1. Es objeto de
anotación en esta entrada del blog la sentencia dictada por la Sala tercera del Tribunal
de Justicia de la Unión Europea el 21 de diciembre (asunto C-667/21), con ocasión
de la petición de decisión prejudicial plantada, al amparo del art. 267 del
Tratado de funcionamiento de la UE, por el Tribunal Supremo de lo laboral de
Alemania.
El litigio versa
sobre la interpretación del art. 9, apartados 1, 2, letra h), y 3, del
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril
de 2016, relativo a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos y por
el que se deroga la Directiva 95/46/CE, en relación con el art.6.1, y la
interpretación del art. 82.1. Se plantea entre un trabajador y su empleador, el
Servicio Médico del Seguro de Enfermedad de Renania del Norte, “en relación con
la indemnización de los daños y perjuicios que el primero alega haber sufrido
como consecuencia de un tratamiento de datos relativos a su salud realizado de
manera ilícita por el segundo”.
El interés
especial de la sentencia radica a mi parecer en el amplio examen que ha de efectuar
la sentencia sobre el tratamiento de datos personales, en concreto los
relativos a la salud, y los supuestos en que pueda quedar exceptuada la prohibición
general de aquel, siendo además un supuesto especial en cuanto que la empresa
en la que presta servicios el trabajador está dedicada, entre otras actividades
(véase apartado 19), a “emitir informes
médicos con el fin de disipar dudas relativas a la incapacidad laboral de las
personas aseguradas en las cajas de seguro obligatorio de enfermedad
comprendidas en su ámbito de competencia, incluso cuando esos informes se
refieren a sus propios empleados” (la negrita es mía).
El abogado general,
M. Campos Sánchez-Bordona, presentó sus conclusiones generales el 25 de mayo, en cuya introducción destaca que “Este reenvío prejudicial versa
sobre la interpretación del Reglamento (UE) 2016/679 en relación con: a) el
tratamiento de los datos personales relativos a la salud; y b) la indemnización
por los daños sufridos a consecuencia de una (supuesta) infracción del propio
RGPD” y que “el Tribunal de Justicia ya ha pronunciado sobre los preceptos del
RGPD que afectan a esas cuestiones, las planteadas en este reenvío
prejudicial son inéditas, con la salvedad de la cuarta” (la negrita es mía).
Sus propuestas de fallo serán sustancialmente acogidas por el TJUE.
El amplio resumen
oficial de la sentencia es el siguiente: “Procedimiento prejudicial —
Protección de las personas físicas en lo que respecta al tratamiento de datos
personales — Reglamento (UE) 2016/679 — Artículo 6, apartado 1 — Condiciones de
licitud del tratamiento — Artículo 9, apartados 1 a 3 — Tratamiento de
categorías especiales de datos — Datos relativos a la salud — Evaluación de la
capacidad laboral de un trabajador — Servicio médico en materia de seguro de
enfermedad que trata datos relativos a la salud de sus propios trabajadores —
Procedencia y condiciones de tal tratamiento — Artículo 82, apartado 1 —
Derecho a indemnización y responsabilidad — Indemnización de daños y perjuicios
inmateriales — Función compensatoria — Incidencia de la culpa del responsable
del tratamiento”.
Cabe destacar
asimismo que al día siguiente del dictado de la sentencia, se publicó el Reglamento (UE) 2023/2854 del Parlamento
Europeo y del Consejo, de 13 de diciembre de 2023, sobre normas armonizadas
para un acceso justo a los datos y su utilización, y por el que se modifican el
Reglamento (UE) 2017/2394 y la Directiva (UE) 2020/1828 (Reglamento de Datos). Su art. 1.5 dispone que
“El presente Reglamento se
entenderá sin perjuicio del Derecho de la Unión ni del Derecho nacional en
materia de protección de datos personales, de la intimidad y de la
confidencialidad de las comunicaciones e integridad de los equipos terminales,
que se aplicará a los datos personales tratados en relación con los derechos y
obligaciones establecidos en el presente Reglamento, en particular, los
Reglamentos (UE) 2016/679 y (UE) 2018/1725 y la Directiva 2002/58/CE, incluidos
los poderes y competencias de las autoridades de control y de los derechos de
los interesados. En la medida en que los usuarios tengan la condición de
interesados, los derechos establecidos en el capítulo II del presente
Reglamento complementarán el derecho de acceso de los interesados y los
derechos a la portabilidad de los datos con arreglo a los artículos 15 y 20 del
Reglamento (UE) 2016/679. En caso de conflicto entre el presente Reglamento y
el Derecho de la Unión en materia de protección de datos personales o de la
intimidad, o la normativa nacional adoptada de conformidad con el Derecho de la
Unión en la materia, prevalecerá el Derecho aplicable de la Unión o nacional en
materia de protección de datos personales o de la intimidad”.
