Laura Aliaga Martínez
Abogada. Investigadora en el Cloud Legal Project, Microsoft Cloud Computing Research Centre, Queen Mary University of London (1)
María Estrella Gutiérrez David
Profesora de Derecho Constitucional en la Sección Departamental de Derecho Constitucional de la Facultad de Ciencias de la Información en la Universidad Complutense de Madrid
1.
Introducción
Las acciones colectivas en materia de protección de datos se están convirtiendo en un «área de riesgo» en ascenso para aquellas organizaciones que, con independencia del sector, tratan grandes volúmenes de datos personales. Los recientes asuntos «Lloyds», «British Airways», «Oracle y Salesford» o «Equifax» en el Reino Unido son solo una muestra de la evidente creciente tendencia de los Tribunales ingleses a admitir esta clase de procedimientos de tutela colectiva de derechos en materia de protección de datos (2) .
De hecho, ya hay algún despacho internacional de reconocido prestigio que vaticina una «nueva ola» de acciones de esta naturaleza (3) . Ante este nuevo horizonte, son algunos los despachos norteamericanos experimentados en estas lides los que están desembarcando en Reino Unido para ofrecer también sus servicios en este país en este ámbito (e.g. la firma americana Sanders Phillips Grossman ha trabajado la acción colectiva frente a British Airways (4) ).
En términos de riesgo, mientras que una reclamación individual puede llevar aparejada una condena modesta para el responsable del tratamiento, un grupo cuantioso de demandantes agrupado en torno a una acción colectiva puede significar indemnizaciones millonarias por daños, más las eventuales sanciones administrativas
En términos de riesgo, mientras que una reclamación individual puede llevar aparejada una condena modesta para el responsable del tratamiento, un grupo cuantioso de demandantes agrupado en torno a una acción colectiva puede significar indemnizaciones millonarias por daños, a lo que, además, deben unirse las eventuales sanciones administrativas de la Autoridad de control por incumplimiento del RGPD que, en su grado máximo, pueden alcanzar el 4% de los ingresos totales anuales de la organización o los 20 millones de euros (5) .
Es más, una resolución sancionadora de la Autoridad de control correspondiente puede constituir el «trampolín» para una acción colectiva, donde los hechos infractores acreditados en la instrucción del procedimiento administrativo pueden ser utilizados en el procedimiento de tutela para la acreditación de la causalidad de los daños reclamados (6) . De ahí, el interés de compañías como Facebook en impugnar las resoluciones sancionadoras del Information Commissioner’s Office («ICO»), en asuntos como el de Cambridge Analytica y, de llegar a un acuerdo extrajudicial para pagar la sanción de 500.000 libras, pero «sin admisión de responsabilidad» (7) .
Tan sólo piénsese que la brecha de seguridad de 2018 con más de 400.000 usuarios afectados le ha supuesto a la aerolínea British Airways no sólo una sanción de 20 millones de libras del ICO –mucho menor, desde luego, que la inicial propuesta de 183 millones, tras las alegaciones de la compañía y el impacto del COVID-19 en su negocio. Además, la compañía aérea ha acabado transando a principios del mes de julio de 2021 un acuerdo indemnizatorio, cuyos términos económicos finales permanecen confidenciales (8) , para poner fin una demanda colectiva iniciada en 2019 en la que se reclamaban 624 libras por caso individual (9) .
Ahora bien, si una decisión del ICO que determina el incumplimiento de la normativa de protección de datos es un buen augurio para la futura acción colectiva que reclama la correspondiente indemnización, esto no es óbice para que pese, a la falta de sanción por el ICO, los despachos especializados en esta materia insten sus acciones en sede judicial para obtener un resarcimiento (por ejemplo, el ICO consideró que Morrisons no era responsable por el incumplimiento de la normativa de protección de datos por la filtración de datos realizada por un empleado y esto no frenó la correspondiente acción colectiva) (10) .
Son frecuentes las críticas a la acción colectiva, entre otras, la proliferación de reclamaciones infundadas y abusivas, la carga desproporcionada que puede suponer para las organizaciones el quantum indemnizatorio, o los exorbitantes honorarios para despachos de abogados, expertos, y posibles terceros que financian la acción, en comparación con las modestas indemnizaciones individuales reconocidas a los afectados del grupo (11) .
Un claro ejemplo es la reciente resolución del Tribunal del Distrito Norte de California en el asunto In re Facebook Biometric Info. Privacy Litigation. Acción colectiva presentada en 2015 por el uso de técnicas de reconocimiento facial biométrico en las fotografías subidas por los usuarios sin información previa o consentimiento de los afectados. «De cualquier manera, –ha señalado el Juez James Donato–el acuerdo de 650 millones de dólares en esta demanda colectiva de privacidad biométrica es un resultado histórico. Es uno de los acuerdos más grandes de la historia por violación de la privacidad, y pondrá al menos 345 dólares en manos de todos los miembros de la clase interesados en ser indemnizados» [cursiva nuestra] (12) .
