El punto de esta entrada es conocer sí realmente se puede o no denunciar a una empresa y reclamar una indemnización si sufre una brecha de seguridad y expone mis datos personales. En los últimos meses hemos estado viendo a varias empresas de la región como también instituciones publicas sufrir de incidentes de seguridad y que dejan expuestos datos personales de sus usuarios.
A ver:
Región: Centroamérica. País: Costa Rica. Fecha: 15 de abril del 2022. Clientes de la empresa reciben emails con una nota. Empresa que los envía: McDonald´s. Motivo: Uno de los proveedores de servicio sufrió un incidente permitiendo el acceso no autorizado a datos personales de algunos de los clientes de la cadena de comida rápida.
¿Y ahora qué pasa? ¿Qué puedo hacer al respecto? ¿Puedo denunciar esto? Puedo reclamar una indemnización por la brecha de seguridad?
Estas son una de las preguntas que la mayoría de las veces sale a luz cuando vemos casos donde las empresas tienen problemas de seguridad en el resguardo de la información y se producen brechas que llevan a exponer datos personales.
Por ejemplo, en Panamá, la Ley 81, especifica indemnización. Establece claramente que "El responsable del tratamiento de los datos personales deberá indemnizar el daño patrimonial y/o moral que causará por el tratamiento indebido de estos, de conformidad con lo establecido en esta Ley o en el ordenamiento legal vigente". Tal y como reza el Arto. 37 de la referida Ley. También cabe la posibilidad de denuncia.
A ver, si una empresa sufre una brecha de seguridad y se exponen los datos personales de sus colaboradores, proveedores y clientela es importante como primer medida evaluar cuáles datos realmente fueron expuestos. Una empresa debe tener clasificación de los datos.
En países como España la legislación de protección de datos indica que puede denunciarse a la empresa. No obstante, lo que existe es una sanción que en todo caso sería administrativa, por lo que la multa sería a favor del Estado. Sin embargo, refiriéndonos específicamente a la oportunidad de una indemnización por la brecha, esto es un asunto que debe ser ventilado ante la vía civil y el o los afectados deben demostrar el daño y perjuicio que ha causado dicha filtración de sus datos personales.
En Europa, el Reglamento General de Protección de Datos (RGPD) da la opción de reclamar indemnización de daños y perjuicios, pero estará sujeto este reclamo a demostrar varios elementos de juicio que fortalezcan la posición del reclamante al indicar que existió negligencia de la empresa. En todo caso cabe la indemnización.
Es importante señalar que el reclamo, conforme la RGPD, se da cuando existe una infracción al referido reglamento o haya actuado al margen o en contra de las instrucciones legales del responsable reza el Arto. 82.
Sí quieres conocer un poco sobre la importancia de la protección de datos y algunos detalles más te invito, no solo a suscribirte a mi Blog, sino a leer lo que he escrito con respecto a estos temas entrando al siguiente link.
¿Qué ocurre en Centroamérica?
No todos los países de la región cuentan con una Ley de Protección de Datos. Los países que sí la tienen son Panamá, Costa Rica y Nicaragua. No obstante, debemos estar claros que de forma general las empresas tienen una responsabilidad que ahora aparece dentro de los contratos de servicios que promueven con sus clientes. Hay una responsabilidad contractual a todas luces.
Analizaré un acuerdo sobre el tema de una empresa de telefonía celular
Es de una de las empresas en Centroamérica: Por ejemplo, TIGO El Salvador. En su página web encontramos las condiciones de servicio y Aviso de Privacidad sobre el Tratamiento de Datos Personales en Tigo El Salvador (https://www.tigo.com.sv/legales#tigo-aviso-de-privacidad). En sus condiciones de privacidad se destacan algunos elementos como son:
La finalidad con que tratan los datos;
Con quien compartirán los datos;
El tiempo por el que guardan los datos personales; y
La ley aplicable la cual somete a las leyes de El Salvador y a los jueces y tribunales de San Salvador: interpretación, uso, alcance y terminación del “aviso” dicen ellos y yo considero que son las condiciones contractuales a las cuales los usuarios se adhieren, no un simple “aviso”.
Así que puedo deducir que si llegase a existir un mal uso de nuestros datos por parte de Tigo El Salvador podemos irnos a los tribunales, de eso no cabe duda.
Sin embargo; si ellos sufren una brecha de seguridad por la cual se exponen nuestros datos personales ¿podemos denunciarlos y solicitar una indemnización? Conste, ellos son los responsables del tratamiento de datos personales de los usuarios del portal y en el encabezado indican claramente que reconocen la importancia de proteger la privacidad y confidencialidad de los datos.
