SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Tercera)

de 25 de enero de 2024 ( *1 )

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Interpretación de los artículos 5, 24, 32 y 82 — Apreciación de la validez del artículo 82 — Inadmisibilidad de la petición de apreciación de la validez — Derecho a indemnización por los daños y perjuicios causados por un tratamiento de tales datos en infracción de dicho Reglamento — Transmisión de datos a un tercero no autorizado como consecuencia de un error cometido por empleados del responsable del tratamiento — Apreciación del carácter apropiado de las medidas de protección aplicadas por el responsable del tratamiento — Función compensatoria desempeñada por el derecho a indemnización — Influencia de la gravedad de la infracción — Necesidad de acreditar la existencia de los daños y perjuicios causados por la infracción — Concepto de “daños y perjuicios inmateriales”»

En el asunto C‑687/21,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Amtsgericht Hagen (Tribunal de lo Civil y Penal de Hagen, Alemania), mediante resolución de 11 de octubre de 2021, recibida en el Tribunal de Justicia el 16 de noviembre de 2021, en el procedimiento entre

MediaMarktSaturn Hagen‑Iserlohn GmbH, anteriormente Saturn Electro‑Handelsgesellschaft mbH Hagen,

EL TRIBUNAL DE JUSTICIA (Sala Tercera),

integrado por la Sra. K. Jürimäe, Presidenta de Sala, y los Sres. N. Piçarra, M. Safjan, N. Jääskinen (Ponente) y M. Gavalec, Jueces;

Abogado General: Sr. M. Campos Sánchez‑Bordona;

Secretario: Sr. A. Calot Escobar;

habiendo considerado los escritos obrantes en autos;

consideradas las observaciones presentadas:

–	en nombre de BL, por el Sr. D. Pudelko, Rechtsanwalt;

–	en nombre de MediaMarktSaturn Hagen‑Iserlohn GmbH, anteriormente Saturn Electro‑Handelsgesellschaft mbH Hagen, por el Sr. B. Hackl, Rechtsanwalt;

–	en nombre de Irlanda, por la Sra. M. Browne, Chief State Solicitor, el Sr. A. Joyce y la Sra. M. Lane, en calidad de agentes, asistidos por el Sr. D. Fennelly, BL;

–	en nombre del Parlamento Europeo, por la Sra. O. Hrstková Šolcová y el Sr. J.‑C. Puffer, en calidad de agentes;

–	en nombre de la Comisión Europea, por el Sr. A. Bouchagiar, la Sra. M. Heller y el Sr. H. Kranenborg, en calidad de agentes;

vista la decisión adoptada por el Tribunal de Justicia, oído el Abogado General, de que el asunto sea juzgado sin conclusiones;

dicta la siguiente

Sentencia

La petición de decisión prejudicial versa sobre la interpretación de los artículos 2, apartado 1, 4, punto 7, 5, apartado 1, letra f), 6, apartado 1, 24, 32, apartados 1, letra b), y 2, y 82 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; en lo sucesivo, «RGPD»), y sobre la apreciación de la validez del citado artículo 82.

Esta petición se ha presentado en el contexto de un litigio entre BL, una persona física, y MediaMarktSaturn Hagen‑Iserlohn GmbH, anteriormente Saturn Electro‑Handelsgesellschaft mbH Hagen (en lo sucesivo, «Saturn»), relativo a la indemnización de los daños y perjuicios inmateriales que dicha persona afirma haber sufrido como consecuencia de la transmisión a un tercero de algunos de sus datos personales a raíz de un error cometido por uno de los empleados de esa sociedad.

Marco jurídico

Los considerandos 11, 74, 76, 83, 85 y 146 del RGPD están redactados como sigue:

«(11)

La protección efectiva de los datos personales en la Unión [Europea] exige que se refuercen y especifiquen los derechos de los interesados y las obligaciones de quienes tratan y determinan el tratamiento de los datos de carácter personal […]

[…]

(74)

Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas.

[…]

(76)

La probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto.

[…]

(83)

A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales.

[…]

(85)

Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión. […]

[…]

(146)

El responsable o el encargado del tratamiento debe indemnizar cualesquiera daños y perjuicios que pueda sufrir una persona como consecuencia de un tratamiento en infracción del presente Reglamento. El responsable o el encargado deben quedar exentos de responsabilidad si se demuestra que en modo alguno son responsables de los daños y perjuicios. El concepto de daños y perjuicios debe interpretarse en sentido amplio a la luz de la jurisprudencia del Tribunal de Justicia, de tal modo que se respeten plenamente los objetivos del presente Reglamento. Lo anterior se entiende sin perjuicio de cualquier reclamación por daños y perjuicios derivada de la vulneración de otras normas del Derecho de la Unión o de los Estados miembros. Un tratamiento en infracción del presente Reglamento también incluye aquel tratamiento que infringe actos delegados y de ejecución adoptados de conformidad con el presente Reglamento y el Derecho de los Estados miembros que especifique las normas del presente Reglamento. Los interesados deben recibir una indemnización total y efectiva por los daños y perjuicios sufridos. […]»

En el capítulo I de dicho Reglamento, relativo a las «disposiciones generales», el artículo 2, titulado «Ámbito de aplicación material», establece, en su apartado 1:

«El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.»

