Mis datos personales han sido sustraídos. ¿Puedo reclamar?

Mis datos personales han sido sustraídos. ¿Puedo reclamar?

Nueve mil cincuenta y tres millones ciento cincuenta y seis mil trescientos ocho (9.053.156.308). Este es, según la web breachlevelindex.com el número de datos personales que han sido objeto de pérdida o sustracción como consecuencia de ciber ataques desde 2013. Las cifras de sustracción de datos o data breach, lejos de contenerse, están avocadas a seguir creciendo por dos factores incuestionables. Por un lado, debido al imparable apogeo de Internet y las Nuevas Tecnologías en todos y cada uno de los aspectos de nuestras vidas. Por otro, por la falta de diligencia de personas, empresas o instituciones responsables del tratamiento de los datos y el incumplimiento de las medidas de seguridad requeridas.

Así pues, en este contexto, ¿qué podríamos hacer los titulares de los datos afectados por un ciberataque o data breach? ¿Tendría el responsable o encargado del tratamiento alguna responsabilidad derivada de un ataque causado por terceros? ¿En ese caso, podríamos los afectados por el data breach solicitar alguna indemnización?. Sin duda, suelen ser éstas unas de las cuestiones más recurrentes, a las que trataremos de dar respuesta en el presente artículo.

Efectivamente, la Ley Orgánica de Protección de Datos de Carácter Personal (en lo sucesivo, LOPD) contempla una doble responsabilidad del responsable o encargado del tratamiento por el incumplimiento de la normativa de protección de datos: la administrativa y la civil. A tales efectos, la primera consistiría en la imposición de sanciones por parte de la Agencia Española de Protección de Datos (en adelante, AEPD), con fundamento en lo dispuesto por los arts. 43 y siguientes de la LOPD. Por otro lado, la meritada responsabilidad civil se traduciría en un derecho a indemnización a los interesados que hubiesen sufrido un daño o lesión en sus bienes o derechos, con base en el art. 19 de la LOPD, que dispone lo siguiente: “Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados”.

Sin embargo, lo cierto es que la vía administrativa no puede derivar, en ningún caso, en un derecho de indemnización a favor de una particular, tal y como ha admitido la jurisprudencia y la propia AEPD(1). Esto es, acudir a la Agencia, en principio, no nos permitirá reclamar el resarcimiento de los daños y perjuicios que podríamos haber sufrido. Es por ello que, por lo que aquí interesa, a continuación, abordaremos exclusivamente el derecho de indemnización que nos reconoce el art. 19 de la LOPD.

1.-¿Quién puede solicitar la indemnización?.

Por lo tanto, en primer lugar, debemos determinar qué sujetos estarían facultados para solicitar la indemnización del art. 19. A este respecto, el apartado primero establece que sólo podrán solicitar la indemnización los interesados. Por interesado debe entenderse, en virtud de lo establecido por el art. 3 letra e) de la LOPD “persona física titular de los datos que sean objeto del tratamiento”. Asimismo, en la letra c) del mismo artículo se define tratamiento como “cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”.

Consecuentemente, sólo podrán solicitar la indemnización del art. 19 de la LOPD las personas físicas titulares de los datos objeto de tratamiento, quedando excluidas expresamente las personas jurídicas (por mor del art. 2.2 del Reglamento de la LOPD, en lo sucesivo, RLOPD).

2.-¿A quién le podemos reclamar la indemnización?

Si, efectivamente, estamos facultados para solicitar la indemnización, lo siguiente que cabe preguntarse es contra quién la deberíamos solicitar. Así, según el propio art. 19 en su apartado primero, deberíamos dirigirnos frente a los responsables o encargados del tratamiento.

Por responsable del fichero o tratamiento puede entenderse, en virtud de la letra d) del artículo 3 de la LOPD la “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”, y por encargado del tratamiento, con arreglo a lo dispuesto por la letra g) la “persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”.

No obstante, cabe preguntarse qué ocurriría en los casos en los que se decide contratar a un tercero independiente para que preste los servicios de tratamiento de datos y ficheros, situación cada vez más común en la práctica. Pese a que la LOPD no establece nada al respecto, lo que devendría en una aplicación del principio general de la no presunción de solidaridad del art. 1137 del Código Civil(2), lo cierto es que la jurisprudencia ha venido proclamando la solidaridad en aras a favorecer a los afectados (3). Esto es, en principio, todos los partícipes responderían en pie de igualdad, lo que nos facilitaría mucho las cosas a la hora de plantearnos la posibilidad de reclamar. Deberíamos observar también, en todo caso, las condiciones y términos en los que se sustancia la relación contractual entre los distintos sujetos intervinientes.

