Con el El Derecho a la indemnización y responsabilidad ante el incumplimiento del RGPD, un año después de la obligatoria aplicación del Reglamento General de Protección de Datos (RGPD), los Responsables del tratamiento ya conocen -o deberían conocer- las voluminosas sanciones que les podrían ser impuestas, en caso de vulnerar las disposiciones de la norma. No obstante, es menester conocer otras cuestiones relativas con el incumplimiento de la normativa sobre protección de datos: el Derecho a la indemnización y responsabilidad ante el incumplimiento del RGPD.

Derecho a la indemnización

El RGPD establece que el Responsable o el Encargado del tratamiento deben indemnizar cualesquiera daños y perjuicios que pueda sufrir una persona como consecuencia de un tratamiento, habiendo incumplido sus obligaciones. En particular, el artículo 82.1 establece que Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del Responsable o el Encargado del tratamiento una indemnización por los daños y perjuicios sufridos. Ello debe ser entendido incluyendo las vulneraciones presentes en las disposiciones de desarrollo del RGPD en los Estados Miembros, en el caso de España, la Ley Orgánica de Protección de datos y Garantía de Derecho Digitales (LOPDGDD).

Dicha indemnización será totalmente independiente de los recursos administrativos o extrajudiciales disponibles – reclamaciones ante la Agencia Española de Protección de Datos -. El mismo RGPD reconoce el Derecho a los interesados a una tutela judicial efectiva para reclamar tales daños y perjuicios. El mismo artículo 79.2 señala que estas acciones contra un Responsable o Encargado del tratamiento deberán ejercitarse ante los tribunales del Estado miembro en el que tengan un establecimiento.

Tal y como señala el artículo 80, es menester añadir que, dichas acciones, podrán ser promovidas por el mismo interesado o por entidades, organizaciones o asociaciones sin ánimo de lucro, debidamente establecida con arreglo al Derecho y cuyos objetivos sean el interés público en el ámbito de protección de los derechos y libertades en materia de protección de datos. En España, a modo de ejemplo, tales entidades podrían ser la Asociación de Consumidores y Usuarios en Acción (FACUA) o la Organización de Consumidores y Usuarios (OCU). Respecto esta última, debemos señalar la acción colectiva que está llevando a cabo la OCU contra Facebook, por su implicación en el caso de Cambridge Analítica –

-donde exigen al gigante norteamericano 200 euros a cada usuario, que pudiera ser víctima del mal uso de sus datos-. 

 

Responsabilidad del Responsable

Tras mencionar las posibilidades del interesado de reclamar unos daños derivados del mal uso de sus datos, debemos señalar el régimen de responsabilidad al que se enfrentan los Responsables del tratamiento. El apartado 2 del artículo 82 del RGPD establece que cualquier Responsable que participe en una operación de tratamiento responderá de los daños y perjuicios causados en caso de que el tratamiento de datos vulnere los derechos del interesado. Este quedará exonerado si demuestra que no es en modo alguno responsable de causar el daño al interesado. Debido a ello, el Principio de responsabilidad proactiva del artículo 5.2 del RGPD cobra especial relevancia. Este principio debería proporcionar las herramientas necesarias para demostrar el cumplimento de la aplicación del RGPD, generando registros y custodiando documentos, para quedar exonerado de una eventual indemnización en favor del interesado.

Merece especial mención el apartado 4 del artículo 82, que establece que cuando exista un tratamiento conjunto entre varios Responsables y/o Encargados, cada uno de ellos será responsable de todos los daños y perjuicios, a fin de garantizar una efectiva al interesado. No obstante, este tendrá derecho de repetición contra el resto de los sujetos intervinientes – la responsabilidad es solidaria-. Es por ello por lo que, en caso de contratar con terceros – ya sean encargados del tratamiento o corresponsables – se debería valorar su cumplimiento de la norma y establecer un régimen de responsabilidad adecuado en el contrato.

 

Responsabilidad del Encargado

El artículo 82.2 del RGPD, también señala que un Encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del RGPD dirigidas específicamente a él o haya actuado al margen o en contra de las instrucciones legales del responsable.

El RGPD, a diferencia de la normativa anterior, señala como sujetos sancionables a los prestadores de servicio que accedan a los datos del Responsable del tratamiento, tal y como establece el artículo 70.1.b de la LOPDGDD. Estos están sujetos a todas las obligaciones que señala la normativa, debido a que actúan también como responsable. No obstante, cuando acceden a datos para la prestación de un servicio, están sujetos a ulteriores obligaciones. Son ejemplos de ello la llevanza de un Registro de Actividades del tratamiento como Encargado del tratamiento o informar al Responsable cuando este no cumpla el RGPD.

El mismo artículo 28 RGPD establece, sin perjuicio de las sanciones e indemnización derribada del incumplimiento de la normativa, este será considerado responsable del tratamiento cuando este determine los fines y medios de un tratamiento concreto. Ello podría generar ulteriores infracciones e incrementar el régimen de responsabilidad de este.

Conclusión

El Derecho a ser indemnizado no es algo nuevo, pues estaba presente en el artículo 18 de la LOPD 19/1999: Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados. La normativa actual se caracteriza por garantizar la tutela judicial efectiva, sin perjuicio de una eventual tutela de los recursos administrativos que existan para señalar y sancionar un daño – y, en consecuencia, una infracción de la normativa-. También se añade la posibilidad de que organizaciones o entidades asuman la representación de los interesados afectados, para llevar a cabo una acción colectiva contra un Responsable que les haya causado un daño.

La responsabilidad a la que se enfrentan los Responsables y Encargados del tratamiento puede causar que, incluso, se pudiese superar las abultadas cifras de las sanciones que impone el RGPD. Cobra especial relevancia la causación conjunta de daños, con lo que deberemos realizar tratamientos en régimen de corresponsabilidad y contratar con Encargados que garanticen el cumplimiento de la norma, además de fijar muy claramente la responsabilidad de cada uno mediante el contrato correspondiente. Finalmente, el mejor aliado para evitar los daños y perjuicios al interesado, o no tener que responder de ellos, es el principio de responsabilidad proactiva, asegurando el cumplimiento de la norma y pudiendo demostrar cumplimiento mediante evidencias.

incumplimiento

Por todo ello, recomendamos concienzudamente a los Responsables y Encargados del tratamiento a tener muy en cuenta el Derecho a la indemnización y responsabilidad ante el incumplimiento del RGPD.

 

En Grupo Adpatalia, estamos seguros que os podemos ayudar, sólo con poneros en contacto con nosotros, uno de nuestros expertos, le orientará y ayudará a resolver su problema.