Menú

Todas

proteccion datos

Tratamiento ilícito de datos e indemnización

¿Cómo opera el tratamiento ilícito de datos personales en España? ¿Tiene alguna regulación específica? ¿Existen diferentes tipos de infracciones? ¿Concurre siempre un derecho a ser indemnizado por ese uso indebido? ¿Qué tiene declarado el Tribunal Supremo en estos supuestos? ¿Se exige la concurrencia de ciertos requisitos?

Introducción

En el derecho español, la protección de los datos personales ha ido evolucionando progresivamente a lo largo de los años. Si bien, nuestra Constitución ya lo destacaba como un derecho fundamental (artículo 18), lo cierto es que ha ido ampliándose su protección. Y ello, debido a la evolución informática que supone un trato masivo de información sobre las personas. Esta evolución, conllevó en un primer lugar, tres importantes Declaraciones Internaciones sobre la protección de datos de carácter personal. Y, además, un reconocimiento del derecho a la intimidad.

En España, la primera evolución la vimos con la LO 5/1992 de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal. Estableciéndose, por primera vez, un desarrollo más extenso de lo recogido en el artículo 18 CE. Esto es, una limitación al uso de la informática que garantice la intimidad personal. Y no fue hasta 7 años después, que se promulgó la LO 15/1999 de Protección de Datos de Carácter Personal. (LOPD). Ley que no solo desarrollaba la protección de datos informatizados, sino también, los recogidos en soporte físico.

Pues bien, con motivo de adaptar la legislación española a la europea, el 6/12/2018, entró en vigor la vigente LOPDGDD. (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales). Siendo su principal cambio, en síntesis, la modificación de los requisitos a la hora de obtener información, compartirla y guardarla.

Tras esta breve introducción, vamos a dedicar el presente artículo a tratar sobre el uso indebido de datos en España. Y sobre el derecho a ser indemnizado según la legislación aplicable y el criterio del Alto Tribunal.

Contacto No te quedes con la duda, contacta con nosotros. Estaremos encantados de atenderte y ofrecerte soluciones.

¿Cuándo existe un tratamiento ilícito de datos personales?

De conformidad a lo recogido en los artículos 71 y siguientes LOPDGDD, las infracciones se dividen en muy graves, graves y leves. Exponemos a continuación y sin hacer una lista extensiva, las más destacables de las tres categorías:

Infracciones muy graves

  • Uso de datos para una finalidad no compatible con la finalidad para la cual fueron recabados. Y sin contar con el consentimiento del afectado o una base legal.
  • Omisión del deber de informar al afectado sobre el tratamiento de sus datos. Y la vulneración del deber de confidencialidad.
  • Exigir un pago para facilitar al afectado información sobre sus datos almacenados.
  • La transferencia internacional de datos a un destinatario de otro país o a una organización internacional.
  • Obstruir a la autoridad de protección de datos el ejercicio de la función inspectora.

Infracciones graves

  • Tratar los datos personales de un menor sin recabar su consentimiento.
  • Obstaculizar los derechos de acceso, rectificación, supresión o limitación del tratamiento de los datos.
  • El incumplimiento de la obligación de designar un representante del responsable o encargado del tratamiento de los datos.

Infracciones leves

  • Ausencia de transparencia al no haber facilitado al afectado toda la información exigida.
  • Incumplir con la obligación de notificar la rectificación o supresión de los datos.
  • Incumplir con la obligación de documentar toda violación de seguridad que se produzca. Y la posterior notificación al afectado.

Pues bien, una vez resumidas las infracciones cabe preguntarse, ¿Podrá siempre el perjudicado solicitar una indemnización por la comisión de alguna de estas infracciones?

Derecho a indemnización

La nueva Ley, contrariamente a la anterior (artículo 19 LOPD), no recoge un artículo sobre el derecho a la indemnización. Sin embargo, se trata de un derecho que sí que está contemplado en el Reglamento (UE) 2016/679 de 27/04/2016 (RGPD). Reglamento que es plenamente aplicable en España desde el 25 de mayo de 2018.

Así, su artículo 82.1, recoge ese derecho a indemnización por daños y perjuicios materiales e inmateriales sufridos. Teniendo todo aquel afectado por una infracción, derecho a recibir la indemnización del responsable o encargado del tratamiento.

Tal y como puede observarse, se trata del mismo derecho que contemplaba el artículo 19 de la anterior LOPD. Por ello, los Tribunales, a efectos de decidir si otorgar o no una indemnización, van a realizar las mismas valoraciones. ¿Es suficiente la mera concurrencia de una infracción para ser indemnizado? Hasta ahora, y según nuestro Alto Tribunal, no. Vamos a ver como ejemplo una de sus últimas resoluciones sobre esta materia.

Tribunal Supremo (sala de lo contencioso-administrativo, sección 1ª) auto de 17 enero 2019

En esta Sentencia, el TS revela qué es lo verdaderamente relevante a la hora de aplicar el anterior artículo 19 LOPD. (Actualmente de aplicación el 82.1 RGPD). Y es, la determinación de las condiciones que deben darse para que exista ese derecho a indemnización.

Para que pueda justificarse el derecho a la indemnización deben concurrir dos condiciones simultáneamente El primero, el incumplimiento de algún precepto de la Ley. Y el segundo, que esa conducta negligente haya producido una lesión en los intereses del afectado. Lesión o daño que siempre y en todo caso debe ser probada.

Además, mantiene que el tenor de la norma es claro. La indemnización no aplica por el mero incumplimiento de la norma, es necesaria una lesión. Por lo que no hay ninguna base legal que sostenga una presunción del daño, más bien todo lo contrario.

Finalmente, destaca que el Derecho Europeo tampoco avala una presunción de daño indemnizable. Que al igual que la legislación española, la Directiva 95/46/CE impone la concurrencia del perjuicio. Y lo mismo con el RGPD, pues su artículo 82 no dice que toda infracción de reglamento conlleve automáticamente una indemnización.

Por lo que, en definitiva, para estimar una indemnización se debe verificar si ha habido o no, daños reales y efectivos. Con una valoración, necesariamente casuística.

Conclusiones

La protección de datos personales ha ido evolucionando progresivamente a lo largo de los años.  La actual ley vigente es la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD). Y el Reglamento (UE) 2016/679 de 27/04/2016 (RGPD), cuando queramos determinar el derecho a ser indemnizado por las infracciones.

Las infracciones sobre el tratamiento de datos se dividen en muy graves, graves y leves. (artículos 71 y siguientes LOPDGDD).

El derecho a la indemnización por infracciones se contempla en el artículo 82.1 RGPD. (Antes también previsto en el artículo 19 LOPD).

La concurrencia de una infracción no implica automáticamente el derecho a una indemnización.

Tanto la normativa europea como el TS exigen la concurrencia de una daño real y efectivo que tiene que ser probado. No hay ninguna base legal que sostenga una presunción del daño por comisión de infracción.

Si le ha gustado este artículo, puede consultar otros similares que pudieran ser de su interés, pinchando en los siguientes enlaces:

Cookies y Protección de Datos

Evaluación de Impacto sobre la Protección de Datos, ¿cuándo estoy obligado?

Publicaciones relacionadas