RESUMEN
Este trabajo analiza la interacción entre las acciones por daños y perjuicios establecidas en el art. 82 del Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) y el derecho sustantivo y procesal español. Si bien el art. 82 RGPD establece un régimen uniforme y armonizado para las acciones de compensación de daños contra los responsables y encargados del tratamiento de datos personales en la UE, algunos de sus elementos deberán ser concretados por las autoridades o tribunales nacionales. En el caso del derecho español, la disponibilidad de acciones menos exigentes para proteger los derechos al honor y a la intimidad basadas en la Ley Orgánica 1/1982 y las incertidumbres relacionadas con la coordinación entre reclamaciones civiles y procedimientos seguidos ante la Agencia Española de Protección de Datos u otras autoridades de control pueden reducir el atractivo del art. 82 RGPD y afectar a su consolidación práctica.
Palabras clave: Protección de datos personales; indemnización de daños y perjuicios; RGPD; autoridades de control; remedios en derecho privado.
ABSTRACT
The interaction between damages actions established under article 82 of Regulation (EU) 2016/679 (General Data Protection Regulation (GDPR)) and Spanish material and procedural law is discussed. Although article 82 GDPR provides for a uniform and harmonized regime on compensation and liability actions against controllers and processors in the EU, some of its elements will need to be further specified by national authorities or courts. In the case of the Spanish legal system, the availability of less demanding actions to protect honor and privacy rights grounded on Organic Act 1/1982, and uncertainties concerning coordination of civil claims with proceedings before the Spanish Data Protection Agency or other supervisory authorities, may reduce the appeal of article 82 GDPR for claimants and affect its consolidation in the private enforcement of privacy laws.
Keywords: Data protection; damages; GDPR; supervisory authorities; private law remedies.
SUMARIO
El art. 82 del Reglamento General de Protección de Datos (RGPD)[2] establece una acción indemnizatoria frente al responsable o el encargado del tratamiento de los datos personales que hubiera infringido la normativa sobre protección de datos y con ello causado daños y perjuicios.
En buena medida, la acción indemnizatoria del art. 82 RGPD es continuadora de la ya prevista en el art. 23 de la Directiva 95/46/CE[3], que, en España, fue implementada por medio del art. 19 de la anterior LOPD[4]. Este nuevo régimen uniforme y de aplicación directa de responsabilidad civil por daños derivados de infracciones de la normativa sobre protección de datos aclara algunas incertidumbres que había generado el sistema anterior e incluye también algunas novedades normativas. Sin embargo, persisten todavía dudas acerca de varios de sus requisitos y, sobre todo, acerca de la coordinación de este remedio con otras acciones indemnizatorias en el derecho español[5] y con la aplicación pública de la normativa sobre protección de datos por parte de la Agencia Española de Protección de Datos (AEPD) y las autoridades autonómicas de control[6]. En este trabajo, muestro cómo, de no corregirse algunas manifestaciones propias de la acción ex art. 82 RGPD, es probable que los afectados por un tratamiento de datos personales dañoso prefieran acudir a otras vías de protección y que el remedio previsto en el RGPD quede relegado a supuestos idiosincráticos para los cuales el derecho de daños no sea el mejor de los instrumentos disponibles para conseguir su función compensatoria de un modo eficaz.
El trabajo se estructura de la forma siguiente. El apartado II presenta el art. 82 RGPD y muestra cómo su interpretación y aplicación se ven afectadas por dos factores: en primer lugar, el RGPD establece un remedio por medio de un instrumento legal, un reglamento europeo, que resulta de aplicación directa pero cuyas manifestaciones prácticas van a depender de las normas sustantivas y procesales propias de cada jurisdicción; y, en segundo lugar, se trata de un remedio privado que se incardina en un sistema normativo de protección de datos con un elevado protagonismo del derecho público y regulatorio. El apartado III analiza los problemas de coordinación entre el ejercicio de la acción indemnizatoria del art. 82 RGPD y el seguimiento de un procedimiento administrativo sancionador por infracción de la normativa sobre protección de datos; y de coordinación entre el art. 82 RGPD y otras acciones priva- das de compensación de daños y perjuicios. Finalmente, el apartado IV presenta las conclusiones de este trabajo.
Quienes sufran un daño como consecuencia de una infracción de la normativa sobre protección de datos dispondrán de una pretensión indemnizatoria frente al infractor o frente a quien ostentara una posición de garante sobre el infractor. El art. 82 RGPD reconoce el derecho de los titulares de datos personales a ser compensados por los daños y perjuicios causados por los responsables o los encargados del tratamiento por incumplimiento de los deberes que les impone el propio Reglamento.
El nuevo art. 82 RGPD, que entró en vigor, como el resto del Reglamento, el pasado día 25 de mayo de 2018[7], contiene un régimen de responsabilidad de aplicación directa en todos los países de la UE. Para que prospere una acción de responsabilidad civil ex art. 82 RGPD, el reclamante habrá de acreditar que concurren los elementos siguientes: la condición de responsable o encargado del tratamiento del reclamado; una infracción de la normativa sobre protección de datos personales prevista en el RGPD; los daños y perjuicios sufridos, y una relación de causalidad entre infracción y resultado dañoso[8].
El régimen jurídico de la acción indemnizatoria incluido en el RGPD es más detallado que el previsto en la Directiva 95/46/CE. Sin embargo, son todavía varios los problemas de entendimiento que el art. 82 RGPD plantea. Estas dudas derivan, sobre todo, de dos elementos estructurales en el diseño legal e institucional del sistema de protección de datos personales que, perseguimos mostrar, van a incidir en el papel que podrá desplegar el remedio indemnizatorio del art. 82 RGPD en la práctica: de una parte, las relaciones en su configuración entre derecho europeo y derecho interno; y, de otra, las relaciones en su aplicación entre derecho público y derecho privado. Analizo estos dos rasgos estructurales en los dos subapartados siguientes.
Las relaciones entre el derecho de la UE y el derecho interno conforman un rasgo estructural del sistema de protección de datos personales que va a incidir en la aplicabilidad práctica del remedio indemnizatorio en el RGPD[9]. El art. 82 RGPD reconoce un remedio uniforme de responsabilidad en todo el territorio de la UE pero que tendrá que ser aplicado por autoridades nacionales con arreglo a sus reglas procesales y sustantivas internas y, previsiblemente, bajo la influencia de la experiencia acumulada en esta materia en cada jurisdicción[10].
Desde la perspectiva de la relación entre derecho europeo y derecho nacional, podemos identificar al menos dos factores que condicionarán el atractivo de la acción indemnizatoria del art. 82 RGPD como mecanismo de reparación de los daños sufridos por un particular a consecuencia de un tratamiento de sus datos personales. El primero de ellos se refiere al nivel de certidumbre acerca de los requisitos que exige la acción, esto es, a las posibilidades de determinar por anticipado el éxito esperable de su ejercicio. El RGPD guarda silencio u ofrece detalles mínimos sobre algunos aspectos importantes en el ejercicio de esta acción indemnizatoria y, por ello, se suscitan dudas acerca de la posibilidad de colmar las lagunas legales con reglas domésticas —y con cuáles de ellas— y acerca de la conveniencia de que sean los jueces y tribunales los que realicen tal labor o de que sea el legislador el encargado de perfilar el régimen jurídico sustantivo y procesal de la acción[11]. Cuanto mayor sea la incertidumbre, mayores serán los costes de error esperables en la aplicación de la regla y menores la utilidad esperable y el atractivo de la acción. Además, a pesar de que en un ordenamiento interno se vayan solucionando las dudas sobre la acción del art. 82 RGPD, la incertidumbre no necesariamente se reducirá si otros países de la UE adoptan soluciones diferentes para los mismos problemas[12]. En caso de adoptarse soluciones diversas en los diferentes Estados miembros, únicamente la función interpretativa del Tribunal de Justicia, a partir del desarrollo de conceptos autónomos de derecho europeo, podrá acabar proporcionando un grado satisfactorio de seguridad jurídica.
El segundo factor que influirá en el atractivo práctico del art. 82 RGPD se refiere a la existencia de acciones sustitutivas que proporcionen a los interesados una protección de los derechos afectados más eficaz o más barata. En el Reglamento, el reconocimiento de la acción indemnizatoria ex art. 82 RGPD deja a salvo cualesquiera otras acciones o reclamaciones por daños y perjuicios previstas en otras normas europeas o nacionales[13]. Algunos ordenamientos, como el español, facilitan mucho el ejercicio de acciones sustitutivas con un régimen muy favorable para el afectado en la protección de derechos como la intimidad o el honor. Si las posibilidades de coordinación y acumulación de la acción de daños y perjuicios del art. 82 RGPD con otras fundadas en el derecho doméstico de los Estados miembros son elevadas y si se permite recurrir a acciones internas más sencillas para la protección de derechos de la personalidad, menor será el atractivo del remedio indemnizatorio en el Reglamento y menores serán las posibilidades de que acabe consolidándose en la práctica jurídica. También, si el grado de sustituibilidad de la acción ex art. 82 RGPD es muy diverso en los diferentes Estados miembros, no ha de descartarse que el Tribunal de Justicia acabe pronunciándose sobre la coordinación de acciones o la aplicación preferente de una sobre las demás a partir del principio de eficacia del derecho de la UE[14].
Los dos problemas descritos de insuficiencia del régimen del RGPD —en especial, el segundo de ellos— obligan a plantear si, a pesar de la aplicación directa y eficacia horizontal del instrumento legal empleado por las autoridades europeas —un reglamento en lugar de una directiva—, resultaría recomendable —a riesgo de fragmentar una regulación unitaria— que los ordenamientos nacionales desplegaran ciertas medidas de desarrollo interno del remedio indemnizatorio del art. 82 RGPD[15]. Los Estados miembros habrán de proceder a regular determinadas cuestiones y, en particular, a derogar aquellas normas que resulten contrarias al RGPD y a clarificar la aplicación de otras ( Lynskey, O. (2017). The ‘Europeanisation’ of Data Protection Law. Cambridge Yearbook of European Legal Studies, 19, 252-286.Lynskey, 2017: 256). Ello resulta del principio de seguridad jurídica que, en su vertiente positiva, obliga a los Estados miembros a que las normas europeas se integren en el ordenamiento doméstico con garantías suficientes de publicidad, claridad y conocimiento para sus destinatarios; y, en su vertiente negativa, obliga a la depuración de aquellas reglas internas incompatibles con el derecho de la UE[16]. Esta es la finalidad principal de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD)[17], que ha desplegado en el derecho español interno normas complementarias a las previstas en el RGPD.
La LOPDGDD incluye normas que concretan algunos aspectos que el legislador comunitario voluntariamente dejó a la apreciación de los ordenamientos internos; también consolida algunas reglas propias de la experiencia nacional española en la tutela de los datos personales y, sobre todo, regula aspectos sobre la estructura y competencias de la AEPD y sobre las infracciones y sanciones en este ámbito. No es el objeto de este trabajo analizar el contenido de la LOPDGDD, ni destacar aquellos aspectos que puedan resultar contrarios al RGPD. Solo se quiere dejar constancia de que las referencias a cuestiones sustantivas o procesales relacionadas con el remedio indemnizatorio del art. 82 RGPD son mínimas y no permiten la concreción legal de varios aspectos del remedio indemnizatorio de daños derivados de incumplimientos de la normativa sobre protección de datos[18]. Por ello, habrán de ser los jueces y magistrados españoles quienes hayan de pronunciarse al respecto y configurar el régimen jurídico completo de la acción a medida que los particulares vayan acudiendo a esta para fundar sus pretensiones indemnizatorias por daños derivados de una infracción del RGPD u otras normas relacionadas.
El segundo elemento estructural que incidirá en el atractivo y relevancia práctica de la acción del art. 82 RGPD es el propio diseño institucional del sistema legal de protección de datos personales. En este confluyen, de manera muy señalada, la tutela pública y la tutela privada de los derechos e intereses en juego[19].