A pesar de que el modelo norteamericano dista mucho del continental en esta materia, a nivel europeo se observa un incremento progresivo de este tipo de litigios, especialmente, con relación a brechas de seguridad que afectan a un número masivo de usuarios con pérdida de control de sus datos personales. Aunque la acción colectiva también puede tener por objeto otro tipo de incumplimientos de la normativa de protección de datos, como la falta de transparencia del tratamiento, la inexactitud de los datos personales, o la transferencia internacional a terceros países sin garantías adecuadas (13) .
Siendo una de las jurisdicciones más atractivas para los pleitos mercantiles, el Reino Unido ha experimentado en los últimos años un incremento progresivo del ejercicio de acciones colectivas en materia de protección de datos en sus Tribunales. Tendencia que, incluso, se mantiene a pesar del Brexit
Siendo una de las jurisdicciones más atractivas para los pleitos mercantiles junto con Holanda (14) , el Reino Unido ha experimentado en los últimos años un incremento progresivo del ejercicio de acciones colectivas en materia de protección de datos en sus Tribunales. Tendencia que, incluso, se mantiene a pesar del Brexit; lo que, sin duda, representa «una amenaza nueva y relevante para las empresas que controlan o tratan grandes volúmenes de datos personales, con independencia del sector» (15) .
Aunque desde la reforma del año 2000 de su legislación procesal, estas reclamaciones se han venido presentado frecuentemente bajo un esquema «opt-in» (asuntos «Morrisons» y «British Airways»), en los últimos tiempos se ha observado un auge de las acciones colectivas en materia de protección de datos bajo el modelo «opt-out» (asuntos «Llodys», «Equifax», «McCann v. Youtube», «Oracle y Salesford»).
Este contexto expansivo de las acciones colectivas en materia de privacidad y protección de datos posiblemente se haya visto favorecido, entre otros factores, por el hecho de que los arts. 80 (LA LEY 6637/2016) y 82 del RGPD (LA LEY 6637/2016) han abierto la puerta a la tutela colectiva, posibilitando la reclamación de daños materiales y morales por parte de entidades u organizaciones sin ánimo de lucro por la vulneración de los derechos de los interesados a consecuencia del tratamiento de sus datos, siempre que así lo prevea la legislación de los Estados miembros.
A diferencia de España, el Reino Unido es uno de los países europeos que ha incorporado en su legislación interna, la Data Protection Act 2018 (en adelante, «DPA 2018»), previsiones específicas al respecto. De hecho, para el período post-Brexit el vigente Reglamento General de Protección de Datos (LA LEY 6637/2016) del Reino Unido (en adelante, «UK GDPR») mantiene tal tutela colectiva. Así, sobre la base de dicha legitimación activa que los textos legales anteriormente mencionados ofrecen en estas lides, la presencia de activistas y grupos para la defensa de los derechos de los afectados es cada vez más significativa (e.g. Privacy International (16) ).
En este sentido, uno de los grandes caballos de batalla en la tutela colectiva de derechos por infracción del RGPD se plantea con la acreditación y cuantificación de los daños morales, muy especialmente en los casos de pérdida de control de los datos. El Director de la Autoridad holandesa planteaba esta cuestión de una forma muy elocuente: «¿Cómo se demuestra el impacto emocional de una lista negra ilegal, el espionaje de su historial médico o la discriminación por un algoritmo? ¿Cómo se demuestra la frustración, la incertidumbre, el miedo, el estrés y la tristeza que esto puede causar? ¿Cómo pruebas un rasguño en tu alma?» (17) .
2.
Acciones colectivas en materia de protección de datos personales. Tendencias en Europa y el Reino Unido
Un informe reciente de la firma internacional CMS señala que, entre 2018 y 2020, se ha producido en Europa un incremento del 120% de la litigiosidad en el ámbito de la tutela colectiva de derechos. Por sectores, el tecnológico y el de productos de consumo son los que han experimentado un mayor crecimiento, alimentado fundamentalmente por la irrupción de las acciones colectivas en materia de protección de datos personales. De hecho, estas últimas se multiplicaron por 11 entre 2016 y 2020 (es decir, un aumento del 1000%). Asimismo, se prevé para los próximos años un incremento del riesgo de acciones colectivas en el ámbito de la responsabilidad por productos defectuosos que implementan soluciones de Inteligencia Artificial («IA») (18) .
