El temor a un dany futur per ús indegut de les dades personals, és indemnitzable? (Dra. Mònica Navarro-Michel)

Dra. Mònica Navarro-Michel

Professora agregada de Dret civil

Institut de Recerca Transjus

Facultat de Dret. Universitat de Barcelona

Paraules clau: protecció de dades, responsabilitat civil, dany moral, ciberatac

Introducció

L’any 2023 el TJUE va publicar algunes sentències sobre la responsabilitat civil derivada de la infracció de normes de protecció de dades, aclarint alguns dubtes sobre la necessitat de negligència, la relació de causalitat quan el ciberatac prové d’un tercer, i el dany. En una d’elles es va plantejar la qüestió prejudicial sobre si el temor o angoixa de les persones afectades per la infracció de la normativa a un possible ús indegut de les seves dades personals és o no un dany indemnitzable. La STJUE de 14 de desembre de 2023, cas C-340/21, VB i Natsionalna agentsia za prihodite (ECLI:EU:C:2023:986) va concloure que sí que és indemnitzable, tot aclarint que no és necessari que sigui greu, però sí que sigui fundat.

1. Els fets

L’Agència Nacional de Recaptació búlgara, autoritat dependent del Ministeri d’Hisenda de Bulgària, va patir un ciberatac, a conseqüència del qual es van publicar a internet les dades personals de més de sis milions de persones. Centenars d’elles van exercir accions contra l’Agència en virtut de l’art 82 del Reglament General de Protecció de Dades (RGPD)[1], que permet reclamar una indemnització per danys materials o immaterials derivats d’ una infracció de la normativa de protecció de dades. Una de les demandants va sol·licitar la quantitat equivalent a uns 510 euros per dany immaterial, al·legant que patia un temor a que les seves dades personals, publicades sense el seu consentiment, poguessin ser objecte d’ús indegut en el futur, o que, fins i tot, ella pogués ser víctima d’un xantatge, agressió o segrest.

El Tribunal contenciós-administratiu de Sofia va desestimar la demanda. No només per falta de causalitat (ja que el ciberatacant, que és un tercer, va interrompre el nexe causal), per manca de negligència (no es va demostrar que l’Agència hagués incomplert el deure d’adoptar mesures de seguretat) i per manca de dany. La demandant va recórrer davant el Tribunal Suprem búlgar, que va suspendre el procediment, tot plantejant cinc qüestions prejudicials al TJUE sobre la negligència, la relació de causalitat i el dany. Ens centrarem només en aquesta última.

2. Qüestió prejudicial i arguments del TJUE

La qüestió prejudicial plantejada va ser, resumidament, la següent: si l’article 82 RGPD s’ha d’interpretar en el sentit de què “els mers temors, pors i preocupacions” de la persona reclamant sobre un possible ús indegut de les seves dades personals en el futur estan inclosos en el concepte de danys immaterials, malgrat no haver-se constatat l’ús indegut posterior ni haver patit cap altre perjudici.

El TJUE contesta afirmativament. La categoria de dany immaterial (que correspon al nostre dany moral), pot constituir, per sí mateixa, un dany indemnitzable, sense necessitat de què hi hagi un dany material. Els arguments que dona el TJUE són tres.

En primer lloc, i seguint una interpretació literal, sistemàtica i teleològica, l’art. 82 RGPD no exigeix que els danys hagin assolit certa gravetat. En aquest sentit, ja s’havia pronunciat a la STJUE de 4 de maig de 2023, cas UI  i Österreichische Post AG, (C-  300/21, EU:C:2023:3709), apartat 51.

En segon lloc, el considerant 146 RGPD assenyala que cal interpretar l’art. 82 RGPD en sentit ampli, i seria contrària a aquesta idea excloure de la indemnització els temors. Per altra banda, el considerant 85 RGPD inclou una llista que danys que poden patir els interessats, i inclou la “pèrdua de control de les seves dades personals”, encara que no s’hagi produït (encara) un ús indegut.

En tercer lloc, a sensu contrari, excloure la por com a categoria indemnitzable seria contrari a la necessitat de garantir un nivell de protecció elevat de les persones físiques, que és un dels objectius del RGPD, juntament amb el desenvolupament de l’economia digital.

Finalment, el TJUE subratlla, lacònicament, que la invocació del temor a un dany futur ha de ser fundat, tenint en compte les circumstàncies del cas.

3. Comentari

El dany moral es defineix en sentit negatiu, com tot allò que no afecta l’àmbit patrimonial, sinó a l’esfera íntima de la persona i inclou, entre d’altres, el patiment, l’angoixa, la por, el malestar i la preocupació. El dany moral pot estar vinculat a un dany patrimonial, però no és necessari, ja que pot ser objecte únic de la reclamació d’una indemnització. Pot estar vinculat a un fet passat (com, per exemple, la por que s’ha sofert durant una vivència catastròfica) o a un fet futur (el temor al risc que es produeixi un fet futur negatiu). El fet futur que genera angoixa pot, finalment, tenir lloc o no, però el temor és actual i, per si mateix, indemnitzable.