El artículo 4 del citado Reglamento, titulado «Definiciones», dispone lo siguiente:

«A efectos del presente Reglamento se entenderá por:

1)	“datos personales”: toda información sobre una persona física identificada o identificable (“el interesado”); […]

[…]

7)	“responsable del tratamiento” o “responsable”: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; […]

[…]

10)	“tercero”: persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado;

[…]

12)	“violación de la seguridad de los datos personales”: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos;

[…]».

6	El capítulo II del RGPD, titulado «Principios», incluye los artículos 5 a 11.

El artículo 5 del citado Reglamento, cuyo título es «Principios relativos al tratamiento», prevé lo siguiente:

«1. Los datos personales serán:

[…]

tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (“integridad y confidencialidad”).

2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva”).»

8	El artículo 6 de dicho Reglamento, titulado «Licitud del tratamiento», establece, en su apartado 1, las condiciones que deben cumplirse para que un tratamiento sea lícito.

9	El capítulo IV del RGPD, bajo el epígrafe «Responsable del tratamiento y encargado del tratamiento», comprende los artículos 24 a 43.

En la sección 1 del capítulo IV, titulada «Obligaciones generales», figura el artículo 24, titulado a su vez «Responsabilidad del responsable del tratamiento», que dispone, en sus apartados 1 y 2, lo siguiente:

«1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.

2. Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.»

Dentro de la sección 2 de dicho capítulo IV, que lleva por título «Seguridad de los datos personales», el artículo 32 del RGPD, titulado a su vez «Seguridad del tratamiento», dispone, en sus apartados 1, letra b), y 2:

«1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

[…]

b)	la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

[…]

2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.»

12	El capítulo VIII del RGPD, bajo el epígrafe «Recursos, responsabilidad y sanciones», contiene los artículos 77 a 84.

A tenor del artículo 82 del referido Reglamento, titulado «Derecho a indemnización y responsabilidad»:

«1. Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.

2. Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento. […]

3. El responsable o encargado del tratamiento estará exento de responsabilidad en virtud del apartado 2 si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.

[…]»

El artículo 83 del RGPD, con la rúbrica «Condiciones generales para la imposición de multas administrativas», establece:

«1. Cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al presente artículo por las infracciones del presente Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias.

2. […] Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:

a)	la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;

b)	la intencionalidad o negligencia en la infracción;

[…]

d)	el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32;

[…]

k)	cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

3. Si un responsable o un encargado del tratamiento incumpliera de forma intencionada o negligente, para las mismas operaciones de tratamiento u operaciones vinculadas, diversas disposiciones del presente Reglamento, la cuantía total de la multa administrativa no será superior a la cuantía prevista para las infracciones más graves.

[…]»

El artículo 84 de este Reglamento, bajo el epígrafe «Sanciones», dispone en su apartado 1:

«Los Estados miembros establecerán las normas en materia de otras sanciones aplicables a las infracciones del presente Reglamento, en particular las infracciones que no se sancionen con multas administrativas de conformidad con el artículo 83, y adoptarán todas las medidas necesarias para garantizar su observancia. Dichas sanciones serán efectivas, proporcionadas y disuasorias.»

Litigio principal y cuestiones prejudiciales

El demandante en el litigio principal acudió a un establecimiento comercial de Saturn, donde adquirió un electrodoméstico. A tal efecto, un trabajador de dicha sociedad redactó un contrato de compraventa y de crédito, con ocasión de lo cual introdujo en el sistema informático de Saturn varios datos personales de ese cliente, a saber, su nombre y apellidos, su dirección, su lugar de residencia, el nombre de su empleador, sus ingresos y sus datos bancarios.

Los documentos contractuales que contenían estos datos personales se imprimieron y fueron firmados por ambas partes. A continuación, el demandante en el litigio principal los presentó a los empleados de Saturn que trabajaban en el punto de entrega de las mercancías. Otro cliente, que subrepticiamente se había adelantado en la fila al demandante en el litigio principal, recibió por error tanto el aparato encargado por este último como los documentos correspondientes y se llevó todo consigo.

El error fue detectado rápidamente y el aparato y los documentos fueron devueltos a un empleado de Saturn, quien los entregó al demandante en el litigio principal en la media hora siguiente a su entrega al otro cliente. La empresa pretendió indemnizar al demandante en el litigio principal por este error entregándole gratuitamente el electrodoméstico en cuestión en su domicilio, pero el interesado estimó que esta indemnización era insuficiente.