La acción civil de compensación de daños establecida en el art. 82 RGPD se concibe como un remedio privado de protección mediante el cual un afectado puede hacer valer su derecho al resarcimiento. La acción orientada a obtener una compensación por los daños sufridos se añade a otros remedios inhibitorios y resarcitorios ejercibles a instancia de parte para la tutela del derecho a la protección de datos[20]. Así, además del remedio propiamente indemnizatorio, el perjudicado podrá proceder al ejercicio privado (private enforcement) de acciones para hacer valer sus derechos de acceso, rectificación, supresión, oposición, derecho a la limitación del tratamiento y derecho a la portabilidad de los datos. De entrada, un afectado podrá recabar la tutela de estos derechos ante los tribunales o ante las autoridades nacionales y autonómicas de protección de datos (arts. 77 y 79 RGPD)[21]. Por otra parte, estas autoridades pueden llevar a cabo una aplicación pública (public enforcement) de la normativa sobre protección de datos, cuyas manifestaciones más evidentes son la detección de infracciones y la imposición de sanciones (arts. 57 y 58 RGPD). Estas actuaciones podrán realizarse con o sin participación de un sujeto víctima de daños: las autoridades podrán iniciar un procedimiento sancionador de oficio o por la reclamación interpuesta por un organismo, organización o asociación; o, en su caso, por otro sujeto afectado.
La concurrencia de ambas tutelas, pública y privada, responde sobre todo a la importancia de los derechos que se persigue proteger. Se trata de derechos fundamentales reconocidos en la Constitución española (CE) y en la Carta de los Derechos Fundamentales de la Unión Europea (CDFUE): además del derecho a la intimidad y a la vida privada[22], los arts. 18.4 CE y 8 CDFUE reconocen el derecho a la protección de los datos personales[23]. También, el Tribunal de Justicia de la Unión Europea cuenta ya con un nutrido acervo jurisprudencial acerca de la protección reforzada del derecho a la protección de los datos personales[24].
Pero, además, la dualidad en la tutela de estos derechos responde a necesidades en el diseño institucional y legal: el tratamiento de datos personales tiene, casi por definición, una dimensión colectiva y el public enforcement puede contar con ventajas comparativas para tutelar intereses generales frente al ejercicio de acciones privadas. En primer lugar, el public enforcement soluciona un problema de acción colectiva: es muy posible que el impacto individual que una infracción normativa tenga sobre cada una de las víctimas sea de escasa relevancia para motivar el ejercicio individual de acciones privadas, pero que, en agregado, su impacto sea sustancial y que su disuasión requiera que una agencia pública sancione o haga responder de algún modo al infractor. En segundo lugar, el public enforcement tiene una dimensión regulatoria: se trata de una aplicación especializada del derecho por parte de sujetos expertos en esta materia, que pueden proyectar sus conocimientos y esfuerzos en un sector de actividad particular, considerar los intereses y preferencias presentes —no solo aquellos de los afectados— y proponer soluciones regulatorias acordes con el interés general y que maximicen el bienestar social[25].
El public enforcement adolece, sin embargo, de varios problemas, que pueden ser mitigados por la posibilidad de ejercer acciones privadas complementarias ( Clopton, Z. D. (2016). Redundant Public-Private Enforcement. Vanderbilt Law Review, 69, 285-332.Clopton, 2016). En primer lugar, el public enforcement es selectivo, entre otros motivos, por los recursos limitados de que disponga la autoridad de control en cada momento. En segundo lugar, las prioridades de actuación en la agenda de la autoridad de control podrán comportar que algunas conductas no lleguen a ser sujetas a ningún tipo de supervisión y que sus autores no acaben internalizando los daños que generan. La disponibilidad de acciones privadas permitirá que al menos algunas de estas conductas se sometan a algún tipo de control ex post. Pero, además, los recursos privados destinados a financiar estas acciones pueden tener externalidades positivas para el public enforcement: las acciones privadas pueden señalizar ámbitos en los cuales las autoridades de control no han prestado suficiente atención y modificar su agenda de actuación. Con ello, se incrementa la información privada disponible por las autoridades de control y se facilita su aprendizaje (ibid.: 309). En tercer lugar, el private enforcement también puede reducir los sesgos de error inherentes al procedimiento administrativo (ibid.: 308-309). Finalmente, la disponibilidad de acciones privadas también reduce los costes de agencia derivados de la supervisión de aquello que hacen las autoridades de control (ibid.: 310): las acciones privadas pueden poner en aviso al Gobierno o al Parlamento de que los responsables de la autoridad de control están destinando los recursos públicos de que disponen a actuaciones alejadas de las demandas de la sociedad.
La concurrencia del derecho privado de daños y del derecho regulatorio puede provocar problemas de coordinación. En este ámbito, el principal de ellos resulta de la posibilidad de que un juez civil y una agencia administrativa —o, en su caso, el tribunal contencioso-administrativo que revise su decisión— realicen apreciaciones incompatibles acerca de la comisión de una infracción de la normativa sobre protección de datos que serviría para fundamentar la obligación de indemnizar ex art. 82 RGPD. Hay diseños institucionales que permiten eliminar estos riesgos derivados de una falta de coordinación. Por ejemplo, podría obligarse al ejercicio sucesivo de las acciones de daños (follow-on claims) y dotar de valor vinculante a la decisión administrativa para el juez civil o disuadir de algún modo la posibilidad de que haya procedimientos simultáneos[26]. Estas opciones, sin embargo, obligan a retrasar el inicio del procedimiento de resarcimiento de daños hasta que la resolución administrativa haya ganado firmeza, acaso muchos años después de producido el daño. Los costes del retraso en la obtención de justicia podrían llegar a disuadir el ejercicio de este tipo de acciones.
Otra opción de diseño institucional que al menos prima facie es concebible es la de un sistema de protección en el cual la propia autoridad administrativa de control tenga competencias para resolver acciones indemnizatorias. Más allá de un problema de path dependence causado por la inercia de nuestra cultura jurídica, creo que los obstáculos legales a un diseño tal son sorteables. De entrada, según el art. 47 CDFUE, todos los derechos y libertades garantizados por el derecho de la Unión han de poder ser protegidos por su titular por medio de una tutela judicial efectiva y, por ello, no podrían ser protegidos exclusivamente por autoridades administrativas o una agencia independiente ( Mak, C. (2014). Rights and Remedies. Article 47 EUCFR and Effective Judicial Protection in European Private Law Matters. En H. W. Micklitz (ed.). The Constitutionalization of European Private Law (pp. 236-258). Oxford: Oxford University Press.Mak, 2014). Sin embargo, la revisibilidad judicial de las decisiones administrativas sobre compensación de daños impide concluir que estas conculcarían la tutela judicial efectiva del afectado[27]. De hecho, en el caso de daños causados por un tratamiento de datos personales llevado a cabo por una Administración pública, el alcance y la cuantificación de la indemnización se realizarán inicialmente por la Administración causante en el marco del procedimiento administrativo de responsabilidad patrimonial, sin que ello menoscabe per se la tutela judicial efectiva.
Además, no hay una obligación expresa en el RGPD a que la acción indemnizatoria haya de ejercerse frente a un tribunal ordinario. El propio RGPD parece descartar la posibilidad de que una agencia pública de protección de datos se pronuncie en exclusiva sobre compensación de daños y perjuicios. En este sentido, el art. 79.1 RGPD establece que «[s]in perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77, todo interesado tendrá derecho a la tutela judicial efectiva cuando considere que sus derechos en virtud del presente Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales». Este precepto obliga a que las acciones a proteger los derechos reconocidos en el RGPD —entre ellos, el derecho a obtener una indemnización por los daños sufridos— puedan ser ejercibles ante un tribunal. Pero ello no habría de excluir que una autoridad de control pudiera resolver acerca de una acción indemnizatoria. La atribución de un derecho de opción al afectado que le permitiera escoger entre la vía del proceso civil o la de la autoridad de control para la reclamación de los daños no infringiría lo establecido en el art. 79 RGPD[28]. Si bien los artículos relativos a las competencias y poderes de las autoridades de control no describen entre ellas la valoración de daños y perjuicios y el establecimiento de indemnizaciones, el RGPD deja abierta la posibilidad a los Estados miembros de ampliar las competencias atribuidas (arts. 57.1.v y 58.6 RGPD).
En algunas jurisdicciones no europeas, las autoridades administrativas de protección de datos pueden resolver peticiones indemnizatorias y fijar el importe de las compensaciones[29]. Pero también la Unión Europea promueve que, en algunos sectores, una autoridad administrativa pueda adoptar decisiones acerca de la indemnización de daños y perjuicios y compensar a los afectados, sin que estos hayan de acudir luego a los tribunales civiles[30]. En nuestra jurisdicción, no obstante, la propia AEPD ha señalado que entre sus funciones no está la de compensar los daños sufridos como consecuencia de un tratamiento ilícito de datos personales[31].
Pero, sobre todo, un diseño institucional como el propuesto puede tener ventajas prácticas tanto para litigantes como para la sociedad en su conjunto. En primer lugar, se evitan pronunciamientos incompatibles sobre existencia de una infracción entre procedimiento civil y procedimiento administrativo. En segundo lugar, se pueden aprovechar las ventajas de especialización y conocimiento que pueda tener una autoridad de control frente a las de un juez ordinario no versado en la materia: muchos aspectos relacionados con la normativa sobre protección de datos, y, sobre todo, con muchas tecnologías de la información sobre las que se aplica, son complejos y se afrontan mejor por decisores expertos. En tercer lugar, desde el punto de vista del interesado, puede resultar mucho menos costoso acudir a una autoridad de control para ejercer una acción indemnizatoria: en especial, en determinadas infracciones normativas complejas, el particular podría ahorrarse los costes de informes periciales acerca de la infracción. En cuarto lugar, la resolución administrativa puede tener en cuenta la interacción entre remedios compensatorios y remedios de conducta, y entre estos y las posibilidades de sancionar a los infractores. Con ello, pueden tomarse decisiones que sean más sensibles a evitar un exceso de disuasión de conductas socialmente valiosas[32]. Por último, la atribución de competencia a las autoridades de control para decidir acerca de las acciones de daños y perjuicios puede mitigar los elevados costes judiciales que podrían suponer reclamaciones de bagatela que podrían derivarse especialmente en casos de daños masivos (por ejemplo, en difusiones masivas de datos por un problema de seguridad —data breaches—). Con ello, se reducirían los costes terciarios del sistema de reparación de daños[33].
A pesar de las ventajas descritas, es muy probable que no se opte por un diseño institucional tal y no se proceda a atribuir a la AEPD la competencia para conocer y resolver acciones indemnizatorias fundadas en el art. 82 RGPD. Por ello, seguirán coexistiendo de forma necesaria la tutela pública y la tutela privada en el resarcimiento de daños derivados de infracciones de la normativa sobre protección de datos personales. En la práctica, sin embargo, los problemas de coordinación podrán ser menos relevantes si, por ejemplo, el atractivo del private enforcement fuera reducido. Ello ocurriría, por ejemplo, cuando las indemnizaciones que pudieran obtenerse en un procedimiento civil fueran relativamente bajas, o si los costes de los procesos civiles fueran superiores a los de un procedimiento administrativo en el cual el afectado, aunque no obtuviera una indemnización, pudiera hacer valer de forma efectiva sus derechos frente al responsable o encargado del tratamiento y se cumpliera con la función vindicativa o satisfactiva propia del sistema: en ocasiones, saber que el responsable del tratamiento de datos personales ha sido sancionado a pagar una multa cuantiosa podrá satisfacer suficientemente al perjudicado y reducir su predisposición a ejercer una acción de daños en la jurisdicción ordinaria.
Uno de los problemas principales que puede plantear el funcionamiento del remedio indemnizatorio previsto en el art. 82 RGPD es de coordinación. En primer lugar, por unos mismos hechos infractores de la normativa de protección de datos pueden seguirse diversos procedimientos. Así, será posible que, en virtud de una denuncia o de oficio, la autoridad de control en materia de protección de datos personales inicie un proceso administrativo sancionador. Por otra parte, un afectado que haya visto infringidos sus derechos a la protección de sus datos personales podrá tutelarlos, además de ante la jurisdicción ordinaria, ante la autoridad de control. Si el afectado pretende un resarcimiento de los daños sufridos a raíz de un tratamiento ilícito de datos personales tendrá que acudir necesariamente a los tribunales, principalmente, a los jueces de la jurisdicción civil. En consecuencia, es posible que puedan producirse pronunciamientos divergentes acerca de unos mismos hechos y, en particular, acerca de la comisión de una infracción normativa que habría de servir de base de la responsabilidad civil del responsable o encargado del tratamiento.
