(por Federica De Stefani, abogada y gerente de Aidr Regione Lombardia) Las sanciones que se derivan de un tratamiento ilegal de datos pueden tener diversas características, ya que, de acuerdo con la legislación vigente, las sanciones penales, administrativas y civiles pueden coexistir entre ellas, dependiendo de tipo de violación
En general, estamos acostumbrados a pensar que el Reglamento Europeo de Protección de Datos solo prevé sanciones administrativas millonarias (hasta 20 millones de euros), pero el mismo Reglamento establece, en el art. 82 también la posibilidad de que quienes sufren daños derivados del tratamiento ilegal soliciten la compensación correspondiente.
Recientemente, la regla llegó a los titulares de una sentencia del Tribunal Superior Regional de Austria que sancionó la compensación por el daño derivado del tratamiento ilegal de los datos y especificó las condiciones para obtener una indemnización por el daño.
Artículo. 82 del Reglamento, en realidad, es claro al proporcionar expresamente la compensación por el daño material o inmaterial causado por un procesamiento ilegal de datos al indicar a los sujetos obligados a pagar una compensación en el controlador de datos o el controlador de datos.
En esencia, si, por un lado, la ley reconoce expresamente la admisibilidad del daño inmaterial, por otro, para que surja la obligación de indemnización, es necesario que existan:
- un procesamiento ilegal de datos, es decir, una conducta activa u omitiva que integra una violación de las normas del Reglamento;
- el daño;
- El vínculo etiológico entre la conducta y el daño.
El Reglamento establece que el daño (material o inmaterial) es resarcible si es causado por una violación del reglamento y prevé para el responsable del tratamiento y el encargado del tratamiento la posibilidad de quedar exentos de responsabilidad si demuestran que el hecho lesivo no es de ninguna manera un atribuible a ellos.
Esto significa que la responsabilidad que se está discutiendo no es una responsabilidad objetiva, sino que existe solo en el caso de que haya una relación causal entre la violación del Reglamento (atribuible al propietario o gerente) y el evento nocivo.
En otras palabras, el sujeto tiene la oportunidad de proporcionar pruebas de que ha cumplido correctamente las obligaciones derivadas del Reglamento y de que ha tomado las medidas adecuadas para la protección de datos.
Esta es, sin lugar a dudas, una disposición regulatoria muy amplia, por así decirlo, si consideramos que la frase "una violación de esta regulación" sin especificar ningún aspecto adicional, requiere recurrir al considerando 85 para obtener una lista ejemplar, y ciertamente no exhaustivo, de las razones que podrían ser la base de una solicitud de indemnización.
El considerando 85, de hecho, indica una serie de aspectos relacionados con:
- pérdida de control de los datos personales de las partes interesadas;
- limitación de sus derechos;
- discriminación;
- usurpación o robo de identidad;
- pérdidas financieras;
- descifrado no autorizado de seudonimización;
- daño a la reputación;
- Pérdida de la confidencialidad de los datos personales protegidos por el secreto profesional.
Finalmente, concluye con la hipótesis genérica de "cualquier otro daño económico o social significativo para la persona física en cuestión".
La fórmula de cierre se alinea con la disposición del art. 82 que generalmente indica "cualquier violación de esta regulación", dejando así una amplia posibilidad de identificación de los casos específicos.
En una sentencia muy reciente, el Tribunal Regional Superior de Austria de Innsbruck (Sentencia de 13.02.2020 - Az.: 1 R 182/19 b) intervino en la cuestión de la indemnización por daños derivados de una violación del RGPD y especificó que la indemnización por daños derivado de un tratamiento ilícito de datos no es re ipsa, sino que corresponde al reclamante de indemnización demostrar el daño derivado de la ilicitud del tratamiento y las características del daño sufrido.
En el litigio, por lo tanto, no es suficiente afirmar haber sufrido daños simplemente por haber sufrido un tratamiento ilegal de los datos, pero es necesario proporcionar evidencia de un vínculo etiológico entre los dos.
Por lo tanto, será necesario articular su solicitud explicando el daño sufrido, indicando las diversas peculiaridades. Por lo tanto, el daño debe calificarse y especificarse, haciendo referencia también a los tipos de riesgos indicados en los considerandos 75 y 85 del Reglamento que, en cualquier caso, solo proporcionan indicaciones indicativas. Por lo tanto, el daño debe ser detallado y no indicado genéricamente recurriendo a una "categoría genérica". El interesado también debe presentar pruebas de que realmente ha sufrido el daño reclamado. Nuevamente, no es suficiente invocar una categoría genérica y afirmar haber sufrido la lesión relacionada, pero se debe proporcionar evidencia concreta del daño reportado y también se debe demostrar la extensión del daño. Este último, de hecho, no puede, a efectos de compensación, considerarse una simple preocupación o una simple molestia derivada del tratamiento ilegal. En otras palabras, el daño debe tener un significado significativo, por así decirlo, para ser considerado relevante a los efectos de la indemnización.
A todo esto se agrega, además, el vínculo etiológico.
El daño reportado debe ser una causa directa de la violación de datos, según lo dispuesto expresamente en el art. 82 del Reglamento.
En conclusión, por lo tanto, es posible obtener una compensación por el daño sufrido como resultado de la violación de los datos personales, incluso si está sujeto, como se ve, a restricciones probatorias bastante específicas.
Una consideración particular merece el hecho de que no es una responsabilidad objetiva lo que automáticamente causa que surjan daños.
El GDPR es una regulación muy particular que, en virtud del principio de rendición de cuentas, deja al propietario una amplia elección con respecto a las medidas que se deben tomar para el cumplimiento.
Esto se traduce en la posibilidad de tener soluciones adecuadas para una determinada realidad, pero que si se aplican a diferentes realidades pueden no garantizar la protección de los datos personales.
La evaluación preliminar de las medidas tomadas por el propietario antes de presentar reclamos por daños será, en un futuro próximo, indispensable para evaluar el posible resultado de un caso judicial.