El demandante en el litigio principal presentó ante el Amtsgericht Hagen (Tribunal de lo Civil y Penal de Hagen, Alemania), que es el órgano jurisdiccional remitente en el presente asunto, una demanda dirigida a obtener, en particular sobre la base de las disposiciones del RGPD, una indemnización por los daños y perjuicios inmateriales que alega haber sufrido como consecuencia del error cometido por los empleados de Saturn y los consiguientes riesgos de pérdida de control sobre sus datos personales.

Saturn alega en su defensa, por una parte, que no se ha producido una infracción del RGPD y que únicamente podría haberse cometido tal infracción si se hubiera superado un determinado umbral de gravedad, que no se ha alcanzado en el caso de autos. Por otra parte, esta sociedad alega que el demandante en el litigio principal no sufrió ningún perjuicio, ya que no se ha acreditado, ni siquiera invocado, que el tercero implicado haya hecho un uso indebido de los datos personales del interesado.

21	El órgano jurisdiccional remitente se pregunta, en primer lugar, sobre la validez del artículo 82 del RGPD, por cuanto, en su opinión, dicho artículo no precisa sus efectos jurídicos en caso de indemnización por daños y perjuicios inmateriales.

En segundo lugar, en el supuesto de que el Tribunal de Justicia no declarase la invalidez de dicho artículo 82, el órgano jurisdiccional remitente se pregunta si el ejercicio del derecho a indemnización contemplado en ese artículo requiere demostrar la existencia no solo de una infracción del RGPD, sino también de un perjuicio, en concreto inmaterial, sufrido por la persona que reclama la indemnización.

En tercer lugar, el órgano jurisdiccional remitente solicita que se dilucide si el mero hecho de que los documentos impresos que contienen datos personales hayan sido entregados sin autorización a un tercero, como consecuencia de un error cometido por empleados del responsable del tratamiento, puede constituir una infracción del RGPD.

En cuarto lugar, dicho órgano jurisdiccional, aunque considera que «la empresa [demandada] debe soportar la carga de la prueba de su inocencia», desea saber si, para considerar que se ha infringido el RGPD, basta con constatar que esa entrega de documentos se ha realizado por negligencia, especialmente a la luz de la obligación de aplicar las medidas apropiadas para garantizar la seguridad de los datos tratados que incumbe al responsable del tratamiento en virtud de los artículos 2, 5, 6 y 24 del referido Reglamento.

En quinto lugar, el órgano jurisdiccional remitente se pregunta si, aunque, al parecer, el tercero no autorizado no tuvo conocimiento de los datos personales en cuestión antes de devolver los documentos en los que figuraban, la existencia de «daños y perjuicios inmateriales», en el sentido del artículo 82 del RGPD, puede demostrarse por el mero hecho de que la persona cuyos datos fueron transmitidos de este modo experimente temor ante el riesgo, que en opinión de dicho órgano jurisdiccional no cabe excluir, de que sean comunicados por el tercero a otras personas o incluso sean utilizados de forma indebida en el futuro.

En sexto lugar, el órgano jurisdiccional remitente se pregunta sobre la posible influencia, en el marco de una demanda de indemnización por daños y perjuicios inmateriales basada en el mencionado artículo 82, del grado de gravedad que revista una infracción cometida en las circunstancias del litigio principal, teniendo en cuenta que, a su juicio, el responsable del tratamiento podría haber adoptado medidas de seguridad más eficaces.

27	En séptimo y último lugar, desea saber cuál es la finalidad de la indemnización por los daños y perjuicios inmateriales en virtud del RGPD, a cuyo efecto sugiere que dicha indemnización podría tener un carácter sancionador equivalente al de una penalización contractual.

En estas circunstancias, el Amtsgericht Hagen (Tribunal de lo Civil y Penal de Hagen) decidió suspender el procedimiento y plantear al Tribunal de Justicia las cuestiones prejudiciales siguientes:

«1)	¿Es inválida la norma sobre indemnización por daños y perjuicios del [RGPD] (artículo 82 del RGPD) debido a su indeterminación en cuanto a las consecuencias jurídicas que deben disponerse en materia de indemnización por daños y perjuicios inmateriales?

2)	¿Para que exista un derecho a indemnización por daños y perjuicios es necesario que, además de la revelación indebida a un tercero no autorizado de los datos que debían ser protegidos, se constaten unos daños y perjuicios inmateriales que el reclamante deberá exponer?

Para poder apreciar que se infringe el [RGPD], ¿es suficiente que los datos personales del interesado (nombre, dirección, profesión, ingresos, empleador) se transmitan por descuido a un tercero en un documento impreso en papel debido a un error cometido por los trabajadores de una empresa que desarrolla su actividad?

¿Se produce un tratamiento ulterior ilegal por transmisión accidental (comunicación) a un tercero cuando la empresa, a través de sus trabajadores, ha transmitido por descuido a un tercero no autorizado los datos en forma impresa, incluidos por lo demás en un sistema informático de tratamiento de datos [artículos 2, apartado 1, 5, apartado 1, letra f), 6, apartado 1, y 24 del [RGPD]]?

