Javier Alvarez Hernando
Abogado. Delegado de Protección de Datos

28 de enero de 2019

I.-Introducción

El RGPD reconoce el derecho a una indemnización efectiva y solidaria, a toda persona que haya sufrido daños y perjuicios («materiales o inmateriales») como consecuencia de una infracción del Reglamento (art. 82.1 y Cons. 146 RGPD).

Disponen estos preceptos:

Artículo 82 Derecho a indemnización y responsabilidad

1.Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.
2.Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento. Un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del presente Reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable.
3.El responsable o encargado del tratamiento estará exento de responsabilidad en virtud del apartado 2 si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios. 4.Cuando más de un responsable o encargado del tratamiento, o un responsable y un encargado hayan participado en la misma operación de tratamiento y sean, con arreglo a los apartados 2 y 3, responsables de cualquier daño o perjuicio causado por dicho tratamiento, cada responsable o encargado será considerado responsable de todos los daños y perjuicios, a fin de garantizar la indemnización efectiva del interesado.
5.Cuando, de conformidad con el apartado 4, un responsable o encargado del tratamiento haya pagado una indemnización total por el perjuicio ocasionado, dicho responsable o encargado tendrá derecho a reclamar a los demás responsables o encargados que hayan participado en esa misma operación de tratamiento la parte de la indemnización correspondiente a su parte de responsabilidad por los daños y perjuicios causados, de conformidad con las condiciones fijadas en el apartado 2.
6.Las acciones judiciales en ejercicio del derecho a indemnización se presentarán ante los tribunales competentes con arreglo al Derecho del Estado miembro que se indica en el artículo 79, apartado 2.

El Considerando (146) del RGPD señala que «Los interesados deben recibir una indemnización total y efectiva por los daños y perjuicios sufridos. Si los responsables o encargados participan en el mismo tratamiento, cada responsable o encargado debe ser considerado responsable de la totalidad de los daños y perjuicios. No obstante, si se acumulan en la misma causa de conformidad con el Derecho de los Estados miembros, la indemnización puede prorratearse en función de la responsabilidad de cada responsable o encargado por los daños y perjuicios causados por el tratamiento, siempre que se garantice la indemnización total y efectiva del interesado que sufrió los daños y perjuicios. Todo responsable o encargado que haya abonado la totalidad de la indemnización puede interponer recurso posteriormente contra otros responsables o encargados que hayan participado en el mismo tratamiento».

En España existen otras acciones indemnizatorias que pudiera ejercitar el interesado, además de la que contempla el art. 82 RGPD; como la prevista en el art. 9.3 de la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen; y la responsabilidad extracontractual, por culpa, del artículo 1902 del Código Civil, que resultarían compatibles, a priori, con la regulada en el art. 82 RGPD.

La compatibilidad de acciones indemnizatorias la encontramos, por ejemplo, en los casos de daños derivados de infracciones del derecho al olvido; o en los supuestos de intromisión ilegítima al derecho al honor, por parte de ficheros de morosidad por inclusiones indebidas en el mismo.

 También se regula la existencia de responsabilidad derivada de daños por infracciones en protección de datos, en el artículo 56 de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos.

 En todo caso, la responsabilidad civil puede definirse como la sujeción de una persona a las consecuencias económicas desfavorables derivadas del incumplimiento de una obligación contraída cuya finalidad es puramente restauradora. BONET RAMÓN, F.: Perspectivas de la responsabilidad civil. Estudio de Derecho Comparado, Discurso leído el 27 de octubre de 1975, en su recepción pública como Académico de Número, RAJL, Madrid, 1975, p. 31.

II.-Requisitos de la acción de responsabilidad del artículo 82 RGPD.

 En todo caso, la acción de responsabilidad civil regulada en el artículo 82 RGPD, va a exigir que el interesado acredite:

  1. La condición de responsable o encargado del tratamiento del infractor.

El 82.2 RGPD se refiere, en el lado opuesto, a la responsabilidad por incumplimientos, distinguiendo:

  • Cuando el responsable que participe en la operación de tratamiento responderá de los daños y perjuicios que se causen.
  • Sin embargo, cuando se trate del encargado del tratamiento únicamente responderá cuando no haya cumplido las previsiones del RGPD o haya actuado al margen, o en contra, de las instrucciones legales del responsable.
  1. La existencia de una infracción de la normativa sobre protección de datos personales.

