Apuntes sobre la Inteligencia Artificial y la Protección de Datos Personales en la UE
Recientemente, la Presidencia del Consejo y los negociadores del Parlamento Europeo han alcanzado un acuerdo provisional sobre la propuesta relativa a normas armonizadas en materia de inteligencia artificial (IA), el denominada Reglamento de Inteligencia Artificial (RIA). El proyecto de Reglamento tiene por objeto garantizar que los sistemas de inteligencia artificial (IA) introducidos en el mercado europeo y utilizados en la UE sean seguros y respeten los derechos fundamentales y los valores de la UE. Esta histórica propuesta también tiene por objeto estimular la inversión y la innovación en el ámbito de la IA en Europa.
Se trata de un logro histórico y de un gran hito hacia el futuro. El acuerdo alcanzado aborda por primera vez un reto mundial en un entorno tecnológico que está experimentando una rápida evolución y en un ámbito clave para el futuro de nuestras sociedades y economías. Se trata de impulsar la innovación y la adopción de la inteligencia artificial en toda Europa al mismo tiempo que se respetan los derechos fundamentales de nuestros ciudadanos.
Es evidente que este nuevo Reglamento tendrá un impacto en la forma en la que los derechos de los ciudadanos europeos serán protegidos, particularmente en el cambiante entorno de la protección de los datos personales de los consumidores y usuarios.
Sin embargo, el Tribunal de Justicia de la Unión Europea ya se ha pronunciado en relación con este tema recientemente en al menos tres ocasiones.
1) Asunto C-300/21 (4 de mayo de 2023)
La decisión del Tribunal de Justicia de la Unión Europea del 4 de mayo en el caso UI contra Österreichische Post AG era muy esperada, ya que es la primera vez que el máximo tribunal de la Unión Europea revela su punto de vista sobre la interpretación del artículo 82 del Reglamento General de Protección de Datos (RGPD).
La cuestión de en qué circunstancias una infracción de las normas establecidas para el tratamiento de datos personales en virtud del RGPD da lugar a reclamaciones por daños y perjuicios para el individuo afectado es una de las cuestiones más debatidas en la legislación sobre privacidad de datos de la UE.
El artículo 82 del RGPD, (legislación directamente aplicable en todos los Estados miembros), establece que “toda persona que haya sufrido daños materiales o inmateriales como consecuencia de una infracción del RGPD tendrá derecho a recibir una indemnización del responsable o del encargado del tratamiento por los daños sufridos”.
En el presente caso, un particular, demandó al operador de correos austriaco por daños morales por importe de 1.000 euros por el tratamiento de datos personales mediante un algoritmo para determinar preferencias políticas. Dicho tratamiento causó al demandante un “gran disgusto”, una “pérdida de confianza” y un “sentimiento de exposición”.
Después de que los tribunales de primera y segunda instancia desestimaran la demanda, el Tribunal Supremo austriaco planteó al TJUE una cuestión prejudicial.
Las cuestiones planteadas incluían si una infracción del RGPD da lugar automáticamente a reclamaciones por daños y perjuicios, si la afirmación de daños no materiales requiere que se alcance “un umbral de mínimos”, y si existen requisitos específicos en virtud de la legislación de la Unión Europea para evaluar el importe de los daños y perjuicios.
El TJUE concluyó que una mera infracción del RGPD no es suficiente para dar lugar a reclamaciones por daños y perjuicios. Más bien, la infracción también debe causar un daño concreto.
Por otra parte, el TJUE también declaró que alcanzar el citado umbral de mínimos no es requisito previo para una reclamación de daños y perjuicios en virtud del artículo 82 del RGPD. Esta limitación contradiría la interpretación amplia del término “daño” en el marco del RGPD, lo que podría fracturar aún más la jurisprudencia entre los Estados miembros.
Sin embargo, el Tribunal también subrayó que la ausencia de un umbral de mínimos no debe entenderse en el sentido de que una persona que alegue una infracción del RGPD, que haya tenido consecuencias negativas para ella, quede exenta de la necesidad de demostrar que esas consecuencias constituyen un daño moral con arreglo al artículo 82 del RGPD.
Por último, el TJUE dictaminó que corresponde a los tribunales de los Estados miembros fijar los criterios para determinar la cuantía del daño, siempre que las normas nacionales respeten los principios de equivalencia y efectividad del Derecho de la Unión.
El factor decisivo es que el perjuicio concreto sufrido se compense íntegramente.
La decisión tendrá una relevancia práctica y un impacto significativos en futuros litigios sobre privacidad de datos, ya que es la primera vez que el TJUE aborda los requisitos previos y el alcance de la reclamación de daños y perjuicios en virtud del RGPD.
Es interesante que el TJCE no haya seguido un enfoque de “reclamación de daños y perjuicios sin daño real” y se haya pronunciado claramente en contra de cualquier consideración de daños punitivos.
Además, la concesión de daños inmateriales no requiere un cierto grado de gravedad y así, los tribunales de los Estados miembros deben garantizar una indemnización plena y efectiva por los daños sufridos por los demandantes.