¿Se producen daños y perjuicios inmateriales en el sentido del artículo 82 del [RGPD], incluso cuando el tercero que ha recibido el documento que contiene los datos personales no ha tomado conocimiento de los mismos, antes de que el documento impreso que contiene la información fuera devuelto, o basta para que existan dichos daños y perjuicios inmateriales en el sentido del artículo 82 del [RGPD] la sensación de malestar de la persona cuyos datos hayan sido transmitidos ilegalmente, debido a que en toda comunicación indebida de datos personales existe una posibilidad, que no puede excluirse, de que los datos sean difundidos a un número desconocido de personas o incluso de que sean objeto de un uso abusivo?

¿Qué gravedad debe atribuirse a la infracción, cuando la transmisión accidental a terceros puede evitarse mediante un mejor control de los trabajadores eventuales de la empresa o mediante una mejor organización de la seguridad de los datos, como la gestión separada de la entrega de la mercancía y de la documentación contractual, sobre todo de la documentación relativa a la financiación, mediante un documento de entrega separado o mediante la transmisión en el seno de la empresa a los trabajadores en el puesto de entrega de mercancía, sin intervención del cliente al que se entregaron los documentos impresos, incluido el documento que acredita el derecho a retirar la mercancía [artículo 32, apartados 1, letra b), y 2, así como artículo 4, punto 7, del [RGPD]]?

7)	¿Debe entenderse por indemnización por los daños y perjuicios inmateriales la imposición de una sanción como si se tratase de una penalización contractual?»

Sobre las cuestiones prejudiciales

Primera cuestión prejudicial

29	Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta si el artículo 82 del RGPD es inválido en la medida en que no precisa las consecuencias jurídicas aplicables en relación con una indemnización por daños y perjuicios inmateriales.

El Parlamento Europeo sostiene que esta cuestión es inadmisible, puesto que el órgano jurisdiccional remitente no ha cumplido los requisitos del artículo 94, letra c), del Reglamento de Procedimiento del Tribunal de Justicia, aun cuando dicho órgano jurisdiccional plantea en esa cuestión un problema especialmente complejo, a saber, la apreciación de la validez de una disposición de Derecho de la Unión.

De conformidad con el artículo 94, letra c), del Reglamento de Procedimiento, junto al texto de las preguntas formuladas al Tribunal de Justicia con carácter prejudicial, la petición de decisión prejudicial contendrá, en particular, la indicación de las razones que han llevado al órgano jurisdiccional remitente a preguntarse sobre la interpretación o la validez de determinadas disposiciones del Derecho de la Unión.

A este respecto, la motivación de la resolución de remisión es indispensable no solo para permitir que el Tribunal de Justicia proporcione respuestas útiles, sino también para ofrecer a los Gobiernos de los Estados miembros y a las otras partes interesadas la posibilidad de presentar observaciones conforme al artículo 23 del Estatuto del Tribunal de Justicia de la Unión Europea. Más concretamente, el Tribunal de Justicia debe examinar la validez de una disposición del Derecho de la Unión a la luz de los motivos de invalidez expuestos en la resolución de remisión, de modo que la falta de toda mención de las razones precisas que han llevado al órgano jurisdiccional remitente a cuestionarse este extremo implica la inadmisibilidad de las cuestiones relativas a dicha validez (véanse, en este sentido, las sentencias de 15 de junio de 2017, T.KUP, C‑349/16, EU:C:2017:469, apartados 16 a 18, y de 22 de junio de 2023, Vitol, C‑268/22, EU:C:2023:508, apartados 52 a 55).

33	Pues bien, en el presente asunto, el órgano jurisdiccional remitente no expone ningún elemento preciso que permita al Tribunal de Justicia examinar la validez del artículo 82 del RGPD.

34	En consecuencia, debe declararse la inadmisibilidad de la primera cuestión prejudicial.

Cuestiones prejudiciales tercera y cuarta

Mediante las cuestiones prejudiciales tercera y cuarta, que conviene examinar conjuntamente y en primer lugar, el órgano jurisdiccional remitente pregunta, en esencia, si los artículos 5, 24, 32 y 82 del RGPD, leídos conjuntamente, deben interpretarse en el sentido de que, en el marco de una demanda de indemnización basada en el mencionado artículo 82, el hecho de que empleados del responsable del tratamiento hayan entregado por error a un tercero no autorizado un documento que contenga datos personales es suficiente, por sí solo, para considerar que las medidas técnicas y organizativas adoptadas por el responsable del tratamiento no son «apropiadas» a efectos de los referidos artículos 24 y 32.

El artículo 24 del RGPD establece una obligación general, que recae sobre el responsable del tratamiento de datos personales, de aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que dicho tratamiento es conforme con el mencionado Reglamento (sentencia de 14 de diciembre de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, apartado 24).

El artículo 32 del RGPD especifica, por su parte, cuáles son las obligaciones del responsable y, en su caso, del encargado del tratamiento en relación con la seguridad de este. De tal forma, el apartado 1 del citado artículo dispone que estos deberán aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a los riesgos vinculados al tratamiento, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento de que se trate. Asimismo, el apartado 2 de dicho artículo establece que, al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos (véase, en este sentido, la sentencia de 14 de diciembre de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, apartados 26 y 27).

