perjuicios y estos carecen de gravedad, un órgano jurisdiccional puede compensarlos concediendo al interesado una indemnización mínima, a condición de que tal indemnización pueda compensar íntegramente los daños y perjuicios sufridos.
5. El artículo 82, apartado 1, del Reglamento 2016/679, en relación con los considerandos 75 y 85 de dicho Reglamento debe interpretarse en el sentido de que, para que se considere usurpación de identidad y dar derecho a indemnización de los daños y perjuicios inmateriales con arreglo a esa disposición, el concepto de «usurpación de identidad» implica que la identidad del interesado afectado por un robo de datos personales sea efectivamente usurpada por un tercero. No obstante, la indemnización de los daños y perjuicios inmateriales causados por el robo de datos personales, en virtud de la referida disposición, no puede limitarse a los casos en los que se demuestre que tal robo de datos provocó posteriormente una usurpación de identidad o fraude.

(Sentencia del Tribunal de Justicia de la Unión Europea, Sala Tercera, de 20 de junio de 2024, asuntos acumulados núms. C‑182/22 y C‑189/22)