Una de las novedades del nuevo Reglamento (UE) 2016/679 del
Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la
protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos, de aplicación plena a
partir del 25 de mayo de 2018, es la plasmación efectiva del derecho a la
indemnización por los daños y perjuicios sufridos en la vulneración de los
datos personales y que deben de correr a
cargo de los responsables o encargados del tratamiento cuando vulneren lo
dispuesto en la normativa.
Una garantía expresa que recoge el artículo 82 del
Reglamento y que consagra el derecho a indemnización y responsabilidad para
toda persona que haya sufrido daños y perjuicios materiales o inmateriales como
consecuencia de una infracción al citado reglamento, estableciendo el citado
artículo que se tendrá derecho a recibir del responsable o el encargado del
tratamiento una indemnización por los daños y perjuicios sufridos.
Se establece por tanto una presunción "iuris et de iure"
[establecida por la ley] de la existencia de un perjuicio indemnizable cuando
se haya producido ese anómalo tratamiento de los datos personales y así se haya
determinado.
La consagración de este derecho, permitirá un
resarcimiento económico, más garantista y donde lo único que se podría discutir
en sede judicial -una vez firme la resolución sancionadora si se deviene de una
resolución administrativa previa y ya firme- es la cuantía de la indemnización
debida. Cabe destacar, que en la actualidad son mínimas las resoluciones
sancionadoras de la Agencia de Protección de Datos que son recurridas por los
infractores y que en la mayoría de supuestos parten de la denuncia de los
afectados.
No es que en la actualidad no se pudiera ejercitar esa acción, por
supuesto que sí, ya que la protección de datos, no deja de ser una específica
vulneración al derecho al honor y donde el Tribunal Constitucional lo reconduce
al artículo 18 de la Constitución Española, dentro de los Derechos Fundamentales y
Libertades Públicas y plasma entre otros el derecho al honor a la intimidad
personal y la propia imagen, estableciéndose en apartado 4 que “La ley limitará
el uso de la informática para garantizar el honor y la intimidad personal y
familiar de los ciudadanos y el pleno ejercicio de sus derechos”. Nuestra Jurisprudencia Constitucional, viene
señalando que se trata de un derecho independiente (al honor), aunque obviamente estrechamente relacionado con aquél
(SSTC 254/1993, de 20 de julio y 290/2000,
de 30 de noviembre). El Alto Tribunal además señala la vinculación directa de
este derecho para los poderes públicos sin necesidad de desarrollo normativo
(STC 254/1993) en relación al Convenio 108 del Consejo de Europa. En palabras
del Tribunal “…nuestra Constitución ha incorporado una nueva garantía
constitucional como forma de respuesta a una nueva forma de amenaza concreta a
la dignidad y derechos de la persona…”
Ya también la STC 94/1988 señaló que nos encontramos
ante un derecho fundamental a la protección de datos por el que se garantiza a
la persona el control sobre sus datos, cualesquiera datos personales, y sobre
su uso y destino.
Dicho lo anterior, teniendo ya clara que una vulneración del
responsable del tratamiento y de forma objetiva tendremos un derecho a la
indemnización.
Ahora bien, el tema del quantum no es fácil de establecer al no tener
elementos objetivos para su cuantificación. Podemos tomar como orientación previa
lo establecido en la Ley Orgánica 1/1982, de 5 de mayo, de Protección Civil del
Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen, y en
concreto lo dispuesto en el artículo 9.3 del citado texto que prevé que «…. La
indemnización se extenderá al daño moral que se valorará atendiendo a las
circunstancias del caso y a la gravedad de la lesión efectivamente producida,
para lo que se tendrá en cuenta en su caso, la difusión o audiencia del medio a
través del que se haya producido. También se valorará el beneficio que haya obtenido
el causante de la lesión como consecuencia de la misma» y la jurisprudencia
dictada en base a esta vulneración del derecho al honor, donde la protección de
datos está inmersa.
Como dice nuestra jurisprudencia en estos supuestos la
valoración de los daños morales a efectos de determinar la cuantía de
su indemnización no pude obtenerse íntegramente de una prueba objetiva debiendo
de tenerse en cuenta y ponderar las circunstancias concurrentes en cada caso.