En segundo lugar, la acción prevista en el art. 82 RGPD es acumulable a otras acciones indemnizatorias. En este sentido, el considerando 146 RGPD señala que el régimen que prevé para la compensación de los daños y perjuicios derivados de un tratamiento de datos personales en infracción de la normativa ha de entenderse «sin perjuicio de cualquier reclamación por daños y perjuicios derivada de la vulneración de otras normas del Derecho de la Unión o de los Estados miembros». El carácter acumulable de la acción del art. 82 RGPD con otras acciones —principalmente, con la acción indemnizatoria de la LO 1/1982— genera otros problemas de coordinación[34].
La acción de responsabilidad civil fundada en el art. 82 RGPD exige acreditar una infracción de la normativa sobre protección de datos pero no requiere que dicha infracción haya sido declarada en el marco de un procedimiento seguido ante la AEPD o ante una autoridad autonómica de protección de datos personales. Esto es, son posibles las acciones independientes del resultado de un procedimiento administrativo previo (stand-alone claims)[35]. Como ocurre en general, un juez civil puede pronunciarse sobre los efectos civiles de tal o cual conducta sin que previamente la Administración o, en su caso, la jurisdicción contencioso-administrativa hayan determinado las consecuencias de aquella para el derecho administrativo. Por supuesto, el seguimiento y conclusión de un procedimiento ante la AEPD que determine la comisión de una infracción normativa por parte de un responsable o encargado del tratamiento podrá hacer más sencillo el ejercicio de una acción subsiguiente de responsabilidad civil (follow-on claims)[36]. De primeras, la declaración firme de la comisión de una infracción normativa facilitará al actor la acreditación de uno de los requisitos fundamentales de la acción del art. 82 RGPD. Pero, además, puede plantearse si la resolución administrativa o su confirmación por parte de un juez contencioso-administrativo han de tener efectos vinculantes para el juez civil que haya de decidir acerca del ejercicio de una acción indemnizatoria.
El seguimiento de un proceso administrativo ante una autoridad de control puede responder a dos motivos. En primer lugar, el propio afectado —la víctima de un daño— puede acudir a la autoridad de control para tutelar su derecho a la protección de datos y, por ejemplo, alegar que el responsable o el encargado del tratamiento de sus datos personales han vulnerado sus derechos y exigir que se le restablezca en el ejercicio de los mismos (arts. 77 y 19 RGPD). En segundo lugar, por medio de denuncia o a iniciativa propia, la propia autoridad de control puede llevar a cabo un procedimiento sancionador y concluir que un responsable o un encargado del tratamiento de datos personales han cometido una infracción normativa (arts. 57 y 58 RGPD). En este segundo caso, la víctima del daño puede no haber tenido ninguna participación en el proceso y habrán de valorarse los posibles efectos interruptivos de la acción civil o la eficacia de lo establecido en esta vía para el ejercicio de una acción de daños en vía civil.
Un afectado puede decidir esperar e interponer una acción de daños contra un responsable del tratamiento luego de que una autoridad de control hubiere concluido que este infringió la normativa sobre protección de datos personales. Si la acción de daños del art. 82 RGPD no estuviera prescrita, este afectado podría interponer una demanda civil contra el responsable y, con el objeto de acreditar la existencia de una infracción normativa, acompañar a su escrito de demanda la resolución firme de la AEPD. También, si el procedimiento civil ya estuviera en marcha y el actor en él conociera de la decisión administrativa acerca de la comisión de una infracción normativa podría aportarla a los autos por las vías procesales oportunas[37]. En ambos casos, la cuestión a dilucidar pasa por determinar el valor probatorio que ha de tener esta resolución administrativa en el proceso civil y, en el límite, si su contenido ha de ser vinculante para el juez civil. En el caso de que la resolución administrativa hubiera sido recurrida frente a los tribunales también pueden plantearse los efectos que ha de tener la sentencia dictada por un juez contencioso-administrativo sobre el desarrollo del juicio civil.
El RGPD o la LOPDGDD carecen de norma alguna que ayude a resolver esta cuestión. Ello contrasta con el régimen de las acciones de daños por ilícitos competenciales, que otorga a la resolución firme de una autoridad de la competencia española o de un órgano jurisdiccional español que constate una infracción competencial un carácter de prueba «irrefutable[38]». Ya antes de aprobarse la Directiva 2014/104/UE, el Tribunal Supremo había analizado la consideración de los hechos probados en el procedimiento administrativo y contencioso-administrativo sobre la acción de daños en la jurisdicción civil[39]. Así, en la STS núm. 651/2013, de 7 de noviembre de 2013, sobre ejercicio de acciones de reclamación de daños causados por el «cártel del azúcar», el Tribunal señaló el efecto vinculante que tendrán para el juez civil las sentencias de tribunales de otras jurisdicciones acerca de los hechos que se declaran probados. Acudiendo a doctrina del Tribunal Constitucional[40], indicó que la fijación de los hechos realizada por otro tribunal ha de vincular al juez civil que podrá examinarlos bajo la perspectiva del derecho privado. Sin embargo, ello «no implica que en todo caso los órganos judiciales deban aceptar siempre de forma mecánica los hechos declarados por otra jurisdicción, sino que una distinta apreciación de los hechos debe ser motivada […] afirmada la existencia de los hechos por los propios Tribunales de Justicia, no es posible separarse de ellos sin acreditar razones ni fundamentos que justifiquen tal apartamiento[41]».
La sentencia se refiere exclusivamente al valor para el juez civil de la resolución administrativa confirmada o ratificada por un órgano jurisdiccional. El Tribunal Supremo no se pronunció de forma expresa en este asunto sobre el valor de la resolución administrativa que hubiera ganado firmeza por no haber sido recurrida en la jurisdicción contencioso-administrativa. En asuntos posteriores, el Tribunal Supremo ha distinguido entre el valor que ha de darse a una resolución administrativa y una sentencia contencioso-administrativa: la primera podrá servir de indicio de peso de la comisión de la infracción mientras que la segunda habrá de vincular y condicionar la decisión del juez civil[42]. Estos criterios pueden trasladarse mutatis mutandis al ámbito de las acciones de daños basadas en infracciones de la normativa sobre protección de datos.
El uso de tales criterios minimiza costes de aplicación: el juez civil no habrá de dedicar esfuerzos a verificar la existencia de una infracción. La AEPD cuenta con ventajas de especialización y de acceso a determinada información para determinar que se ha cometido una infracción de la normativa sobre protección de datos personales. Además, evita decisiones contradictorias, y refuerza la coherencia del sistema y la seguridad jurídica. En el límite, estos criterios restringen, sin embargo, la independencia judicial y, acaso, pueden incidir en los derechos de defensa del demandado (por ejemplo, en casos de codemandados que no hayan sido parte en el proceso administrativo).
Por supuesto, la aportación en el proceso civil de una resolución administrativa firme que constate una infracción en materia de protección de daños no ha de equivaler de forma necesaria a una declaración de responsabilidad civil. La falta de nexo causal con los daños alegados o los criterios de imputación objetiva podrán servir para excluir la responsabilidad del demandado, o este podrá invocar con éxito que le asiste alguna causa que le exonere de responder[43]. Su papel ha de quedar limitado a la constatación de la infracción normativa, aunque incluya referencias a otros aspectos de la responsabilidad civil, como el alcance de los daños o el de la causalidad. Estos podrán usarse como indicios. También creemos que no ha de tomarse en consideración la calificación administrativa sobre la infracción y, en particular, su identificación como leve, grave o muy grave. El remedio indemnizatorio del art. 82 RGPD persigue finalidades compensatorias y no punitivas y, por ello, el daño a indemnizar será el efectivamente sufrido por la víctima, con independencia de si la conducta del demandado fue más o menos grave[44].
Tampoco se ocupa el RGPD de atribuir valor probatorio a las resoluciones de autoridades de control de otros países o de las sentencias que las confirmen. En el ámbito de las acciones de daños por ilícitos competenciales, el art. 75.2 LDC establece una presunción iuris tantum de infracción normativa a partir de su constatación por una autoridad de la competencia u órgano jurisdiccional de cualquier otro Estado miembro.
La coordinación entre procedimiento civil y procedimiento administrativo plantea problemas específicos cuando finalmente la resolución de la autoridad de control —o, en su caso, la decisión de un juez revisor de la resolución— concluye que los hechos en los que participó el responsable o el encargado del tratamiento no constituyen una infracción normativa. Ya hemos indicado que la valoración de los hechos desde la perspectiva civil podrá diferir de la hecha por la AEPD y, en efecto, un juez podrá resolver que el demandado en el proceso civil infringió algún deber que le incumbía conforme a la normativa de protección de datos y que con ello dañó al actor. En cambio, si la declaración de que el responsable o el encargado del tratamiento no infringieron ninguna obligación en materia de protección de datos y que ajustaron su cumplimiento a lo previsto en el RGPD hubiera sido dictada por un tribunal contencioso-administrativo, el juez civil habría de resultar vinculado a esta apreciación y desestimaría las acciones de responsabilidad civil previstas en el art. 82 RGPD[45].
La respuesta puede ser diferente si la cuestión que se contempla no es la de la calificación jurídica de la conducta del demandado, sino la de su participación en los hechos enjuiciados. La resolución administrativa de la AEPD o, en su caso, la sentencia dictada en vía contencioso-administrativa que concluyan que un determinado sujeto no tuvo ninguna participación en los hechos infractores podrán tener efectos sobre la decisión a adoptar por un juez civil. En el caso de una resolución de la AEPD no revisada jurisdiccionalmente, a pesar de carecer de efectos vinculantes para el juez civil, concluir que un sujeto no participó en la comisión de una infracción —por ejemplo, que una infracción fue cometida exclusivamente por el responsable del tratamiento y no por un encargado a su cuenta— habría de tenerse por un indicio fuerte para excluir su responsabilidad en la vía civil. Con todo, las diferencias en los estándares de prueba utilizados en el procedimiento sancionador y en el procedimiento de responsabilidad civil podrían implicar en algún caso residual una condena a indemnizar los daños a un sujeto no sancionado por la AEPD por falta de pruebas acerca de su participación en los hechos.
Un supuesto especial es el de la atribución de responsabilidades entre una sociedad matriz y sus filiales acerca de las operaciones de tratamiento de datos personales. En la actualidad, las salas Primera y Tercera del Tribunal Supremo mantienen enfoques diferentes acerca de la legitimación pasiva de una sociedad filial española dedicada a la promoción de ventas de espacios publicitarios que aparecen en el sitio web donde se aloja un motor de búsqueda gestionado por la sociedad matriz con domicilio social en EE. UU. Para la Sala Primera, la sociedad filial —en el caso Google Spain, S.L.— puede ser considerada responsable del tratamiento de datos derivado de las operaciones del motor de búsqueda Google Search[46]. En cambio, para la Sala Tercera, la condición de responsable ha de atribuirse exclusivamente a la sociedad matriz —Google, Inc.— por cuanto solo ella adopta las decisiones acerca de los fines y medios del tratamiento de datos personales[47]. La Sala Primera del Tribunal Supremo ha resuelto que no queda vinculada por las sentencias de la Sala Tercera que niegan legitimación pasiva a la sociedad filial española y la exoneran de responder frente a particulares que habían ejercido acciones de defensa de su derecho al olvido frente a la AEPD[48].
La LDC establece un plazo de prescripción de cinco años y amplía así el de un año previsto para la responsabilidad extracontractual en el CC, pero además, establece una regla adicional para asegurar la posibilidad de ejercitar acciones posteriores a una resolución administrativa (follow-on claims). El art. 74.3 LDC establece: «El plazo se interrumpirá si una autoridad de la competencia inicia una investigación o un procedimiento sancionador en relación con una infracción del Derecho de la competencia relacionados con la acción de daños. La interrupción terminará un año después de que la resolución adoptada por la autoridad de competencia sea firme o se dé por concluido el procedimiento de cualquier otra forma».
El RGPD no establece una regla similar para los casos en los cuales una autoridad de control haya iniciado una investigación o un procedimiento sancionador. En tales casos, pues, el plazo de prescripción para el ejercicio de la acción ex art. 82 RGPD no quedará interrumpido[49]. En aquellos supuestos en los cuales el particular afectado acuda a la autoridad de control para salvaguardar sus derechos a la protección de los datos personales y reclame contra un responsable o encargado del tratamiento puede plantearse si dicha reclamación es suficiente para interrumpir el plazo de prescripción. Difícilmente el proceso iniciado por un particular en la AEPD equivaldrá a una «reclamación extrajudicial del acreedor» en el sentido previsto en el art. 1973 CC, dada la imposibilidad legal de ejercer en este procedimiento la acción prevista en el art. 82 RGPD y de reclamar una reparación de los daños y perjuicios sufridos. Tampoco en estos casos, salvo que se produzca una reclamación extrajudicial paralela al proceso frente a la AEPD, se interrumpirá el plazo de prescripción. En ninguno de los dos supuestos anteriores se afectará además al plazo de caducidad para el ejercicio de acciones indemnizatorias fundadas en la LO 1/1982.
