Desde la entrada en vigor del Reglamento General de Protección de Datos a nivel europeo en 2016 y de la Ley 3/2018, de 5 diciembre, de protección de datos personales y garantía de los derechos digitales, en nuestro país, se han establecido unas limitaciones al tratamiento de datos de las personas. El uso de datos personales solo se puede hacer bajo determinadas circunstancias y en los términos que se establecen en la normativa indicada.
En caso de incumplir estas normas, el infractor puede enfrentarse a distintas responsabilidades legales. Una de ellas, será la posibilidad de serle impuesta una sanción administrativa por la Agencia Española de Protección de Datos. Otra es la posibilidad de tener que indemnizar civilmente los daños y perjuicios causados a la persona que ha visto indebidamente tratados sus datos.
El Tribunal Supremo ya se ha pronunciado en más de una ocasión sobre esta última alternativa. Recientemente, el Supremo ha dictado una sentencia en relación con los requisitos que deben concurrir para que la persona perjudicada pueda tener derecho a reclamar una indemnización por la infracción de la normativa de protección de datos por otro sujeto. Os lo contamos en esta publicación.
La sola infracción de la normativa de protección de datos no da derecho a reclamar una indemnización de daños y perjuicios
El Tribunal Supremo, en su Sentencia de 19 de marzo de 2024, ha tenido que resolver un caso en donde se reclama una indemnización por la infracción de la normativa de protección de datos.
El caso es el siguiente. Había una persona que era una trabajadora de una empresa que tenía acceso a ficheros de solvencia patrimonial. Esta trabajadora, para fines estrictamente personales, y sin que nadie de su empresa lo permitiese expresamente, hizo una consulta al fichero para conocer distintos datos sobre la situación económica de unos familiares. De esta manera, esta trabajadora accedió ilegalmente a datos de terceros, incumpliendo la normativa sobre protección de datos.
Esto provocó que los familiares afectados denunciasen esta conducta a la Agencia Española de Protección de Datos, la cual terminó sancionando con una multa a la trabajadora en cuestión.
Aparte de esta denuncia, los familiares interpusieron una demanda ante los tribunales civiles reclamando una indemnización por los daños y perjuicios que la conducta de esta persona les había causado y que cuantificaban en la importante suma de 45.000 €.
El caso llega al Tribunal Supremo y este decide confirmar las decisiones de los tribunales inferiores y desestimar la demanda. El razonamiento que el Supremo da es que la sola infracción de la normativa de protección de datos no justifica la concesión de una indemnización de daños y perjuicios. Es necesario que el que se ha visto afectado por el tratamiento de datos indebido acredite los daños que este le ha causado para poder reclamar en la vía civil.
Extracto de la sentencia
Sentencia del Tribunal Supremo de 19 de marzo de 2024
En relación con lo cual, como establece la STJUE de 4 de mayo de 2023 -C-300/21- (que, aunque se refiere al art. 82 del Reglamento General de Protección de Datos de 2016, su doctrina es aplicable a la legislación anterior), no puede considerarse que toda infracción de las disposiciones sobre protección de datos personales dé lugar, por sí sola, a un derecho a una indemnización a favor del interesado. Por el contrario, para la pertinencia de la indemnización deberían concurrir tres requisitos cumulativos: (i) un tratamiento de datos personales en infracción de las disposiciones legales pertinentes; (ii) la existencia de daños y perjuicios para el interesado; y (iii) una relación de causalidad entre dicho tratamiento ilícito y esos daños y perjuicios.
En igual sentido, la STJUE de 14 de diciembre de 2023, asunto C 456/22, declara que es preciso que el afectado pruebe que la vulneración de la normativa de protección de datos le haya causado algún perjuicio, por mínimo que sea, y que «El interesado debe demostrar que las consecuencias de esa infracción que afirma haber sufrido constituyen un perjuicio distinto de la mera infracción de las disposiciones de dicho Reglamento«.
En este caso únicamente concurre el primero de los requisitos indicados que, por sí solo, es insuficiente a los efectos pretendidos por los demandantes. Como resalta la primera STJUE antes citada, «la realización de daños y perjuicios en el marco de tal tratamiento solo es potencial; […] la infracción del RGPD no conlleva necesariamente daños y perjuicios, y […] debe existir una relación de causalidad entre la infracción en cuestión y los daños y perjuicios sufridos por el interesado para fundamentar un derecho a indemnización». Por lo que insiste en que una cosa es la infracción de la normativa sobre protección de datos, que puede dar lugar a una sanción administrativa y otra la obtención de una indemnización que no puede ser automática; sin que quepa una equiparación lineal entre infracción e indemnización. En el presente caso no consta que la mera consulta por la demandada de los datos personales de la demandante tuviera ninguna trascendencia externa o su resultado fuera conocido por terceros, ni que se causara perjuicio alguno a los demandantes.
¡Estamos para ayudarte!
Esperamos que esta publicación os haya sido útil. Si necesitáis nuestra ayuda en esta materia o en una cuestión relacionada, en AINOS estaremos encantados de atenderos.
Escrito por: AINOS ABOGADOS – Alejandro de Grado
Con ganas de ayudarte
Si lo prefieres,
también te atendemos:
Whatsapp: +34 621 35 76 24
Teléfono: +34 621 35 76 24
Correo: contacto@ainosabogados.es
Deja una respuesta