En fin, una
sentencia más del TJUE con indudable interés para el mundo jurídico laboralista,
que está dedicando su atención cada vez más a su jurisprudencia. Un reciente
ejemplo es la publicación de la obra colectiva “Aplicación por los tribunalesespañoles de la jurisprudencia del Tribunal de Justicia de la Unión Europea enmateria social” , coordinada por la profesora Arántzazu
Vicente Palacio, de la reproduzco su presentación:
“El Tribunal de Justicia de la
Unión Europea se ha convertido en un agente clave en la conformación del
Derecho del Trabajo y de la Seguridad Social, tanto por el efecto directo que
la sentencia comunitaria tiene en la resolución del proceso en el que el juez
nacional presenta la cuestión prejudicial, como por su influencia indirecta
sobre los tribunales nacionales, que deben ejercer su función jurisdiccional
adecuando la interpretación de la norma nacional a la interpretación judicial
comunitaria, y sobre el legislador, que en no pocas ocasiones ha tenido que
acometer reformas para ajustar nuestro ordenamiento jurídico a la
interpretación del Tribunal comunitario. En definitiva, la jurisprudencia
comunitaria ha reforzado los derechos de los trabajadores pues, superando el
principio de territorialidad y la tradicional primacía del Derecho nacional,
lleva a cabo una labor de uniformización en la aplicación de los pilares del
modelo social europeo, contribuyendo a su consolidación y al reforzamiento del
sentimiento europeísta. Esta monografía es fruto del trabajo desarrollado en el
Proyecto de Investigación «Aplicación por los Tribunales españoles de la
jurisprudencia comunitaria en materia social» del Grupo de Investigación 060
(Derecho del Trabajo y de la Seguridad Social) de la Universidad Jaume
I-Castellón del Plan de Promoción de la Investigación UJI. Su objetivo era
llevar a cabo un estudio de la recepción de la doctrina del Tribunal de
Justicia de la Unión Europea por el legislador y los tribunales españoles del
orden social, en suma, analizar el grado de penetración de la doctrina
jurisprudencial en el ordenamiento jurídico español”.
2. El litigio
encuentra su origen en sede judicial alemana con la presentación de una demanda
por parte de un trabajador que prestaba su actividad para un organismo público,
la Caja de seguro obligatorio de enfermedad de Renania del Norte, más
concretamente en el servicio informático de la misma. A través de los apartados
19 a 34 conocemos detalladamente todos los avatares del caso, que finalmente
llevarán al Tribunal Supremo a plantear cinco cuestiones prejudiciales.
Ya he indicado con
anterioridad que dicho organismo emite informes médicos, incluso de sus
trabajadores, sabiendo por el apartado 20 que “En tal caso, solo los miembros
de una unidad especial, denominada «unidad de casos especiales», están
autorizados a tratar los datos denominados «sociales» de ese empleado,
utilizando un dominio bloqueado del sistema informático de ese organismo, y a
acceder a los archivos digitales, tras la finalización del expediente relativo
al informe pericial. Una instrucción interna relativa a estos casos establece,
en particular, que un número limitado de trabajadores autorizados, incluidos
algunos trabajadores del servicio informático, tendrán acceso a dichos datos”.
Pues bien, el
trabajador fue dado de baja por incapacidad temporal, y más adelante ocurrió lo
siguiente (apartados 21 ya 23):
“... Al término
del semestre durante el cual ese organismo, como empleador, continuó retribuyéndole, la caja de seguro
obligatorio de enfermedad a la que estaba afiliado comenzó a pagarle
prestaciones por enfermedad.