Es probable que los daños causados por una infracción de la normativa sobre protección de datos sean a su vez daños a los derechos fundamentales al honor, la intimidad o la propia imagen (art. 18 CE). Hasta la fecha, los tribunales españoles se han mostrado muy receptivos a entender que determinadas infracciones permitían acudir, además de a la acción prevista en el art. 19 de la anterior LOPD, a los remedios previstos en el art. 9 de la LO 1/1982. La acumulación de ambas acciones por un mismo hecho dañoso se ha reconocido, por ejemplo, en los supuestos de inclusión indebida en registros de morosos ( Parra Lucán, M. A. (2011). Registro de morosos: Derecho civil y nulidad (parcial) del reglamento de desarrollo de la Ley Orgánica de Protección de Datos. Aranzadi Civil-mercantil, 3, 81-113.Parra Lucán, 2011; Sarazá Jimena, R. (2011). Responsabilidad civil por la indebida inclusión en un registro de morosos. Revista Aranzadi Doctrinal, 7, 105-132. Sarazá Jimena, 2011) o en los supuestos de vulneración del derecho al olvido ( Ruda González, A. (2016). Sentencia 15 octubre 2015. Indemnización por daños al derecho al olvido. La responsabilidad por la no exclusión de una hemeroteca digital por los buscadores generales (Caso El País). Cuadernos Civitas de jurisprudencia civil, 101, 289-332.Ruda González, 2016).
La ventaja principal de acudir al remedio indemnizatorio del art. 9.3 de la LO 1/1982 reside en la posibilidad de hacer valer la presunción iuris et de iure de causación de un daño moral luego de acreditarse la intromisión ilegítima en uno de los derechos protegidos por esta ley[50]. Por ello, no habrá de extrañar que, en el marco de una acción contra un responsable o un encargado del tratamiento, los abogados de los afectados por una infracción de la normativa sobre protección de datos intenten también recurrir a los remedios previstos en la LO 1/1982 para defender la posición de su cliente y acumular ambas acciones[51]. En la práctica, ello podrá implicar la aplicación indirecta de una presunción iuris et de iure para la prueba de los daños y perjuicios. Esta aplicación indirecta de la presunción contenida en la LO 1/1982 puede alterar el régimen de carga de la prueba propio del RGPD y no sería improbable que, de plantearse ante el Tribunal de Justicia de la UE una cuestión sobre este problema, entendiera que el uso de dicha presunción es contrario al RGPD. En cualquier caso, atendiendo a los bienes jurídicos protegidos por cada una de las normas, en algunos supuestos deslindar los ámbitos de protección del derecho a la privacidad (art. 7 CDFUE) y el derecho a la protección de datos (art. 8 CDFUE) puede resultar punto menos que imposible[52].
Un problema particular que puede surgir de la compatibilidad de ambas acciones deriva del plazo de caducidad de cuatro años previsto en el art. 9.5 de la LO 1/1982. Los tribunales españoles han entendido que se trata de un plazo que no puede ser interrumpido, por ejemplo, por el inicio de una acción penal[53]. También ha resuelto el Tribunal Supremo que este plazo de caducidad no queda interrumpido por un procedimiento administrativo sancionador ante la AEPD. En este sentido, la STS, Sala Primera, núm. 307/2014, de 4 de junio, sobre un supuesto de inclusión indebida de datos personales en un registro de morosos, señaló que el plazo de caducidad «tampoco se interrumpe por la incoación de un expediente administrativo sancionador por infracción de las normas sobre protección de datos. La resolución de la AEPD no es un requisito necesario para la interposición de la demanda de protección del derecho fundamental al honor vulnerado por la indebida inclusión en un registro de morosos[54]».
Es probable que, si el afectado espera a contar con una declaración firme que concluya que se ha producido una infracción de la normativa sobre protección de datos, haya transcurrido ya el plazo para el ejercicio de las acciones previstas en la LO 1/1982 y solamente tenga disponible entonces la posibilidad de acudir al art. 82 RGPD para fundar su pretensión. De entrada, el plazo de prescripción para fundar la acción indemnizatoria con base en el art. 82 RGPD —cinco años o hasta diez años en Cataluña ( Rubí Puig, A. (2018). Daños por infracciones del derecho a la protección de datos personales. El remedio indemnizatorio del artículo 82 RGPD. Revista de Derecho Civil, (V[4]), 53-87. Rubí Puig, 2018: 82)— es superior al de caducidad previsto en el art. 9.5 de la LO 1/1982, y además puede ser interrumpido.
Otro problema que puede plantearse en la práctica resulta del ejercicio independiente de una acción indemnizatoria basada en la LO 1/1982, que resultara desestimada. Años más tarde, el afectado, acaso después de un procedimiento administrativo y dentro del plazo de prescripción, ejerce una acción indemnizatoria fundada en el art. 82 RGPD. En tal caso, pueden plantearse dudas acerca de la existencia de cosa juzgada. En buena medida, la cuestión dependerá del entendimiento que mantengan los tribunales sobre la naturaleza unitaria de la pretensión indemnizatoria y el alcance de la preclusión previsto en el art. 400 LEC ( Vázquez de Castro, E. (2013). Daños causados por el incumplimiento de la ley en el tratamiento de datos personales. Concordancias, discordancias y concurso de normas. Práctica de Derecho de Daños: Revista de Responsabilidad Civil y Seguros, (112), 18-34 (La Ley, 19491/2012, por donde se cita). Vázquez de Castro, 2013: 14-15). Estas dudas pueden incrementarse, por ejemplo, si en la primera reclamación la demanda se dirigió solamente frente al responsable del tratamiento y la segunda se dirige en exclusiva contra el encargado del tratamiento. Las reglas de responsabilidad por concurrencia de múltiples causantes del daño —un régimen de solidaridad idiosincrático ( Rubí Puig, A. (2018). Daños por infracciones del derecho a la protección de datos personales. El remedio indemnizatorio del artículo 82 RGPD. Revista de Derecho Civil, (V[4]), 53-87. Rubí Puig, 2018: 67-70)— no ayudan a resolver esta cuestión.
El RGPD deja salvas las acciones domésticas que un perjudicado pueda tener para reclamar daños y perjuicios contra un responsable o un encargado del tratamiento de datos personales. En efecto, sería posible el ejercicio de una acción indemnizatoria contra estos sujetos o uno de ellos fundada en el art. 9.3 de la LO 1/1982. Puede inquirirse si, en el marco de este procedimiento, el demandado puede alegar que cumplió escrupulosamente con toda la normativa sobre protección de datos para exonerarse de responder.
En el derecho de daños, la acreditación de cumplimiento de las normas que establecen deberes de cuidado no excluye, por sí sola, la apreciación de culpa y, en efecto, la responsabilidad del demandado. De hecho, los tribunales españoles no parten de un principio, que parecería razonable, en cuya virtud el cumplimiento por parte del demandado de las exigencias legales y reglamentarias de seguridad es indicio de que su comportamiento no fue negligente ( Salvador, P., Gómez, C., Ramos, S., Rubí, A. y Luna, A. (2018). Derecho de Daños (DdD), Análisis, aplicación e instrumentos comparados (7.ª ed.). InDret.Salvador et al., 2018: 100).
Si se asume que ambas acciones protegen derechos diferentes y son independientes, no parece que el cumplimiento de la normativa sobre protección de datos hubiera de tenerse por prueba de que no se ha producido una intromisión ilegítima en los derechos al honor, a la intimidad o a la propia imagen.
Los tribunales españoles no se han pronunciado sobre esta cuestión. Los casos que resuelven acciones de daños y perjuicios por una inclusión de datos en ficheros de la Central de Información de Riesgos del Banco de España (CIRBE) las desestiman por dos motivos: en primer lugar, estos ficheros no consisten en registros de solvencia económica y no les resultaba de aplicación, por ello, lo previsto en la anterior LOPD; y, en segundo lugar, la inclusión de datos personales en CIRBE, tales como la condición de fiador de un tercero, no puede reputarse como una intromisión ilegítima en el honor personal[55]. No se tratan, pues, de una buena guía para el análisis de la posibilidad de exonerarse de responder con base en la LO 1/1982 por la acreditación de un cumplimiento de lo previsto en la normativa sobre protección de datos.
El art. 82 RGPD reconoce a los titulares de datos personales una acción indemnizatoria que pueden ejercer contra los responsables y encargados del tratamiento para resarcirse de daños y perjuicios sufridos a consecuencia de operaciones que estos lleven a cabo en infracción de lo previsto en el Reglamento u otras normas relacionadas. A pesar de que el art. 82 RGPD ofrece para este tipo de acciones un régimen uniforme y de aplicación directa en todo el territorio de la UE, son varios los problemas prácticos que se plantean y que habrán de concretarse con arreglo a las normas internas de un Estado miembro o a los desarrollos jurisprudenciales que lleven a cabo sus tribunales.
En el ordenamiento español, hay dos factores que pueden restar atractivo al remedio indemnizatorio del art. 82 RGPD y reducir su importancia práctica en la arquitectura legal e institucional del derecho de protección de datos. En primer lugar, las incertezas sobre la coordinación entre este tipo de acciones y los procedimientos seguidos ante la AEPD u otras autoridades de control y sobre otros aspectos sustantivos y procesales pueden hacerlas menos interesantes para las víctimas. En segundo lugar, las mayores facilidades para los afectados que ofrece la acción indemnizatoria prevista en el art. 9.3 de la Ley Orgánica 1/1982, junto con la experiencia acumulada por los tribunales españoles en su aplicación, pueden también menoscabar la utilidad de la acción prevista en el art. 82 RGPD. La posibilidad de acumular ambas acciones podrá comportar que por inercia los tribunales españoles sigan otorgando una aplicación preferencial a los remedios previstos en la Ley Orgánica 1/1982 para la tutela civil de los derechos al honor, a la intimidad y a la propia imagen y que acabe reservándose la aplicación del art. 82 RGPD a supuestos muy definidos para los cuales el derecho de daños no constituya un instrumento adecuado de compensación. Hay operaciones de tratamiento de datos personales que, sin que supongan al tiempo una intromisión ilegítima en los derechos al honor, a la intimidad y a la propia imagen, pueden, en ocasiones, causar daños económicos a un gran número de víctimas de forma tal que las cuantías de las pérdidas sufridas por cada afectado sean bajas pero que, en agregado, el importe de los daños sea sustancial. En estos supuestos, el art. 82 RGPD podría resultar de aplicación a diferencia de la acción prevista en la Ley Orgánica 1/1982, pero, sin embargo, para esta tipología de casos (especialmente, daños resultantes de data breaches), otros instrumentos como el aseguramiento o los fondos de compensación resultarían más adecuados para conseguir un resarcimiento eficaz y eficiente de las víctimas.
