Volver a página de inicio

El Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016) deja claro, en su art. 82, que, si alguien sufre daños por una infracción de esta norma, tiene derecho a una indemnización total y efectiva (incluyendo daños morales) del responsable o encargado del tratamiento. El RGPD contempla, según Cavaller Vergés (2024) (1) , una responsabilidad de carácter mixto combinando la diligencia debida del responsable con la inversión de la carga de la prueba y un alto nivel de exigencia en las normas técnicas y conductuales para todos los agentes involucrados en el tratamiento de datos personales. Esto configura un sistema intermedio que representa una evolución jurisprudencial del sistema de responsabilidad civil por culpa.

Pues bien, para que esa indemnización sea una realidad, deben cumplirse tres requisitos: demostrar que hubo una infracción, que se produjeron unos daños (materiales o morales) y que existe relación de causalidad entre ambos. La letra pequeña: ¿Es suficiente únicamente la existencia de una infracción? La respuesta es negativa. El Tribunal de Justicia de la Unión Europea (TJUE) aclaró en su Sentencia de 4 de mayo de 2023 —C-300/21 (LA LEY 66893/2023)— que no basta con señalar una infracción del RGPD para que prospere la reclamación civil. Hay que demostrar que el daño sufrido está directamente conectado con esa infracción. Incluso los daños morales, que pueden ser más difíciles de cuantificar, necesitan servirse de pruebas concretas que permitan establecer una relación causal. Aquí, la jurisprudencia nacional, como referiremos posteriormente, debe entrar en juego para fijar los criterios de valoración de esta responsabilidad. Las brechas de seguridad son un ejemplo muy gráfico. En su Sentencia, de 14 de diciembre de 2023, en el asunto C-340/21 (LA LEY 321047/2023), el TJUE explicó que quienes vean comprometidos sus datos personales en una brecha de seguridad pueden reclamar siempre que se cumplan tres condiciones, a las que ya nos hemos referido, si bien presentan ahora matices importantes: i) la existencia de una infracción del RGPD, teniendo en cuenta que la brecha debe derivar de un incumplimiento de las obligaciones del responsable; ii) la existencia de unos daños, que pueden incluir el miedo razonable a que los datos se usen indebidamente, lo que podría constituir un daño moral indemnizable; y iii) la existencia de una relación de causalidad. Hay que demostrar que el daño es consecuencia directa de la infracción. Eso sí, la carga de la prueba puede volverse un desafío para los afectados, que deben demostrar la existencia del daño —no con suposiciones o meras conjeturas— que el daño existe y es indemnizable.

Tal y como considera el TS una cosa es la infracción de la normativa sobre protección de datos, que puede dar lugar a una sanción administrativa y otra la obtención de una indemnización que no puede ser automática; sin que quepa una equiparación lineal entre infracción e indemnización (STS 398/2024, de 19 de marzo (LA LEY 40888/2024)).

¿Y los responsables pueden esquivar esta responsabilidad civil? Sí, pero no es fácil. Según el artículo 82.3 del RGPD (LA LEY 6637/2016), un responsable puede exonerarse si demuestra que los daños no son atribuibles a su incumplimiento. Es decir, una brecha de seguridad podrá liberar al responsable si demuestra que cumplió con las medidas de seguridad adecuadas, conforme al RGPD, como la realización de una evaluación de riesgos, la implementación del Esquema Nacional de Seguridad, en el sector público, o la realización de evaluaciones de impacto (EIPD), si estuviera obligado a ello. Esta prueba de cumplimiento normativo podría articularse a través de resoluciones de la autoridad de control o, en su caso, resolución judicial, donde no se demuestre la existencia de infracción del RGPD, a pesar de la existencia de una quiebra de seguridad. En todo caso, incumbe al responsable del tratamiento la carga probatoria, siendo admisibles todos los medios de prueba admitidos en Derecho, y, por ello, estos no pueden quedar reducidos a meras pruebas periciales (2) . Consideramos que sería interesante que el legislador facilitara, en estos supuestos, el acceso a determinadas fuentes de prueba a los afectados, como la exigencia judicial de exhibición de documentos relevantes del responsable (más a allá de las tradicionales diligencias preliminares), como ocurre en las acciones de daños por ilícitos en materia competencia, por mandato de la Directiva 2014/104/UE (LA LEY 18555/2014) y su trasposición mediante Real Decreto-ley 9/2017 (LA LEY 8143/2017).