No tiene porque ser únicamente una infracción del RGPD, sino también de aquellas normas de los propios Estados Miembros. En este sentido, el Considerando 146 RGPD aclara que un “tratamiento en infracción del presente Reglamento también incluye aquel tratamiento que infringe actos delegados y de ejecución adoptados de conformidad con el presente Reglamento y el Derecho de los Estados miembros que especifique las normas del presente Reglamento”.

Probar la existencia de una infracción puede hacerse mediante la aportación de una Resolución de la propia Autoridad de Control reconociendo la infracción, y en su caso, la Resolución judicial firme que resulte. En otro caso, será el juez de la jurisdicción civil el encargado de verificar la existencia de la infracción.

  1. La existencia de unos daños y perjuicios sufridos y su cuantificación.

El RGPD dispone que los daños indemnizables alcanzan tanto a daños patrimoniales como a los no patrimoniales (daños morales), cuyas definiciones deberán de interpretarse en un sentido amplio.

El concepto de daños y perjuicios se deben entender en sentido amplio, tal y como reconoce el RGPD. Así, el Considerando 146 RGPD reconoce el derecho del perjudicado a recibir una indemnización total y efectiva por los daños y perjuicios sufridos(…) el concepto de daños y perjuicios debe interpretarse en sentido amplioa la luz de la jurisprudencia del Tribunal de Justicia, de tal modo que se respeten plenamente los objetivos del presente Reglamento”.

En cuanto a la acreditación de los daños morales, la jurisprudencia (por ejemplo, la Sentencia del TS de 31 de mayo de 2000) viene señalando que no son necesarias pruebas objetivas, sobre todo en su aspecto económico, sino que ha de estarse a las circunstancias concurrentes al caso concreto, toda vez que pueden darse diversas situaciones en la que se presenta el daño moral.

Una de las novedades del RGPD, en relación con el régimen de la Directiva, es la referencia a la indemnizabilidad de los daños patrimoniales y de los no patrimoniales. El reconocimiento expreso de estos últimos como compensables confirma la posibilidad de reclamar acciones por daño moral autónomo, acciones cuyo éxito no siempre fue claro en algunos Estados miembros.

En la jurisprudencia española, pueden encontrarse indemnizaciones por daño moral en supuestos de inclusión indebida en registros de morosos(STS de 4 de junio y de 19 de noviembre de 2014; y de 21 de junio de 2018; infracción del derecho al olvido digital (STS de 5 de abril de 2016); de divulgación no consentida de datos sobre un despido laboral (STS de 12 de noviembre de 2015); acceso ilícito a las historias clínicas informatizadas (Sentencia del Juzgado Contencioso Administrativo Nº2 de Tarragona, de 4 de marzo de 2014); o inclusión no adecuada de datos personales en ficheros policiales(STSJ del País Vasco de 19 de septiembre de 2008).

La Ley Orgánica 1/1982, antes citada, en su artículo 9.3, dispone que «la existencia de perjuicio se presumirá siempre que se acredite la intromisión ilegítima. La indemnización se extenderá al daño moral que se valorará atendiendo a las circunstancias del caso y a la gravedad de la lesión efectivamente producida, para lo que se tendrá en cuenta, en su caso, la difusión o audiencia del medio a través del que se haya producido».

Un tratamiento de datos personales también podrá causar pérdidas económicas. Es posible que, a consecuencia de una revelación ilícita de datos bancarios, un tercero pueda aprovecharse de ellos para realizar unos gastos a cargo del afectado. También es posible que la inclusión en un registro de solvencia patrimonial impida al afectado acceder a crédito o a la contratación de determinados servicios o productos; o que, en su caso, el retraso en la corrección de los datos frustre una compraventa u otro negocio.

RUBÍ PUIG, Antoni. “Daños por infracciones del derecho a la protección de datos personales. El remedio indemnizatorio del artículo 82 RGPD”.

