El ejercicio del ‘derecho a la indemnización’ derivado del Art.19 de la LOPD (I)

El ejercicio del ‘derecho a la indemnización’ derivado del Art.19 de la LOPD (I)

SUMARIO:

I. INTRODUCCION

II. CUESTIONES GENERALES SOBRE EL DERECHO A  LA INDEMNIZACIÓN Y SU EJERCICIO

III. LA DETERMINACIÓN DE LA RESPONSABILIDAD CIVIL

IV. LOS CRITERIOS INTERPRETATIVOS DE LA RESPONSABILIDAD CIVIL

  1. Las circunstancias del caso.
  2. La gravedad de la lesión efectivamente producida.
  3. La valoración el beneficio obtenido por el causante de la contravención y de la lesión causada.

V. EL DAÑO MORAL

  1. La doctrina sobre el daño moral.
  2. La cuantificación del daño moral.

VI. LA RESPONSABILIDAD SUBJETIVA ‘VERSUS ‘RESPONSABILIDAD OBJETIVA

VII. LA EXIGENCIA DE RESPONSABILIDAD CIVIL EN LOS FICHEROS DE TITULARIDAD PÚBLICA Y EN LOS FICHEROS DE TITULARIDAD PRIVADA

  1. Los ficheros de titularidad pública.
  2. Los ficheros de titularidad privada.

VIII. NOTAS Y BIBLIOGRAFIA

————

I. INTRODUCCIÓN

El derecho constitucional al «habeas data” está reconocido como tal, en el apartado 4º del artículo 18 de la Constitución Española de 1978. Dicho derecho fundamental se encuentra encuadrado dentro de los denominados «derechos de la personalidad» que según afirma Mingorance (1) «no son creación de ningún Estado o poder público, sino que éste sólo puede reconocer que existen antes de cualquier declaración oficial. De lo contrario, un Estado podría crear notarios derechos, lo que significaría que podría considerar iguales o desiguales a los hombres de uno u otro país, de una u otra cultura, raza, nación, etc.». Por ello, puede afirmarse que los derechos de la personalidad constituyen una categoría desconocida de los ordenamientos jurídicos antiguos y son una conquista de la ciencia jurídica del último siglo (2), y en cuanto que son lesionados, están protegidos por las acciones diversas que el ordenamiento jurídico establece para una adecuada tutela de los mismos.

Una primera cuestión que se ha de responder, es la relativa al concepto de intimidad, el cual puede ser considerado como espacio personal, incluso familiar, sustraído a intromisiones extrañas, que se siente buena medida como propio del sujeto que lo disfruta, y respecto del que se puede prohibir el acceso a otros. La STS de 13 marzo 1989 (3), en su fundamento jurídico primero afirmaba que: «la intimidad semánticamente concebida como zona reservada de la persona y de su espíritu constituye un acervo y patrimonio de la persona más arcano…”. En parecidos términos se refiere a tal derecho fundamental la STC 231/1988, (4) en la que se afirma que el derecho a la intimidad personal y familiar reconocido en el artículo 18 de la CE, doctrina ésta que se recoge textualmente en la STC del 17 octubre 1991 (5). El vence el Tribunal Supremo entre otras, la de 27 junio 2003 se indica que si bien en el artículo 18.1º C.E. no se dice en qué consiste la intimidad, indudablemente hay que relacionarla con la dignidad de la persona y el derecho a la privacidad, con un patrimonio personal y familiar propio vivencial y existencial (6).

cumpliemiento normativoEn las SSTC 115/2000 y 83/2002, por el Tribunal Constitucional ha manifestado que “es doctrina reiterada de ese Tribunal que el derecho fundamental a la intimidad reconocido por el artículo 18.1º de la C.E. tiene por objeto garantizar al individuo un ámbito reservado de su vida… frente a la acción del conocimiento los demás, sean éstos poderes públicos o simples particulares. De ese ámbito reservado frente a la divulgación del mismo por terceros ya una publicidad no querida, se desarrolla asimismo el aspecto de libertad positiva del derecho disponiendo este fin el individuo de un poder jurídico sobre la publicidad de información relativa al círculo reservado de su persona y su familia. Y, en correspondencia, puede excluir que los demás esto es, las personas de que de uno u otro modo han tenido acceso a tal espacio, den a conocer extremos relativos a su intimidad o prohibir difusión no consentida, salvo los límites que se derivan de los restantes derechos fundamentales y bienes jurídicos constitucionalmente protegidos. El aspecto de control por el titular de los datos e información relativos a la propia persona, se subraya continuación contra sus enérgicos, pues a nadie se le puede exigir que soporté pasivamente la revelación de datos, reales o supuestos, de su vida privada, personal o familiar”.

