Indemnización protección de datos: art. 82 RGPD
¿Es posible una indemnización por incumplimiento del RGPD?
Solicitar una indemnización en protección de datos y el incumplimiento del RGPD, es perfectamente posible, tal y como se regula en el art. 82 del RGPD. De hecho los ciudadanos son cada vez más conocedores de este derecho por lo que suelen solicitarlo con mayor frecuencia, al menos a nivel de consultas al despacho.
¿Qué diferencia hay entre solicitar una indemnización y denunciar ante la AEPD?
Mucha. La indemnización en protección de datos, así como en cualquier otra materia que afecta a los derechos de la personalidad, consiste en la petición de una restitución por un incumplimiento de la normativa de protección de datos que ha podido afectar a alguien, ya sea económica o moralmente. Se solicita ante los tribunales ordinarios y por lógica, únicamente puede ser solicitada por el afectado por ese incumplimiento.
Por el contrario, la denuncia ante la AEPD tiene como finalidad la declaración de que una empresa o entidad ha incumplido el RGPD y tiene como resultado la imposición de una multa económica o en su caso, de un apercibimiento (un aviso). A diferencia de la indemnización, en este caso el importe de la sanción (en caso que tenga carácter económico), se ingresa a la administración del Estado y también como diferencia importante, no hace falta ser afectado para iniciar un procedimiento ante la AEPD o una autoridad autonómica de protección de datos.
Ejemplos de incumplimientos del RGPD que no necesariamente implican un perjuicio directo, puede ser el no disponer de un Registro de Actividades del Tratamiento, sin duda una obligación del RGPD pero que difícilmente ocasionará un perjuicio real para los afectados.
¿Ante quién y cuándo puede reclamarse una indemnización por protección de datos?
El art. 82 del RGPD es claro en el sentido que las indemnizaciones pueden solicitarse ante «responsables o encargados del tratamiento«, por lo que en este sentido cualquier entidad o empresa que participe en el tratamiento del dato, pude ser reclamada.
A pesar de esta mención general, el propio art. 82 RGPD establece que el responsable podrá ser reclamado cuando incumpla el RGPD y en cambio el encargado lo podrá ser cuando incumpla obligaciones que el RGPD establece para encargados o cuando actúe al margen o contra las instrucciones del responsable.
¿Qué tipo de daños pueden ser objeto de indemnización por protección de datos?
La indemnización debe entenderse como una reparación o resarcimiento del daño ocasionado. A nivel general existen dos tipos de daños objeto de indemnización: los daños económicos o patrimoniales y los daños morales. Además de los criterios ya indicados, es necesario demostrar el daño, cosa que a veces no resulta tan sencilla y que a la práctica obliga a probar que el daño es real.
Los daños económicos son aquellos incumplimientos del RGPD que tienen una afectación en la esfera patrimonial de la persona afectada. Entre ellos suele ser el más habitual por ejemplo, haber sido incluido en un fichero de morosos sin justificación y que esto haya ocasionado perjuicios económicos al afectado. El daño económico o patrimonial puede demostrarse de manera más fácil que el moral.
Los daños morales por el contrario son más complicados de demostrar y exigen al perjudicado probar en palabras de la jurisprudencia: «sufrimiento psíquico o espiritual que en la persona pueden producir ciertas conductas, actividades o, incluso, resultados, tanto si implican una agresión directa o inmediata a bienes materiales, cual si el ataque afecta al acervo extra-patrimonial o de la personalidad». A este efecto cualquier informe psicológico o que demuestre el sufrimiento ocasionado al perjudicado, será siempre necesario o al menos altamente recomendable.
I si soy la empresa que incumple, ¿qué?
En caso de ser la empresa o entidad que ocasiona el perjuicio, (1) revisa y si es necesario actualiza, tus protocolos de protección de datos en cuanto tengas conocimiento de la reclamación, (2) si el perjuicio es causado por una incidencia de seguridad, aplica los requerimientos del RGPD y (3) escucha la reclamación y analiza si realmente tiene fundamento y de ser así, analiza cómo minimizar el riesgo o perjuicio ocasionado.
Si necesitas más información, ¡contacta con nosotros!:
Denominación social
LEGAL IT GLOBAL 2017, SLP
Finalidad
Prestar el servicio.
Envío del Boletín informativo.
Legitimización
Cumplimiento de la prestación del servicio.
Consentimiento.
Destinatarios
Tus datos no serán compartidos con ningún tercero, salvo aquellos proveedores de servicios con los que disponemos de un contrato de servicios vigente.