¿Podemos pedir una indemnización por vulneración de protección de datos? Esta pregunta cada vez se vuelve más habitual, tanto por el incremento en el número de ciberataques que sufren las empresas y los organismos públicos, que pueden dejar al descubierto datos personales, como por el uso ilícito de datos personales por parte de las organizaciones.
En este artículo explicaremos cuándo y bajo qué circunstancias podemos solicitar una indemnización por vulnerar la Ley de Protección de Datos.
En este artículo hablamos de:
¿Qué es la indemnización en protección de datos?
La indemnización en protección de datos es el derecho que reconoce el RGPD a los interesados (titulares de los datos) para solicitar una reparación económica, cuando sus datos personales han sido vulnerados y a causa de ello han sufrido un perjuicio económico o moral. Vulneraciones como ocurre, por ejemplo, en el tratamiento de datos sin consentimiento del interesado u otra base de legitimación recogida en el artículo 6 del RGPD, o por una brecha de seguridad.
¿Tengo derecho a indemnización por una vulneración de protección de datos?
Aunque en principio el Reglamento General de Protección de Datos (RGPD) reconoce el derecho a indemnización en protección de datos, lo cierto es que, como explicaremos más adelante, no siempre es posible que se nos conceda cuando nuestros datos se han visto expuestos, puesto que tendremos que demostrar que existe una relación causa-efecto entre la vulneración de la normativa sufrida por una organización y los daños o perjuicios morales o económicos que dicha vulneración de protección de datos haya podido ocasionarnos.
Cabe señalar que el derecho a reclamar una indemnización en protección de datos no está recogido en la actual Ley Orgánica de Protección de Datos de carácter personal (sí lo estaba en la anterior de 1999), pero al hallarse contemplado en el RGPD, podremos proceder a reclamar dicha indemnización ante un incumplimiento de la Ley de Protección de Datos del que se haya derivado algún perjuicio moral o económico para nosotros.
Por dicho incumplimiento se entiende tanto una vulneración debida a un uso de datos personales ilícito o contrario al RGPD y la LOPDGDD, como el resultado de una brecha de seguridad (aunque en este segundo caso, el hecho de que la organización contara con las medidas adecuadas de seguridad va a ser determinante en el reconocimiento de la indemnización por protección de datos).
El artículo 82 del RGPD y la indemnización de protección de datos
Como decíamos, el RGPD reconoce el derecho de indemnización ante una vulneración de la Ley de Protección de Datos, en concreto, está recogido en el artículo 82, que dice literalmente que:
Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.
Este reconocimiento se extiende, además, a los desarrollos normativos del RGPD en las legislaciones de los Estados miembros, en el caso de España la LOPDGDD. Así mismo, la indemnización en protección de datos es independiente de la sanción o multa administrativa que pueda imponer la AEPD, puesto que una denuncia por vulneración de protección de datos ante la entidad de control puede suponer una multa para la organización denunciada, pero esta multa la cobra la propia entidad de control (la Administración) y no el denunciante, que deberá recurrir a otra vía judicial para poder reclamar una indemnización. El apartado 6 del artículo 82 reconoce que las acciones judiciales respecto a este derecho a indemnización se presentarán ante los tribunales competentes de acuerdo al Derecho de cada Estado miembro (tal y como se indica en el artículo 79.2).
Como podemos ver, pueden ser responsables de la reclamación y, por tanto, de la indemnización en protección de datos consecuente, tanto el responsable del tratamiento como el encargado. Esta responsabilidad es compartida cuando la reclamación verse sobre un mismo tratamiento de datos, de manera que responsable y encargado serán responsables de todos los daños y perjuicios causados al interesado, garantizando así que este reciba la correspondiente indemnización.
¿Cuándo puedo solicitar una indemnización por vulneración de datos?
Aunque solicitar una indemnización por saltarse la Ley de Protección de Datos a una empresa o entidad pública siempre es posible, lo cierto es que eso no quiere decir que siempre se nos vaya a reconocer y conceder dicha indemnización, puesto que, como ya dijimos más arriba, será necesario probar una relación causa-efecto entre la vulneración producida y los daños económicos y morales que nos haya podido causar.
De manera que podremos solicitar una indemnización por vulneración de la protección de datos cuando una organización, pública o privada, haya cometido una infracción contemplada en el RGPD o la LOPDGDD, como por ejemplo, difundir datos personales sin consentimiento de los interesados, y dicha infracción haya provocado un daño que pueda haber afectado a la vida o imagen personal de los interesados, por ejemplo, si como consecuencia de una filtración de datos personales, se accede a nuestra cuenta bancaria para robarnos dinero.
Debemos tener en cuenta que, aunque la infracción en protección de datos puede quedar suficientemente demostrada, la relación causa-efecto es más subjetiva y es fundamental aportar pruebas que la apoyen, porque en algunos casos estaremos ante una relación difícil de demostrar o justificar, debido a la subjetividad que implica (especialmente cuando hablamos de la imagen personal).
Así mismo, también debemos señalar que el apartado 2 del artículo 82 reconoce que responsable y encargado del tratamiento pueden quedar exentos de pagar ninguna indemnización, si demuestran tener implementadas las medidas de seguridad adecuadas y necesarias en protección de datos (es decir, cumplen con lo recogido en el artículo 5 del RGPD sobre proactividad en la protección de datos). De manera que aunque la vulneración se haya producido y los datos personales hayan podido quedar expuestos, si responsable o encargado demuestran que no se ha debido a una negligencia por su parte, es muy posible que no se conceda la indemnización por protección de datos.
Cabe señalar que en España, aunque se han concedido indemnizaciones por infringir la Ley de Protección de Datos, en lo que respecta a filtraciones debidas a una brecha de seguridad que hayan podido causarnos algún daño o perjuicio, aún no hay jurisprudencia al respecto.
¿Dónde denunciar una vulneración de protección de datos?
En el caso de que queramos denunciar una vulneración de protección de datos con el objetivo de conseguir una indemnización por los daños que nos haya podido causar, deberemos recurrir a la vía civil, es decir, presentar la correspondiente denuncia ante el juzgado (en el supuesto de denunciar a una Administración Pública, deberemos recurrir a la vía contencioso-administrativa). Lo habitual es que estas se resuelvan a través del juicio ordinario.
A la hora de presentar la denuncia, tendremos que acreditar el perjuicio causado y su cuantía y contar con asistencia de abogado y procurador. Y, como ya dijimos, probar la relación entre el daño causado y la vulneración de protección de datos que haya dejado expuestos nuestros datos personales.