TRIBUNAL DE JUSTICIA DE LA UE
| Fecha | Número de asunto | Nombre de asunto |
|---|---|---|
| 16-12-1976 | C-33/76 | Rewe-Zentralfinanz eG y Rewe-Zentral AG v Landwirtschaftskammer für das Saarland |
| 16-12-1976 | C-45/76 | Comet BV v Produktschap voor Siergewassen |
| 15-10-1986 | C-168/1985 | Comisión vs. Italia |
| 13-7-2000 | C-160/99 | Comisión vs. Francia |
| 20-9-2001 | C-453/99 | Courage Ltd y Bernard Crehan |
| 20-5-2003 | C-465/00, C-138/01 y C-139/01 | Rechnungshof v Osterreichischer Rundfunk. |
| 6-11-2003 | C- 101/01 | Proceso penal contra Bodil Lindqvist |
| 23-2-2006 | C-205/04 | Comisión c. España |
| 13-7-2006 | C-295/04 a C-298/04 | Vincenzo Manfredi y Lloyd Adriatico Assicurazioni SpA, y otros |
| 29-1-2008 | C-275/06 | Productores de Música de España (Promusicae) v Telefonica de España |
| 24-3-2009 | C-445/06 | Danske Slagterier v. Bundesrepublik Deutschland |
| 9-3-2010 | C-518/07 | Comisión Europea contra República Federal de Alemania |
| 9-11-2010 | C-92/09 y C-93/09 | Volker und Markus Schecke GbR and Hartmut Eifert v Land Hessen |
| 27-3-2014 | C-565/12 | LCL Le Crédit Lyonnais SA y Fesih Kalhan |
| 8-4-2014 | C-293/12 y C-594/12 | Digital Rights Ireland Ltd v Minister for Communications, Marine and Natural Resources |
| 8-4-2014 | C-288/12 | Comisión Europea contra Hungría |
| 13-5-2014 | C-131/12 | Google Spain SL and Google Inc v Agencia Espanola de Proteccion de Datos |
| 11-12-2014 | C-212/13 | Ryneš v Uřad pro ochranu osobnich udajů |
| 1-10-2015 | C-230/14 | Weltimmo sro v Nemzeti Adatvedelmi es Informacioszabadsag Hatosag |
| 6-10-2015 | C-362/14 | Maximillian Schrems v Data Protection Commissioner |
| 21-12-2016 | C-203/15 y C-698/15 | Tele2 Sverige AB v Post- och telestyrelsen y Secretary of State for the Home Department v Watson |
| 26-7-2017 | Dictamen 1/15 sobre el proyecto de Acuerdo entre Canadá y la UE sobre el tratamiento y la transferencia de datos del registro de nombres de los pasajeros | |
| 5-6-2018 | C-210/16 | Unabhängiges Landeszentrum für Datenschutz y Wirtschaftsa-Kademic Scheswig-Holstein GmbH. |
TRIBUNAL CONSTITUCIONAL
| Sala | Número | Fecha | Magistrado ponente |
|---|---|---|---|
| Pleno | 290/2000 | 30-11-2000 | Julio Diego González Campos |
| Pleno | 292/2000 | 30-11-2000 | Julio Diego González Campos |
| Segunda | 60/2008 | 26-5-2008 | Pascual Sala Sánchez |
| Segunda | 109/2008 | 22-9-2008 | Guillermo Jiménez Sánchez |
| Primera | 192/2009 | 28-9-2009 | Pablo Pérez Tremps |
TRIBUNAL SUPREMO
| Sala | Número | Fecha | Magistrado ponente |
|---|---|---|---|
| 1.ª | 285/2009 | 29-4-2009 | Francisco Marín Castán |
| 1.ª | 189/2011 | 30-3-2011 | José Ramón Ferrándiz Gabriel |
| 1.ª | 344/2012 | 8-6-2012 | José Ramón Ferrándiz Gabriel |
| 1.ª | 118/2013 | 9-7-2013 | Juan Antonio Xiol Ríos |
| 1.ª | 651/2013 | 7-11-2013 | Rafael Sarazá Jimena |
| 1.ª | 28/2014 | 29-1-2014 | Rafael Sarazá Jimena |
| 1.ª | 307/2014 | 4-6-2014 | Rafael Sarazá Jimena |
| 1.ª | 671/2014 | 19-11-2014 | Rafael Sarazá Jimena |
| 1.ª | 634/2014 | 9-1-2015 | Ignacio Sancho Gargallo |
| 1.ª Pleno | 210/2016 | 5-4-2016 | Rafael Sarazá Jimena |
| 1.ª | 586/2017 | 2-11-2017 | Rafael Sarazá Jimena |
| 3.ª | Rec. 1482/2015 | 11-3-2016 | Margarita Robles Fernández |
| 3.ª | Rec. 643/2015 | 11-3-2016 | Inés Huerta Garicano |
| 3.ª | 574/2016 | 14-3-2016 | Octavio Juan Herrero Pina |
| 3.ª | Rec. 1078/2015 | 14-3-2016 | Juan Carlos Trillo Alonso |
| 3.ª | Rec. 804/2015 | 15-3-2016 | Wenceslao Olea Godoy |
| 3.ª | 1911/2016 | 21-7-2016 | Octavio Juan Herrero Pina |
AUDIENCIA NACIONAL
| Sala, Sec. | Número | Fecha | Magistrado ponente | Marginal |
|---|---|---|---|---|
| C-A, Sec. 1.ª | 1-10-2008 | Carlos Lesmes Serrano | RJCA 2009\310 | |
| C-A, Sec. 1.ª | 248/2015 | 24-3-2015 | Eduardo Menéndez Rexach | JUR 2015\179600 |
OTRAS SENTENCIAS
| Jurisdicción | Tribunal | Número | Fecha | Magistrado ponente |
|---|---|---|---|---|
| Civil | AP Madrid, Sec. 13.ª | 37/2007 | 6-2-2007 | Carlos Cezón González |
| Civil | AP Cantabria, Sec. 4.ª | 367/2008 | 29-5-2008 | Joaquín Tafur López de Lemus |
| Civil | AP Madrid, Sec. 10.ª | 350/2009 | 25-5-2009 | María Josefa Ruiz Marín |
| Civil | AP Madrid, Sec. 19.ª | 255/2011 | 2-6-2011 | Miguel Ángel Lombardía del Pozo |
| [1] |
Este trabajo se ha realizado en el marco del proyecto «Responsabilidad civil y mercado. La compensación del daño económico» (DER2017-82673-R), financiado por el Ministerio de Economía, Industria y Competitividad. |
| [2] |
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos [RGPD]) (DOUE L 119/1, de 4-5-2016). |
| [3] |
Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281/31, de 23-11-1995). Art. 23. Responsabilidad: «1. Los Estados miembros dispondrán que toda persona que sufra un perjuicio como consecuencia de un tratamiento ilícito o de una acción incompatible con las disposiciones nacionales adoptadas en aplicación de la presente Directiva, tenga derecho a obtener del responsable del tratamiento la reparación del perjuicio sufrido. 2. El responsable del tratamiento podrá ser eximido parcial o totalmente de dicha responsabilidad si demuestra que no se le puede imputar el hecho que ha provocado el daño». |
| [4] |
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (BOE núm. 2989, de 14-12-1999) (LOPD) (ley derogada por la disposición derogatoria única de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, salvo para algunas cuestiones de derecho transitorio; véanse DA14.ª y DT4.ª). Con arreglo al 19 de la antigua LOPD: «1. Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados. 2. Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones públicas. 3. En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción ordinaria». |
| [5] |
La producción de un daño derivado de un tratamiento de datos personales permitirá al afectado, en función de las características de un supuesto, ejercer varías acciones para su resarcimiento, en particular, la prevista en el art. 9.3 de la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen (BOE núm. 115, de 14-5-1982), para la compensación de daños por intromisión ilegítima en los derechos al honor, a la intimidad y a la propia imagen, así como la general de responsabilidad extracontractual por culpa del art. 1902 del Código Civil. Véase infra apartado 3.3. |
| [6] |
Véase infra apartado 3.2. |
| [7] |
Art. 99.2 RGPD. |
| [8] |
Para una descripción del régimen jurídico de la acción indemnizatoria prevista en el art. 82 RGPD, véanse Van Alsenoy, B. (2016). Liability under EU Data Protection Law. From Directive 95/46 to the General Data Protection Regulation. JIPITEC, 3, 271-288.Van Alsenoy, 2016; Frenzel, E. M. (2017). DS-GVO Artikel 82. Haftung und Recht auf Schadenersatz. En B. P. Paal y D. Pauly (eds.). Datenschutz-Grundverordnung: DS-GVO. München: C. H. Beck.Frenzel, 2017; Rubí Puig, A. (2018). Daños por infracciones del derecho a la protección de datos personales. El remedio indemnizatorio del artículo 82 RGPD. Revista de Derecho Civil, (V[4]), 53-87. Rubí Puig, 2018 y Nieto Garrido, E. (2016). Derecho a indemnización y responsabilidad. En J. L. Piñar Mañas (dir.). Reglamento General de Protección de Datos. Hacia un nuevo modelo europeo de privacidad (pp. 555-570). Madrid: Reus.Nieto Garrido, 2016. Para una descripción del régimen de la acción fundada en el art. 19 de la anterior LOPD, véanse Aberasturi Gorriño, U. (2013). El derecho a la indemnización en el artículo 19 de la Ley Orgánica de Protección de Datos de Carácter Personal. Revista Aragonesa de Administración Pública, 41-4), 173-206.Aberasturi Gorriño, 2013, y Vázquez de Castro, E. (2013). Daños causados por el incumplimiento de la ley en el tratamiento de datos personales. Concordancias, discordancias y concurso de normas. Práctica de Derecho de Daños: Revista de Responsabilidad Civil y Seguros, (112), 18-34 (La Ley, 19491/2012, por donde se cita). Vázquez de Castro, 2013. |
| [9] |
Este rasgo estructural no es exclusivo del derecho de protección de datos. En la mayoría de materias reguladas por el derecho de la UE se suscitan, con mayor o menor grado, problemas relacionados con la aplicación de sus reglas por autoridades y tribunales nacionales y su diálogo constante con las autoridades europeas y el Tribunal de Justicia de la UE. Estas relaciones entre actores institucionales suponen una fuente importante en la innovación y desarrollo de los regímenes jurídicos en cuestión. Para el caso del derecho de consumo, véase Cafaggi, F. (2017). On the transformations of European consumer enforcement law: judicial and administrative trialogues, instruments and effects. En F. Cafaggi y S. Law eds.). Judicial Cooperation in European Private Law (pp. 223-262). Cheltenhan-Northampton: Edward Elgar.Cafaggi, 2017; para el desarrollo del derecho de la propiedad intelectual, véase Hugenholtz, P. B. (2013). Is Harmonization a Good Thing?: the Case of the Copyright “Acquis”. En A. Ohly y J. Pila (eds.). The Europeanization of Intellectual Property Law: Towards a European Legal Methodology (pp. 57-73). Oxford: Oxford University Press. Hugenholtz, 2013; sobre compensación de daños derivados de ilícitos concurrenciales, véase Marcos, F. y Sánchez Graells, A. (2008). Towards a European Tort Law? Damages for Breach of the EC Antitrust Rules: Harmonizing Tort Law through the Back Door? European Review of Private Law, 3, 469-488.Marcos y Sánchez Graells, 2008. |
| [10] |
La necesidad de concreción de tales cuestiones deriva del principio de autonomía procesal, formulado por primera vez por el Tribunal de Justicia en la Sentencia de 16 de diciembre de 1976, en el asunto C-33/76, Rewe-Zentralfinanz eG y Rewe-Zentral AG v Landwirtschaftskammer für das Saarland (véase también Sentencia de 16 de diciembre de 1976, en el asunto C-45/76, Comet BV v Produktschap voor Siergewassen). No se trata de un principio absoluto, pues queda limitado por otros tres: i) principio de eficacia; ii) principio de equivalencia, y iii) principio de tutela judicial efectiva. |
| [11] |
Véase para una presentación de estos problemas Rubí Puig, A. (2018). Daños por infracciones del derecho a la protección de datos personales. El remedio indemnizatorio del artículo 82 RGPD. Revista de Derecho Civil, (V[4]), 53-87. Rubí Puig, 2018: 59-82. |
| [12] |
El Comité Europeo de Protección de Datos, creado por el RGPD, podrá contribuir tal vez a mitigar la incertidumbre jurídica que pueda derivarse de una aplicación poco homogénea en los Estados miembros. Este Comité tendrá capacidad para perseguir una aplicación coherente de la normativa de protección de datos personales mediante la emisión de directrices, recomendaciones y buenas prácticas (véanse arts. 70.1e y 63-65 RGPD) y, con ello, podrá promover algunas pautas de interpretación antes de que se acabe pronunciado el TJUE. |
| [13] |
Véase considerando 146 RGPD. |
| [14] |
No entramos a valorar aquí la interacción de este principio con el de equivalencia para examinar si ello puede servir al Tribunal de Justicia para fundar una regla de preferencia normativa de las acciones fundadas en el derecho de la UE. En relación con el derecho a ser indemnizado, el Tribunal se ha referido a estos dos principios en la Sentencia de 24 de marzo de 2009, en el asunto C‑445/06, Danske Slagterier v. Bundesrepublik Deutschland: «[…] el Estado debe reparar las consecuencias del perjuicio causado en el marco del Derecho nacional en materia de responsabilidad, con la salvedad de que las condiciones, en particular en materia de plazos, establecidas por las legislaciones nacionales en materia de indemnización de daños no pueden ser menos favorables que las referentes a reclamaciones semejantes de naturaleza interna (principio de equivalencia) y no pueden articularse de manera que hagan prácticamente imposible o excesivamente difícil obtener la indemnización (principio de efectividad) […]» (párr. 31). |