El dany moral planteja dos reptes: un d’admissibilitat, i un altre de valoració.

En el cas que ens ocupa, el fet indemnitzable és la “pèrdua de control” actual de les dades personals, al que fa referència el cd. 85 RGPD. Aquest fet genera una preocupació, una angoixa, perquè pot donar lloc a usos il·legals amb conseqüències molt greus de vulneració de drets, suplantació d’identitat, etc. Si després es produeix alguna altra conseqüència, derivada de la vulneració de “drets fonamentals, discriminació, usurpació d’identitat, pèrdues financeres, reversió no autoritzada de la pseudonimització, dany per a la reputació, pèrdua de confidencialitat de dades subjectes al secret professional, o qualsevol altre perjudici econòmic o social significatiu per a la persona física”, llavors la persona afectada podrà reclamar una indemnització pel nou dany.

Un dels aspectes del dany moral que és objecte de debat és fins a quin punt poden ser objecte de compensació les preocupacions, el temor, l’angoixa, i quan són conseqüència del “risc general de la vida”. Hi ha hagut una evolució en la jurisprudència sobre la seva admissibilitat, i si hi ha una conducta negligent que ha ocasionat aquest patiment, ha de ser indemnitzat. Si aquest cas hagués passat a Espanya, i entenem que s’aplica la Llei Orgànica 1/1981, 1/1982, de 5 de maig, de protecció civil del dret a l'honor, a la intimitat personal i familiar i a la pròpia imatge, aplicaríem l’article 9.3, que estableix la presumpció del dany moral. El dany moral pot ser greu o lleu, però hi és.

El TJUE, en la sentència objecte de comentari, no exigeix que sigui greu, però sí real, fundat, no merament hipotètic. La reclamant en el litigi principal feia esment d’una sèrie de possibles conseqüències, algunes de les quals resulten, d’entrada, no només improbables, sinó totalment irreals, com ara el segrest. Ara bé, una anàlisi més detallada de les seves circumstàncies concretes pot modificar aquesta percepció inicial. Si el risc de segrest és un risc real al país on viu la reclamant o si hi ha hagut intents previs, aquestes poden ser circumstàncies que posin de manifest que, en el seu cas concret, el risc és real i, per tant, la por i preocupació serien fundades.

Superat el llindar de l’existència del dany moral, el problema rau en la dificultat en la fixació de la quantia del dany, així com dels criteris que s’hauran de tenir en compte per fer aquesta valoració, més enllà de les referències habituals a les circumstàncies del cas.

El problema es magnifica si tenim en compte que les emocions, els sentiments, són subjectius i varien molt segons les característiques emocionals i conductuals de les persones. Aquesta dificultat ha portat a baremar els danys morals més freqüents, derivats de la mort i les lesions corporals causades per accident de trànsit. Més enllà d’aquest àmbit taxat, les dificultats de valoració persisteixen.  

La indemnització per dany moral no repara els danys; en el millor dels casos, ofereix una compensació. I la seva quantia dependrà de la gravetat del dany, no del grau de negligència del causant dels danys. En tot cas, la valoració i quantificació del dany moral és una qüestió de fet que correspon apreciar als tribunals d’instància. Convindria que les sentències identifiquessin clarament quines són les circumstàncies que s’han tingut en compte per fer la valoració del dany, ja que sovint, malauradament, falta una deguda motivació que permeti fer una anàlisi dels criteris emprats per calcular el quantum de les indemnitzacions concedides.

Conclusió

És rellevant l’aclariment del TJUE sobre si el temor a un dany futur és o no un dany indemnitzable, quan no hi ha cap altre dany material present. La resposta donada pel TJUE és afirmativa, amb dos aclariments. Per una banda, no és necessari que el temor sigui greu, ja que la normativa de protecció de dades no exigeix que el dany superi un determinat llindar de gravetat. Per una altra banda, el temor ha de ser fundat, per evitar indemnitzar danys hipotètics. El problema, a la pràctica, serà com delimitar els temors reals dels danys hipotètics. Cal esperar que, en les reclamacions judicials per pèrdua de control de les dades personals, els tribunals nacionals justifiquin els criteris emprats per fixar la quantia de la indemnització. És obligat fer-ho, pel deure de motivació de les sentències, però sovint, malauradament, no es fa prou evident.

[1] REGLAMENT (UE) 2016/679 DEL PARLAMENT EUROPEU I DEL CONSELL, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades i pel qual es deroga la Directiva 95/46/CE.

L'accés als continguts d'aquest comentari /article/etc queda condicionat a l'acceptació de les condicions d'ús establertes per la següent llicència: https://creativecommons.org/licenses/by-nc-nd/4.0/deed.ca