22 Esta caja solicitó entonces al MDK
Nordrhein que emitiera un informe pericial sobre la incapacidad laboral del
demandante en el litigio principal. Un médico que trabajaba en la «unidad de
casos especiales» del MDK Nordrhein emitió el informe pericial, recabando, en
particular, información del médico de cabecera del demandante en el litigio
principal. Cuando su médico de cabecera le informó de ello, se puso en contacto
con uno de sus compañeros de trabajo del servicio informático y le pidió que
tomara fotografías del informe pericial que figuraba en los archivos digitales
del MDK Nordrhein y que se las enviara posteriormente.
23 Al considerar que, de este modo, su
empleador había tratado datos relativos a su salud ilícitamente, el demandante
en el litigio principal reclamó a su empleador que le abonara una indemnización
por importe de 20 000 euros, reclamación que fue rechazada por el MDK Nordrhein”.
Tras el rechazo de
la petición, presentó demanda ante el tribunal de lo laboral de Düsseldorf, con
apoyo en el art. 82.1 del RGPD, en el que entre otros argumentos exponía que se
había producido una infracción de las normas que protegen los datos sobre la
salud de cada trabajador, y que ello le había provocado perjuicios “tanto
materiales como inmateriales”, tesis rechazada por su empresa, que alegó que
había respetado escrupulosamente la normativa sobre protección de datos.
Desestimada la
demanda tanto en instancia como posteriormente en apelación, el trabajador
interpuso recurso de casación ante el TS, que antes de presentar la petición de
decisión prejudicial examinó muy atentamente la cuestión litigiosa, partiendo
de la premisa de estar ante un caso en el que se da el tratamiento de datos
personales, en concreto sobre la salud, y que el responsable de dicho tratamiento
es la empresa, siendo el dato especialmente novedoso en esta ocasión, como ya
he subrayado antes, que el tratamiento sobre cuya legalidad se debate “fue
realizado por un organismo que también es el empleador del interesado”, y tras
llevarlo a cabo, presentó, ante las numerosas dudas que le surgían sobre la
correcta aplicación de varios preceptos del RGPS, cinco cuestiones prejudiciales,
todas ellas respondidas por el TJUE, que eran las siguientes:
“1) ¿Debe interpretarse el artículo 9,
apartado 2, letra h), del [RGPD] en el sentido de que prohíbe a un servicio
médico de una caja de seguro de enfermedad tratar datos relativos a la salud de
un trabajador de dicho servicio, cuando son indispensables para la evaluación
de la capacidad laboral de ese trabajador?
2) En caso de respuesta negativa del
Tribunal de Justicia a la primera cuestión prejudicial, de manera que conforme
a lo dispuesto en el artículo 9, apartado 2, letra h), del RGPD habría que
considerar la posibilidad de que exista una excepción a la prohibición de
tratamiento de datos relativos a la salud establecida en el artículo 9,
apartado 1, del RGPD, ¿deben respetarse en un caso como el de autos, además de
los requisitos establecidos en el artículo 9, apartado 3, del RGPD, exigencias
añadidas en materia de protección de datos y, en su caso, cuáles serían?
3) En caso de respuesta negativa del
Tribunal de Justicia a la primera cuestión prejudicial, de manera que conforme
a lo dispuesto en el artículo 9, apartado 2, letra h), del RGPD habría que
considerar la posibilidad de que exista una excepción a la prohibición de
tratamiento de datos relativos a la salud establecida en el artículo 9,
apartado 1, del RGPD, ¿depende en un caso como el de autos la admisibilidad o
la licitud del tratamiento de datos relativos a la salud de que se cumpla,
además, al menos una de las condiciones señaladas en el artículo 6, apartado 1,
del RGPD?
4) ¿Tiene el artículo 82, apartado 1, del
RGPD naturaleza preventiva especial o general y debe tenerse ello en cuenta en
detrimento del responsable o del encargado del tratamiento al cuantificar el
importe de los daños y perjuicios inmateriales que deben indemnizarse con base
en el artículo 82, apartado 1, del RGPD?
5) ¿Es relevante el grado de culpa del
responsable o del encargado del tratamiento al cuantificar el importe de los
daños y perjuicios inmateriales que deben indemnizarse con base en el artículo
82, apartado 1, del RGPD? En particular, ¿puede tenerse en cuenta a favor del
responsable o del encargado del tratamiento la inexistencia de culpa o la
existencia de culpa leve por su parte?”
3. El TJUE pasa
revista a la normativa europea y estatal aplicable.
