Desde la entrada en vigor, hace casi 25 años, de su primera Ley de Protección de Datos de Carácter Personal (la LORTAD), España ha sido, sin exagerar, el Estado de la UE con el sistema más riguroso de protección de datos, con un régimen jurídico que establecía sanciones por incumplimiento de hasta 600.000 euros y una estricta Autoridad de Supervisión (la Agencia Española de Protección de Datos) que impuso una media de 20 millones de euros al año en multas a responsables de tratamientos del sector privado.
En este contexto, se podría pensar —sobre todo si se contempla esta situación desde una óptica norteamericana— que los procedimientos judiciales por incumplimiento de la legislación española en materia de protección de datos (2) y las reclamaciones de indemnización por daños y perjuicios sufridos como consecuencia de operaciones de tratamiento de datos no conformes a la ley han sido numerosos y multimillonarios. Pero lo cierto es que las solicitudes de indemnización presentadas ante los tribunales civiles de nuestro país por estos motivos se han limitado a un número relativamente reducido de casos individuales basados, principalmente, en la inclusión indebida en registros de deudores morosos o de agencias de calificación de riesgos crediticios. Por el momento, la indemnización máxima concedida por los tribunales españoles a una persona por «daño moral» sufrido por un tratamiento ilícito ha sido de aproximadamente 10.000 euros (3) .
La influyente asociación española de consumidores OCU (4) lanzó recientemente una campaña («Mis datos son míos(»5)) junto con sus organizaciones aliadas de Portugal, Italia y Bélgica (Euroconsumers), anunciando una acción colectiva contra Facebook en reclamación de una compensación de 200 euros por usuario por el caso de Cambridge Analytica. Esta campaña está alentando la idea de que el momento de las acciones colectivas en materia de protección de datos personales ha llegado a Europa, pero ni el Reglamento General de Protección de Datos (LA LEY 6637/2016) (RGPD), ni las normas procesales civiles de los Estados miembros de la UE, ni el llamado «Nuevo acuerdo para los consumidores europeos» (New deal for European Consumers (5) ), prevén en Europa una acción colectiva como las existentes en los EEUU motivada por infracciones en materia de protección de datos. Los Estados de la UE tienen regímenes diferentes.
I. LOS DIFERENTES REGÍMENES DE PROTECCIÓN DE DATOS PERSONALES Y DE PROTECCIÓN DE LOS CONSUMIDORES EN EUROPA
La Carta de los Derechos Fundamentales de la UE (LA LEY 12415/2007) (la «Carta») y la mayoría de las Constituciones de los Estados de la UE, diferencian claramente, por una parte, el régimen jurídico de protección de los datos personales (artículo 8 de la Carta (LA LEY 12415/2007)) y, por otra, un alto nivel de protección de los consumidores (artículo 38 de la Carta (LA LEY 12415/2007)). Se trata de ámbitos que tienen una naturaleza jurídica, un marco regulatorio, un ámbito de aplicación, unos instrumentos de solución, unos mecanismos de responsabilidad, unas acciones y unas vías de recurso judicial diferentes. A este respecto, cabe destacar varios aspectos:
- — A efectos del artículo 80 del RGPD (LA LEY 6637/2016), las organizaciones de consumidores no ostentan per se una representación automática de los interesados titulares del dato. Este precepto se refiere a entidades, organizaciones o asociaciones sin ánimo de lucro que hayan sido correctamente constituidas con arreglo al Derecho de un Estado miembro, cuyos objetivos estatutarios sean de interés público y que actúen en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales. Sólo las «Organizaciones sin ánimo de lucro que actúen en el ámbito de la protección de datos personales» —de acuerdo con lo dispuesto en el citado artículo 80—, tienen derecho a la representación de los interesados a estos efectos.
- — Por otra parte, el mismo artículo 80 del RGPD (LA LEY 6637/2016) otorga a las «Organizaciones sin ánimo de lucro que actúen en el ámbito de la protección de datos personales» el derecho a actuar tanto con el mandato como sin el mandato de las personas a las que se refieren los datos. Dicho esto, es importante destacar que las acciones que se ejerciten sin mandato del interesado en virtud del artículo 80.2 del RGPD (LA LEY 6637/2016) (como el derecho a presentar reclamaciones ante las autoridades supervisoras y a ejercer los derechos a que se refieren los artículos 78 (LA LEY 6637/2016)y 79 del RGPD (LA LEY 6637/2016)), no incluyen el derecho a recibir una indemnización por los daños sufridos (artículo 82 del RGD, (LA LEY 6637/2016) que siempre requerirán el mandato del interesado.
