MENÚ

¿Puedo reclamar a una empresa una indemnización si sufre una brecha de seguridad y expone mis datos personales?

Publicado
Comparte

A raíz de la brecha de seguridad que sufrió la compañía eléctrica Iberdrola, por la que se expusieron los datos personales de más de un millón de clientes, nos habéis preguntado si hay alguna forma de reclamar una indemnización por los daños que se puedan sufrir al haberse filtrado datos tan importantes como nuestro nombre, nuestra dirección o nuestro número de DNI.

En Maldita.es ya os hemos dado algunos consejos para asegurar nuestra información cuando esta ha estado expuesta en una filtración, como cambiar las contraseñas asociadas. Pero, una vez hecho esto, ¿podríamos denunciar a la empresa o reclamar los posibles daños? La respuesta corta es que sí, podemos denunciar los hechos por la vía legal, pero no hay garantías por el momento de que siempre vayamos a recibir una compensación. Veámoslo con detalle. 

En España, la reclamación tiene que realizarse por la vía civil

Jorge García Herrero, abogado especializado en protección de datos y privacidad y miembro de Secuoya Group, explica que “una denuncia ante la Agencia Española de Protección de Datos (AEPD) siempre es posible pero, en este caso, si existe una sanción, sería administrativa, por lo que la multa sería abonada a la Administración del Estado”. Para que sea el afectado por una filtración el que reciba la indemnización, “se tiene que reclamar por la vía civil y acreditar el daño y perjuicio que se le ha causado y su cuantía”. 

Según el abogado, todavía no existe en España jurisprudencia que haya cuantificado un daño causado por la revelación de datos en brechas de seguridad como la que ha sufrido recientemente Iberdrola (y que afecta a muchas empresas de distintos ámbitos). “Además, todo depende de la cuantía de los datos, de la riqueza de los mismos (unos saben más de ti que otros) y su sensibilidad (de qué tipo de datos se trata)”, apunta García Herrero. 

"El Reglamento General de Protección de Datos (RGPD) incluye la opción de reclamar indemnización de daños y perjuicios, si bien es necesario probar la relación causa efecto entre la falta de diligencia de la empresa, el ataque y el perjuicio real y económicamente cuantificado que se reclame", añade a Maldita.es Susana González, abogada tecnológica y de ciberseguridad en Ecija. 

En otros países de Europa sí que existen precedentes de este tipo de reclamaciones

Si nos vamos a países cercanos, sí que encontramos casos en los que la jurisprudencia se ha pronunciado. Por ejemplo, en Alemania, un juzgado de Múnich condenó a una empresa a pagar 2.500€ por daños no materiales a un usuario que reclamó el que sus datos se vulnerasen en una filtración. 

El juez se basó en el artículo 82 del RGPD, que recoge que un afectado tiene derecho a reclamar una indemnización, siempre y cuando el encargado del tratamiento de los datos (la empresa en cuestión) demuestre que no es responsable en ningún caso de los daños y perjuicios. Es decir, que si la empresa o colectivo que sufre la brecha demuestra, por ejemplo, que tomó todas las medidas de seguridad necesarias, podría llegar a  evitar tener que pagar la indemnización. No pasa así si existe negligencia o mala configuración del servidor en el que se guardan los datos que permita la sustracción ilícita de los mismos.

En Reino Unido también está en marcha una denuncia a Facebook por dejar expuestos los datos personales de los usuarios y los de sus ‘amigos’ en la red social a una tercera aplicación conectada a la plataforma, y por la que también piden una compensación económica a los usuarios “según establezca la corte que juzgue el caso”. 

Aunque no es estrictamente un proceso judicial por una filtración, la Corte Suprema de Austria estableció que Facebook debe pagar 500€ a Max Schrems, abogado y presidente de la organización europea proprivacidad noyb.eu, por no facilitarle de forma sencilla y completa el acceso a los datos que tenía la compañía sobre él. 

“La pregunta sobre la responsabilidad de las empresas y las posibles indemnizaciones a usuarios por las brechas de seguridad que puedan sufrir, o por mala praxis en el tratamiento de los datos es algo que se está cuestionando por toda Europa”, comenta García Herrero.