Tampoco es descartable que, a futuro, las acciones colectivas relativas a tratamientos de datos personales mediante soluciones de IA se conviertan también en un área de frecuente litigiosidad (19) , especialmente, si tenemos en cuenta que, la Unión Europea ha puesto el foco de su política regulatoria de armonización en esta tecnología innovadora y sus aplicaciones (20) , y que las Autoridades en protección de datos europeas vienen advirtiendo de los impactos sociales e individuales de esta tecnología en los derechos y libertades de los interesados (21) .
De hecho, Rebecca Rumbul, demandante principial en el asunto The Privacy Collective v. Oracle tiene Salesford, tiene claro que «[e]n el mundo tecnológico altamente complejo de los algoritmos de inteligencia artificial y el aprendizaje automático, se necesitan conocimientos especializados para comprender incluso cómo se están violando nuestros derechos, cómo pueden dañarnos y las graves implicaciones de permitir que los abusadores de datos continúen sin control. En este mundo, la justificación para permitir que los representantes informados reclamen una indemnización en nombre de todos los afectados es obvia.»
A nivel europeo, el potencial aumento de la litigiosidad de las demandas colectivas en materia de protección de datos puede verse impulsado por varios factores que se analizan a continuación.
En primer lugar, los riesgos, las minutas y honorarios profesionales, la complejidad y la larga pendencia del litigio hacen que, a título individual, pueda no compensar iniciar una acción judicial por vulneración de su derecho a la protección de datos, pero a título colectivo, sí puede serlo en términos de la indemnización total por daños reconocida por los Tribunales (22) . A ello debe sumarse, el incentivo que supone para las firmas legales especializadas los altos honorarios devengados en esta clase de procedimientos (23) que, en muchas ocasiones, pueden quedar cubiertos por la indemnización que desean obtener y por la cobertura ofrecida por aseguradoras, que también esperan recuperarlos, al menos en parte, con un resultado favorable del litigio.
EEUU es un claro ejemplo. Aún sin una normativa federal o estatal sobre privacidad y protección de datos equiparable al RGPD, un recorrido por los procedimientos de tutela colectiva en esta materia de los últimos años, impulsadas por la mayor frecuencia y magnitud de eventos relacionados con brechas de seguridad (24) , revela el claro aumento exponencial del quantum indemnizatorio y de los honorarios devengados por las firmas de abogados integrantes del «Class Counsel».
Tabla 1. Evolución de indemnizaciones colectivas y honorarios letrados
|
Asunto
|
Tribunal
|
Causa
|
Acuerdo (millones $)
|
Honorarios Letrados (millones $)
|
| In re Facebook Biometric Info. Privacy Litig. (2021) |
United States District Court Northern District of California |
Infracción de la Illinois Biometric Information Privacy Act (BIPA) por tratamiento ilícito de datos biométricos. |
650 |
97,5 |
| In re Equifax Inc. Costumer Data Sec. Breach Litig. (2020) |
United States District Court, Northern District Georgia, Atlanta Division |
Brecha de seguridad y robo de datos personales, incluidos, financieros y fiscales, de 147 millones de afectados. |
505,5 |
77,5 |
| In re Yahoo! Inc. Costumer Data Sec. Breach Litig. (2020). |
United States District Court Northern District of California San Jose Division |
Brecha de seguridad de los datos de clientes entre 2012 y 2016, incluida su exposición y venta en Dark Web, con unos 194 millones de usuarios afectados. |
117,5 |
22,7 |
| In re Anthem, Inc. Data Breach Litig. (2017). |
United States District Court Northern District of California San Jose Division |
Brecha de seguridad de datos de salud de unos 79 millones de clientes de una compañía de seguros por ciberataque a su base de datos. |
115 |
31 |
| In re TicTok, Inc., Consumer Privacy Litig. (2021) |
United States District Court for the Northern District of Illinois Eastern Division |
Tratamientos de datos personales sensibles y biométricos de unos 89 millones de usuarios, incluidas transferencias a China. |
92 |
30,6 |
| Birchmeier v. Caribbean Cruise Line, Inc. (2017) |
United States District Court for the Northern District of Illinois Eastern Division |
Spam telefónico mediante llamadas automáticas a unos 930.000 usuarios sin su consentimiento, ofreciendo un crucero gratuito si participaban en una encuesta política. |
76 |
18,84 |
| In re the Home Depot, Inc. Data Breach Litig. (2016) |
United States District Court, Northern District Georgia, Atlanta Division |
Brecha de seguridad que afectó a unos 56 millones de usuarios afectados, con robo de datos bancarios y transacciones de crédito y débito fraudulentas por los ciberdelincuentes |
28,4 |
15,3 |
Fuente. Elaboración propia (25) .
En este sentido, las indemnizaciones por daños a la privacidad y los honorarios profesionales reconocidos por los Tribunales federales en los últimos años ofrecen un claro aviso a navegantes de lo que podría estar por llegar en Europa (26) .