| [15] |
En este sentido, por ejemplo, véase O’Dell, E. (2017). Compensation for Breach of the General Data Protection Regulation. Dublin University Law Journal, 40, 97-164.O’Dell, 2017. |
| [16] |
Véanse SSTJUE de 23 de febrero de 2006, asunto C-205/04, Comisión c. España; de 13 de julio de 2000, asunto C-160/99, Comisión vs. Francia, y de 15 de octubre de 1986, asunto C-168/1985, Comisión vs. Italia. En el desarrollo de la legislación interna, también los Estados se atendrán al principio de cooperación leal (art. 4.3 del Tratado de la Unión Europea). En efecto, los Estados miembros habrán de adoptar todas las medidas generales o particulares apropiadas para asegurar el cumplimiento de las obligaciones derivadas de los tratados o resultantes de los actos de las instituciones de la Unión. En particular, para la sanción y prevención de infracciones del derecho europeo, los Estados miembros, aunque conservan la facultad de elegir las sanciones, deben velar por que las infracciones del derecho de la Unión sean sancionadas en condiciones de fondo y de procedimiento análogas a las aplicables a las infracciones del derecho nacional de naturaleza e importancia similares y que, en todo caso, confieran a la sanción un carácter efectivo, proporcionado y disuasorio (en este sentido, véase STJUE de 27 de marzo de 2014, asunto C‑565/12, LCL Le Crédit Lyonnais SA y Fesih Kalhan; párr. 44). |
| [17] |
Ley Orgánica 3/2018, de 5 de diciembre de 2018, de Protección de Datos y Garantía de los Derechos Digitales (BOE núm. 294, de 6-12-2018). La situación política retrasó la promulgación de la ley más allá de la entrada en vigor del RGPD. El anteproyecto fue presentado el pasado 17-7-2017 para consulta pública. El Consejo de Ministros aprobó en sesión de 10-11-2017 el proyecto de la ley y lo remitió a las Cortes. La Mesa de la Cámara del Congreso de los Diputados acordó el 21 de noviembre encomendar dictamen a la Comisión de Justicia y publicar el texto en el Boletín Oficial de las Cortes Generales, estableciendo plazo de enmiendas (véase BOCG núm. 13-1, de 24-11-2017). Las enmiendas, así como el índice de enmiendas al articulado, se publicaron en el BOCG núm. A-13-2, de 18-4-2018. El Pleno del Congreso de los Diputados, en su sesión de 18 de octubre de 2018, aprobó el Proyecto de LOPD (BOCG, Congreso de los Diputados, serie A, núm. 13-6, de 26-10-2018), sin modificaciones con respecto al texto del dictamen de la Comisión (publicado en el BOCG. Congreso de los Diputados, serie A, núm. 13-4, de 17-10-2018). |
| [18] |
La falta de concreción de detalles sustantivos y procesales para el ejercicio de la acción indemnizatoria y la tutela de otros derechos establecidos en el RGPD llama la atención si consideramos los varios aspectos no resueltos en el Reglamento. Para una identificación de muchos de estos aspectos, véase Requejo Isidro, M. (2019). Procedural Harmonization and Private Enforcement in the Area of Personal Data Protection. Max Planck-Institute Luxembourg for Procedural Law Research Paper Series, 3, 1-18.Requejo Isidro, 2019: 15-18. |
| [19] |
De nuevo, la relación entre tutela privada y tutela pública, o entre derecho privado de aplicación judicial y derecho regulatorio administrativo, no es exclusiva del sistema de protección de datos personales. Han sido estudiadas con detalle las relaciones en el ámbito de la seguridad de producto y la responsabilidad civil del fabricante por productos defectuosos. Un enfoque analítico muy influyente sobre la relación entre derecho privado y derecho regulatorio es Shavell, S. (1984). Liability for Harm Versus Regulation of Safety. Journal of Legal Studies, 13, 357-374.Shavell, 1984. Véanse también Rose-Ackerman, S. (1991). Regulation and the Law of Torts. The American Economic Review, 81, 54-58.Rose-Ackerman, 1991, y Faure, M. G. (2014). The complementary roles of liability, regulation and insurance in safety management: theory and practice. Journal of Risk Research, 17, 689-707.Faure, 2014. |
| [20] |
Sobre la clasificación de los diferentes remedios para la tutela de un derecho subjetivo, véanse Pantaleón, F. (1993). Art. 1902. En C. Paz-Ares, L. Díez-Picazo, R. Bercovitz, y P. Salvador (eds.). Comentario del Código Civil, II (2.ª ed.). Madrid: Ministerio de Justicia. Pantaleón, 1993 y Pantaleón, F. (1996). La Constitución, el honor y unos abrigos. La Ley, 1996, II, D-162, 1689-1690.1996. |
| [21] |
La tutela frente a las autoridades autonómicas de protección de datos personales —Autoritat Catalana de Protecció de Dades y Agencia Vasca de Protección de Datos-Datua Babesteko Euskal Bulegoa— queda limitada al ámbito de sus competencias y, por ello, circunscrita a tratamientos de datos personales llevados a cabos por Administraciones públicas y organismos públicos. |
| [22] |
Véanse arts. 18.1 CE y 7 CDFUE. |
| [23] |
Véanse también arts. 16.1 TFUE y 39 TUE. Para el Tribunal Constitucional español, véase STC, Pleno, núm. 292/2000, de 30 de noviembre de 2000 (MP: Julio Diego González Campos): «[E]l contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular» (FJ 7). |
| [24] |
Véanse SSTJUE de 20 de mayo de 2003, asuntos acumulados C-465/00, C-138/01 y C-139/01, Rechnungshof v Osterreichischer Rundfunk; de 6 de noviembre de 2003, asunto C- 101/01, Proceso penal contra Bodil Lindqvist; de 29 de enero de 2008, asunto C-275/06 Productores de Musica de Espana (Promusicae) v Telefonica de Espana; de 9 de noviembre de 2010, asuntos acumulados C-92/09 y C-93/09, Volker und Markus Schecke GbR and Hartmut Eifert v Land Hessen; de 8 de abril de 2014, asuntos acumulados C-293/12 y C-594/12, Digital Rights Ireland Ltd v Minister for Communications, Marine and Natural Resources; de 13 de mayo de 2014, asunto C-131/12, Google Spain SL and Google Inc v Agencia Espanola de Proteccion de Datos; de 11 de diciembre de 2014, asunto C-212/13, Ryneš v Uřad pro ochranu osobnich udajů; de 1 de octubre de 2015, asunto C-230/14, Weltimmo sro v Nemzeti Adatvedelmi es Informacioszabadsag Hatosag; de 6 de octubre de 2015, asunto C-362/14, Maximillian Schrems v Data Protection Commissioner; de 21 de diciembre de 2016, asuntos acumulados C-203/15 y C-698/15, Tele2 Sverige AB v Post- och telestyrelsen y Secretary of State for the Home Department v Watson, y Dictamen 1/15, de 26 de julio de 2017, sobre el proyecto de Acuerdo entre Canadá y la Unión Europea sobre el tratamiento y la transferencia de datos del registro de nombres de los pasajeros. |
| [25] |
Las autoridades de control constituyen un elemento esencial de la protección de las personas frente al tratamiento de datos personales, y en su actuación han de lograr un justo equilibrio entre el respeto del derecho fundamental a la vida privada y los intereses que exigen la libre circulación de datos personales (véanse, en este sentido, las SSTJUE de 9 de marzo de 2010, asunto C-518/07, Comisión Europea contra República Federal de Alemania; de 8 de abril de 2014, asunto C-288/12, Comisión Europea contra Hungría, y de 6 de octubre de 2015, asunto C-362/14, Maximillian Schrems contra Data Protection Commissioner). |
| [26] |
Sobre ello, véase infra apartado III.2. |
| [27] |
Véase art. 78 RGPD. |
| [28] |
Este derecho de opción en el ejercicio de una acción de daños también salvaría lo previsto en el art. 80 RGPD. Si bien el primer apartado del art. 80 RGPD permite a los titulares de datos personales que por medio de un mandato voluntario encarguen a determinadas asociaciones el ejercicio, en nombre de aquellos, de varios derechos, incluido el de ser compensado con arreglo al art. 82 RGPD, el segundo apartado excluye la acción indemnizatoria en supuestos de un mandato legal y se refiere a la actuación de tales asociaciones únicamente frente a las autoridades de control. La falta de mención de las autoridades de control en el primer apartado puede interpretarse como un indicio de que las acciones compensatorias por cuenta de los interesados —acaso mediante una acción de colectiva o de clase— han de ejercerse exclusivamente ante los tribunales mientras que otras acciones podrán ser ejercidas por los representantes ante una autoridad de control. Sin embargo, creo que esta limitación no habría de impedir que se permitiera que una autoridad de protección de datos conociera de las posibles reclamaciones de daños tanto individuales como colectivas, si ellas se conciben como una facultad opcional de los perjudicados. |
| [29] |
En el derecho de Nueva Zelanda, las decisiones sobre daños y perjuicios corresponden a un órgano administrativo, el Human Rights Review Tribunal (art. 88 de la Privacy Act 1993). Con todo, la supervisión pública del sistema de protección de datos personales corresponde a otra autoridad pública: el Privacy Commissioner. En el derecho australiano, son competentes para adoptar una decisión sobre daños y perjuicios derivada de un tratamiento de datos personales tanto los tribunales como la autoridad de control (Office of the Australian Information Commissioner, OAIC) (véanse arts. 25 y 52 de la Privacy Act 1988). |
| [30] |
Este era el caso, por ejemplo, de la Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre la cooperación entre las autoridades nacionales encargadas de la aplicación de la legislación en materia de protección de los consumidores (COM [2016]) 283; 25-5-2016). Su art. 18.1 preveía: «Las autoridades competentes interesadas podrán invitar al comerciante responsable de la infracción a proponer compromisos para el cese de la infracción y, en su caso, indemnizar o adoptar otras medidas que faciliten la indemnización de los consumidores que hayan sufrido un perjuicio. El comerciante podrá asimismo, por iniciativa propia, proponer compromisos para el cese de la infracción e indemnizar a los consumidores». Finalmente, el art. 2.8 del Reglamento (UE) 2017/2394, de 12 de diciembre, ha dejado fuera de su ámbito de aplicación las indemnizaciones por daños sufridos por consumidores. |
| [31] |
De hecho, la propia AEPD ha señalado en diversas resoluciones que entre sus funciones no está la de compensar a los titulares de datos personales por los daños sufridos. (Véanse, en este sentido, Resolución R/03002/2017, de 15-11-2017, y Resolución de 9-9-2016 de Recurso de Reposición N.º RR/00606/2016. Esta última señala: «[…] en la reclamación del derecho a la indemnización no interviene la Agencia Española de Protección de Datos por lo que el ciudadano afectado deberá, en su caso, acudir a la jurisdicción que corresponda en función de la indemnización se reclama ante el responsable de un fichero de titularidad pública o ante el responsable de un fichero de titularidad privada»). También la Audiencia Nacional ha expresado esta misma idea. Véanse, entre otras, sentencias de la Audiencia Nacional, Sala de lo Contencioso-Administrativo, Sección 1.ª, de 1 de octubre de 2008 (MP: Carlos Lesmes Serrano) (RJCA 2009\310), y núm. 248/2015 de 24 marzo (MP: Eduardo Menéndez Rexach) (JUR 2015\179600). |
| [32] |
