LOPD: el derecho a indemnización

Cuando se presenta una queja ante la Agencia de Protección de Datos, no se suele hacer con la finalidad de obtener una indemnización, sino más bien para mostrar un enfado.

Tanto es así, que hasta el número de denuncias ha descendido. Según la misma Agencia,  en 2015 se ha producido una disminución del número de denuncias presentadas ante la Agencia. Así, mientras que en 2014 se recibieron 10.074 denuncias, lo que supuso un incremento de un 14,80% respecto de 2013, en 2015 se han recibido 8.489, lo que ha supuesto un decremento descenso respecto de 2014 de un 15,73%. Se produce así en 2015, grosso modo, una vuelta a las cifras registradas en 2013.

Pocas denuncias se presentan con el pensamiento de que se podría obtener una indemnización a favor del interesado denunciante en caso de que finalmente se llegue a sancionar a una o varias entidades con relación a los hechos denunciados.

Quizá no muchos sepan que la actual, vigente y aplicable Ley Orgánica de Protección de Datos (LOPD) regula el “Derecho a indemnización” en su artículo 19, indicando que “Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados. 2. Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones públicas. 3. En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción ordinaria.”

Ciertamente, el citado artículo 19 no supone una gran novedad en materia de indemnización de daños y perjuicios, y por tanto parecería que toda sanción de la Agencia Española de Protección de Datos debería poder derivar en un acción por responsabilidad civil que pueda resarcir al interesado por aquellos daños identificables y cuantificables que se puedan deducir de los hechos que motivan la sanción.

Sin embargo, en la práctica, han sido muy escasos y por tanto rayando lo anecdótico, los casos en que se ha producido esta derivada. ¿Desconocimiento? ¿Dificultad de identificar y cuantificar el daño? ¿Desmotivación por la complejidad, coste, duración e inseguridad sobre el resultado de un proceso judicial a tal fin? Seguramente un poco de todo.

La indemnización en el nuevo Reglamento Europeo

El nuevo Reglamento Europeo de Protección de Datos (REPD), introducirá una nueva regulación del “Derecho a indemnización y responsabilidad” en su artículo 82 , que anticipa un escenario mucho menos anecdótico y mucho más habitual en materia de reclamación de daños y perjuicios por daños identificables y cuantificables en caso de sanción por vulneración de dicha norma.

Así, el apartado 1 recoge que “Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos”; y el apartado 6 señala que “Las acciones judiciales en ejercicio del derecho a indemnización se presentarán ante los tribunales competentes con arreglo al Derecho del Estado miembro que se indica en el artículo 79, apartado 2.2.”

En conclusión, a partir del 25 de mayo de 2018 estaremos ante una nueva regulación en materia de indemnización por los daños causados por un tratamiento de datos contrario a la normativa que ha sido declarado como tal mediante resolución de una autoridad competente. Los responsables de ficheros y encargados del tratamiento, públicos o privados, deberían estar muy atentos a este nuevo régimen mucho más preciso, factible y concreto que el actual, que anticipa un número de reclamaciones mucho mayor, y que debe incorporarse a la gestión de la privacidad, a sus cuadros de mando y a su cálculo de riesgos en la materia.