Las sendas demandas colectivas presentadas en Reino Unido y Holanda por The Privacy Collective contra Oracle y Salesford ante el EWHC y ante el Corte de Distrito de Amsterdam (Rechtbank Amsterdam) cuantifican la indemnización por daños en 10 mil millones de libras y 10 mil millones de euros, respectivamente. Por su parte, las indemnizaciones individuales se cifran en 500 libras y 500 euros respectivamente por afectado (27) . También en el asunto «McCann v Google Ireland Ltd», la acción colectiva presentada en el High Court ha cuantificado los daños en más 2500 millones de libras, con unas indemnizaciones individuales que oscilarían entre las 100 y las 500 libras.
En segundo lugar, el RGPD ha creado un marco normativo favorable para la puesta en marcha de acciones colectivas. Junto a los instrumentos públicos habituales, como la tutela de Autoridades de control y un régimen administrativo sancionador endurecido, el art. 80 RGPD (LA LEY 6637/2016) ha abierto tímidamente la puerta a mecanismos de tutela colectiva específicos por vulneración de los derechos de los interesados como consecuencia de un tratamiento de sus datos personales en conexión con la posibilidad de ejercitar acciones indemnizatorias por daños y perjuicios materiales e inmateriales irrogados (art. 82 RGPD (LA LEY 6637/2016)) (28) . Aunque el Reglamento europeo no menciona de una forma explícita las acciones colectivas, el precepto en cuestión legitima a entidades, asociaciones y organizaciones que cumplan ciertos requisitos para que puedan presentar reclamaciones colectivas en nombre de los interesados (29) .
A lo anterior debe añadirse la armonización –aunque sea de mínimos– de los procedimientos de tutela colectiva que plantea la Directiva (UE) 2020/1828, de 25 de noviembre de 2020 (LA LEY 23718/2020), relativa a las acciones de representación para la protección de los intereses colectivos de los consumidores (en adelante, «Directiva (UE) 2020/1828 (LA LEY 23718/2020)»), aplicable ratione materiae a las infracciones del RGPD y de la Directiva e-Privacy (30) ).
En tercer lugar, en ciertas jurisdicciones europeas, como la holandesa y en el Reino Unido, los tribunales empiezan a estimar la existencia de daños inmateriales sobre la base de la existencia de infracciones del RGPD. Asimismo, en los casos cada vez más frecuentes de brechas de seguridad, si la pérdida de control de los datos personales justifica la indemnización de daños inmateriales, una brecha a gran escala podría dar lugar rápidamente a acciones colectivas (31) .
Un factor decisivo en el incremento de las demandas colectivas en materia de protección de datos es la irrupción en Europa de firmas boutiques muy especializadas en la litigación colectiva internacional y de fondos de litigación comercial que financian todo el procedimiento
Por último, otro factor decisivo en el incremento de las demandas colectivas en materia de protección de datos que no debería despreciarse es la irrupción en suelo europeo de firmas boutiques muy especializadas en la litigación colectiva internacional, de fondos de litigación comercial que financian todo el procedimiento y de la cobertura de las costas legales del procedimiento mediante los llamados seguros ATE («After the Event») (32) . Así, por ejemplo, la acción colectiva en el asunto McCann v Google Ireland Ltd. está financiada por Vanin Capital PCC (33) . Y el asunto Lloyd v Google ha contado con el apoyo del fondo de litigación, Therium Litigation Funding IC, con una aportación más de 10 millones de libras en tres tramos hasta la resolución del asunto, y tiene una cobertura ATE de hasta 12 millones de libras (34) .
3.
La tutela colectiva en el RGPD
Las acciones colectivas tienen sus orígenes en los sistemas de Common Law, y consisten en un mecanismo procesal de tutela de derechos que, por razones de economía y/o eficiencia, legitima a un número indeterminado de afectados presentar acciones judiciales con el mismo o similar objeto contra el mismo demandado, garantizando así la tutela judicial efectiva. Las acciones colectivas implican, por tanto, notables ventajas, como menores costas judiciales, oportunidad para obtener resarcimiento económico y uniformidad en el tratamiento de asuntos similares (35) .
Por su parte, el art. 3.5 de la reciente Directiva (UE) 2020/1828, de 25 de noviembre de 2020 (LA LEY 23718/2020), relativa a las acciones de representación para la protección de los intereses colectivos de los consumidores («Directiva (UE) 2020/1828 (LA LEY 23718/2020)»), define la «acción de representación» como «toda acción para la protección de los intereses colectivos de los consumidores ejercitada por una entidad habilitada como parte demandante en nombre de los consumidores por la que se solicite una medida de cesación o una medida resarcitoria, o ambas». Nótese, sin embargo, que el texto de la Directiva evita la utilización de cualquier expresión que pueda evocar a las class actions estadounidenses (36) , optando por el término más neutro de «acciones de representación» (37) . Planteamiento que, por cierto, también parece subyacer en el art. 80 RGPD (LA LEY 6637/2016) al referirse a la «representación de los interesados».