A su vez, no existe una regla para determinar ese perjuicio indemnizable, ahora bien, tendrá
que incluir el daño patrimonial, y en él, tanto los daños patrimoniales
concretos, fácilmente verificables y cuantificables (tomamos como ejemplo a
efectos dialécticos lo que puede suponer
la inclusión indebida en un registro de morosos que puede determinar el
pago de mayor interés para conseguir financiación, como los daños patrimoniales
más difusos pero también reales e indemnizables, como podrían ser los derivados
de la imposibilidad o dificultad para obtener crédito o contratar servicios y
también los daños derivados del desprestigio y deterioro de la imagen de
solvencia personal y profesional causados por dicha inclusión en el registro,
cuya cuantificación ha de ser necesariamente estimativa).
La indemnización también ha
de resarcir el daño moral, entendido como aquel que no afecta a los bienes
materiales que integran el patrimonio de una persona, sino que supone un
menoscabo de la persona en sí misma, de los bienes ligados a la personalidad,
por cuanto que afectan a alguna de las características que integran el núcleo
de la personalidad.
La determinación de la
cuantía de la indemnización por estos daños morales ha de ser también estimativa.
La vulneración en el tratamiento de datos, deberá valorarse por la afectación a
la dignidad en su aspecto interno o subjetivo, y en el externo u objetivo
relativo a la consideración de las demás personas. Para valorar este segundo
aspecto ha de tomarse en consideración la divulgación que ha tenido el dato
personal irregularmente tratado. Como nos recuerda alguna resolución judicial deberá
ser incluible e indemnizable el quebranto y la angustia producida por las
gestiones más o menos complicadas que haya tenido que realizar el afectado para
lograr la rectificación o cancelación de los datos incorrectamente tratados.
Esa presunción legal permitirá un resarcimiento que
hasta ahora no se ejercitaba normalmente,
y más en aquellos supuestos donde las vulneraciones a la normativa de
protección de datos provengan del tratamiento de datos de ficheros públicos
cuya titularidad son las Administraciones Públicas- donde la vulneración
quedaba en medidas dirigidas a cesar o corregir los efectos de la infracción y
en su caso proceder disciplinariamente, ahora el ciudadano tendrá que ser
resarcido por el incumplimiento de esa normativa y daño generado, es obvio que
el daño antijurídico quedaría acreditado -simplemente con la resolución que así
lo acuerde- así como su efectividad real, quedando solamente por dilucidar la
cuantía.
También se establece en el artículo 79
del Reglamento los criterios procesales para determinar el Tribunal
Competente, ya que en principio esa
tutela efectiva contra el responsable se ejercita ante los tribunales del Estado miembro en el
que el responsable o encargado tenga un establecimiento, o alternativamente,
tales acciones podrán ejercitarse ante los tribunales del Estado miembro en que
el interesado tenga su residencia habitual, a menos que el responsable o el
encargado sea una autoridad pública de un Estado miembro que actúe en ejercicio
de sus poderes públicos. Teniendo presente que si se ejercitan acciones contra
una decisión de una autoridad de control y si existen motivos para creer
que se ejercitaron acciones ante un tribunal competente de otro Estado miembro
relativas al mismo tratamiento, como tener el mismo asunto con respecto a un
tratamiento por el mismo responsable o encargado, o la misma causa de la
acción, debe ponerse en contacto con ese tribunal para confirmar la existencia
de tales acciones conexas. (Se consideran conexas las acciones vinculadas entre
sí por una relación tan estrecha que procede tramitarlas y resolverlas
conjuntamente a fin de evitar resoluciones que podrían ser incompatibles si se
sustanciaran como causas separadas).
En relación a la evasión de responsabilidad únicamente quedarían exentos de
responsabilidad si se demuestra que en modo alguno son responsables de los
hechos que motiva los daños y perjuicios. Volviendo al hilo conductor, de
difícil aplicación este alegato cuando la acción provenga de una sanción previa
de una autoridad de control y los hechos declarados probados le sitúen como
responsable de un tratamiento anómalo en relación a los datos personales de una
persona física.
Para una mayor garantía al ciudadano y si son varios los responsables o
encargados del tratamiento se establece una responsabilidad solidaria y al
ciudadano le bastará reclamar contra uno de ellos quién tendrá que abonar la
indemnización total sin perjuicio de su derecho de resarcimiento contra el
resto.
Para acabar y como nos dice el legislador comunitario, el concepto de daños
y perjuicios debe interpretarse en sentido amplio a la luz de la jurisprudencia
del Tribunal de Justicia, de tal modo que se respeten plenamente los objetivos
del presente Reglamento.
Conclusión: Se abre una nueva vía más efectiva
en la reclamación que se asiente en la vulneración de los datos personales por
parte de los responsables o encargados de los tratamientos de datos personales
y que alcanza también a las disfunciones de las Administraciones Publicas.
@angel_yuste
No hay comentarios:
Publicar un comentario