Revista de Derecho Civil http://nreg.es/ojs/index.php/RDC ISSN 2341-2216 vol. V, núm. 4 (octubre-diciembre, 2018), Págs. 59 y 75.

 

  1. La necesaria relación de causalidad entre la infracción y resultado dañoso producido. Exoneración de responsabilidad.

En primer lugar,al afectado le corresponde probar que resulta imputable al responsable o al encargado el incumplimiento de una obligación en protección de datos y cuyo ámbito de protección esté relacionado con el daño efectivamente sufrido.

Tanto el responsable como el encargado del tratamiento estarán exentos de responsabilidad si demuestran que no son responsables del hecho que causa el daño(artículo 82.3 RGPD). Es decir, a pesar de haber infringido la normativa sobre protección de datos, los daños sufridos por el afectado tienen su origen en otra causa.

Esta exclusión de responsabilidad se refiere a los tradicionales supuestos de caso fortuitoo fuerza mayor y de culpa exclusiva de la víctima.

Por regla general, la jurisprudencia ha abordado la cuestión relativa al caso fortuito y la fuerza mayor y la culpa exclusiva de la víctima según las exigencias del caso concreto. La carga de la prueba de estas excepciones recae sobre quién pretende acogerse a dicho supuesto exonerador de responsabilidad.

La adhesión a un código de conducta(art. 40 RGPD y 38 LOPD) o a un mecanismo de certificación(art. 42 RGPD) servirán como indicios para acreditar el cumplimiento (accountability) de las obligaciones impuestas por la normativa (artículo 24.3 RGPD), pero no resultará suficiente para exonerar de responsabilidad al responsable o encargado infractor. En relación con los mecanismos de certificación, el artículo 42.4 establece que «la certificación a que se refiere el presente artículo no limitará la responsabilidad del responsable o encargado del tratamiento en cuanto al cumplimiento del presente Reglamento (…)».

Por otro lado, el artículo 2.4 RGPD establece que el RGPD se entenderá sin perjuicio de la aplicación de la Directiva 2000/31/CE relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, traspuesta en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, donde sus arts. 13 a 17 se dedican a la regular el régimen de responsabilidad, en este ámbito.

Dicho lo cual, se concluye que los prestadores de servicios de alojamiento o almacenamiento de datospodrían exonerarse de responder siempre que no tengan conocimiento efectivo de que la actividad o la información almacenada es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o, si lo tienen, actúen con diligencia para retirar los datos o hacer imposible el acceso a ellos. Reproducimos, a continuación, el precepto que lo recoge:

Artículo 16. Ley 34/2002. Responsabilidad de los prestadores de servicios de alojamiento o almacenamiento de datos.

  1. Los prestadores de un servicio de intermediación consistente en albergar datos proporcionados por el destinatario de este servicio no serán responsables por la información almacenada a petición del destinatario, siempre que:
  2. a) No tengan conocimiento efectivo de que la actividad o la información almacenada es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o
  3. b) Si lo tienen, actúen con diligencia para retirar los datos o hacer imposible el acceso a ellos.

Se entenderá que el prestador de servicios tiene el conocimiento efectivo a que se refiere el párrafo a) cuando un órgano competente haya declarado la ilicitud de los datos, ordenado su retirada o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución, sin perjuicio de los procedimientos de detección y retirada de contenidos que los prestadores apliquen en virtud de acuerdos voluntarios y de otros medios de conocimiento efectivo que pudieran establecerse.

  1. La exención de responsabilidad establecida en el apartado 1 no operará en el supuesto de que el destinatario del servicio actúe bajo la dirección, autoridad o control de su prestador.

 

III.-Elementos de la responsabilidad del artículo 82 RGPD.

A.-Legitimación activa: el interesado.

El titular de los datos, que hayan sido objeto de tratamiento y que sufra daños derivados de esas operaciones, dispondrá de legitimación activa para ejercer la acción de responsabilidad civil contemplada en el art. 82 RGPD.

El apartado 1º del art. 82 RGPD habla del derecho a recabar una indemnización que ostenta «toda persona que haya sufrido daños y perjuicios».