De la primera, hay
muy amplias referencias a los considerandos y al articulado del RGPD. De los
primeros, son mencionados los núms. 4 a 8, 10, 35, 51 a 53, 75 y 146. De los
artículos de la norma, se mencionan el apartado 1 del art. 2 (ámbito de
aplicación material, dentro de “disposiciones generales”); art. 4 (definiciones),
que conceptúa como datos personales “toda información sobre una persona física
identificada o identificable...”, y datos relativos a la salud los “datos
personales relativos a la salud física o mental de una persona física, incluida
la prestación de servicios de atención sanitaria, que revelen información sobre
su estado de salud”; art. 5 (principios
relativos al tratamiento); art. 6 (licitud del tratamiento); art. 9 (tratamiento
de categorías especiales de datos personales, que incluye la prohibición de datos
relativos a la salud, y establece las excepciones a ello); arts. 24 a 43
(responsable del tratamiento y encargado del tratamiento); art. 82 (derecho a
indemnización y responsabilidad); art. 83 (condiciones generales para la imposición
de multas administrativas); art. 84 (sanciones).
Del derecho alemán
solo son citados los arts. 275.1 y 278.1 del Código de Seguridad Social, Libro
V, disponiendo el primero que las cajas de seguro obligatorio de enfermedad
están obligadas a solicitar a un servicio médico que las asiste “la realización
de un informe pericial destinado, en particular, a disipar dudas sobre la
incapacidad laboral de un asegurado, en los casos determinados por la ley o
cuando su enfermedad lo requiera”, y el segundo que “en cada uno de los estados
federados se creará un servicio médico de este tipo, bajo la forma de organismo
de Derecho público”.
4. Al entrar en la resolución
del conflicto y abordarla primera cuestión prejudicial el TJUE recuerda su consolidada
jurisprudencia de deber ser interpretada una disposición del Derecho de la
Unión “requiere tomar en consideración no solamente
su tenor, sino también el contexto en el que se inscribe, así como los
objetivos y la finalidad que persigue el acto del que forma parte. La génesis
de una disposición del Derecho de la Unión también puede mostrar elementos
pertinentes para su interpretación”.
A continuación analiza detenidamente el contenido del art.
9, apartados 1 y 2, del RGPD, y manifiesta su coincidencia con la tesis del
abogado general respecto a que “... ni el tenor del artículo 9, apartado 2,
letra h), del RGPD ni la génesis de esta disposición proporcionan datos
que permitan considerar que la aplicación de la excepción contemplada en esa
disposición esté reservada a los supuestos en los que el tratamiento sea
realizado por un «tercero neutro y no por el empleador» del interesado, tal
como se define en el artículo 4, punto 1, de ese Reglamento”
De especial interés me parece la manifestación efectuada
por el TJUE en el apartado 52, desde una perspectiva de aplicación general del
Derecho de la Unión, que es la siguiente: “... es irrelevante que, en el
presente asunto, en el supuesto de que se prohibiera al MDK Nordrhein cumplir
su función de servicio médico cuando se trate de uno de sus propios empleados
otro organismo de control médico pudiera encargarse de ello. Es preciso subrayar
que esta alternativa, mencionada por el órgano jurisdiccional remitente, no
necesariamente existe o es practicable en todos los Estados miembros y en todas
las situaciones que puedan estar comprendidas en el artículo 9, apartado 2,
letra h), del RGPD. Pues bien, la interpretación de esta disposición no
puede guiarse por consideraciones basadas en el sistema sanitario de un único
Estado miembro o derivadas de circunstancias propias del litigio principal” (la
negrita es mía).
Tras concluir que en el RGDP, y en particular el art. 9, “no
figura el requisito de que un servicio médico que trate tales datos con arreglo
a la citada letra h) sea una entidad distinta del empleador del interesado”,
concluye, como respuesta a la primera cuestión prejudicial que
“Habida cuenta de los motivos anteriores,
y sin perjuicio de las respuestas que se den a las cuestiones prejudiciales
segunda y tercera, procede responder a la primera cuestión prejudicial que el
artículo 9, apartado 2, letra h), del RGPD debe interpretarse en el
sentido de que la excepción contemplada en esta disposición es aplicable a las
situaciones en las que un organismo de control médico trate datos relativos a
la salud de uno de sus empleados no como empleador, sino como servicio médico,
con el fin de evaluar la capacidad laboral de ese trabajador, siempre que el
tratamiento en cuestión cumpla los requisitos y observe las garantías que
impone expresamente esa letra h) y el apartado 3 de dicho artículo 9”.
