El miedo a sufrir un uso indebido de datos personales es un daño indemnizable

Efectivamente, el miedo a sufrir un uso indebido de datos personales es un daño indemnizable y así lo recoge la reciente Sentencia del Tribunal de Justicia de la Unión Europea de 14 de diciembre de 2023 (asunto C-340/21).

Las brechas de seguridad y filtraciones de datos personales en empresas se han convertido en uno de los mayores ciber riesgos a afrontar en matera de protección de datos. La pérdida del control sobre los datos personales cuando los ciberdelincuentes hackean un sistema informático es prácticamente inevitable y ello conlleva un perjuicio inmaterial al interesado/titular de los datos que puede ser indemnizable si se dan ciertos presupuestos.

Desde Despacho Jurídico Valero Cuadra te explicamos el régimen de responsabilidad de los responsables del tratamiento de datos personales frente a filtraciones de datos y cuáles son los requisitos para exigir una indemnización.

¿Pueden exigirse responsabilidades frente a brechas de datos?

Nuestro Código Civil contempla un régimen general de responsabilidad contractual y extracontractual perfectamente invocables a la hora de exigir responsabilidad a las empresas en se han producido filtraciones de datos personales de particulares con motivo de un ciberataque, completándose con un régimen de responsabilidad “proactivo” del responsable del tratamiento de datos previsto en el Reglamento (UE) 2016/679 (RDPD).

Concretamente, el art. 82 RGPD reconoce expresamente el derecho de los afectados a ser indemnizados por aquellos daños materiales o inmateriales que tengan su origen en la infracción de los deberes impuestos a los responsables o encargados del tratamiento de sus datos. Por tanto, el cumplimiento de las obligaciones legales por parte de los responsables del tratamiento de datos personales de las empresas será lo que determinará si procede o no que estas respondan de los daños ocasionados a los interesados.

¿Qué tipo de responsabilidad tendrían las empresas encargadas de proteger estos datos?

Para determinar el alcance de la responsabilidad de los responsables del tratamiento de datos personales frente a la vulnerabilidades en sus sistemas, que impliquen la pérdida total o parcial de datos personales de interesados, deben concurrir varios presupuestos:

1º En primer lugar, es imprescindible que la pérdida de los datos le sea imputable a la empresa, es decir, que exista una relación de causalidad entre la pérdida de los datos y la actividad de tratamiento.

2º En segundo lugar, constatado el anterior requisito, deberá comprobarse la diligencia de la empresa, esto es, la adecuación de las medidas técnicas y organizativas, adoptadas por la entidad, tendentes a la evitación de riesgos que afecten a la integridad y confidencialidad de los datos personales de cuyo tratamiento sean responsables.

En definitiva, la mera filtración de datos personales no es suficiente para que la empresa responsable del tratamiento de los datos responda frente a los daños ocasionados al interesado que se ha visto perjudicado, sino que es necesario que se acredite que el responsable del tratamiento no adoptó medidas técnicas y organizativas apropiadas a fin de garantizar un nivel de seguridad adecuado al riesgo, como exige el apartado 1 del art. 32 RGPD.

Es muy importante tener en cuenta que quien debe probar que las medidas de seguridad adoptadas son adecuadas al riesgo del tratamiento es el propio responsable o encargado del tratamiento y no el perjudicado, produciéndose, por tanto, una inversión de la carga de la prueba.

El temor a un uso indebido de datos personales por terceros a raíz de una brecha de seguridad puede constituir un perjuicio inmaterial indemnizable

El fundamento de ello es la garantía del derecho a la protección de datos, reconocido en nuestra Constitución Española en su art. 18.4, el cual otorga al titular la facultad positiva de control y disposición de sus datos personales, de modo que la pérdida de control de los datos obrantes en ficheros informáticos de cuyo tratamiento es responsable un tercero, abre la posibilidad indemnizatoria al ser este último garante de la integridad, disponibilidad y confidencialidad de los datos ajenos.

Así, en caso de producirse un menoscabo a dichos principios con origen en una conducta negligente de la empresa responsable del tratamiento de dichos datos, al no haber adoptado las medidas técnicas y organizativas idóneas y tendentes a evitar el riesgo de pérdida de datos, la entidad deberá responder del daño ocasionado al titular, no siendo necesario que se produzca una efectiva filtración de datos.

En resumen…

El régimen de responsabilidad del encargado del tratamiento se justifica en una actividad de riesgo, precisamente el tratamiento de datos personales ajenos. De modo que, en caso de se haya producido una filtración de datos y/o hayan sido estos accesibles a terceros no autorizados, el responsable del tratamiento responderá de los daños ocasionados al titular, salvo que pruebe que adoptó medidas de seguridad apropiadas al riesgo, carga de la prueba que recae en el responsable del tratamiento y no en el perjudicado.

Asimismo, se ha reconocido el derecho de indemnización a los titulares de datos personales, cuya integridad, disponibilidad y confidencialidad se hayan visto comprometidas con motivo de una injerencia ilegítima en bases de datos de cuyo tratamiento son responsables terceros; todo ello con independencia de que dichos datos sean o hayan sido utilizados posteriormente para la comisión de  hechos delictivos. La STJUE de 14 de diciembre de 2023 (asunto C-340/21) habla del temor de sufre el titular de los daños a que en el futuro se produzca un uso indebido como daño inmaterial que merece ser reparado, ya que la lesión en el derecho a la protección de datos se produce con la pérdida de control sobre los datos personales.

En Despacho Jurídico Valero Cuadra somos especialistas en delitos informáticos y contamos con los excelentes abogados expertos en derecho a la intimidad y protección de datos. Si has sido víctima de una filtración de tus datos personales, contacta con nosotros y te ayudaremos.