Acciones para proteger los datos

Los episodios de robo masivo de datos personales, o los recientes casos de uso ilícitos de los mismos (como ha sucedido en el caso de Facebook y Cambridge Analytica), plantean la necesidad de enfrentar jurídicamente estos hechos. No solo para sancionar a sus responsables, sino también para que las víctimas sean compensadas por los daños sufridos. El Reglamento General de Protección de Datos (RGPD), aplicable desde el próximo 25 de mayo, prevé...

Los episodios de robo masivo de datos personales, o los recientes casos de uso ilícitos de los mismos (como ha sucedido en el caso de Facebook y Cambridge Analytica), plantean la necesidad de enfrentar jurídicamente estos hechos. No solo para sancionar a sus responsables, sino también para que las víctimas sean compensadas por los daños sufridos. El Reglamento General de Protección de Datos (RGPD), aplicable desde el próximo 25 de mayo, prevé un riguroso régimen sancionador ante las infracciones. Dependiendo de los casos, puede llegar a multiplicar por miles de veces las últimas multas impuestas, haciendo que superen los centenares de millones de euros. De hecho, éstas pueden llegar al 4% de la facturación anual de la compañía.

Pero, sin perjuicio de las multas, la norma europea reconoce también el derecho de la persona que haya sufrido daños y perjuicios como consecuencia de dicha infracción, a obtener una indemnización. Lo interesante es que, aunque el Derecho comunitario ya contaba con una importante, aunque poco utilizada, previsión al respecto, el RGPD abre nuevas vías de actuación a los afectados.

Los expertos consultados recuerdan que la todavía vigente directiva de privacidad prevé que toda persona que sufra un perjuicio como consecuencia de un tratamiento ilícito de sus datos debe tener derecho “a obtener del responsable del tratamiento la reparación del perjuicio sufrido”. Este mandato se incorporó a la Ley Orgánica de Protección de Datos de 1999, pero ha desaparecido del nuevo proyecto de ley que actualmente está en tramitación en el Congreso.

En opinión de Alfonso Pacheco Cifuentes, abogado y editor del blog Privacidad Lógica, no es algo preocupante: “Si todo sigue así, nos regiremos directamente por lo establecido en el RGPD, que es norma directamente aplicable en los Estados miembros”. Y esta norma establece que “toda persona” que haya sufrido daños y perjuicios “materiales o inmateriales” como consecuencia de una infracción del Reglamento “tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos”.

Pero, como destaca Miguel Recio Gayo, abogado y profesor del Máster en Protección de Datos, Transparencia y Acceso a la Información de la Universidad San Pablo CEU, el Reglamento introduce además una importante novedad en su artículo 81. Se trata de las acciones colectivas por medio de las cuales organizaciones o asociaciones sin ánimo de lucro, como las de consumidores y usuarios, pueden presentar una reclamación en nombre de sus asociados y reclamar una indemnización. Y hacerlo además a escala europea.

Fuerza ciudadana

Esa acción podrá ejercerse por dichas entidades ante los tribunales competentes, incluso “con independencia del mandato del interesado” si consideran que se han vulnerado los derechos que el Reglamento les reconoce como consecuencia de un tratamiento. Y esta novedad dota a los ciudadanos de una fuerza “brutal”, en palabras de Pablo García Mexía, Letrado de las Cortes y Of counsel en Ashurst LLP. “No es lo mismo que un ciudadano actúe en solitario contra una gran corporación internacional a que lo haga integrado en una acción colectiva, similar a las Class Actions del derecho norteamericano, y hacerlo a la vez en varios países simultáneamente”. En el derecho anglosajón esta figura pretende facilitar la protección de los derechos de los consumidores y por ello, recuerda Miguel Recio, algunos activistas en la Unión Europea ya cuentan con su organización u ONG para poder iniciar acciones colectivas en virtud del RGPD.

En opinión de estos expertos, se trata de una novedad que va a dotar de gran fuerza y capacidad de acción a estas organizaciones ante las vulneraciones masivas de datos personales a nivel europeo. Algo que sin duda debería ser tenido muy en cuenta por las compañías que se vean tentadas por la idea de hacer un uso indebido de los datos de sus usuarios.

Con todo, advierte Recio, se trata de “una cuestión sumamente compleja”, que requiere la determinación de la infracción, la valoración del daño o perjuicio y el cálculo de la indemnización a reclamar, lo que significa que “va a requerir de abogados especializados en la materia”. Y es que, subraya, si fijar la indemnización corresponde a los jueces competentes, su argumentación “va a requerir conocer la jurisprudencia del Tribunal de Justicia de la UE (TJUE)”, pues el concepto de daños y perjuicios al que se refiere el RGPD debe interpretarse “en sentido amplio a la luz de la jurisprudencia” del TJUE.

Recio destaca igualmente que, conforme ha establecido el Tribunal Supremo, la indemnización que se fije tiene que considerar, por una parte, los “daños patrimoniales concretos, fácilmente verificables y cuantificables”, “los más difusos pero también reales e indemnizables” y los “derivados del desprestigio y deterioro de la imagen de solvencia personal y profesional”, de cuantificación estimativa, incluyendo el daño moral. De hecho, “los casos más frecuentes de indemnización se han dado en el ámbito de la vulneración del derecho al honor por la inclusión indebida en los mal llamados registros de morosos”. En estos casos, la Ley Orgánica de Protección Civil del Derecho al Honor, presume siempre la existencia de perjuicio, incluido el moral, ante una intromisión ilegítima.