- — Las acciones previstas en los Estados miembros de la UE para las organizaciones de consumidores por las directivas de defensa de los consumidores no son exactamente las acciones que el RGPD ofrece a las «Organizaciones sin ánimo de lucro que actúen en el ámbito de la protección de datos personales». En relación con la posibilidad de iniciar el mecanismo de consolidación de una reclamación (es decir, de recoger los mandatos de los titulares de los datos antes de reclamar una indemnización en su nombre), el artículo 80.1 del RGPD (LA LEY 6637/2016) se remite a las normas procesales internas de los Estados miembros, por lo que la clave está en las normas nacionales de estos Estados sobre los mecanismos de reclamaciones colectivas.
II. LAS ACCIONES COLECTIVAS EN EL DERECHO ESPAÑOL
La vigente Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales (LA LEY 19303/2018) (LOPDGDD) tampoco hace referencia a las acciones colectivas, por lo que la regulación a tener en cuenta en España para regular el mecanismo de reclamación colectiva es la Ley de Enjuiciamiento Civil. Los mecanismos de acción colectiva previstos en esta norma tienen por objeto la protección de los derechos e intereses de los consumidores y no la protección de los derechos de dimanantes de la LOPDGDD —que son dos ámbitos jurídicos diferentes, como se ha señalado anteriormente—. Sin embargo, podría darse el caso de que algún tratamiento ilícito de datos personales pudiera también considerarse una infracción que perjudicara los intereses colectivos de los consumidores, de modo que el análisis que sigue a continuación se refiere a esos casos concretos.
De conformidad con la transposición al ordenamiento español de la Directiva relativa a las acciones de cesación en materia de protección de los intereses de los consumidores (6) , la normativa española prevé: (i) una acción colectiva de cesación y (ii) una acción colectiva de reparación (siendo posible que los grupos o clases de consumidores afectados interpongan una acción de resarcimiento colectiva en el caso de que reúnan los requisitos necesarios).
1. Acciones colectivas orientadas a obtener una indemnización (acción colectiva de reparación)
Como se ha indicado anteriormente y de conformidad con el artículo 80.1 del RGPD (LA LEY 6637/2016), las «Organizaciones sin ánimo de lucro que actúen en el ámbito de la protección de datos personales» no tienen derecho a iniciar acciones en reclamación de indemnización por los daños y perjuicios sufridos, sobre la base del artículo 82 del RGPD (LA LEY 6637/2016), sin el mandato del interesado. Dicho esto, en aquellas infracciones de Reglamento que también puedan ser consideradas como infracciones de la normativa de consumidores susceptibles de ser indemnizadas, la Ley de Enjuiciamiento Civil española prevé la posibilidad de una acción colectiva, respecto de la cual habrá que tener en cuenta los siguientes aspectos:
A) Legitimación para demandar
— Si el grupo de consumidores perjudicados está identificado o resulta fácilmente identificable —el ejemplo clásico es un grupo víctima de una intoxicación alimentaria en un restaurante— la legitimación para formular la demanda la ostentan: (i) el grupo de personas perjudicadas, en la medida en que la demanda sea sostenida por la mayoría de los afectados (artículos 6.1.7 (LA LEY 58/2000) y 11.2 de la LEC (LA LEY 58/2000)); (ii) las asociaciones de consumidores y usuarios y (iii) las personas jurídicas constituidas para la protección del grupo identificado o fácilmente identificable perjudicado (por ejemplo y en el ejemplo anterior, una asociación de dichos consumidores afectados por la intoxicación alimentaria que se constituye ad hoc para tal fin).
— Si el grupo de consumidores perjudicados es indeterminado o de difícil determinación, la legitimación para demandar la defensa de estos intereses difusos corresponderá exclusivamente a las asociaciones de consumidores y usuarios que, conforme a la Ley, sean representativas (artículo 11.3 de la LEC (LA LEY 58/2000)).
B) Mecanismos procesales y medidas para permitir la incorporación al colectivo actor (opt-in)
— Con el fin de permitir que el propio grupo de personas perjudicadas pueda demandar y reunir a la mayoría de los consumidores perjudicados, el artículo 256.1.6 de la LEC (LA LEY 58/2000) establece una medida preparatoria destinada a permitir identificar a los consumidores perjudicados, que también permite un requerimiento limitado contra el futuro demandado para que coopere en la identificación de personas perjudicadas concretas («incluyendo el requerimiento al demandado para que colabore en dicha determinación»).