3.-¿Cómo puedo reclamar esa indemnización?

El cauce que deba seguirse para hacer valer el derecho de indemnización del art. 19 de la LOPD dependerá de la naturaleza de los ficheros en cuestión. Esto es, si estamos ante ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones públicas (art. 19.2 LOPD). Por el contrario, si los ficheros son de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción ordinaria (art. 19.3 LOPD), es decir, ante los órganos jurisdiccionales civiles.

De este modo, la LOPD está realizando una remisión, en primer lugar, a las normas que regulan la responsabilidad patrimonial de la Administración, y en segundo lugar, a las normas generales sobre responsabilidad civil.

En todo caso, la Ley no precisa nada más sobre el procedimiento a seguir, plazos procesales de ejercicio de la acción etc. A tales efectos, la doctrina entiende aplicable el procedimiento ordinario para la tutela judicial civil de los derechos fundamentales regulado en el art. 249.1.2 de la Ley de Enjuiciamiento Civil(4).  Aún así, también suelen realizarse interpretaciones analógicas de otros preceptos de la propia LOPD e incluso del derecho de indemnización recogido en la Ley 5/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen.

Lo que sí queda claro es que no resulta preceptivo acudir con carácter previo a la vía administrativa o plantear una denuncia ante la AEPD para poder reclamar el derecho de indemnización en vía civil. Aún así, parece muy recomendable hacerlo, en aras a obtener pruebas, y en su caso, una resolución, que permitan acreditar posteriormente ante la jurisdicción ordinaria la existencia de un incumplimiento y, especialmente, de daños o lesiones en los bienes o derechos del interesado (5).

4.-¿Qué requisitos tienen que darse para que proceda la indemnización?.

Sin duda alguna, si en algún aspecto se proyectan con mayor incidencia las consecuencias negativas de la falta de concreción y regulación de la LOPD, ese es precisamente el de las condiciones que deben concurrir para hacer valer el derecho de indemnización. La LOPD se limita a enunciar en su art. 19.1 que procederá la indemnización cuando los interesados “como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento” hayan sufrido un “daño o lesión en sus bienes o derechos”. Por consiguiente, el texto legal exige dos requisitos: por un lado, la existencia de un incumplimiento del contenido de la LOPD y, por otro, que ello haya supuesto la producción de un daño o lesión en los bienes o derechos del interesado.

Así pues, en lo que atañe al primero de ellos –la antijuridicidad–, esto es, que exista un incumplimiento del contenido de la Ley, sólo procederá la indemnización cuando se vulnere el contenido de la LOPD en sentido estricto, excluyéndose el resto de normativa e incluso el RLOPD. No obstante, el precepto se refiere en sentido amplio a “lo dispuesto en la presente Ley”, por lo que debe entenderse que cualquier incumplimiento de la LOPD por parte del responsable del tratamiento puede hacer surgir un eventual derecho de indemnización a favor de los afectados o interesados, no sólo el incumplimiento de las infracciones tipificadas en el Título VII(6). Del mismo modo, tampoco serán indemnizables aquellos daños o lesiones que hubiese sufrido el interesado como consecuencia de un comportamiento del responsable o encargado que, efectivamente, resulta dañoso o lesivo, pero que se ha realizado con el estricto el cumplimiento y observancia de las normas y exigencias de la LOPD(7).

En lo concerniente al segundo –el daño o lesión en los bienes o derechos del interesado– la LOPD es extremadamente somera en su formulación. Lo único que queda claro es que la indemnización sólo procederá cuando el tribunal competente haya constatado, en cada caso, la existencia de un daño o lesión que produzca un menoscabo susceptible de valoración económica.  Sin embargo, nada se establece en relación a las características que tiene que cumplir el daño o lesión, la prueba de su efectividad o, incluso, si resultaría procedente solicitar daños morales. A tales efectos, la ausencia de regulación expresa determina la aplicación de las normas generales de responsabilidad civil del Código Civil –y en caso de reclamaciones a órganos administrativos, las de responsabilidad patrimonial de la Administración- (8). Finalmente, debemos entender que, pese al silencio de la LOPD, procede reclamar también los daños morales, siguiendo la línea jurisprudencial actual (9), pero sin obviar los problemas que plantea en la práctica la acreditación de aquéllos.

5.-Regulación en el Reglamento General de Protección de Datos (10).

A modo de colofón, procede, en última instancia, realizar mención a la nueva regulación del referido derecho de indemnización contenida en el art. 82 del nuevo RGPD, que acaba con la inseguridad jurídica de la LOPD en ciertas cuestiones.