Por tanto, importa reconocer algunas aristas del tema en cuanto a obligaciones y responsabilidades:
El contrato se perfecciona con el mero consentimiento, así señala la mayoría de las legislaciones civiles en la región. Hay consentimiento? Sí, lo existe. Y más allá de consentimiento estamos frente a un acuerdo de adhesión. El usuario no podrá negociar estos acuerdos, es un hecho.
Un acuerdo obliga por lo que se expresa en él. Pero no solo eso, sino se obliga a las consecuencias que existan según la naturaleza propia del mismo acuerdo. Así que, si la empresa reconoce la importancia de proteger los datos personales y sufriese una brecha de seguridad habría que valorar algunos elementos sustantivos que indiquen entre otras cosas; negligencia, dolo e incumplimiento en la importancia de proteger la privacidad y confidencialidad de los datos.
El caso anterior lo he expuesto de forma rápida, no es un análisis profundo porque he querido poner en perspectiva lo que podría valorarse en un país que no cuenta con una legislación especial sobre temas de protección de datos.
¿Qué sucede en países de Centroamérica que sí cuentan con una legislación de Datos Personales? ¿Se puede denunciar a una empresa ante exposición de datos?
La denuncia es permisible prácticamente en todas las legislaciones.
En el caso de Nicaragua, la ley establece que habrá responsabilidad por daños y perjuicios que se deriven de la inobservancia de la ley; y también expone la posibilidad de que existan sanciones penales.
La ley de Costa Rica señala que cualquier persona puede denunciar y que si el denunciado no cumple con lo ordenado estará sujeta a las sanciones previstas en esta y otras leyes reza el Arto. 26 de la Ley N.º 8968. No obstante, no indica, a como lo hace la nicaragüense, alguna responsabilidad por daños y perjuicios derivadas por la inobservancia de esta. Solamente expresa que habrá responsabilidad para los funcionarios de Agencia de Protección de Datos de los Habitantes.
En Panamá, la Ley 81, especifica claramente la posibilidad de que se indemnice por el daño patrimonial y/o moral que se causara por el tratamiento indebido de los datos personales.
Mis consideraciones:
Como consideración general debemos estar claros que la única forma se puede denunciar a una empresa ante exposición de datos es cuando se demuestre que la empresa proveedora de servicio, la cual sufrió un incidente de seguridad y por este se han expuesto los datos personales, ha cometido dolo, negligencia, imprudencia o incluso se demuestre que ha sido totalmente malicioso el incidente ocurrido y que los datos personales han sido no solo expuestos, sino utilizados con otras finalidades.
Por tanto;
Siendo lo anterior cabría decir que dicha empresa estaría obligada a reparar el daño y a los perjuicios que se ocasionen en virtud del incidente acaecido.
Si la empresa ha contratado a un tercero para que realice el tratamiento de los datos personales y esta sufre el incidente de seguridad, pasaría exactamente igual que en los puntos 1 y 2.
Si no es por asuntos que una ley especial como son las de protección de datos establece la actuación de las empresas o los derechos de los usuarios, será porque las leyes de defensa al consumidor indiquen cierta línea que promueva la protección de los intereses legítimos económicos y sociales de los usuarios. También podemos encontrarnos con deberes para las empresas de mantener informado siempre al consumidor sobre la prestación del servicio y del estado en que se encuentre dicho servicio prestado. Además las constituciones protegen el derecho a la intimidad y que son inviolables los documentos privados y comunicaciones. En el caso que nos ocupa debemos estar claros nuevamente que para aplicar este punto estaríamos ante la consideración general que expresé al inicio de este apartado.
Entonces debemos recordar que no es solo el hecho de que exista un incidente donde se vulneren los datos personales lo que puede ocasionar un reclamo de indemnización, tiene que ir más allá y ver con objetividad meridiana lo que ha ocurrido, la participación dolosa, negligente y/o imprudente o no de la empresa responsable de los datos personales, de terceras partes ligadas indirectamente y las consecuencias que se deriven de ese incidente que cause un daño y perjuicio a la persona afectada.
Este tema es de gran calado; y tanto empresas como personas naturales afectas deben estar al tanto de esto. Los primeros para mejorar el resguardo de los datos personales y la gestión de estos; y los segundos, para conocer los derechos y la forma en que pueden actuar.