Les entitats locals, en l’exercici de les seves funcions com a responsables o encarregades del tractament de dades personals, han de complir la normativa de protecció de dades personals. L’incompliment d’aquesta normativa pot ocasionar danys i perjudicis materials o immaterials als interessats, dels quals haurà de respondre l’entitat local tret que provi que no és responsable de cap manera del fet que hagi causat els danys i perjudicis.
Aquesta responsabilitat per danys i prejudicis està regulada, com veurem, en l’article 82 del Reglament 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades i pel qual es deroga la Directiva 95/46/CE (d’ara endavant, Reglament UE 2016/679).
La necessitat de provar el dany i perjudici en matèria de protecció de dades
L’article 82.1 del Reglament UE 2016/679 reconeix el dret a una indemnització efectiva i solidària a tota persona que hagi patit danys i perjudicis («materials o immaterials») com a conseqüència d’una infracció d’aquest Reglament:
1. Tota persona que hagi patit danys i perjudicis materials o immaterials com a conseqüència d’una infracció d’aquest Reglament té dret a rebre, del responsable o l’encarregat del tractament, una indemnització pels danys i perjudicis patits.
Per tant, el Reglament reconeix el dret de tota persona a rebre una indemnització pels danys patits pel seu incompliment. Però, n’hi ha prou amb la infracció perquè sigui atorgada aquesta indemnització? En relació amb aquesta qüestió s’ha pronunciat el Tribunal de Justícia de la Unió Europea (d’ara endavant, el TJUE), les sentències del qual, de 4 de maig de 2023, 14 de desembre de 2023 i 20 de juny de 2024, determinen que:
Amb una infracció d’aquest Reglament no n’hi ha prou, per si sola, per fonamentar un dret a indemnització.
En conseqüència, perquè neixi el dret d’indemnització, són necessaris tres requisits acumulatius:
- Que hi hagi una infracció de les disposicions del Reglament UE 2016/679 en el tractament de dades.
- Que hi hagi danys i perjudicis patits i provats per l’interessat.
- Que hi hagi relació de causalitat entre aquests danys i perjudicis i la infracció.
No tot incompliment de la normativa de protecció de dades dona lloc a una indemnització, i correspon a l’interessat demostrar que les conseqüències d’aquesta infracció li han ocasionat un dany.
La prova de l’exempció de la responsabilitat per part de l’entitat local
L’article 82.2 del Reglament UE 2016/679 reconeix el deure del responsable i/o encarregat del tractament de respondre d’aquests danys:
2. Qualsevol responsable que participi en l’operació de tractament ha de respondre dels danys i perjudicis causats en cas que aquesta operació no compleixi el que disposa aquest Reglament. Un encarregat únicament ha de respondre dels danys i perjudicis causats pel tractament quan no hagi complert les obligacions d’aquest Reglament adreçades específicament als encarregats o quan hagi actuat al marge o en contra de les instruccions legals del responsable.
Tanmateix, el paràgraf tercer estableix la possibilitat de l’Administració local d’exonerar-se de respondre d’aquests danys si demostra que no se li poden atribuir:
3. El responsable o encarregat del tractament estarà exempt de responsabilitat en virtut de l’apartat 2 si demostra que no és en cap manera responsable del fet que hagi causat els danys i perjudicis.
Així doncs, les entitats locals responsables o encarregades del tractament respondran d’aquests danys tret que demostrin que no se’ls pot atribuir el fet d’haver causat aquests perjudicis.
El TJUE també s’ha pronunciat sobre aquesta qüestió en la seva sentència, de 14 de desembre de 2023 o de 21 de desembre d’aquest mateix any, indicant que:
En conseqüència, correspon respondre a la cinquena qüestió prejudicial que l’article 82 del RGPD s’ha d’interpretar en el sentit que el naixement de la responsabilitat del responsable del tractament està supeditat a l’existència de culpa per part d’aquest, la qual es presumeix, tret que aquest demostri que no és en cap manera responsable del fet d’haver causat els danys i perjudicis.
Segons el TJUE, de l’anàlisi conjunta de les diferents disposicions de l’article 82 del Reglament UE 2016/679 es desprèn que aquest article estableix un règim de responsabilitat per culpa en què la càrrega de la prova recau sobre el responsable del tractament.
En cas de danys en matèria de protecció de dades, es presumeix la culpa de l’entitat local responsable del tractament, tret de prova en contra.
El naixement de la responsabilitat del responsable o encarregat del tractament està supeditat a l’existència de culpa per part d’aquest, la qual es presumeix, tret que aquest demostri que no és en cap manera responsable del fet d’haver causat els danys i perjudicis, o dit d’una altra manera: el responsable o encarregat del tractament estarà exempt de responsabilitat si demostra que no és en cap manera responsable de l’acció o omissió d’haver provocat els danys i perjudicis.
En cas de reclamació de danys en matèria de protecció de dades a les administracions públiques com a responsables o encarregades del tractament, la indemnització per aquesta responsabilitat s’exigirà conforme a la normativa sobre responsabilitat patrimonial.
En definitiva, les administracions públiques, com a encarregades o responsables del tractament de dades, han de complir la normativa de protecció de dades personals adoptant les mesures necessàries per garantir aquest compliment. Tanmateix, davant d’un incompliment d’aquestes mesures, l’entitat local respondrà dels danys (prèviament provats per l’interessat) tret que demostri que no se li pot atribuir el fet d’haver causat aquests danys i perjudicis.
Podeu ampliar la informació sobre aquest tema accedint a la secció d’administració electrònica de la plataforma corporativa de esPublico: un espai de contingut especialitzat dedicat a facilitar l’adaptació de les entitats locals a la seva actuació per mitjans electrònics, així com a donar suport al procés de transformació digital.
La secció ofereix nombrosos recursos explicatius, entre d’altres, guies didàctiques, infografies interactives, videotutorials, diccionari de terminologia digital, etc.
Podeu accedir a la secció d’administració electrònica de esPublico prement aquí.