¿Quién paga los datos rotos?

¿Qué motiva a alguien a presentar una denuncia ante la Agencia Española de Protección de Datos? Sin basarnos en ninguna estadística ni en ningún estudio de campo, sí que podría afirmarse con alta probabilidad de acierto que muchas, quizá la mayoría, de las denuncias, tienen como motivación principal el enfado o el cabreo de quien las presenta.

Quizá sería interesante que la recientemente creada Unidad de Admisión de la Agencia Española de Protección de Datos, en su labor de triaje, incluyera una pequeña encuesta sobre “Qué te trae por aquí?”, donde buscara saber cómo y por qué, cuáles son los principales elementos de motivación de una persona para presentar una denuncia.

En este sentido, la Memoria del citado órgano indica que “en 2015 se ha producido una disminución del número de denuncias presentadas ante la Agencia. Así, mientras que en 2014 se recibieron 10.074 denuncias, lo que supuso un incremento de un 14,80% respecto de 2013, en 2015 se han recibido 8.489, lo que ha supuesto un decremento descenso respecto de 2014 de un 15,73%. Se produce así en 2015, grosso modo, una vuelta a las cifras registradas en 2013.”

¿Pero cuántas de estas denuncias están motivadas, o al menos se presentan con el pensamiento de que se podría obtener un resarcimiento de naturaleza económica a favor del interesado denunciante en caso de que finalmente se llegue a sancionar a una o varias entidades con relación a los hechos denunciados? ¿Creen algunos denunciantes que pueden obtener una parte de la sanción? ¿Creen otros que la Agencia incluirá en la sanción los que el/los sancionado/s tendrá/n que pagarles? ¿Creen quizá algunos que, como en los accidentes de tráfico, hay un baremo indemnizatorio en caso de sanción?

Quizá no muchos sepan que la actual, vigente y aplicable Ley Orgánica de Protección de Datos (LOPD) regula el “Derecho a indemnización” en su artículo 19, indicando que “Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados. 2. Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones públicas. 3. En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción ordinaria.”

Ciertamente, el citado artículo 19 no supone una gran novedad en materia de indemnización de daños y perjuicios, y por tanto parecería que toda sanción de la Agencia Española de Protección de Datos debería poder derivar en un acción por responsabilidad civil que pueda resarcir al interesado por aquellos daños identificables y cuantificables que se puedan deducir de los hechos que motivan la sanción.

Sin embargo, en la práctica, han sido muy escasos y por tanto rayando lo anecdótico, los casos en que se ha producido esta derivada. ¿Desconocimiento? ¿Dificultad de identificar y cuantificar el daño? ¿Desmotivación por la complejidad, coste, duración e inseguridad sobre el resultado de un proceso judicial a tal fin? Seguramente un poco de todo.

El nuevo Reglamento Europeo de Protección de Datos (REPD), introduce (bueno, vale, introducirá), una nueva regulación del “Derecho a indemnización y responsabilidad” en su artículo 82 (que hay que leer a continuación y no antes de leer del considerando 146), que anticipa un escenario mucho menos anecdótico y mucho más habitual en materia de reclamación de daños y perjuicios por daños identificables y cuantificables en caso de sanción por vulneración de dicha norma.

Prescindiendo ahora (por pura limitación de extensión), de las reglas para saber quién paga qué de los apartados 2 a 5, es importante señalar que el apartado 1 recoge que “Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos”; y que el apartado 6 señala que “Las acciones judiciales en ejercicio del derecho a indemnización se presentarán ante los tribunales competentes con arreglo al Derecho del Estado miembro que se indica en el artículo 79, apartado 2.2.”

¿Se puede sentir el interesado  desmotivado a la hora de presentar una reclamación por daños ante la complejidad de ésta? Bueno, pues parece que el REPD piensa que sí, y para vencer esa desmotivación, permite en su artículo 80 que el interesado pueda “dar mandato a una entidad, organización o asociación sin ánimo de lucro que haya sido correctamente constituida con arreglo al Derecho de un Estado miembro, cuyos objetivos estatutarios sean de interés público y que actúe en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales, para que presente en su nombre la reclamación, y ejerza en su nombre (…) el derecho a ser indemnizado mencionado en el artículo 82 si así lo establece el Derecho del Estado miembro”.

Una precisión importante, además de este última coletilla de que “si así lo establece el Derecho del Estado miembro”, es la que se señala en el considerando 142 en el sentido de que “Esa entidad, organización o asociación no puede estar autorizada a reclamar una indemnización en nombre de un interesado al margen del mandato de este último.”

En todo caso, y desde un punto de vista puramente de responsable del fichero o encargado del tratamiento, parece que el discurso, el análisis y los pasos de adecuación se centran en el nuevo régimen sancionador, espectacular en su definición, establecido en el REPD.

Sin embargo, la adaptación a la nueva norma europea de los mapas de riesgos y de los cálculos de contingencias y en su caso de provisiones, en materia de privacidad debería incorporar también el nuevo escenario que plantea, como principal referencia, el artículo 82 del REPD, adoptando un enfoque de la privacidad adecuado a los tiempos que corren y mucho más orientado al Compliance que al mero checklist.

En conclusión, a partir del 25 de mayo de 2018 estaremos ante una nueva regulación en materia de indemnización por los daños causados por un tratamiento de datos contrario a la normativa que ha sido declarado como tal mediante resolución de una autoridad competente. Los responsables de ficheros y encargados del tratamiento, públicos o privados, deberían estar muy atentos a este nuevo régimen mucho más preciso, factible y concreto que el actual, que anticipa un número de reclamaciones mucho mayor, y que debe incorporarse a la gestión de la p

rivacidad, a sus cuadros de mando y a su cálculo de riesgos en la materia.

 Francisco Javier Carbayo

Abogado

Socio de DELOYERS

javier@deloyers.com

deloyers.com

@fjcarbayo

es.linkedin.com/in/franciscojaviercarbayo/