El TC ha descrito el papel de la tutela pública en el sistema de protección de datos personales como esencialmente preventivo: «[…] se desprende un rasgo significativo de la Agencia de Protección de Datos: el carácter básicamente preventivo de sus funciones en orden a la protección de datos personales. […] cabe estimar que existe una correspondencia entre las funciones y potestades que la LORTAD ha atribuido a la Agencia de Protección de Datos y el carácter preventivo de sus actuaciones. Pues es este carácter tuitivo o preventivo el que, en última instancia, justifica la atribución de tales funciones y potestades a la Agencia de Protección de Datos para asegurar, mediante su ejercicio, que serán respetados tanto los límites al uso de la informática como la salvaguardia del derecho fundamental a la protección de datos personales en relación con todos los ficheros, ya sean de titularidad pública o privada» (STC núm. 290/2000, de 30 de noviembre [MP: Julio González Campos], FJ 9). La indemnización de daños y perjuicios, más allá de una función compensatoria, también despliega una función preventiva. |
| [33] |
En la terminología desarrollada por Guido Calabresi, los costes terciarios de un sistema de responsabilidad civil incluyen el valor asociado a gestionar la atribución de los daños a una tercera persona y, en su caso, a su distribución, que pueden comprender el funcionamiento de una burocracia (en nuestro caso, las agencias nacionales de protección de datos); de empresas (como, por ejemplo, compañías de seguros); de un sistema judicial (honorarios de abogados y procuradores, tasas judiciales), etc. Véase Calabresi, G. (1970). The Cost of Accidents. New Haven; London: Yale University Press.Calabresi, 1970. |
| [34] |
En el trabajo nos ocupamos, principalmente, de las relaciones entre la acción indemnizatoria del art. 82 RGPD y la prevista en el art. 9.3 de la LO 1/1982. Dejamos fuera del análisis otros problemas de coordinación con, entre otras, las reglas sobre responsabilidad civil extracontractual general (art. 1902 y ss. CC); responsabilidad por incumplimiento contractual (art. 1101 y ss. CC); la responsabilidad patrimonial de la Administración pública (arts. 32-37 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público); la responsabilidad civil derivada de delito (109 y ss. CP; art. 100 y ss. LECrim), y las reglas del procedimiento laboral especial de tutela de derechos fundamentales y libertades públicas (arts. 177-184 de la Ley 36/2011). |
| [35] |
Ha habido algún pronunciamiento en contra de esta posibilidad. Véase, por ejemplo, SAP Madrid, Sec. 13.ª, núm. 37/2007, de 6 de febrero (AC 2007\1017; MP: Carlos Cezón González): «Los derechos de acceso, rectificación y cancelación de datos personales son tutelados por la Administración, conforme al artículo 18 de la Ley de Protección de Datos y no puede otorgarse indemnización alguna por la denegación de esos derechos cuando no se ha recurrido al procedimiento de tutela prevenido por la Ley y no se ha declarado por el organismo competente la existencia de infracción por parte del titular del fichero» (FJ 10). En cambio, en otros supuestos, los tribunales han resuelto que el juez civil puede valorar por sí mismo la comisión de una infracción normativa en materia de protección de datos. En este sentido, véanse SAP Cantabria, Sec. 4.ª, núm. 367/2008, de 29 de mayo (MP: Joaquín Tafur López de Lemus); SAP Madrid, Sec. 19.ª, 255/2011, de 2 de junio (MP: Miguel Ángel Lombardía del Pozo), y la STS, Sala Primera, núm. 189/2011, de 30 de marzo (MP: José Ramón Ferrándiz Gabriel), que la confirma: «[…] los Tribunales del orden civil carecen de jurisdicción para ejercer la función sancionadora, dado que la Ley 15/1999 la atribuye a la Agencia de Protección de Datos. Y lo mismo sucede con la de ejercer el control jurisdiccional de las decisiones de dicha entidad, que los artículos 1 y 2 de la Ley 29/1998 otorgan a los Tribunales del orden contencioso- administrativo. Sin embargo, la ostentan —y la han de ejercer sin más sometimiento que el que establece el artículo 117, apartado 1, de la Constitución Española— para decidir sobre la procedencia de condenar a los infractores a la indemnización de los daños o lesiones en los bienes o derechos de los interesados que hubiera causado con el incumplimiento de lo dispuesto en la propia Ley 15/1999, siempre que se trate de ficheros de titularidad privada». En consecuencia, la sentencia casa la dictada por la AP Madrid, Sec. 10.ª, 350/2009, de 25 de mayo (MP: María Josefa Ruiz Marín). El Tribunal Supremo también ha afirmado que el seguimiento de un procedimiento administrativo no obsta al ejercicio de acciones civiles fundadas en la LO 1/1982 (en este sentido, SSTS, Sala Primera, núm. 307/2014, de 4 de junio [MP: Rafael Sarazá Jimena], y 671/2014, de 19 de noviembre [MP: Rafael Sarazá Jimena]). En la doctrina española, defienden claramente la posibilidad de una acción civil independiente Puyol Montero ( Puyol Montero, J. (2010). Comentario al artículo 19. En A. Troncoso Reigada (ed.). Comentario a la Ley Orgánica de Protección de Datos de Carácter Personal (pp. 1263-1285). Cizur Menor: Thomson-Civitas.2010: 1269) y Vázquez de Castro ( Vázquez de Castro, E. (2013). Daños causados por el incumplimiento de la ley en el tratamiento de datos personales. Concordancias, discordancias y concurso de normas. Práctica de Derecho de Daños: Revista de Responsabilidad Civil y Seguros, (112), 18-34 (La Ley, 19491/2012, por donde se cita). 2013: 4-5). |
| [36] |
La distinción entre follow-on claims y stand-alones claims se ha utilizado sobre todo en el ámbito de las acciones de reclamación de daños y perjuicios derivados de infracciones normativas del derecho de defensa de la competencia. En la jurisprudencia del Tribunal de Justicia, los asuntos Courage y Manfredi sentaron las bases para las acciones de aplicación privada del derecho de la competencia y para el resarcimiento de los daños derivados de ilícitos antitrust. Véanse STJUE de 20 de septiembre de 2001, asunto C-453/99, Courage Ltd y Bernard Crehan, y STJUE de 13 de julio de 2006, asuntos acumulados C‑295/04 a C‑298/04, Vincenzo Manfredi y Lloyd Adriatico Assicurazioni SpA, y otros. Con posterioridad, la Directiva 2014/104/UE del Parlamento Europeo y del Consejo, de 26 de noviembre de 2014, relativa a determinadas normas por las que se rigen las acciones por daños en virtud del derecho nacional, por infracciones del derecho de la competencia de los Estados miembros y de la Unión Europea, texto pertinente a efectos del EEE (DO L 349, 5-12-2014, p. 1-19), armonizó tales pretensiones. La directiva fue implementada en el derecho español mediante una reforma de la Ley de Defensa de la Competencia (Ley 15/2007, de 3 de julio, de Defensa de la Competencia [BOE núm. 159, de 4-7-2007] [véase Real Decreto Ley 9/2017, de 26 de mayo, por el que se transponen directivas de la Unión Europea en los ámbitos financiero, mercantil y sanitario, y sobre el desplazamiento de trabajadores, BOE núm. 126, de 27-5-2017], en adelante, LDC). |
| [37] |
Con arreglo al art. 271.2 LEC, las sentencias o resoluciones judiciales o de autoridad administrativa, dictadas o notificadas en fecha no anterior al momento de formular las conclusiones, siempre que pudieran resultar condicionantes o decisivas para resolver en primera instancia o en cualquier recurso, se podrán presentar incluso dentro del plazo previsto para dictar sentencia, dándose traslado por diligencia de ordenación a las demás partes. Además, antes de su presentación, la LEC establece la posibilidad de solicitar una suspensión del procedimiento civil a la espera de que la autoridad de control o el juez contencioso-administrativo resuelvan sobre el proceso administrativo en curso. En este sentido, el art. 42.3 LEC establece: «No obstante lo dispuesto en los apartados precedentes, cuando lo establezca la ley o lo pidan las partes de común acuerdo o una de ellas con el consentimiento de la otra, el Secretario judicial suspenderá el curso de las actuaciones, antes de que hubiera sido dictada sentencia, hasta que la cuestión prejudicial sea resuelta, en sus respectivos casos, por la Administración pública competente, por el Tribunal de Cuentas o por los Tribunales del orden jurisdiccional que corresponda. En este caso, el Tribunal civil quedará vinculado a la decisión de los órganos indicados acerca de la cuestión prejudicial». Obsérvese que la posibilidad de solicitar la suspensión a la espera de una decisión vinculante para el juez civil queda limitada, si no hay acuerdo entre las partes al respecto, a que una ley lo establezca. El RGPD o la LOPDGDD no prevén tal posibilidad en relación con las resoluciones de la AEPD. |
| [38] |
Véase el art. 75.1 LDC. |
| [39] |
Véase, además de las sentencias citadas en este apartado, STS, Sala Primera, núm. 344/2012, de 8 de junio (MP: José Ramón Ferrándiz Gabriel). En la doctrina, se había ya defendido la vinculación del juez civil a las sentencias dictadas en vía contencioso-administrativa (en este sentido Sancho Gargallo, I. (2009). Ejercicio privado de las acciones basadas en el Derecho comunitario y nacional de la competencia. InDret 1/2009. , Sancho Gargallo, 2009). Sobre la evolución legal de los problemas de coordinación en materia de daños antistrust, véanse Herrero Suárez ( Herrero Suárez, C. (2016). La transposición de la Directiva de daños antitrust. Reflexiones a raíz de la publicación de la propuesta de Ley de transposición de la Directiva. Cuadernos de Derecho Transnacional, 8, 150-183.2016: especialmente 165-171) y Gascón Inchausti ( Gascón Inchausti, F. (2017). Aspectos procesales de las acciones de daños derivados de infracciones de las normas sobre defensa de la competencia: apuntes a la luz de la directiva 2014/104 y de la propuesta de ley de transposición. Cuadernos de Derecho Transnacional, 9, 125-152.2017: especialmente 146-151). |
| [40] |
Véanse SSTC núm. 192/2009, de 28 de septiembre; núm. 60/2008, de 26 de mayo, y núm. 109/2008, de 22 de septiembre. |
| [41] |
STS núm. 651/2013, de 7 de noviembre de 2013 (MP; Rafael Sarazá Jimena), FJ 3. |
| [42] |
En Sentencia del TS, Sala Primera, núm. 634/2014, de 9 de enero 2015 (MP: Ignacio Sancho Gargallo), asunto Media Pro/Sogecable sobre explotación de los derechos audiovisuales de partidos de fútbol, el Tribunal ha aclarado: «Una decisión de la Comisión Nacional de la Competencia como la que dictó el 14 de abril de 2010 es un acto administrativo, sujeto a ese régimen, que no impedía a la jurisdicción civil el enjuiciamiento sobre la misma cuestión, aunque pudiera constituir un instrumento de convicción de gran autoridad. Pero como la Resolución de la Comisión Nacional de la Competencia sobre la ilicitud del pacto entre empresas contenido en la cláusula quinta del contrato fue objeto de recurso contencioso-administrativo, la resolución judicial firme que lo resuelve sí vincula al tribunal civil (incluye el mercantil, en cuanto forma parte de este orden jurisdiccional civil) que debe pronunciarse sobre la nulidad de aquella cláusula. Esta previa resolución contencioso-administrativa produce un efecto condicionante o prejudicial para el posterior enjuiciamiento del tribunal civil». |
| [43] |
Art. 82.3 RGPD. |
| [44] |
Sin embargo, algunas voces han planteado que existen diferencias en el alcance del daño moral en función de la conducta dolosa, intencional, o negligente del causante: la víctima de un daño intencional que se sabe objetivo de la voluntad de otro sujeto puede sufrir una aprehensión mayor a la que le generaría un accidente negligente. |
| [45] |
Un problema diferente es el relativo al efecto que estas resoluciones han de tener sobre otras acciones indemnizatorias fundadas en la LO 1/1982. Véase infra apartado IV.3. |
| [46] |
STS, Sala Primera, núm. 210/2016, de 5 de abril (MP: Rafael Sarazá Jimena). FJ 3º, especialmente, párrafos 1-12. |
| [47] |
