Las entidades locales, en el ejercicio de sus funciones como responsables o encargados del tratamiento de datos personales deben cumplir con la normativa de protección de datos personales. El incumplimiento de esta normativa puede ocasionar daños y perjuicios materiales o inmateriales a los interesados, de los cuales deberá responder dicha entidad local salvo que pruebe que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.
Esta responsabilidad por daños y perjuicios está regulada, como vamos a ver, en el artículo 82 del Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, Reglamento UE 2016/679).
La necesidad de probar el daño y perjuicio en materia de protección de datos
El artículo 82.1 del Reglamento UE 2016/679 reconoce el derecho a una indemnización efectiva y solidaria a toda persona que haya sufrido daños y perjuicios («materiales o inmateriales») como consecuencia de una infracción de este Reglamento:
«1. Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos».
Por tanto, el Reglamento reconoce el derecho de toda persona a recibir una indemnización por los daños sufridos por su incumplimiento. Si bien, ¿basta con la infracción para que sea otorgada dicha indemnización? En lo relativo a esta cuestión se ha pronunciado el Tribunal de Justicia de la Unión Europea (en adelante, TJUE), cuyas sentencias de 4 de mayo de 2023, 14 de diciembre de 2023 o 20 de junio de 2024, determinan que:
«Una infracción de este Reglamento no basta, por sí sola, para fundamentar un derecho a indemnización».
En consecuencia, para que nazca el derecho de indemnización son necesarios tres requisitos acumulativos:
- Que exista una infracción de las disposiciones del Reglamento UE 2016/679 en el tratamiento de datos.
- Que existan daños y perjuicios sufridos y probados por el interesado.
- Que exista relación de causalidad entre dichos daños o perjuicios y la infracción.
No todo incumplimiento de la normativa de protección de datos da lugar a una indemnización, correspondiendo al interesado demostrar que las consecuencias de esa infracción le han ocasionado un daño.
La prueba de la exención de la responsabilidad por parte de la entidad local
El artículo 82.2 del Reglamento UE 2016/679 reconoce el deber del responsable y/o encargado del tratamiento de responder de estos daños:
«2. Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento. Un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del presente Reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable».
Si bien, el párrafo tercero establece la posibilidad de la administración local de exonerarse de responder de estos daños si demuestra que no se le pueden atribuir:
«3. El responsable o encargado del tratamiento estará exento de responsabilidad en virtud del apartado 2 si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios».
Así pues, las entidades locales responsables o encargadas del tratamiento responderán de estos daños salvo que demuestren que no se les puede atribuir el hecho que haya causado tales perjuicios.
El TJUE también se ha pronunciado sobre esta cuestión en su sentencia del 14 de diciembre de 2023 o del 21 de diciembre de este mismo año, indicando que:
«En consecuencia, procede responder a la quinta cuestión prejudicial que el artículo 82 del RGPD debe interpretarse en el sentido de que el nacimiento de la responsabilidad del responsable del tratamiento está supeditado a la existencia de culpa por parte de este, la cual se presume, a menos que este demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios»
Según el TJUE, del análisis conjunto de las diferentes disposiciones del artículo 82 del Reglamento UE 2016/679 se desprende que este artículo establece un régimen de responsabilidad por culpa en el que la carga de la prueba recae sobre el responsable del tratamiento.
En caso de daños en materia de protección de datos, se presume la culpa de la entidad local responsable del tratamiento salvo prueba en contrario.
El nacimiento de la responsabilidad del responsable o encargado del tratamiento está supeditado a la existencia de culpa por parte de este, la cual se presume, a menos que este demuestre que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios o, dicho de otra manera: el responsable o encargado del tratamiento estará exento de responsabilidad si demuestra que no es en modo alguno responsable de la acción u omisión que haya provocado los daños y perjuicios.
En caso de reclamación de daños en materia de protección de datos a las administraciones públicas como responsables o encargados del tratamiento, la indemnización por dicha responsabilidad se exigirá conforme a la normativa sobre responsabilidad patrimonial.
En definitiva, las administraciones públicas como encargado o responsable del tratamiento de datos deben cumplir con la normativa de protección de datos personales, adoptando las medidas necesarias para garantizar dicho cumplimiento. Si bien, ante un incumplimiento de tales medidas, la entidad local responderá de los daños (previamente probados por el interesado) salvo que demuestre que no se le puede atribuir el hecho que ha causado tales daños y perjuicios.
Puede ampliar la información sobre este tema, accediendo a la Sección de Administración Electrónica de la Plataforma Corporativa de esPublico: un espacio de contenido especializado dedicado a facilitar la adaptación de las entidades locales a su actuación por medios electrónicos, así como a apoyar el proceso de transformación digital.
La Sección ofrece numerosos recursos explicativos, entre otros, guías didácticas, infografías interactivas, videotutoriales, diccionario de terminología digital, etc.
Puede acceder a la Sección de Administración Electrónica de esPublico, pulsando aquí.
