El Tribunal Superior había denegado la autorización para notificar a Google fuera de la jurisdicción, que el Tribunal de Apelación concedió posteriormente. Hoy la UKSC ha revocado esa decisión y ha denegado la autorización.
El caso se refiere a los «daños» derivados de la «solución de Safari», por la que la información generada por el navegador (BGI) fue adquirida y utilizada sin el conocimiento o el consentimiento de unos 4 millones de usuarios, a través de las «cookies de DoubleClick Ad».
Este recurso se refiere a si esta acción representativa, de conformidad con la Regla de Procedimiento Civil 19.6, es el mecanismo apropiado cuando se busca una indemnización por daños y perjuicios de «denominador común» de conformidad con el artículo 13 de la Data Protection Act 1998 (DPA98), para satisfacer el requisito de que todas las personas «tengan el mismo interés en una reclamación».
La UKSC consideró que no era así. Reiteró que la indemnización es por el daño sufrido, no por la infracción en sí misma, y no pudo leer la «pérdida de control» en la DPA98, ni se le pidió que dejara de aplicar cierta redacción, como en Vidal-Hall. Dado que cada uno de los 4 millones de personas tiene diferentes BGI (contenido, cantidad y duración) se consideró que no pueden tener el «mismo interés» y que, en cambio, tendrían que aportar pruebas.
Si bien esta no es una decisión sorprendente, cabe señalar que Lord Leggatt, a pesar de escuchar importantes presentaciones sobre el GDPR y DPA 2018 de los intervinientes, como la Oficina del Comisionado de Información, confirmó:
«En principio, el significado y el efecto de la DPA 1998 y la Directiva de Protección de Datos no pueden verse afectados por la legislación que se ha promulgado posteriormente. Por lo tanto, la legislación posterior no puede ayudar a resolver las cuestiones planteadas en este recurso, y la dejaré de lado.»