Sentencia del Tribunal General en el asunto T-354/22 | Bindl / Comisión
Antecedentes
Un ciudadano residente en Alemania reprocha a la Comisión haber vulnerado su derecho a la protección de sus datos personales cuando consultó, en 2021 y 2022, el sitio de Internet de la Conferencia sobre el Futuro de Europa, que gestiona la Comisión. Más concretamente, se había registrado a través de ese sitio en el evento «GoGreen» utilizando el servicio de autenticación de la Comisión EU Login y seleccionando la opción propuesta de conectarse
sirviéndose de su cuenta de Facebook.
El interesado estima que, cuando consultó ese sitio de Internet, se transfirieron ciertos datos personales suyos a destinatarios domiciliados en los Estados Unidos, en particular su dirección IP e información sobre su navegador y su terminal.
En efecto, por una parte, sostiene que se transfirieron esos datos a la empresa estadounidense Amazon Web Services, en su condición de operador de la red de distribución de contenidos denominada Amazon CloudFront, que supuestamente utiliza el sitio de Internet de que se trata. Por otra parte, alega que, cuando se registró en el evento «GoGreen» sirviéndose de su cuenta de Facebook, se transfirieron esos datos a la empresa estadounidense Meta Platforms, Inc.
Pues bien, según el interesado, los Estados Unidos no tienen un nivel de protección adecuado. Estima que dichas transferencias implicaron que se corriera el riesgo de que los servicios norteamericanos de seguridad e inteligencia hubiesen podido acceder a sus datos. Aduce que la Comisión no puso de manifiesto ninguna de las garantías adecuadas que pueden justificar tales transferencias.
Por ello, solicita el abono de 400 euros como indemnización de los daños y perjuicios inmateriales que alega haber sufrido por las transferencias controvertidas.
También solicita que se anulen las transferencias de sus datos personales, que se declare que la Comisión, contrariamente a Derecho, no se ha pronunciado sobre su solicitud de información y que se la condene a abonarle un importe de 800 euros como indemnización de los daños y perjuicios inmateriales que presuntamente sufrió al haberse vulnerado su derecho de acceso a la información.
Apreciación del Tribunal General
El Tribunal General inadmite la pretensión de anulación y decide sobreseer las pretensiones por omisión. El Tribunal General también desestima la petición de indemnización basada en la vulneración del derecho de acceso a la información al considerar que no existen los daños y perjuicios inmateriales aducidos.
Por lo que respecta a la petición de indemnización basada en las transferencias de datos controvertidas, el Tribunal General desestima esta petición en cuanto a las transferencias de datos a través de Amazon CloudFront.
En efecto, el Tribunal General concluye que, con ocasión de una de las conexiones controvertidas, ciertos datos no fueron transferidos a los Estados Unidos, sino, con arreglo al principio de proximidad, hacia un servidor ubicado en Múnich, en Alemania. De conformidad con el contrato celebrado entre la Comisión y la gerente de Amazon CloudFront, la empresa luxemburguesa Amazon Web Services, esta última debe garantizar que los datos permanezcan en reposo y en tránsito en Europa.
Por lo que respecta a otra conexión, el propio interesado provocó su envío, mediante el mecanismo de enrutamiento de Amazon CloudFront, hacia servidores ubicados en los Estados Unidos. En efecto, gracias a un ajuste técnico, el interesado simulaba hallarse en los Estados Unidos.
En cambio, en lo relativo al registro del interesado en el evento «GoGreen», el Tribunal General estima que la Comisión creó, a través del hipervínculo «conectarse con Facebook», que se muestra en la página web de EU Login, las condiciones que permiten que se transfiera la dirección IP del interesado a Facebook. Esta dirección IP constituye un dato personal que fue transferido, a través de dicho hipervínculo, a Meta Platforms, empresa domiciliada en los Estados Unidos. Se ha de imputar esta transferencia a la Comisión.
Pues bien, cuando se realizó esa transferencia, esto es, el 30 de marzo de 2022, no existía ninguna decisión de la Comisión que declarara que los Estados Unidos garantizan un nivel de protección adecuado de los datos personales de los ciudadanos de la Unión. La Comisión tampoco ha demostrado, ni siquiera alegado, la existencia de una garantía adecuada, en particular de una cláusula tipo de protección de datos o de una cláusula contractual.
La visualización del hipervínculo «conectarse con Facebook» en el sitio de Internet de EU Login se rige únicamente por las condiciones generales de la plataforma Facebook.
Por consiguiente, la Comisión ha incumplido las condiciones exigidas por el Derecho de la Unión para que una institución, organismo u órgano de la Unión transfiera datos personales a un tercer país.
El Tribunal General considera que la Comisión incurrió en una violación suficientemente caracterizada de una norma jurídica cuyo objeto es conferir derechos a los particulares. El interesado ha sufrido daños y perjuicios inmateriales al hallarse en una situación de inseguridad en cuanto al tratamiento de sus datos personales, en particular de su dirección IP. Además, existe una relación de causalidad suficientemente directa entre la infracción de la Comisión y los daños y perjuicios inmateriales sufridos por el interesado.
Al concurrir los requisitos para generar la responsabilidad extracontractual de la Unión, el Tribunal General condena a la Comisión a abonar al interesado la cuantía de 400 euros que había solicitado.