El abogado general, en la misma línea había propuesto el
siguiente fallo: la no prohibición a un servicio médico de una caja de seguro
de enfermedad de “tratar datos relativos a la salud de un trabajador de dicho
servicio, cuando son indispensables para la evaluación de su capacidad laboral”.
5. Con respecto a
la segunda cuestión prejudicial, el TJUE manifiesta su conformidad con la tesis
del abogado general de no poder servir el art. 93 del RGPD como base jurídica “para
una medida que garantice que ningún compañero de trabajo del interesado pueda
acceder a los datos relativos al estado de salud de este”, y que solo podría
establecerse tal restricción si el Estado la hubiera incorporado en su
normativa en virtud del margen de apreciación del que disponen los Estados
miembros.
Tras exponer, de
acuerdo al marco normativo comunitario, todas las cautelas que deben respetar
las legislaciones nacionales si establecen tan restricción, y trasladar al
órgano jurisdiccional nacional remitente que compruebe si se cumplen en el caso
examinado, concluye que
“procede responder a la segunda
cuestión prejudicial que el artículo 9, apartado 3, del RGPD debe interpretarse
en el sentido de que el responsable de un tratamiento de datos relativos a la
salud, basado en el artículo 9, apartado 2, letra h), de ese Reglamento, no
está obligado, en virtud de estas disposiciones, a garantizar que ningún
compañero de trabajo del interesado pueda acceder a los datos relativos al
estado de salud de este. No obstante, podrá imponerse tal obligación al
responsable de ese tratamiento bien en virtud de una normativa adoptada por un
Estado miembro sobre la base del artículo 9, apartado 4, de dicho Reglamento,
bien en virtud de los principios de integridad y confidencialidad enunciados en
el artículo 5, apartado 1, letra f), del mismo Reglamento y concretados en el
artículo 32, apartado 1, letras a) y b), de este”.
En la misma línea,
el abogado general mantuvo que se admitiera la excepción a la prohibición de
tratar datos personales relativos a la salud, “cuando ese tratamiento sea
necesario para fines de evaluación de la capacidad laboral del trabajador, se
sujete a los principios del artículo 5 y a alguna de las condiciones de licitud
previstas en el artículo 6 del Reglamento 2016/679”.
6. Pasemos a la
tercera cuestión prejudicial. Tras poner de
manifiesto que, de conformidad con el artículo 6, apartado 1, párrafo primero,
del RGPD, un tratamiento de datos «particularmente sensibles», como los
relativos a la salud, “solo será lícito si se cumple al menos una de las
condiciones enunciadas en dicho apartado 1, párrafo primero,
letras a) a f)”, y que “... en la medida en que el artículo 9,
apartado 2, letra h), del RGPD tiene por objeto precisar el alcance de las
obligaciones que incumben al responsable del tratamiento en virtud del artículo
5, apartado 1, letra a), y del artículo 6, apartado 1, de ese Reglamento,
un tratamiento de datos relativos a la salud basado en esa primera disposición
debe respetar, para ser lícito, tanto los requisitos que se derivan de esta
como las obligaciones resultantes de estas dos últimas disposiciones y, en particular,
cumplir al menos una de las condiciones de licitud establecidas en ese artículo
6, apartado 1”, concluye que
“procede responder a la tercera cuestión
prejudicial que los artículos 9, apartado 2, letra h), y 6, apartado 1,
del RGPD deben interpretarse en el sentido de que un tratamiento de datos
relativos a la salud basado en esta primera disposición debe, para ser lícito,
no solo cumplir los requisitos que se derivan de esta, sino también, al menos,
una de las condiciones de licitud enunciadas en ese artículo 6, apartado 1”.
7. Sobre la cuarta cuestión prejudicial, el TJUE recuerda
primeramente el contenido del art. 82.1 del RGPD y la jurisprudencia dictada al
respecto, trayendo a colación la sentada en la sentencia de 4 de mayo de 2023
(asunto C-300/21), según la cual “... “a la vista de la función compensatoria
del derecho a indemnización previsto en el artículo 82 de ese Reglamento, una
indemnización pecuniaria basada en este artículo debe considerarse «total y
efectiva» si permite compensar íntegramente los daños y perjuicios sufridos
concretamente como consecuencia de la infracción de dicho Reglamento, sin que
sea necesario, a efectos de tal compensación íntegra, imponer el pago de
indemnizaciones de carácter punitivo”.