Desde una perspectiva netamente europea la tutela colectiva y ejercicio de acciones por parte de organizaciones de la sociedad civil que actúen en defensa del interés público son elementos cruciales de un acceso efectivo a la justicia, se considera que las acciones colectivas pueden ser un vehículo para que los derechos del interesado en relación con sus datos personales sean también efectivos (38) . Esta es una cuestión crucial, ya que, de lo contrario, la falta de reconocimiento del acceso a la justicia hace que los textos legales que desarrollan el Derecho a la protección de datos acaben siendo puro papel mojado. En este contexto, la promoción y apoyo a las entidades, asociaciones y organizaciones colectivas es primordial para evitar la indefensión de los afectados.
La tutela colectiva incluye pretensiones de cesación y de reparación frente al daño causado. El daño puede comprender no solo pérdidas materiales, sino también daños inmateriales o morales (39) . Además, también puede cubrir la compensación del puro incumplimiento de la normativa.
Los sistemas de tutela colectiva pivotan sobre dos clases de modelos. Los «opt-in» exigen una expresión de la voluntad por parte del interesado de ser representado y, así adherirse a la acción; mientras que los modelos de «opt-out» regulan la manera en que los interesados pueden desvincularse para no verse afectados ni por la acción, ni por el resultado del proceso. En el caso de la Directiva (UE) 3030/1812, ésta aspira a ser lo más neutra posible, al no establecer un modelo concreto «opt-in» u «opt-out», al menos en el ámbito de las acciones de resarcimiento, para respetar así la autonomía de los sistemas procesales nacionales (40) , en contra de la Recomendación de la Comisión de 2013 que, apostaba claramente por el «principio de participación voluntaria» (opt-in) (41) .
El Considerando 142 y el art. 80 RGPD (LA LEY 6637/2016) relativos a la «representación de los interesados» suponen una novedad respecto de la Directiva 95/46/CE (LA LEY 5793/1995), pues reconoce el ejercicio de acciones colectivas en el ámbito de la protección de datos personales, al establecer la posibilidad, bajo determinados requisitos, de que el interesado pueda ser representado en juicio por una entidad, organización o asociación sin ánimo de lucro, cuando los derechos amparados por el RGPD hayan sido vulnerados como consecuencia de un tratamiento de sus datos personales (42) .
No obstante, el art. 80 GDPR (LA LEY 6637/2016) no contiene ninguna regulación sustantiva o procedimental de las acciones colectivas en materia de protección de datos, sino que remite al Derecho interno de los Estados Miembros. Lo que significa que podrían existir tantos procedimientos de acciones colectivas como países de la Unión, lo que sería contrario al objetivo de coherencia proclamado por el Reglamento, diluyendo así el grado de armonización en esta materia (43) . Esto volvería a poner de relieve la misma falta de armonización que se observó en un estudio encargado por la Comisión Europea en 2017 (44) .
El RGPD legitima a las entidades indicadas, siempre que exista un mandato del interesado, para presentar reclamaciones ante la autoridad de control competente, y para ejercitar acciones judiciales contra la autoridad de control o contra un responsable o un encargado de tratamiento, incluidas las compensatorias previstas en el art. 82 RGPD (LA LEY 6637/2016) –en este último caso, siempre que así esté previsto en la legislación interna del Estado Miembro (art. 80.1 RGPD (LA LEY 6637/2016)) (45) . Asimismo, el Reglamento prevé la posibilidad, si así lo establece el Derecho del Estado Miembro, de que esta representación colectiva pueda ser ejercitada por tales entidades aún sin mandato del interesado, con excepción de las acciones indemnizatorias (art. 80.2 RGPD (LA LEY 6637/2016)). Restricción última recogida expresamente también en el Considerando 142 RGPD (46) .
Las entidades y organizaciones representativas legitimadas para ejercer las acciones colectivas contempladas en el art. 80 RGPD (LA LEY 6637/2016) deben cumplir, además, los siguientes requisitos: (i) no tener ánimo de lucro, para evitar el llamado «mercado de litigios»; (ii) estar constituida debidamente con arreglo al Derecho de un Estado miembro; tener como objetivos estatutarios la defensa del interés público; (iii) actuar en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de datos (47) .
Uno de los aspectos más relevantes de la representación de los interesados introducida por el RGPD es la posibilidad del ejercicio de acciones colectivas de carácter resarcitorio para reclamar frente al responsable o el encargado del tratamiento una indemnización por los daños y perjuicios irrogados a consecuencia de infracciones del RGPD que pueden implicar la vulneración de los derechos de los interesados. Véanse, por ejemplo, las acciones colectivas relativas a los asuntos «Lloyd v Google», «McCann v Google» y «The Privacy Collective v Oracle y Salesford». Asimismo, en el ámbito de tutela colectiva cada vez son más frecuentes las reclamaciones por los daños materiales y morales por brechas de seguridad, como acreditan los asuntos «British Airways», «Equifax» o «Easyjet» en el Reino Unido (48) .
