El Tribunal General de la Unión Europea (TGUE) condenó a la Comisión Europea a indemnizar a un ciudadano alemán cuyos datos personales (dirección IP y otros) fueron compartidos sin autorización con empresas estadounidenses, tras visitar un sitio web vinculado al organismo comunitario. Dictaminó que el hombre sufrió daños y perjuicios inmateriales por un inadecuado tratamiento de sus datos personales, en contravención al Reglamento General de Protección de Datos (RGPD).
El afectado alegó que, al visitar el sitio web de la Conferencia sobre el Futuro de Europa en 2021 y 2022, ciertos datos suyos, como la dirección IP e información sobre su navegador y terminal, fueron transferidos a empresas estadounidenses (Amazon Web Services y Meta), lo que consideró incompatible con el “bajo” nivel de protección de datos en Estados Unidos. Además, sostuvo que no se proporcionaron garantías adecuadas para justificar dichas transferencias.
También denunció la falta de respuesta de la Comisión a su solicitud de información sobre el tratamiento de sus datos, solicitando la anulación de las transferencias y una indemnización adicional de 800 euros. Adujo que su información podría ser utilizada indebidamente por los servicios de inteligencia estadounidenses, al haberse incurrido en una infracción al Reglamento General de Protección de Datos (RGPD), específicamente, en relación con las transferencias internacionales de datos y el derecho de acceso a la información.
En su análisis de fondo, el Tribunal observa que, “(…) con ocasión de una de las conexiones controvertidas, ciertos datos no fueron transferidos a los Estados Unidos, sino, con arreglo al principio de proximidad, hacia un servidor ubicado en Múnich, Alemania. De conformidad con el contrato celebrado entre la Comisión y la gerente de Amazon CloudFront, la empresa luxemburguesa Amazon Web Services, esta última debe garantizar que los datos permanezcan en reposo y en tránsito en Europa. Por lo que respecta a otra conexión, el propio interesado provocó su envío, mediante el mecanismo de enrutamiento de Amazon CloudFront, hacia servidores ubicados en los Estados Unidos. En efecto, gracias a un ajuste técnico, el interesado simulaba hallarse en los Estados Unidos”.
Noticia Relacionada
Agrega que, “(…) en cambio, en lo relativo al registro del interesado en el evento «GoGreen», la Comisión creó, a través del hipervínculo «conectarse con Facebook», que se muestra en la página web de EU Login, las condiciones que permiten que se transfiera la dirección IP del interesado a Facebook. Esta dirección IP constituye un dato personal que fue transferido, a través de dicho hipervínculo, a Meta Platforms, empresa domiciliada en los Estados Unidos. Se ha de imputar esta transferencia a la Comisión. Pues bien, cuando se realizó esa transferencia, esto es, el 30 de marzo de 2022, no existía ninguna decisión de la Comisión que declarara que los Estados Unidos garantizan un nivel de protección adecuado de los datos personales de los ciudadanos de la Unión”.
Comprueba que, “(…) la Comisión tampoco ha demostrado, ni siquiera alegado, la existencia de una garantía adecuada, en particular de una cláusula tipo de protección de datos o de una cláusula contractual. La visualización del hipervínculo «conectarse con Facebook» en el sitio de Internet de EU Login se rige únicamente por las condiciones generales de la plataforma Facebook. Por consiguiente, la Comisión ha incumplido las condiciones exigidas por el Derecho de la Unión para que una institución, organismo u órgano de la Unión transfiera datos personales a un tercer país”.
El Tribunal concluye que, “(…) la Comisión incurrió en una violación suficientemente caracterizada de una norma jurídica cuyo objeto es conferir derechos a los particulares. El interesado ha sufrido daños y perjuicios inmateriales al hallarse en una situación de inseguridad en cuanto al tratamiento de sus datos personales, en particular de su dirección IP. Además, existe una relación de causalidad suficientemente directa entre la infracción de la Comisión y los daños y perjuicios inmateriales sufridos por el interesado”.
En mérito de lo expuesto, el Tribunal inadmitió la pretensión de anulación y decidió sobreseer las pretensiones por omisión. Además, desestimó la petición de indemnización basada en la vulneración del derecho de acceso a la información. No obstante, la Comisión deberá pagar al solicitante 400 euros en concepto de indemnización por los daños y perjuicios inmateriales sufridos.
Vea sentencia Tribunal General de la Unión Europea T 354/22.