Así, del tenor de los artículos 24 y 32 del RGPD se desprende que el carácter apropiado de las medidas aplicadas por el responsable del tratamiento debe evaluarse en cada caso concreto, teniendo en cuenta los diferentes criterios establecidos en dichos artículos y las necesidades de protección de datos específicamente inherentes al tratamiento en cuestión y a los riesgos que conlleva, tanto más cuanto que el responsable del tratamiento debe poder demostrar la conformidad con dicho Reglamento de tales medidas, posibilidad de la que se vería privado si se admitiera una presunción iuris et de iure (véase, en este sentido, la sentencia de 14 de diciembre de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, apartados 30 a 32).

Esta interpretación literal se ve corroborada por la lectura conjunta de dichos artículos 24 y 32 con los artículos 5, apartado 2, y 82 del referido Reglamento, a la luz de sus considerandos 74, 76 y 83, de los que se desprende, en particular, que el responsable del tratamiento está obligado a mitigar los riesgos de violación de la seguridad de los datos personales, y no a impedir toda violación de la seguridad de dichos datos (véase, en este sentido, la sentencia de 14 de diciembre de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, apartados 33 a 38).

Por tanto, el Tribunal de Justicia ha interpretado los artículos 24 y 32 del RGPD en el sentido de que una comunicación no autorizada de datos personales o un acceso no autorizado a tales datos por parte de «terceros», a los efectos del artículo 4, punto 10, del mencionado Reglamento, no bastan, por sí solos, para considerar que las medidas técnicas y organizativas adoptadas por el responsable del tratamiento no eran «apropiadas» con arreglo a los citados artículos 24 y 32 (sentencia de 14 de diciembre de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, apartado 39).

En el presente asunto, la circunstancia de que empleados del responsable del tratamiento entregaran por error a un tercero no autorizado un documento que contenía datos personales puede poner de manifiesto que las medidas técnicas y organizativas aplicadas por el responsable del tratamiento no eran «apropiadas» en el sentido de los citados artículos 24 y 32. En particular, tal circunstancia puede ser consecuencia de una negligencia o de un fallo en la organización del responsable del tratamiento, que no tiene en cuenta de forma concreta los riesgos vinculados al tratamiento de datos en cuestión.

A este respecto, procede señalar que, de una interpretación conjunta de los artículos 5, 24 y 32 del RGPD, leídos a la luz de su considerando 74, se desprende que, en el marco de una demanda de indemnización basada en el artículo 82 de dicho Reglamento, la carga de la prueba de que los datos personales se tratan de modo que se garantiza una seguridad adecuada de tales datos, en el sentido de los artículos 5, apartado 1, letra f), y 32 del referido Reglamento, incumbe al responsable del tratamiento en cuestión. Este reparto de la carga de la prueba no solo resulta idóneo para inducir a los responsables del tratamiento de los datos a adoptar las medidas de seguridad exigidas por el RGPD, sino también para salvaguardar el efecto útil del derecho a indemnización contemplado en el artículo 82 de este Reglamento y para respetar las intenciones del legislador de la Unión que se señalan en el considerando 11 del mismo Reglamento (véase, en este sentido, la sentencia de 14 de diciembre de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, apartados 49 a 56).

Por consiguiente, el Tribunal de Justicia ha interpretado el principio de responsabilidad del responsable del tratamiento, enunciado en el artículo 5, apartado 2, del RGPD y desarrollado en el artículo 24 de este, en el sentido de que, en el marco de una acción de indemnización basada en el artículo 82 del citado Reglamento, el responsable del tratamiento soporta la carga de la prueba del carácter apropiado de las medidas de seguridad que ha adoptado con arreglo al artículo 32 del mencionado Reglamento (sentencia de 14 de diciembre de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, apartado 57).

Así pues, el órgano jurisdiccional que conoce de una demanda de indemnización por daños y perjuicios basada en el artículo 82 del RGPD no puede tener en cuenta únicamente, para determinar si se ha incumplido una obligación prevista en ese Reglamento, la circunstancia de que empleados del responsable del tratamiento hayan entregado por error a un tercero no autorizado un documento que contenga datos personales. En efecto, dicho órgano jurisdiccional debe tener en cuenta igualmente todos los elementos de prueba aportados por el responsable del tratamiento para demostrar el carácter apropiado de las medidas técnicas y organizativas que ha adoptado a fin de cumplir las obligaciones que le incumben en virtud de los artículos 24 y 32 del citado Reglamento.