Se establece, cómo vemos, una amplia legitimación activa para el ejercicio de acciones de daños y perjuicios contra el responsable y el encargado del tratamiento. Se legitima, por tanto, a los que se ven afectados por un tratamiento en cuestión, que no necesariamente tiene que coincidir con los titulares de los datos, es decir, que no hayan sido sus propios datos los que han sido tratados.

Por otro lado, debido a que el RGPD en su Considerando 146 se refiere al derecho de los «interesados» a recibir una indemnización total y efectiva de los daños sufridos, definiéndose éstos como la persona física identificada o identificable (art. 41. RGPD); parece que descarta que las personas jurídicas ostenten algún tipo de legitimidad activa.

Sin embargo, la legitimación activa de personas jurídicas se limita al ejercicio de acciones por representación del afectado ejercidas por entidades, organizaciones o asociaciones sin ánimo de lucro, cuyos objetivos estatutarios sean de interés público y que actúen en el ámbito de la protección de datos personales, a las cuales, si el derecho interno lo permite, los interesados hayan dado mandato para la reclamación de daños y perjuicios (art. 80 RGPD).

B.-Legitimación pasiva. Sujetos responsables.

  • El responsable del tratamiento.

El responsable del tratamiento es el principal sujeto sobre el que recae la responsabilidad civil por daños y perjuicios derivados de una infracción en materia de protección de datos. Y ello se debe a que es quién determina las finalidades y los medios del tratamiento.

En este sentido, el art. 4.7 RGPD define al responsable del tratamiento como la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.

Con carácter general, un incumplimiento del principio de responsabilidad activa (accountability), mencionado en los artículos 5.2 y 24.1 RGPD, debería considerarse como infracción normativa suficiente en el marco de una acción de daños ex artículo 82 RGPD.

Por otro lado, el responsable del tratamiento va a responder frente al titular de los datos personales igualmente por los daños derivados de una infracción cometida por sus encargados del tratamiento. Se produce, por tanto, una responsabilidad objetiva del responsable del tratamiento.

  • El encargado del tratamiento.

Resulta novedoso, respecto de la Directiva 95/46/CE, la calificación del encargado del tratamiento como responsable por los daños derivados tanto de su actuación en incumplimiento de la normativa sobre protección de datos, como de inobservancias de las instrucciones recibidas del responsable del tratamiento.

La legitimación pasiva de los encargados del tratamiento podrá, en muchos casos, resultar beneficiosa para los perjudicados. En la actualidad, muchos servicios de procesamiento de datos son externalizados mediante contratos de outsourcing a grandes empresas, cuyos riesgos de insolvencia para hacer frente a condenas por responsabilidad civil pueden ser muy inferiores a los de un responsable del tratamiento. Este puede ser el caso, por ejemplo, de grandes proveedores de servicios de cloud computing, Platform as a Service (PaaS); Infrastructure as a Service (IaaS), o Software as a Service (SaaS), cuya prestación podrá comportar, en muchos casos, un tratamiento de datos por cuenta del responsable.  RUBÍ PUIG, Antoni, op.cit., p. 65.

El artículo 82.2 RGPD atribuye al encargado una responsabilidad «únicamente» por los daños derivados de un incumplimiento de «las obligaciones del presente Reglamento dirigidas específicamente a los encargados»o, en su caso, de «las instrucciones legales del responsable».En cambio, si el incumplimiento que ha generado el daño ha sido producido únicamente por el encargado del tratamiento, ambas figuras podrían responder conjuntamente, y de forma solidaria, frente al afectado(art. 82.4 RGPD y art. 30.2 LOPD).

La responsabilidad del responsable no deriva de una eventual falta de diligencia en la selección o supervisión del comportamiento del encargado (culpa in eligendo, culpa in vigilando), sino de una asunción primaria de todos los daños que puedan ocasionarse a raíz de un tratamiento de datos personales en el cual haya definido sus fines y medios. Se erige al responsable en un garante último frente a los interesados del cumplimiento de todos los deberes legales relacionados con los datos personales tratados (non-delegable duties). RUBÍ PUIG, Antoni, op.cit., p. 65.