Véanse SSTS, Sala Tercera, de 11 de marzo de 2016 (recurso de casación núm. 1482/2015) (MP: Margarita Robles Fernández); de 11 de marzo de 2016 (recurso de casación núm. 643/2015) (MP: Inés Huerta Garicano); núm. 574/2016, de 14 marzo (recurso de casación núm. 1380/2015) (MP: Octavio Juan Herrero Pina); de 14 de marzo de 2016 (recurso de casación núm. 1078/2015) (MP: Juan Carlos Trillo Alonso), y de 15 de marzo de 2016 (recurso de casación núm. 804/2015) (MP: Wenceslao Olea Godoy). Para un análisis de la cuestión después de la aprobación del RGPD, véase STS, Sala Tercera, núm. 1911/2016, de 21 julio (recurso de casación núm. 1859/2015) (MP: Octavio Juan Herrero Pina). |
| [48] |
STS, Sala Primera, núm. 210/2016, de 5 de abril (MP: Rafael Sarazá Jimena), FJ 3, párr. 13: «Las sentencias de la Sala de lo Contencioso-Administrativo del Tribunal Supremo aportadas por Google Spain inmediatamente antes de comenzar la deliberación, votación y fallo de este recurso no resultan condicionantes o decisivas para resolverlo. Tales sentencias no tienen efecto prejudicial respecto de la resolución que haya de adoptarse en el presente recurso. Debe recordarse la existencia de distintos criterios rectores en las diferentes jurisdicciones, por la diversidad de las normativas que con carácter principal se aplican por unas y otras […]». Recientemente, el TJUE resolvió por sentencia de 5 de junio de 2018, asunto C-210/16, Unabhänngiges Landeszentrum, que la autoridad de control de un Estado miembro puede ejercer sus poderes contra un establecimiento de un grupo de empresas situado en su territorio, aunque dicho establecimiento se dedique únicamente a actividades de marketing y venta de espacios publicitarios. |
| [49] |
El RGPD no establece ningún plazo de prescripción para el ejercicio de la acción indemnizatoria del art. 82 RGPD. A falta de plazo indicado, deberá recurrir al previsto por defecto en el derecho interno para aquellas acciones que no tienen un plazo propio. En este sentido, para el derecho alemán, véase Frenzel, E. M. (2017). DS-GVO Artikel 82. Haftung und Recht auf Schadenersatz. En B. P. Paal y D. Pauly (eds.). Datenschutz-Grundverordnung: DS-GVO. München: C. H. Beck.Frenzel, 2017: Rn 19. |
| [50] |
Las ventajas procesales asociadas a la protección de los derechos fundamentales previstos en la LO 1/1982 también deberían alcanzar a la acción del art. 82 RGPD: al prever un mecanismo de protección civil del derecho fundamental a la protección de datos (art. 18.4 CE), el actor podría interponer la acción en los juzgados de su propio domicilio (art. 52.1.6 LEC); el proceso ordinario gozaría de una tramitación preferente y con participación del Ministerio Fiscal (art. 249.1.2.º LEC), y se prevén mecanismos extraordinarios de acceso a casación, sin necesidad de sobrepasar una cuantía mínima (art. 477.2.1.º LEC). En cambio, una interpretación estricta de la LEC impediría aplicar a las decisiones acerca de la acción indemnizatoria del art. 82 RGPD la prohibición de ejecución provisional de sentencias dictadas en protección de los derechos al honor, intimidad y propia imagen prevista en el art. 525.3 LEC. |
| [51] |
Zunón destaca que, a pesar de las arquitecturas distintas que presentan la tutela jurisdiccional y la tutela administrativa, se han venido aplicando analógicamente las normas de la LO 1/1982 a las acciones indemnizatorias fundadas en el anterior art. 19 LOPD ( Zunón Villalobos, M. (2013). La garantía civil de la privacidad. Revista Aranzadi Doctrinal, 9/2013, 153-181. Zunón Villalobos, 2013). También algunos autores han defendido la aplicación analógica de la presunción del art. 9.3 LO 1/1982 a los daños derivados de un tratamiento de datos personales. En este sentido, Grimalt Servera, P. (1999). La responsabilidad civil en el tratamiento automatizado de datos personales. Granada: Comares.Grimalt Servera, 1999: 140. |
| [52] |
Véase, por ejemplo, el FJ 6 de la STC, Pleno, núm. 292/2000, de 30 de noviembre de 2000 (MP: Julio Diego González Campos). Sobre las bases y lógicas en la aplicación de ambos preceptos, véase Post, R. (2018). Data Privacy and Dignitary Privacy: Google Spain, the Right to Be Forgotten, and the Construction of the Public Sphere. Duke Law Journal, 67, 981-1072.Post, 2018. |
| [53] |
Véanse SSTS, Sala Primera, núm. 285/2009, de 29 abril (MP: Francisco Marín Castán), y núm. 118/2013, de 9 de julio (MP: Juan Antonio Xiol Ríos). Sobre ello, véase Yzquierdo Tolsada, M. (2014). Daños a los derechos de la personalidad (honor, intimidad y propia imagen). En L. F. Reglero y J. M. Busto (coords.). Tratado de Responsabilidad Civil (pp. 1366-1498), tomo II (5.ª ed.). Cizur Menor: Thomson-Aranzadi. Yzquierdo Tolsada, 2014: 1487-1488. |
| [54] |
La sentencia prosigue, señalando: «La actuación de la AEPD, y de los tribunales de lo contencioso-administrativo competentes para conocer los recursos que se interpongan contra la resolución de la AEPD, responde a criterios propios del Derecho administrativo sancionador, mientras que lo que se ejercita ante los tribunales civiles son acciones de protección de derechos fundamentales, no regidos por los principios del Derecho administrativo sancionador, en los que procede acordar las medidas necesarias para la protección del derecho fundamental frente a la intromisión sufrida, entre las que está la fijación de la indemnización de los daños que haya sufrido el afectado por la intromisión ilegítima. Por consiguiente, no es necesario que se resuelva la denuncia que haya podido interponerse ante la AEPD para que pueda ejercitarse la acción de protección del derecho fundamental ante el tribunal civil, y esta puede interponerse sin que haya mediado actuación alguna de la AEPD» (STS, Sala Primera, núm. 307/2014, de 4 de junio [MP: Rafael Sarazá Jimena]). En el mismo sentido, véase STS, Sala Primera, núm. 671/2014, de 19 de noviembre (MP: Rafael Sarazá Jimena). |
| [55] |
Véanse SSTS, Sala Primera, núm. 28/2014, de 29 de enero (MP: Rafael Sarazá Jimena), y núm. 586/2017, de 2 de noviembre (MP: Rafael Sarazá Jimena). |
|
Aberasturi Gorriño, U. (2013). El derecho a la indemnización en el artículo 19 de la Ley Orgánica de Protección de Datos de Carácter Personal. Revista Aragonesa de Administración Pública, 41-4), 173-206. |
|
|
Cafaggi, F. (2017). On the transformations of European consumer enforcement law: judicial and administrative trialogues, instruments and effects. En F. Cafaggi y S. Law eds.). Judicial Cooperation in European Private Law (pp. 223-262). Cheltenhan-Northampton: Edward Elgar. |
|
|
Calabresi, G. (1970). The Cost of Accidents. New Haven; London: Yale University Press. |
|
|
Clopton, Z. D. (2016). Redundant Public-Private Enforcement. Vanderbilt Law Review, 69, 285-332. |
|
|
Faure, M. G. (2014). The complementary roles of liability, regulation and insurance in safety management: theory and practice. Journal of Risk Research, 17, 689-707. |
|
|
Frenzel, E. M. (2017). DS-GVO Artikel 82. Haftung und Recht auf Schadenersatz. En B. P. Paal y D. Pauly (eds.). Datenschutz-Grundverordnung: DS-GVO. München: C. H. Beck. |
|
|
Gascón Inchausti, F. (2017). Aspectos procesales de las acciones de daños derivados de infracciones de las normas sobre defensa de la competencia: apuntes a la luz de la directiva 2014/104 y de la propuesta de ley de transposición. Cuadernos de Derecho Transnacional, 9, 125-152. |
|
|
Grimalt Servera, P. (1999). La responsabilidad civil en el tratamiento automatizado de datos personales. Granada: Comares. |
|
|
Herrero Suárez, C. (2016). La transposición de la Directiva de daños antitrust. Reflexiones a raíz de la publicación de la propuesta de Ley de transposición de la Directiva. Cuadernos de Derecho Transnacional, 8, 150-183. |
|
|
Hugenholtz, P. B. (2013). Is Harmonization a Good Thing?: the Case of the Copyright “Acquis”. En A. Ohly y J. Pila (eds.). The Europeanization of Intellectual Property Law: Towards a European Legal Methodology (pp. 57-73). Oxford: Oxford University Press. |
|
|
Lynskey, O. (2017). The ‘Europeanisation’ of Data Protection Law. Cambridge Yearbook of European Legal Studies, 19, 252-286. |
|
|
Mak, C. (2014). Rights and Remedies. Article 47 EUCFR and Effective Judicial Protection in European Private Law Matters. En H. W. Micklitz (ed.). The Constitutionalization of European Private Law (pp. 236-258). Oxford: Oxford University Press. |
|
|
Marcos, F. y Sánchez Graells, A. (2008). Towards a European Tort Law? Damages for Breach of the EC Antitrust Rules: Harmonizing Tort Law through the Back Door? European Review of Private Law, 3, 469-488. |
|
|
Nieto Garrido, E. (2016). Derecho a indemnización y responsabilidad. En J. L. Piñar Mañas (dir.). Reglamento General de Protección de Datos. Hacia un nuevo modelo europeo de privacidad (pp. 555-570). Madrid: Reus. |
|
|
O’Dell, E. (2017). Compensation for Breach of the General Data Protection Regulation. Dublin University Law Journal, 40, 97-164. |
|
|
Pantaleón, F. (1993). Art. 1902. En C. Paz-Ares, L. Díez-Picazo, R. Bercovitz, y P. Salvador (eds.). Comentario del Código Civil, II (2.ª ed.). Madrid: Ministerio de Justicia. |
|
|
Pantaleón, F. (1996). La Constitución, el honor y unos abrigos. La Ley, 1996, II, D-162, 1689-1690. |
|
|
Parra Lucán, M. A. (2011). Registro de morosos: Derecho civil y nulidad (parcial) del reglamento de desarrollo de la Ley Orgánica de Protección de Datos. Aranzadi Civil-mercantil, 3, 81-113. |
|
|
Post, R. (2018). Data Privacy and Dignitary Privacy: Google Spain, the Right to Be Forgotten, and the Construction of the Public Sphere. Duke Law Journal, 67, 981-1072. |
|
|
Puyol Montero, J. (2010). Comentario al artículo 19. En A. Troncoso Reigada (ed.). Comentario a la Ley Orgánica de Protección de Datos de Carácter Personal (pp. 1263-1285). Cizur Menor: Thomson-Civitas. |
|
|
Requejo Isidro, M. (2019). Procedural Harmonization and Private Enforcement in the Area of Personal Data Protection. Max Planck-Institute Luxembourg for Procedural Law Research Paper Series, 3, 1-18. |
|
|
Rose-Ackerman, S. (1991). Regulation and the Law of Torts. The American Economic Review, 81, 54-58. |
|
|
Ruda González, A. (2016). Sentencia 15 octubre 2015. Indemnización por daños al derecho al olvido. La responsabilidad por la no exclusión de una hemeroteca digital por los buscadores generales (Caso El País). Cuadernos Civitas de jurisprudencia civil, 101, 289-332. |
|
|
Rubí Puig, A. (2018). Daños por infracciones del derecho a la protección de datos personales. El remedio indemnizatorio del artículo 82 RGPD. Revista de Derecho Civil, (V[4]), 53-87. |
|
|
Salvador, P., Gómez, C., Ramos, S., Rubí, A. y Luna, A. (2018). Derecho de Daños (DdD), Análisis, aplicación e instrumentos comparados (7.ª ed.). InDret. |
|
|
Sancho Gargallo, I. (2009). Ejercicio privado de las acciones basadas en el Derecho comunitario y nacional de la competencia. InDret 1/2009. |
|
|
Sarazá Jimena, R. (2011). Responsabilidad civil por la indebida inclusión en un registro de morosos. Revista Aranzadi Doctrinal, 7, 105-132. |
|
|
Shavell, S. (1984). Liability for Harm Versus Regulation of Safety. Journal of Legal Studies, 13, 357-374. |
|
|
Van Alsenoy, B. (2016). Liability under EU Data Protection Law. From Directive 95/46 to the General Data Protection Regulation. JIPITEC, 3, 271-288. |
|
|
Yzquierdo Tolsada, M. (2014). Daños a los derechos de la personalidad (honor, intimidad y propia imagen). En L. F. Reglero y J. M. Busto (coords.). Tratado de Responsabilidad Civil (pp. 1366-1498), tomo II (5.ª ed.). Cizur Menor: Thomson-Aranzadi. |
|
|
Vázquez de Castro, E. (2013). Daños causados por el incumplimiento de la ley en el tratamiento de datos personales. Concordancias, discordancias y concurso de normas. Práctica de Derecho de Daños: Revista de Responsabilidad Civil y Seguros, (112), 18-34 (La Ley, 19491/2012, por donde se cita). |
|
|
Zunón Villalobos, M. (2013). La garantía civil de la privacidad. Revista Aranzadi Doctrinal, 9/2013, 153-181. |