Habida cuenta de las consideraciones anteriores, procede responder a las cuestiones prejudiciales tercera y cuarta que los artículos 5, 24, 32 y 82 del RGPD, leídos conjuntamente, deben interpretarse en el sentido de que, en el marco de una demanda de indemnización basada en el mencionado artículo 82, el hecho de que empleados del responsable del tratamiento hayan entregado por error a un tercero no autorizado un documento que contenga datos personales no es suficiente, por sí solo, para considerar que las medidas técnicas y organizativas aplicadas por el responsable del tratamiento en cuestión no eran «apropiadas» en el sentido de los mencionados artículos 24 y 32.

Séptima cuestión prejudicial.

Mediante su séptima cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 82 del RGPD debe interpretarse en el sentido de que el derecho a indemnización contemplado en ese precepto, en particular en caso de daños y perjuicios inmateriales, desempeña una función punitiva.

A este respecto, el Tribunal de Justicia ha declarado que el artículo 82 del RGPD no tiene una función punitiva, sino compensatoria, a diferencia de otras disposiciones de ese Reglamento que figuran también en su capítulo VIII, a saber, sus artículos 83 y 84, que, por su parte, tienen esencialmente una finalidad punitiva, puesto que permiten, respectivamente, imponer multas administrativas y otras sanciones. La articulación entre las normas enunciadas en dicho artículo 82 y las establecidas en los citados artículos 83 y 84 demuestra que existe una diferencia entre estas dos categorías de disposiciones, pero también una complementariedad, por cuanto se trata de incentivar el respeto del RGPD, debiendo observarse que el derecho de toda persona a reclamar una indemnización por daños y perjuicios refuerza la operatividad de las normas de protección establecidas en ese Reglamento y puede disuadir de la reiteración de comportamientos ilícitos [véanse, en este sentido, las sentencias de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartados 38 y 40, y de 21 de diciembre de 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, apartado 85].

El Tribunal de Justicia ha precisado que, dado que el derecho a indemnización contemplado en el artículo 82, apartado 1, del RGPD no cumple una función disuasoria, ni siquiera punitiva, sino compensatoria, la gravedad de la infracción de ese Reglamento que haya causado los daños y perjuicios en cuestión no puede influir en el importe de la indemnización en este concepto concedida en virtud de dicha disposición, ni siquiera cuando los daños y perjuicios no sean materiales, sino inmateriales, de modo que ese importe no puede fijarse en una cuantía que exceda de la compensación completa de ese perjuicio (véase, en este sentido, la sentencia de 21 de diciembre de 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, apartados 86 y 87).

49	De lo anterior resulta que no es necesario pronunciarse sobre la conexión, a la que se refiere el órgano jurisdiccional remitente, entre la finalidad perseguida por el derecho a indemnización previsto en el artículo 82, apartado 1, y la función punitiva de una penalización contractual.

Por consiguiente, procede responder a la séptima cuestión prejudicial que el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que el derecho a indemnización contemplado en esa disposición, en particular en caso de daños y perjuicios inmateriales, cumple una función compensatoria, dado que una reparación pecuniaria basada en dicha disposición debe permitir compensar íntegramente los daños y perjuicios sufridos concretamente como consecuencia de la infracción de ese Reglamento, y no una función punitiva.

Sexta cuestión prejudicial

Mediante su sexta cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 82 del RGPD debe interpretarse en el sentido de que exige tener en cuenta el grado de gravedad de la infracción de dicho Reglamento cometida por el responsable del tratamiento a efectos de determinar la indemnización de un perjuicio sobre la base de dicha disposición.

A este respecto, resulta del artículo 82 del RGPD que, por una parte, el nacimiento de la responsabilidad del responsable del tratamiento está supeditado, en particular, a la existencia de culpa por parte de este, la cual se presume, a menos que demuestre que no es en modo alguno responsable del hecho que ha causado los daños y perjuicios, y, por otra parte, ese artículo 82 no exige que el grado de culpa se tenga en cuenta al fijar el importe de la indemnización por daños y perjuicios concedida como reparación de un daño inmaterial sobre la base de esa disposición (sentencia de 21 de diciembre de 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, apartado 103).

Por lo que respecta a la cuantificación de los daños y perjuicios eventualmente debidos en virtud del artículo 82 del RGPD, dado que este Reglamento no contiene ninguna disposición que tenga por objeto tal cuantificación, los jueces nacionales deben aplicar, a efectos de esta cuantificación, las normas internas de cada Estado miembro relativas al alcance de la reparación pecuniaria, siempre que se respeten los principios de equivalencia y de efectividad del Derecho de la Unión (véase, en este sentido, la sentencia de 21 de diciembre de 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, apartados 83 y 101 y jurisprudencia citada).

Además, el Tribunal de Justicia ha precisado que, habida cuenta de la función compensatoria del derecho a indemnización previsto en el artículo 82 del RGPD, esta disposición no exige que la gravedad de la infracción de ese Reglamento, que se presume que el responsable del tratamiento ha cometido, sea tenida en cuenta al fijar el importe de la indemnización por daños y perjuicios concedida como reparación de un daño inmaterial sobre la base de dicha disposición, sino que exige que ese importe se fije de manera que se compensen íntegramente los daños y perjuicios sufridos concretamente como consecuencia de la infracción de dicho Reglamento (véase, en este sentido, la sentencia de 21 de diciembre de 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, apartados 84 a 87 y 102 y jurisprudencia citada).