Respecto de los daños materiales o patrimoniales, son fácilmente verificables y su cuantificación no suelen presentar problemas.
El problema se plantea respecto de los daños inmateriales o morales. Así, por ejemplo, en la mayoría de las brechas de seguridad se reclaman daños morales por el quebranto o angustia («distress») o «pérdida del control» de los datos («loss of control»). Sin embargo, el Reglamento europeo no ha establecido criterios concretos para la cuantificación de esta clase de daños, más allá de las algunas previsiones contenidas en el Considerando 146 RGPD, a saber: en primer lugar, el responsable o el encargado del tratamiento debe indemnizar cualesquiera daños y perjuicios –lo que incluye obviamente los daños morales– que pueda sufrir una persona como consecuencia de un tratamiento en infracción del presente Reglamento; en segundo lugar, el concepto de daños y perjuicios debe interpretarse en sentido amplio a la luz de la jurisprudencia comunitaria, siempre que se respeten plenamente los objetivos del RGPD; y, por último, los interesados deben recibir una indemnización total y efectiva por los daños y perjuicios sufridos. Además de lo anterior, la jurisprudencia comunitaria viene exigiendo que los daños morales sean reales y efectivos, y que exista un nexo causal directo entre la infracción y los daños irrogados (49) .
Algunas resoluciones recientes de los Tribunales holandeses comienzan a establecer criterios determinantes para la cuantificación del daño, como son la naturaleza de los datos personales afectados (e.g. si son ordinarios o categorías especiales de datos), la gravedad de la infracción y el número de interesados afectados, la duración de la infracción y el carácter irreversible e irreparable de la misma, como sucedería en los casos en que se produce pérdida de control permanente de los interesados sobre sus datos personales por las consecuencias adversas que ello puede conllevar a futuro (50) .
En el Reino Unido, también hay experiencias similares con pronunciamientos muy minuciosos (51) . Además, fallos relativamente recientes parecen establecer ciertos umbrales para la admisión de estas causas (e.g. gravedad de la infracción frente a una brecha puntual accidental, ya que esta última no tendría la entidad suficiente para acreditar una demanda por pérdida de control) (52) . Sin embargo, esto contrasta con la opinión del Director de la autoridad de control holandesa para quien los daños inmateriales deberían ser compensados incluso por infracciones triviales de las obligaciones contempladas en el RGPD (53) ; haciéndose eco, seguramente, del pronunciamiento de la Corte del Distrito de Ámsterdam en su Sentencia de 2 de septiembre de 2019: «Todos los daños deben ser indemnizados y el concepto de daño debe, de acuerdo con los objetivos del RGPD, interpretarse de manera amplia (considerando 146), lo que significa que el mero hecho de que el daño sea (real pero) de alcance relativamente pequeño no puede constituir un motivo para rechazar una reclamación al respecto» (54) . Esto nos lleva incluso a considerar la posible procedencia de una indemnización por el incumplimiento de la normativa per se.
4.
Marco legal en Reino Unido para las acciones colectivas en materia de protección de datos
Desde la reforma del año 2000 de las Civil Procedure Rules 1998 (en adelante, «CPR») (55) , las normas de procedimiento civil en el Reino Unido contemplan dos sistemas de acciones colectivas que posibilitan la litigación de grupo («group litigation») contra un mismo demandado. Por un lado, las «Group Litigation Orders» (en adelante, «GLO») (56) u Órdenes de Litigación de Grupo, por un lado; y, por otro, las «Representative Actions» (en adelante, «RA») (57) o Acciones de Representación.
Tabla 2. Acciones colectivas en el Reino Unido en materia de datos personales
|
Acción colectiva
|
Estadio procesal
|
Objeto de reclamación
|
Daños reclamados
|
|
Morrisons
(GLO)
|
UK Supreme Court (desestimando responsabilidad in vigilando del empresario). |
Brecha de seguridad por filtración de datos personales (incluidas nóminas) de unos 100.000 empleados por antiguo auditor interno IT de la empresa. |
No disponible. |
|
Lloyd v. Google
(GLO)
|
UK Supreme Court (pendiente de sentencia) |
Tratamiento ilícito de datos personales de unos 4,4 millones de usuarios por eludir el sistema de bloqueo de cookies de terceros del navegador de Safari e instalación de cookies propias DoubleClick. |
3.300 millones de libras.