Así pues, entre otras, reconoce expresamente la posibilidad de solicitar daños morales (art. 82.1, “daños inmateriales”), amplía el ámbito de legitimación pasiva (art. 82.2, “cualquier responsable que participe en la operación de tratamiento”) y proclama la solidaridad de todos los responsables o encargados para garantizar la indemnización efectiva del interesado (art. 82.4).

6.-Conclusión.

Al comienzo del artículo nos planteábamos una serie de preguntas. Preguntas que, probablemente, nos vendrían inmediatamente a la mente al tener conocimiento de un ciberataque o data breach que ha terminado por afectar a nuestros datos de carácter personal.

Como se ha visto, ante las referidas situaciones, los titulares de los datos no estaríamos indefensos. Pese a la exigua regulación existente al respecto, hemos de concluir que los ciudadanos tenemos dos vías para exigir la responsabilidad de las empresas o instituciones que son responsables del tratamiento de nuestros datos: el planteamiento de una denuncia ante la AEPD, o bien, de una acción judicial de reclamación de daños y perjuicios, con fundamento en el art. 19 de la LOPD.

Escoger el camino del art. 19 es la única vía existente para exigir a esas empresas o instituciones una eventual indemnización por daños y perjuicios –en los términos que se han expuesto– que repercuta económicamente en la propia persona.

Así pues, efectivamente, los ciudadanos tenemos derecho a reclamar una indemnización de daños y perjuicios a una empresa o institución que, como consecuencia de determinadas conductas incumplidoras o negligentes, ha permitido o facilitado la sustracción de nuestros datos personales por parte de terceros o hackers.

Se trata, pues, de un mecanismo jurídico plenamente válido y eficaz, pero que apenas se ejercita en la práctica. En primer lugar, porque no se tiene conocimiento de su propia existencia y viabilidad. Y, en segundo lugar, porque los responsables del tratamiento, principalmente grandes empresas, tratan de suscribir, en todo momento, acuerdos de renuncia a acciones judiciales, precisamente, para evitar tener que hacer frente a indemnizaciones millonarias.

7.- Referencias bibliográficas.

(1). Vid. Resolución AEPD nº R/00011/2007, 13 de octubre de 2008 y Sentencia del Tribunal Supremo de 28 de diciembre de 2004.

(2). Vid. en este sentido: VÁZQUEZ DE CASTRO, Eduardo. “Daños causados por el incumplimiento de la ley en el tratamiento de datos personales. Concordancias, discordancias y concurso de normas.” Práctica de Derecho de Daños, nº 112, Sección Estudios, Enero-Febrero 2013.

(3). Entre otras: Sentencia del Tribunal Supremo de 7 de marzo de 2006 y Sentencia de la Audiencia Provincial de Zaragoza de 22 de febrero de 2007.

(4). VÁZQUEZ DE CASTRO, Eduardo. “Daños causados… op. cit.

(5). Recomendación comúnmente realizada por profesionales especializados en la materia como MAITANE VALDECANTOS y PABLO FERNÁNDEZ BURGUEÑO. Vid. en este sentido: FERNÁNDEZ, Carlos B. “Nuevo filón para los bufetes: demandas masivas por fallos de ciberseguridad” [en línea]. Publicado en Cinco Días, sección Legal, el 2 de octubre de 2017.

(6). ÉCIJA BERNAL, Álvaro. El ejercicio del derecho a la indemnización derivado del art. 19 de la LOPD [en línea]. Blog Ecix Group.

(7). ABERASTURI GORRIÑO, Unai. “El derecho a la indemnización en el artículo 19 de la Ley Orgánica de la Protección de Datos de Carácter Personal”. Revista Aragonesa de Administración Pública, nº 41-42, 2013, p. 189.

(8). VÁZQUEZ DE CASTRO, Eduardo. “Daños causados… op. cit. apartado VI.

(9). La jurisprudencia ha venido proclamando una expansión de los daños morales que ha permitido su reclamación en pretensiones indemnizatorias en las que la normativa aplicable no lo disponía expresamente. A tales efectos, vid., entre otras:  Sentencias del Tribunal Supremo de 4 de abril de 2012 y de 7 de marzo de 2005, Sentencia de la Audiencia Provincial de Zaragoza (Sección 4ª) de 12 de junio de 2006, Sentencias de la Audiencia Provincial de Zaragoza (Sección 5ª) de 12 de junio de 2006 y de 30 de enero de 2009 y Sentencia de la Audiencia Provincial de Cáceres de 16 de septiembre de 2009.

(10).  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE; aplicable a partir del 25 de mayo de 2018 (art. 99).

 

Mikel Recuero Linares

Imagen: Grupo Eurotax

Compartir este post: Facebook Twitter Pinterest Google Plus StumbleUpon Reddit RSS Email

Entradasrelacionadas

Deja aquítu comentario