Por ello concluye que “... Dado que el derecho a
indemnización contemplado en el artículo 82, apartado 1, del RGPD no cumple una
función disuasoria, ni siquiera punitiva, tal como contempla el órgano
jurisdiccional remitente, la gravedad de la infracción de ese Reglamento que
haya causado los daños y perjuicios en cuestión no puede influir en el importe
de la indemnización en este concepto concedida en virtud de dicha disposición,
ni siquiera cuando los daños y perjuicios no sean materiales, sino
inmateriales. De ello se deduce que ese importe no puede fijarse en una cuantía
que exceda de la compensación completa de ese perjuicio”,
“... procede responder a la cuarta
cuestión prejudicial que el artículo 82, apartado 1, del RGPD debe
interpretarse en el sentido de que el derecho a indemnización contemplado en
esa disposición cumple una función compensatoria, dado que una reparación
pecuniaria basada en dicha disposición debe permitir compensar íntegramente los
daños y perjuicios sufridos concretamente como consecuencia de la infracción de
ese Reglamento, y no una función disuasoria o punitiva”.
8. Por último, se aborda la quinta cuestión prejudicial. Es
interesante destacar el apartado 92 de la sentencia, en el que el TJUE constata
que “... del análisis de las diferentes
versiones lingüísticas de la primera frase del artículo 82, apartado 2, del
RGPD se desprende que se presume que el responsable del tratamiento ha
participado en la operación de tratamiento que constituye la infracción de ese
Reglamento a la que se hace referencia. En efecto, mientras que las versiones
en alemán, francés o finés están formuladas de manera abierta, otras versiones
lingüísticas resultan más precisas y utilizan un determinante demostrativo para
la tercera aparición del término «tratamiento», o para la tercera referencia a
ese término, de modo que está claro que esta tercera aparición o referencia
alude a la misma operación que la segunda aparición de este término. Es el caso
de las versiones en lengua española, estonia, griega, italiana o rumana”, y
poniéndolo en relación con el apartado 3 concluye que el artículo “establece un
régimen de responsabilidad por culpa en el que la carga de la prueba no recae
sobre la persona que ha sufrido los daños y perjuicios, sino sobre el
responsable del tratamiento”, debiendo este “adoptar medidas técnicas y
organizativas destinadas a evitar, en la medida de lo posible, cualquier
violación de los datos personales”. Por otra parte, el TJUE sostiene que un
régimen de responsabilidad objetiva “no garantizaría la consecución del
objetivo de seguridad jurídica perseguido por el legislador”.
Con respecto a la cuantía de la indemnización, “los jueces
nacionales deben aplicar las normas internas de cada Estado miembro relativas
al alcance de la reparación pecuniaria, siempre que se respeten los principios
de equivalencia y de efectividad del Derecho de la Unión, tal como se definen
en reiterada jurisprudencia del Tribunal de Justicia”.
En definitiva, concluye el TJUE que “procede responder a la quinta cuestión
prejudicial que el artículo 82 del RGPD debe interpretarse en el sentido de
que, por una parte, el nacimiento de la responsabilidad del responsable del
tratamiento está supeditado a la existencia de culpa por parte de este, la cual
se presume, a menos que este demuestra que no es en modo alguno responsable del
hecho que haya causado los daños y perjuicios, y, por otra parte, ese artículo
82 no exige que el grado de culpa se tenga en cuenta al fijar el importe de la
indemnización por daños y perjuicios concedida como reparación de un daño
inmaterial sobre la base de esa disposición”.
En esta línea, el abogado general sostuvo que “El grado de culpa del responsable o del
encargado del tratamiento no es relevante para generar la responsabilidad de
uno u otro, ni para cuantificar el importe de los daños y perjuicios
inmateriales que deben indemnizarse con arreglo al artículo 82, apartado 1, del
Reglamento 2016/679”, y que “La intervención del interesado en el hecho del que
deriva la obligación de indemnizar puede determinar, según los casos, la exención
de responsabilidad del responsable o del encargado del tratamiento recogida en
el artículo 82, apartado 3, del Reglamento 2016/679”.
Buena lectura.
No hay comentarios:
Publicar un comentario