750 libras por afectado individual.
|
|
British Airways
(GLO)
|
EWHC (acuerdo extrajudicial en julio 2021) |
Brecha de seguridad en 2018 por ciberataque que afectó a más de 500.000 clientes. |
2.400 mil millones de libras (oferta de acuerdo realizada por BA).
624 libras por afectado individual.
|
|
The Privacy Collective v. Oracle y Salesforce
(Rep. Action)
|
EWHC |
Tratamiento ilícito de datos personales al intercambiar y sincronizar identificadores únicos e información asociada a cookies de sus plataformas de gestión de datos (DMP) para enriquecer perfiles de usuarios que se utilizan en subastas en tiempo real de espacios publicitarios en sitios web (Real Time Biding). |
10 mil millones de libras.
500 libras por afectado individual.
|
|
McCann v. Google
(Rep. Action)
|
EWHC |
Tratamiento ilícito de datos personales de menores que acceden a los contenidos de Youtube. |
2.500 millones de libras.
100-500 libras por afectado individual.
|
|
Easyjet
(GLO)
|
EWHC |
Brecha de seguridad que afectó a los datos personales de más de 9 millones de clientes en el mundo a consecuencia de un ciberataque en enero 2020. |
18 mil millones de libras.
Hasta 2000 libras por afectado individual.
|
Fuente. Elaboración propia. (58)
Según las normas 19.10 y 19.11 CPR, las GLO consisten en una resolución judicial que permite el tratamiento procesal conjunto de reclamaciones que impliquen o puedan implicar cuestiones de hecho o de derecho comunes o relacionadas («common or related issues of fact or law»). Las GLO siguen un esquema «opt-in», de manera que sólo aquellos demandantes individuales que realicen actuaciones positivas para adherirse a la acción colectiva serán incluidos en ésta (59) .
Es por ello, que dentro de este esquema de acción colectiva una de las actuaciones procesales más relevantes es la constitución del llamado Registro de Grupo (Group Register), pues identifica la relación de demandantes y sus respectivas reclamaciones (60) .
La GLO contiene las instrucciones para establecer el Registro de Grupo (Group Register) que deberá incluir, entre otros datos, la identificación individual de los reclamantes, sus reclamaciones concretas y su número de registro, la fecha de entrada en el Registro de Grupo y la relación de letrados intervinientes. El efecto principal de la GLO es que cualquier sentencia o resolución recaída en el procedimiento es vinculante para todas las partes incluidas en el Registro de Grupo. El tribunal competente para la GLO puede fijar una fecha límite para la inscripción en el Registro de Grupo sin autorización del Tribunal, cuyo objeto es proporcionar certeza sobre el tamaño, el alcance y la cuantía de la acción colectiva, y garantizar que los procedimientos no se vean interrumpidos indebidamente por nuevos reclamantes que se incorporaron tardíamente. Esta fecha límite no debe confundirse con el plazo de prescripción de la acción, de manera que, si la prescripción aún no se ha producido, es posible que nuevos demandantes puedan presentar sus reclamaciones por separado (61) .
Así, por ejemplo, en el asunto British Airways, durante la audiencia pública del 1 de febrero 2021, la acción colectiva sumaba ya unos 22.230 reclamantes adheridos, con posibilidades de incrementar tal cifra, pues el High Court of England and Wales (en adelante, «EWHC») amplió el plazo de adhesión de nuevos demandantes hasta el 3 de julio de este año (62) .
En la práctica estas acciones se suelen considerar más apropiadas para grupos más pequeños de demandantes (63) y, además, requieren de una cierta estructura para gestionar el grupo, lo que implica contar con cierta financiación.
Por su parte, las «Acciones Representativas» están previstas en la norma 19.6 CPR y constituye un modelo de acción colectiva tipo opt-out, en la que el demandante representativo y las personas determinada (es decir, la «clase») tienen el «mismo interés». Este tipo de acciones se presentan en nombre de una «clase» bien delimitada, y por ello, no es necesario identificar individualmente a los demandantes, ni obtener autorización judicial para ser presentadas. Esto significa que, a menos que un miembro de la clase se desvincule expresamente de la acción, quedará automáticamente incluido en la misma. Históricamente, los Tribunales ingleses han aplicado de forma estricta el «test del mismo interés», rechazando multitud de intentos de utilizar este instrumento procesal para presentar acciones colectivas que no encajaban claramente en este esquema. El «test del interés» exige que cualquier interesado considerado como «miembro de la clase representada» tenga el «mismo interés» que el demandante principal en todas fases del procedimiento y en todas las actuaciones procesales –y no solo al final del pleito. Esto no es posible si el demando puede oponer excepciones procesales frente a algunas reclamaciones, pero no frente a otras. Dado que los miembros de la clase representada no se incorporan a la acción como partes procesales, estos no están sujetos a obligaciones de divulgación o a las costas procesales. Sin embargo, la clase representada está vinculada por la determinación judicial de los hechos (64) .
