La responsabilidad que surge por el tratamiento ilícito de datos efectuado en el marco de la cooperación entre Europol y del Estado miembro en el que se haya producido el daño es solidaria para el TJUE, y sin necesidad de que el afectado demuestre a cuál de esas dos entidades es imputable ese tratamiento ilícito.
Existe un régimen especial de responsabilidad extracontractual por lo que respecta a las operaciones ilícitas de tratamiento de datos, que constituye una excepción al régimen general de responsabilidad, y para el TJUE, el solo hecho de que se cuestione, ante el Tribunal de Justicia de la Unión Europea o ante el tribunal nacional competente, la responsabilidad de Europol o del Estado miembro de que se trate por un tratamiento ilícito de datos acaecido en el marco de la cooperación entre aquellos, solo constituye la primera de las dos fases del mecanismo de responsabilidad, y la segunda fase, consiste en determinar la «responsabilidad última» de Europol y/o del Estado miembro de que se trate por la indemnización concedida a una persona.
Este mecanismo en dos fases implica que el art. 50 del Reglamento 2016/794, establece un régimen de responsabilidad solidaria de Europol y del Estado miembro en el que se haya producido el daño originado por un tratamiento ilícito de datos acaecido en el marco de la cooperación entre aquellos en virtud de dicho Reglamento, y que la persona física que pretende hacer valer su derecho a recibir una indemnización, ya sea frente a Europol o frente al Estado miembro al que demanda, debe acreditar la existencia de una «operación de tratamiento ilícita», de un «daño» y de la relación de causalidad entre dicha operación y ese daño, es decir, basta con acreditar que se ha producido un tratamiento ilícito de datos en el contexto de una cooperación entre Europol y un Estado miembro en virtud de dicho Reglamento, pero sin que sea exigible acreditar quien es el responsable.
En el caso, se produjo un tratamiento ilícito a unos datos personales consistentes en conversaciones íntimas contenidas en teléfonos móviles en cuestión, entregados por las autoridades eslovacas a Europol y que fueron divulgados a personas no autorizadas a tomar conocimiento de ellos, lo que dio lugar a su publicación en la prensa eslovaca.
El carácter íntimo de los datos que pueden estar contenidos en soportes telefónicos refuerza la necesidad que existía de garantizar estrictamente la protección de esos datos, máxime cuando no guardaban relación alguna con los hechos por los que el recurrente era objeto de un proceso penal.
Para el TJUE, está claro que Europol no cumplió las obligaciones que le impone el Reglamento 2016/794 al poner en práctica medidas técnicas y organizativas apropiadas para proteger los datos personales contra cualquier forma de tratamiento no autorizado, y ello basta para que pueda surgir la responsabilidad solidaria, sin perjuicio de que Europol pueda posteriormente acudir, en su caso, a su Consejo de Administración, para que se determine la responsabilidad última.