A la vista de las razones expuestas, procede responder a la sexta cuestión prejudicial que el artículo 82 del RGPD debe interpretarse en el sentido de que no exige que se tenga en cuenta el grado de gravedad de la infracción cometida por el responsable del tratamiento a efectos de la indemnización de un perjuicio sobre la base de dicha disposición.

Segunda cuestión prejudicial

Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que la persona que reclama una indemnización en virtud de esta disposición debe acreditar no solo la infracción de las normas de dicho Reglamento, sino también que esa infracción le ha causado daños y perjuicios materiales o inmateriales.

A este respecto, procede recordar que, a tenor del artículo 82, apartado 1, del RGPD, «toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos».

Del tenor literal de esta disposición se desprende que la mera infracción del RGPD no basta para reconocer un derecho a indemnización. En efecto, la existencia de «daños y perjuicios» que se hayan «sufrido» constituye uno de los requisitos del derecho a indemnización previsto en este artículo 82, apartado 1, al igual que la existencia de una infracción de ese Reglamento y de una relación de causalidad entre dichos daños y perjuicios y esa infracción, de modo que estos tres requisitos son acumulativos [véanse, en este sentido, las sentencias de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartado 32 y 42; de 14 de diciembre de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, apartado 77; de 14 de diciembre de 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, apartado 14, y de 21 de diciembre de 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, apartado 82].

En lo que se refiere más concretamente a los daños y perjuicios inmateriales, el Tribunal de Justicia ha declarado asimismo que el artículo 82, apartado 1, del RGPD se opone a una norma o práctica nacional que supedita la indemnización por daños y perjuicios inmateriales, en el sentido de esta disposición, al requisito de que los daños y perjuicios sufridos por el interesado, tal como se define en el artículo 4, punto 1, del citado Reglamento, hayan alcanzado cierto grado de gravedad [véanse, en este sentido, las sentencias de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartado 51; de 14 de diciembre de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, apartado 78, y de 14 de diciembre de 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, apartado 16].

El Tribunal de Justicia ha especificado que un interesado afectado por una infracción del RGPD que haya tenido consecuencias negativas para él debe no obstante demostrar que estas consecuencias constituyen daños y perjuicios inmateriales, en el sentido del artículo 82 de dicho Reglamento, ya que no basta la mera infracción de las disposiciones del referido Reglamento para reconocer un derecho a indemnización [véanse, en este sentido, las sentencias de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartados 42 y 50; de 14 de diciembre de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, apartado 84, y de 14 de diciembre de 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, apartados 21 y 23].

Habida cuenta de las consideraciones anteriores, procede responder a la segunda cuestión prejudicial que el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que la persona que reclama una indemnización en virtud de esta disposición debe acreditar no solo la infracción de las normas de dicho Reglamento, sino también que esa infracción le ha causado daños y perjuicios materiales o inmateriales.

Quinta cuestión prejudicial

Mediante su quinta cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que, en el supuesto de que un documento que contenga datos personales haya sido entregado a un tercero no autorizado, que se ha demostrado que no tuvo conocimiento de tales datos, pueden existir «daños y perjuicios inmateriales», en el sentido de esta disposición, por el mero hecho de que el interesado tema que, tras esa comunicación que ofreció la posibilidad de realizar una copia de dicho documento antes de su devolución, pueda tener lugar en el futuro una difusión o incluso un uso indebido de sus datos.

Es importante señalar que dicho órgano jurisdiccional indica que, en el caso de autos, el documento en el que figuraban los datos en cuestión fue devuelto al demandante en el litigio principal en la media hora sucesiva a su entrega a un tercero no autorizado y que este no tuvo conocimiento de tales datos antes de devolver el documento, si bien el demandante alega que esa entrega ofreció al tercero la posibilidad de efectuar copias del documento antes de devolverlo y que, por tanto, le ha creado un temor por el riesgo de que en el futuro tales datos sean objeto de un uso indebido.

Teniendo en cuenta la falta de toda referencia en el artículo 82, apartado 1, del RGPD al Derecho interno de los Estados miembros, el concepto de «daños y perjuicios inmateriales», en el sentido de esa disposición, debe recibir una definición autónoma y uniforme, propia del Derecho de la Unión [véanse, en este sentido, las sentencias de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C‑300/21, EU:C:2023:370, apartados 30 y 44, y de 14 de diciembre de 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, apartado 15].

