El Caso T‑354/22 (Thomas Bindl vs Comisión Europea) es una resolución singular porque es la primera vez que se condena a una institución pública a que indemnice a una persona física por los perjuicios y daños inmateriales a su derecho a la protección de sus datos personales a consecuencia de una transferencia realizada a los Estados Unidos sin instrumento jurídico de por medio y, si bien el señor Bindl solicita al Tribunal de Justicia de la Unión Europea (TJUE) otras cuestiones, como es la anulación de unas transferencias que traen causa en una red de distribución de contenido (CDN) y un derecho de acceso a la información infructuoso, a pesar de que la fórmula utilizada por la Comisión no puede ser más abierta, vamos a centrarnos en el objeto de litigio del que resulta a favor y es que, para registrarse a un evento enmarcado dentro de las Conferencias por el futuro de Europa, la Comisión dispuso de un formulario cuyo registro se realizaba a través del EU login (el antiguo ECAS, el servicio de autenticación en línea utilizado por las instituciones, agencias y organismos de la Unión Europea), el cual permitía a su vez, de forma optativa, verificar la identidad del usuario por medio de servicios de terceros, como Facebook, lo que implicó que sus datos personales fueran transferidos a los EEUU.
Técnicamente lo cierto es que, cuando el usuario interactúa con el cliente, por ejemplo, haciendo clic en el botón para iniciar sesión, el cliente utiliza el SDK de este para solicitar las credenciales del usuario, incluyendo información como el ID de la aplicación y los permisos específicos que se desean obtener, como el correo electrónico o el perfil público del usuario.
Si el usuario autoriza el acceso, se devuelve una respuesta al cliente con un objeto que contiene el accessToken, el userID del usuario y la fecha de expiración del token, el cual debe ser validado para garantizar que es legítimo y que no ha sido manipulado de tal forma que en el servidor se realiza una solicitud al Graph API utilizando un appAccessToken generado a partir del ID y el secreto de tu aplicación. Este se usa por el tercero, que responde indicando si el token es válido, si pertenece a tu aplicación, cuáles son los permisos otorgados por el usuario y la fecha de expiración.
Si el servidor confirma que el token es válido y los datos coinciden con los esperados, gestiona la autenticación del usuario, lo que implica buscar al usuario en la base de datos usando su userID. Si no existe, se puede crear un nuevo registro. Finalmente, el servidor genera un token de sesión propio, como un JWT, para autenticar al usuario dentro de tu aplicación.
Bajo este contexto, la IP interviene cuando el servidor interactúa con el Graph API para validar los tokens, cuando se recuperan los datos del usuario como parte del protocolo HTTP o cuando el cliente carga el SDK.
Por otro lado, debemos recordar que un dato personal es “toda información sobre una persona física identificada o identificable, considerándose persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente” y, una IP, es una dirección única que identifica a un dispositivo en una red. De hecho, en la sentencia Breyer (C-582/14) el TJUE señaló que incluso cuando son dinámicas es posible identificar al usuario ya que el proveedor de servicios de internet (ISP) tiene acceso a la información adicional necesaria para identificar al usuario.
Estando las cosas así, queda el tercer elemento, y es que para que exista responsabilidad extracontractual (bajo la cual procede la indemnización) es necesario que concurran tres requisitos acumulativos:
- La ilicitud de la actuación imputada a las instituciones, que en este caso se produce al realizar una transferencia de datos personales sin las garantías adecuadas. El TJUE aduce que, la Comisión fue quien creó las condiciones que permiten que se transfiera la IP ya que es quien ha decidido que se pueda realizar el registro por medio de servicios de terceros, si bien no ha dispuesto ningún tipo de garantía ya que la relación se rige exclusivamente a través de las condiciones generales de la plataforma, a pesar de que entonces no existía una decisión de adecuación con los Estados Unidos respecto al tercer país, ya que el Privacy Shield fue invalidado en la Sentencia Schrems II (Asunto C-311/18).
- La realidad del daño, es decir, que este sea real y cierto, sin necesidad de demostrar un mínimo de gravedad. En este sentido, al haberse enviado a los Estados Unidos cuando no había decisión de adecuación ni ningún otro acuerdo entre la Comisión y el tercero, las garantías que aporta la legislación comunitaria en protección de datos “pueden perderse”, y hablo hipotéticamente no es necesario demostrar en cuanto a la pérdida de control. Nada de eso. Es la incertidumbre provocada lo que ha producido el daño.
- La existencia de una relación de causalidad entre la actuación y el perjuicio invocado, que en este caso se materializa gracias a que la Comisión decidió que se pudiera realizar el registro a través de terceros.
Demostrada la responsabilidad, la indemnización se sustenta en el artículo 65 del Reglamento 2018/1725 (como el RGPD, pero para órganos y organismos comunitarios), análogo al artículo 82 RGPD.
En definitiva, se trata de una resolución que marca un precedente en cuanto a que abre la puerta a un espacio que hasta ahora estaba prácticamente vedado.
Si queréis acceder a la Sentencia completa, aquí la tenéis.