  • Pluralidad de sujetos y facultad de repetición.

Señala el RGPD que en el supuesto de que más de un responsable o encargado del tratamiento, (o un responsable y un encargado) hayan participado en la misma operación de tratamiento y sean responsables de cualquier daño o perjuicio causado, cada uno de ellos será considerado responsable de todos los daños y perjuicios, a fin de garantizar la indemnización efectiva del interesado.

El legislador español no incorpora la previsión del Cons. 149, es decir, la posibilidad de prorratear la indemnización en función de la responsabilidad de cada responsable o encargado por los daños y perjuicios causados por el tratamiento.

El RGPD establece, además, la facultad de repetición a los terceros responsables, por parte del que abona la indemnización. Señala el Reglamento (artículo 82.5) que cuando un responsable o encargado haya abonado una indemnización (total) por el perjuicio ocasionado, aquel tendrá derecho a reclamar a los demás responsables o encargados que hayan participado en esa misma operaciónde tratamiento la parte de la indemnización correspondiente a su parte de responsabilidad por los daños y perjuicios causados (de conformidad con las condiciones fijadas en el 82.2 RGPD).

  • Subencargados del tratamiento

En cuanto a posibles subencargados en las operaciones de tratamiento, el artículo 28.4 RGPD establece que el encargado continuará siendo responsable frente al responsable del tratamiento en relación con el cumplimiento de los deberes del subencargado. Sin embargo, no habla de responsabilidad de daños y perjuicios de ese subencargado frente al afectado.

  • El representante del responsable o del encargado del tratamiento en la UE.

El representante responderá, igualmente, de forma solidaria de los daños y perjuicios que se pudieran causar.

Primeramente, el RGPD obliga a los responsables o encargados no establecidos en la UE, que estén llevando a cabo determinados tratamientos de datos personales de interesados que residan en la UE y cuyas actividades de tratamiento están relacionadas con la oferta de bienes o servicios a dichos interesados en la UE que designen a un representante (art 27.5 RGPD).

Por su parte, y como señalábamos anteriormente, la LOPD, en el caso de representantes domiciliados en España, establece que en caso de responsabilidad civil del art. 82 RGPD, “los responsables, encargados y representantes responderán solidariamente de los daños y perjuicios causados”.(art. 30.2 LOPD).

 

  • El delegado de protección de datos

Resulta evidente que los DPO, en el ejercicio de sus actividades (art. 39 RGPD), podrían provocar, o al menos participar en la causación de daños relacionados con el tratamiento de datos personales. Pero esta responsabilidad no puede derivarse del art. 82 RGPD, sino más bien hablaríamos de una responsabilidad extracontractual.

La responsabilidad extracontractual (también llamada aquiliana) es la que nace del hecho ilícito dañoso como consecuencia de la quiebra de un principio básico que prohíbe dañar o perjudicar a los demás. Encuentra su regulación en el artículo 1902 del Código Civil: «El que por acción u omisión causa daño a otro, interviniendo culpa o negligencia, está obligado a reparar el daño causado».

IV.-Competencia judicial.

El apartado 6 del artículo 82 dice que las acciones judiciales en ejercicio del derecho a indemnización se presentarán ante los tribunales competentes con arreglo al Derecho del Estado miembro que se indica en el artículo 79, apartado 2:

«Las acciones contra un responsable o encargado del tratamiento deberán ejercitarse ante los tribunales del Estado miembro en el que el responsable o encargado tenga un establecimiento. Alternativamente,tales acciones podrán ejercitarse ante los tribunales del Estado miembro en que el interesado tenga su residencia habitual,a menos que el responsable o el encargado sea una autoridad pública de un Estado miembro que actúe en ejercicio de sus poderes públicos».

 

Valóranos en Google
Si esta información le ha sido útil le agradecemos mucho que nos valore con 5 estrellas en GOOGLE haciendo click en el siguiente botón.
Otros lectores ya lo han hecho y esto es lo que opinan...

Recibe presupuesto sin compromiso

¿En qué podemos ayudarle?

Rellene el formulario o llámenos al +34 983 377 435. Estaremos encantados de atenderle.

Nombre*
Protección de Datos*