— Además, el artículo 15 de la LEC (LA LEY 58/2000) exige que en el caso de grupos indeterminados (o de difícil determinación), una vez presentada la demanda ante los Tribunales, ésta se anuncie en los medios de comunicación y se suspenda el procedimiento durante dos meses para que cualquier consumidor que haya sufrido perjuicio pueda incorporarse a la acción especificando su perjuicio individual. En el caso de consumidores perjudicados identificados o fácilmente identificables, se exige que el demandante demuestre que ha llamado o recogido los mandatos de todos los consumidores perjudicados que puedan optar a la inclusión.
C) Efectos de la sentencia y ejecución
— La sentencia que establezca el derecho a una indemnización debe designar a las personas que beneficiadas por la misma, así como los requisitos y criterios que deben cumplirse para que se beneficien del derecho a la indemnización las personas que no se encontraban en el procedimiento pero que desean beneficiarse de la ejecución (artículos 221 (LA LEY 58/2000) y 519 de la LEC (LA LEY 58/2000)).
— A pesar de no conceder una opción de exclusión voluntaria del grupo (opt-out) en una acción colectiva, la norma de procedimiento española permite a las personas que han sufrido daños y que no quieren participar en la acción colectiva interponer acciones individuales.
2. Acciones colectivas de cesación (acción colectiva de cesación)
La Ley de Enjuiciamiento Civil ha transpuesto la Directiva de acciones de cesación incluyendo un mecanismo de acción colectiva de cesación. Estas acciones incluyen la obtención de sentencias que puedan ordenar el cese o la prohibición de cualquier violación de derechos (incluyendo el uso de términos y condiciones abusivas), por lo que no se pueden descartar las acciones de cesación orientadas al cese de políticas de privacidad abusivas, por ejemplo en la medida en que puedan ser consideradas como una infracción de los consumidores (artículo 53 de la Ley General para la Defensa de los Consumidores y Usuarios (LA LEY 11922/2007)), y medidas tales como la publicación de la sentencia (artículo 221.2 de la LEC (LA LEY 58/2000)).
Las entidades habilitadas para interponer una acción de cesación son las indicadas anteriormente, dependiendo de si los demandantes que pretenden la cesación son identificados o fácilmente identificables. Asimismo, los que tengan derecho a interponer una acción para la protección de los denominados «intereses difusos» recogidos en el Diario Oficial de la Unión Europea y que cumplan la Directiva europea sobre acciones de cesación (art. 6.1.8 de la LEC (LA LEY 58/2000) en relación con el art. 54 de la Ley General para la Defensa de los Consumidores y Usuarios (LA LEY 11922/2007)). Además, el Ministerio Fiscal y el Instituto Nacional para la Protección del Consumidor están legitimados para interponer una acción de cesación, aunque en la práctica esto no es habitual.
III. PANORAMA ACTUAL Y TENDENCIAS DE FUTURO
Según hemos podido recoger de fuentes públicas y de las distintas noticias aparecidas en los medios de comunicación, la principal campaña de acción colectiva en la que una organización de consumidores está recogiendo mandatos de los interesados en España es la denominada «Mis datos son míos», presentada por OCU contra Facebook. Sin embargo, aún es pronto para predecir cuál será su resultado, ya que, debido al panorama procesal descrito, esta acción puede enfrentarse a bastantes escollos procesales.
Otras asociaciones de consumidores se están centrando en presentar reclamaciones ante la Agencia Española de Protección de Datos contra los titulares de las redes sociales, tanto por infracciones de la normativa de protección de datos, como por sus brechas de seguridad.
Tanto las autoridades de protección de datos como las de protección de los consumidores de la UE han sido muy claras al afirmar que las acciones de representación y las acciones colectivas en la UE se extienden a la protección de la actividad en línea de los consumidores, y que serán claramente diferentes de las acciones colectivas al estilo estadounidense. En palabras de Věra Jourová, Comisaria de Justicia, Consumidores e Igualdad de Género: «Las acciones de representación según el modelo europeo, ofrecerán más justicia a los consumidores, no más negocio para los bufetes de abogados». Una cosa es segura, el artículo 80 del RGPD ha abierto una puerta y todas las partes interesadas deben tener los ojos bien abiertos para que se utilice correctamente y no se abuse de él.
© Javier Fernández-Samaniego y Blas Piñar Guzmán
javier.samaniego@samaniegolaw.com | blas.pinar@samaniegolaw.com
Artículo originalmente publicado en inglés en el número 115 (octubre 2018) del «International Report» de Privacy Laws & Business, con el título «Collective actions under GDPR (LA LEY 6637/2016): a civil law perspective from Spain».
(5) www.mydataismine.com