2) Asunto C‑340/21 (14 de diciembre de 2023)
En esta importante sentencia, El TJUE aclara que los tribunales deben llevar a cabo una evaluación concreta de las medidas de seguridad adoptadas por los encargados del tratamiento de los datos personales. Una violación de los datos no justifica por sí sola la inadecuación de estas medidas.
Por otra parte, y en línea con lo dispuesto en el nuevo RIA, la carga de la prueba de la adecuación de las medidas de seguridad recae en el encargado del tratamiento.
Por lo demás, los encargados del tratamiento de datos pueden ser considerados responsables si se produce un acceso no autorizado a datos personales por parte de terceros, a menos que el encargado pueda demostrar que no es responsable.
Finalmente, la sentencia añade que el artículo 82 del RGPD debe interpretarse en el sentido que “el temor que experimenta un interesado a un potencial uso indebido de sus datos personales por terceros a raíz de una infracción del citado Reglamento puede constituir, por sí solo, un «daño o perjuicio inmaterial» a los efectos de la mencionada disposición”.
3) Asunto C-456/22 (14 de diciembre de 2023)
Por su parte, en esta sentencia el TJUE confirma la exclusión de un límite de mínimos en relación con el artículo. 82.1 del RGPD dado que este, efectivamente, excluye la aplicación de un límite de minimis por daños inmateriales. Esto refuerza el derecho a indemnización de los interesados.
No obstante, los interesados deben demostrar que la infracción del GDPR ha causado daños no materiales, confirmando que una reclamación por daños y perjuicios requiere la existencia de un daño, una infracción del GDPR y un nexo causal.
En concreto, el TJUE afirma que “El interesado debe demostrar que las consecuencias de esa infracción que afirma haber sufrido constituyen un perjuicio distinto de la mera infracción de las disposiciones de dicho Reglamento”.
Dos consecuencias evidentes son las que se extraen de esta resolución: Por una parte, no pueden aplicarse mínimos de daños para otorgar carta de naturaleza a una reclamación derivada de la violación de la normativa de protección de daños personales y por otra, que el daño no se puede inferirse “in re ipsa” de la mera infracción, sino que el daño inmaterial padecido ha de probarse específicamente.
¿Qué está pasando?
Cuando se trata de litigios por violación de datos en forma de reclamaciones por daños y perjuicios tras incidentes cibernéticos que implican la exfiltración de datos o escándalos en torno al uso indebido de datos personales, la atención deberá centrarse en las cuestiones relativas a la carga de la prueba y si, y en qué medida, la mera pérdida de control sobre los datos personales puede constituir un daño moral para las personas afectadas.
Mientras tanto, los litigios masivos por violación de datos están ganando terreno.
Ya hay varias sentencias firmes en Alemania en las que se han concedido a los demandantes indemnizaciones por daños inmateriales de 2.500 euros 1.200 euros.
Durante ese año se han resuelto amistosamente otros casos, como la infracción de las tarjetas Mastercard, en la que se ha indemnizado a unos 2.000 demandantes con una compensación de 400 euros a cada uno de ellos.
Otro tribunal en Alemania ha condenado a Meta Meta Platforms Inc, que explota Facebook, a pagar una indemnización por daños morales de 500 euros por demandante por no haber aplicado medidas técnicas de seguridad para impedir el raspado de datos. Este sentencia aún no es definitiva, aunque el impacto potencial es enorme dados los más de treinta millones de usuarios que Facebook tiene solo en Alemania.
En este contexto, los bufetes de abogados demandantes, los financiadores de litigios y las empresas de tecnología jurídica se están alineando con diversos modelos de negocio para comercializar las reclamaciones por daños y perjuicios del RGPD en escenarios con un gran número de personas afectadas.
Una vez que todos los Estados miembros de la UE hayan transpuesto la Directiva sobre recurso colectivo a su legislación local, las organizaciones de protección de los consumidores y las organizaciones no gubernamentales de protección de datos también podrán sumarse a la aplicación privada del RGPD -dependiendo del Estado miembro respectivo- basándose en modelos de acciones colectivas de inclusión o exclusión voluntaria.
Recordar aquí que esta Directiva aún no ha sido aún transpuesta en España, aunque el Ministerio publicó un anteproyecto para su tramitación parlamentaria, con un proyecto basado en un sistema opt-out, y que ha sido muy comentado por la doctrina. Sin embargo, la tramitación que quedó paralizada con la disolución del Congreso y las subsiguientes las elecciones generales de julio de 2023. Esperemos que el proyecto se retome pronto porque España está ya fuera de plazo y está expuesta a sanciones por el retraso en la transposición.
Entendemos que las reclamaciones por daños y perjuicios del RGPD suelen estar cubiertas por la Directiva de recurso colectivo en la medida en que se vean afectados los datos personales de los consumidores.
Quedará por ver si las reclamaciones por daños no materiales pueden ser objeto de recurso colectivo, ya que tales reclamaciones pueden ser consideradas como “demasiado individuales” como para ser tramitadas a través de una acción colectiva.
En cualquier caso, veremos seguramente en los próximos meses y años un incremento significativo de este tipo de litigios, normalmente colectivos dada su naturaleza y alcance limitado de los daños individuales.
