El art. 18.4 de la Constitución Española reza que:
“La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.
La STJUE de 4 de mayo de 2023 -C-300/21- (doctrina aplicable a la legislación anterior) establece que no puede considerarse que toda infracción de las disposiciones sobre protección de datos personales dé lugar, por sí sola, a un derecho a una indemnización a favor del interesado. Por el contrario, para la pertinencia de la indemnización deberían concurrir tres requisitos cumulativos:
(i)un tratamiento de datos personales en infracción de las disposiciones legales pertinentes;
(ii) la existencia de daños y perjuicios para el interesado; y
(iii) una relación de causalidad entre dicho tratamiento ilícito y esos daños y perjuicios.
Posteriormente, en la misma línea, la STJUE de 14 de diciembre de 2023, asunto C 456/22 declaró que es preciso que el afectado pruebe que la vulneración de la normativa de protección de datos le haya causado algún perjuicio, por mínimo que sea, y que “el interesado debe demostrar que las consecuencias de esa infracción que afirma haber sufrido constituyen un perjuicio distinto de la mera infracción de las disposiciones de dicho Reglamento”.
El Tribunal Supremo, ya en su sentencia 210/2016, de 5 de abril señalo que “La conducta ilícita es una, y el daño moral causado es también único. Pese a que la ilicitud provenga de la vulneración de varios derechos, se trata de un concurso ideal con relación a una sola conducta y a un único resultado lesivo que debe ser indemnizado con criterios estimativos. Por lo expuesto, el precepto legal invocado no exige que se fijen indemnizaciones diferentes por cada uno de los derechos vulnerados”.
Recientemente, el Tribunal Supremo, Sala de lo Civil, ha aplicado la doctrina del TJUE en la sentencia nº 398/2024 de 19 de marzo de 2024:
“En este caso únicamente concurre el primero de los requisitos indicados que, por sí solo, es insuficiente a los efectos pretendidos por los demandantes”. Como resalta la primera STJUE antes citada, “La realización de daños y perjuicios en el marco de tal tratamiento solo es potencial; […] la infracción del RGPD no conlleva necesariamente daños y perjuicios, y […] debe existir una relación de causalidad entre la infracción en cuestión y los daños y perjuicios sufridos por el interesado para fundamentar un derecho a indemnización”. Por lo que insiste en que una cosa es la infracción de la normativa sobre protección de datos, que puede dar lugar a una sanción administrativa y otra, la obtención de una indemnización que no puede ser automática; sin que quepa una equiparación lineal entre infracción e indemnización. En el presente caso no consta que la mera consulta por la demandada de los datos personales de la demandante tuviera ninguna trascendencia externa o su resultado fuera conocido por terceros, ni que se causara perjuicio alguno a los demandantes”.
Conclusión:
El derecho a obtener una indemnización como consecuencia de la infracción de la normativa de protección de datos precisa la existencia de un perjuicio.