Por otro lado, encontramos como supuestos clásicos de exoneración el caso fortuito y la fuerza mayor, y la culpa exclusiva de la víctima. CASTÁN (3) define el caso fortuito como un evento no que resulta imprevisto o, aunque previsto, inevitable, impidiendo el cumplimiento de la obligación. El artículo 1105 del Código Civil (LA LEY 1/1889) establece que, salvo que la ley o la propia obligación dispongan lo contrario, nadie será responsable de hechos que no pudieran haberse previsto o, aun previstos, fueran inevitables. La jurisprudencia española, sin embargo, no lo pone tan sencillo. Por ejemplo, eventos como robos o huelgas no eximen de responsabilidad al atribuirse a una deficiente gestión, organización o actividad de la entidad responsable.

En España, el RGPD las reclamaciones por daños pueden combinarse con otras vías legales, como las previstas en la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen (LA LEY 1139/1982), o en el artículo 1902 del Código Civil (LA LEY 1/1889) (responsabilidad extracontractual). La compatibilidad de acciones indemnizatorias la encontramos habitualmente, por ejemplo, en los supuestos de daños derivados de infracciones del derecho al olvido; o en los supuestos de intromisión ilegítima al derecho al honor, por parte de sistemas de información crediticia (morosidad) por inclusiones indebidas en el mismo. Sin embargo, el Supremo (STS 210/2016, de 5 de abril (LA LEY 19837/2016), y STS 398/2024, de 19 de marzo (LA LEY 40888/2024)) ha dejado claro que, aunque se lesionen diferentes derechos, el daño moral indemnizable es único, ya que deriva de una única conducta ilícita.

En otro orden de cosas, el RGPD atribuye al encargado del tratamiento una responsabilidad «únicamente» por los daños derivados de un incumplimiento de las obligaciones del Reglamento dirigidas específicamente a los encargados o, en su caso, de «las instrucciones legales del responsable» (artículo 82.2). En cambio, si el incumplimiento que ha generado el daño ha sido producido únicamente por el encargado, ambas figuras podrían responder conjuntamente, y de forma solidaria, frente al afectado (artículo 82.4 RGPD (LA LEY 6637/2016) y artículo 30.2 LOPDGDD (LA LEY 19303/2018)). La responsabilidad del responsable no deriva de una eventual falta de diligencia en la selección o supervisión del comportamiento del encargado, sino de una asunción primaria de todos los daños que puedan ocasionarse como consecuencia de un tratamiento de datos personales en el cual haya definido sus fines y medios. Se erige, por tanto, al responsable en un garante último frente a los interesados del cumplimiento de todos los deberes legales relacionados con los datos personales tratados (4) .

En lo que respecta a la cuantificación de las indemnizaciones, debemos recordar que el TS no establece, por ejemplo, límites predeterminados para las indemnizaciones por daños morales (5) ; en su lugar, cada caso se evalúa individualmente, considerando las circunstancias específicas y personales de la víctima, y la gravedad o intensidad de la lesión al derecho fundamental afectado. La doctrina del TS viene manteniendo que no son admisibles las indemnizaciones simbólicas porque estamos ante la presencia de derechos fundamentales (entre otras, STS de 18 de febrero de 2015 (LA LEY 10067/2015)), y pueden provocar un efecto disuasorio inverso. No estimularían a las empresas a ser respetuosas con el tratamiento de los datos y disuadiría a los afectados de reclamar judicialmente la indemnización de los perjuicios padecidos (STS 261/2017, de 26 de abril (LA LEY 32299/2017)). En todo caso, los tribunales españoles deberán seguir desarrollando criterios más precisos para la cuantificación de los daños, especialmente los inmateriales, para evitar la arbitrariedad y garantizar una mayor seguridad jurídica (6) .

En conclusión, a medida que se consolide la jurisprudencia (principalmente del TJUE) y aumente la conciencia sobre los derechos de protección de datos, se espera un incremento en la litigiosidad en este ámbito. Las reclamaciones indemnizatorias por infracciones del RGPD está llamado a consolidarse, en los próximos años, como una herramienta para proteger eficazmente los derechos de los afectados. Pero también plantea retos: desde la dificultad de probar daños morales hasta la necesidad de equilibrar la carga probatoria entre afectados y responsables. Y por supuesto, el establecimiento de indemnizaciones que no resulten simbólicas. El camino hacia una compensación efectiva aún tiene mucho margen para avanzar, especialmente en un contexto donde las brechas de seguridad son cada vez más frecuentes. ¿La clave? Mejorar las medidas preventivas (principio de responsabilidad activa), aclarar los criterios de reparación y facilitar el acceso a fuentes de prueba a los interesados, para que este derecho no sea solo un planteamiento teórico, sino una realidad accesible las personas afectadas.