El Tribunal de Justicia ha declarado que se desprende no solo del tenor del artículo 82, apartado 1, del RGPD, en relación con los considerandos 85 y 146 del mismo Reglamento, que llevan a adoptar una acepción amplia del concepto de «daños y perjuicios inmateriales» en el sentido del mencionado artículo, sino también del objetivo consistente en garantizar un nivel elevado de protección de las personas físicas en lo que respecta al tratamiento de sus datos personales, previsto en dicho Reglamento, que el temor que experimenta un interesado a un potencial uso indebido de sus datos personales por terceros a raíz de una infracción del citado Reglamento puede constituir, por sí solo, un «daño y perjuicio inmaterial» a los efectos del artículo 82, apartado 1 (véase, en este sentido, la sentencia de 14 de diciembre de 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, apartados 79 a 86).

Además, basándose también en consideraciones de carácter literal, sistemático y teleológico, el Tribunal de Justicia consideró que la pérdida de control sobre los datos personales durante un breve período de tiempo puede causar al interesado «daños y perjuicios inmateriales», en el sentido del artículo 82, apartado 1, del RGPD, que den lugar a un derecho a indemnización, siempre que dicho interesado demuestre que ha sufrido efectivamente tales daños y perjuicios, por mínimos que sean, y recordó que la mera infracción de las disposiciones de dicho Reglamento no basta para reconocer un derecho a indemnización sobre esta base (véase, en este sentido, la sentencia de 14 de diciembre de 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, apartados 18 a 23).

Asimismo, en el caso de autos, conviene señalar que es conforme tanto al tenor del artículo 82, apartado 1, del RGPD como al objetivo de protección que persigue dicho Reglamento que el concepto de «daños y perjuicios inmateriales» comprenda una situación en la que el interesado tenga el temor fundado —extremo que corresponde comprobar al órgano jurisdiccional nacional que conoce del asunto— de que algunos de sus datos personales sean objeto en el futuro de una difusión o un uso indebido por terceros, como consecuencia de que un documento que contiene tales datos ha sido entregado a un tercero no autorizado que ha tenido la posibilidad de realizar copias antes de devolverlo.

Sin embargo, no es menos cierto que en una demanda de indemnización por daños y perjuicios basada en el artículo 82 del RGPD incumbe al demandante demostrar la existencia de tales daños. En particular, un riesgo meramente hipotético de un uso indebido por un tercero no puede dar lugar a una indemnización. Así sucede cuando ningún tercero ha tenido conocimiento de los datos personales de que se trate.

Por lo tanto, procede responder a la quinta cuestión prejudicial que el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que, en el supuesto de que un documento que contenga datos personales haya sido entregado a un tercero no autorizado, que se ha demostrado que no tuvo conocimiento de tales datos, no se han producido «daños y perjuicios inmateriales», en el sentido de esta disposición, por el mero hecho de que el interesado tema que, tras esa comunicación que ofreció la posibilidad de realizar una copia de dicho documento antes de su devolución, pueda tener lugar en el futuro una difusión o incluso un uso indebido de sus datos.

Costas

Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional nacional, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes han presentado observaciones ante el Tribunal de Justicia sin ser partes del litigio principal no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Tercera) declara:

Los artículos 5, 24, 32 y 82 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), leídos conjuntamente,

deben interpretarse en el sentido de que,

en el marco de una demanda de indemnización basada en el mencionado artículo 82, el hecho de que empleados del responsable del tratamiento hayan entregado por error a un tercero no autorizado un documento que contenga datos personales no es suficiente, por sí solo, para considerar que las medidas técnicas y organizativas aplicadas por el responsable del tratamiento en cuestión no eran «apropiadas» en el sentido de los citados artículos 24 y 32.

El artículo 82, apartado 1, del Reglamento 2016/679

debe interpretarse en el sentido de que

el derecho a indemnización contemplado en esa disposición, en particular en caso de daños y perjuicios inmateriales, cumple una función compensatoria, dado que una reparación pecuniaria basada en dicha disposición debe permitir compensar íntegramente los daños y perjuicios sufridos concretamente como consecuencia de la infracción de ese Reglamento, y no una función punitiva.

3)	El artículo 82 del Reglamento 2016/679 debe interpretarse en el sentido de que no exige que se tenga en cuenta el grado de gravedad de la infracción cometida por el responsable del tratamiento a efectos de la indemnización de un perjuicio sobre la base de dicha disposición.

El artículo 82, apartado 1, del Reglamento 2016/679

debe interpretarse en el sentido de que

la persona que reclama una indemnización en virtud de esta disposición debe acreditar no solo la infracción de las normas de dicho Reglamento, sino también que esa infracción le ha causado daños y perjuicios materiales o inmateriales.

El artículo 82, apartado 1, del Reglamento 2016/679

debe interpretarse en el sentido de que

en el supuesto de que un documento que contenga datos personales haya sido entregado a un tercero no autorizado, que se ha demostrado que no tuvo conocimiento de tales datos, no se han producido «daños y perjuicios inmateriales», en el sentido de esta disposición, por el mero hecho de que el interesado tema que, tras esa comunicación que ofreció la posibilidad de realizar una copia de dicho documento antes de su devolución, pueda tener lugar en el futuro una difusión o incluso un uso indebido de sus datos.

Firmas

( *1 ) Lengua de procedimiento: alemán.