El art. 80 de la UK RGPD prevé la posibilidad de que determinadas organizaciones, asociaciones y entidades que cumplan con los requisitos del artículo 187 (1) de la DPA 2018 puedan actuar en nombre de los interesados, autorizando a una entidad representativa a: (1) presentar una reclamación ante el ICO; (2) ejercer la tutela judicial efectiva frente a las decisiones del ICO que afecten a los interesados; y (3) ejercer el derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños sufridos. En los apartados (3) y (4) del mismo artículo de la DPA se establecen dos requisitos a las organizaciones y entidades para actuar nombre de los interesados. En primer lugar, el organismo u organización, en virtud de sus estatutos de constitución o bien por estar previsto en la Ley (a) estará obligada a aplicar la totalidad de sus ingresos y capitales a fines exclusivamente benéficos o públicos; (b) no podrá distribuir directa o indirectamente entre sus miembros cualquier parte de sus activos (excepto para fines benéficos o públicos); y (c) deberá tener fines de interés público. En segundo lugar, la entidad u organización deberá actuar en ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales.
Aunque en los trabajos preparatorios de la DPA, el Reino Unido se abstuvo de introducir previsiones específicas que desarrollasen el art. 80.2 RGPD (LA LEY 6637/2016) –discrecionalidad que sí ejercieron Bélgica, Francia y Dinamarca–, el artículo 189 de la DPA 2018 exigía al Gobierno británico revisar esta posibilidad en octubre del 2020, para determinar la conveniencia de introducir la legitimación de las entidades representativas para ejercer el derecho a reclamar una compensación en nombre de los interesados sin su mandato, lo que, en esencia, establecería una suerte de acción colectiva bajo un modelo opt-out para el Reino Unido. Entre las conclusiones alcanzadas, el Gobierno rechazó la necesidad de tal modificación legislativa, ya que la norma 19.6 CPR ya contemplaba este mecanismo procesal, como así lo acreditaba el asunto Lloyd. Esta decisión de aparcar la cuestión, de momento, parece estar influida por el devenir del caso Lloyd (cuya resolución se espera por parte del Supremo en otoño de 2021), por lo que más pronto que tarde la revisión de la DPA 2018 deberá abordarse (65) .
5.
Conclusiones
Los recientes asuntos «Lloyds», «British Airways», «Oracle y Salesford», o «Equifax» en el Reino Unido evidencian una creciente tendencia de los Tribunales ingleses a admitir procedimientos de tutela colectiva de derechos en materia de protección de datos.
En este sentido, las acciones colectivas se están convirtiendo en un «área de riesgo» en ascenso para aquellos responsables y encargados de tratamiento que, con independencia del sector, tratan grandes volúmenes de datos personales. En términos de riesgo, mientras que una reclamación individual puede llevar aparejada una condena recatada, un grupo numeroso de demandantes agrupado en torno a una acción colectiva puede significar indemnizaciones millonarias por daños, a lo que, además, deben unirse las eventuales sanciones administrativas de la Autoridad de control por incumplimiento del RGPD.
Aunque desde la reforma del año 2000 de su legislación procesal esta clase de reclamaciones se han venido presentado frecuentemente bajo un esquema «opt-in» («Morrisons», «British Airways»), en los últimos tiempos se ha observado un auge de las acciones colectivas bajo el modelo «opt-out» («Llodys», «Equifax», «McCann v. Youtube», «Oracle y Salesford»).
Entre los factores que han influido en la expansión de la tutela colectiva en materia de protección de datos se encuentra el marco jurídico creado por el RGPD, que en sus arts. 80 y 82, abre la puerta a las acciones colectivas en este ámbito, posibilitando la reclamación de daños materiales y morales por parte de entidades u organizaciones sin ánimo de lucro por la vulneración de los derechos de los interesados a consecuencia del tratamiento de sus datos. Otros factores determinantes son las cuantiosas indemnizaciones por daños que pueden alcanzar esta clase de procedimientos en caso de resultar exitosos –millones y miles de millones de euros– y los muy atractivos honorarios profesionales que devengan; o también la irrupción de firmas boutiques especializadas en esta clase de litigación, o el incentivo que suponen los fondos de litigación que dan apoyo financiero al desarrollo del procedimiento o la cobertura de los seguros ATA.
A diferencia de España, el Reino Unido es uno de los países europeos que ha incorporado en su legislación interna, la DPA 2018 previsiones específicas al respecto. De hecho, para el período post-Brexit el UK GDPR (LA LEY 6637/2016) mantiene la tutela colectiva. Así, sobre la base de dicha legitimación activa que el UK GDPR (LA LEY 6637/2016) ofrece, en estas lides, la presencia de activistas y grupos para la defensa de los derechos de los afectados es cada vez más significativa.