En este estudio, se va proceder a un análisis en profundidad del artículo 19 de la Ley Orgánica 15/1999, de 13 diciembre reguladora de la protección de datos de carácter personal. Esta materia se caracteriza por ser ciertamente novedosa, y no haber sido tratada con profusión hasta ahora por la doctrina. Como cuestión previa, debemos hacer una serie de consideraciones, que son relevantes para la adecuada comprensión de la materia.

En primer término, es importante tener en cuenta que el nuevo derecho de protección de datos, se encuentra en constante evolución amparado en el desarrollo de la técnica. Como tal derecho en construcción, constituye una faceta jurídica esencialmente dinámica que tiene sus raíces en los principios y valores que forman el derecho civil y mercantil, los cuales no se pueden desconocer el estado materia. Debe hacerse notar que pese al desarrollo tecnológico es un derecho está sometido a una considerable interacción con el resto de materias contempladas en el ordenamiento jurídico, quien a su vez queda muy condicionado por la evolución de las normas legales que regulan hoy en día el desarrollo de las nuevas tecnologías. Y en segundo término, es importante señalar que congruentemente con la configuración constitucional de nuestro sistema jurídico, la intimidad, como tal derecho fundamental, sólo predicable de las personas físicas, y no de las jurídicas, a contrario sensu lo que está ocurriendo en otros países de influencia europea, principalmente radicados en Iberoamérica (Méjico, etc.), donde se protege dicho derecho también a las personas jurídicas o morales.

Consecuentemente con todo lo anterior, vamos a iniciar un examen sistemático y exhaustivo del meritado artículo 19 de la Ley Orgánica 15/1.999, de 13 de diciembre de Protección de Datos de Carácter Personal, en el que señala, de manera literal, lo siguiente:

«1. Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados.

2. Cuando se trate de ficheros de titularidad pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad de las Administraciones públicas.

3. En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción ordinaria».

El Artículo 19 de la Ley Orgánica 15/1.999, de 13 de diciembre, de Protección de Datos de Carácter Personal, se encuentra ubicado en el Título III de dicho Cuerpo Legal, dedicado a los Derecho de las Personas. Este precepto trae causa con lo afirmado en el Considerando 55 de la Directiva 95/46/CE, en el que se indica que:

«… las legislaciones nacionales deben prever un recurso judicial para los casos en los que el responsable del trata­miento de datos no respete los derechos de los interesados; que los daños que pueden sufrir las personas a raíz de un tratamiento ilícito han de ser reparados por el responsable del tratamiento de datos, el cual sólo podrá ser eximido de responsabilidad si demuestra que no le es imputable el hecho perjudicial, principal­mente si demuestra la responsabilidad del interesado o un caso de fuerza mayor; que deben imponerse sanciones a toda persona, tanto de derecho privado como de derecho público, que no respete las disposiciones nacionales adoptadas en aplicación de la presente Directiva». (7)

Tales consideraciones se han materializado en el artículo 23 de dicha Directiva, en el apartado dedicado al concepto de «responsabilidad», donde se afirma lo siguiente:

«1. Los Estados miembros dispondrán que toda persona que sufra un perjuicio como consecuencia de un tratamiento ilícito o de una acción incompatible con las disposiciones nacionales adoptadas en aplicación de la presente Directiva, tenga derecho a obtener del responsable del tratamiento la reparación del perjuicio sufrido.

 2.El responsable del tratamiento podrá ser eximido parcial o total­mente de dicha responsabilidad si demuestra que no se le puede imputar el hecho que ha provocado el daño».

 En el examen de este precepto debemos abordar diferentes conceptos atinentes a las materias abordadas en su regulación, cuáles son el ejercicio de la acción indemnizatoria, y las diversas consecuencias que se derivan de las mismas tanto para los ficheros de titularidad pública, frente a aquellos de naturaleza privada.

II. CUESTIONES GENERALES SOBRE EL DERECHO A INDEMNIZACIÓN Y SU EJERCICIO

La protección del objeto de la protección de datos tiene como misión garantizar, tal como se desprende del artículo 1º LOPD garantizar el tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. En el examen del derecho a la indemnización derivado de la lesión de los derechos de las personas en materia de datos de carácter personal, debe partirse necesariamente, tal como señala VIZCAINO (8), de los valores y derechos garantizados por la norma que atienden, básicamente, al honor, privacidad e intimidad de las personas, consecuentemente con ello, señala este autor, no será extraño que la vulneración de sus normas determine la eventual existencia de daños y perjuicios, materiales o morales, que deban ser reparados.

cumplimiento normativoEl reconocimiento del derecho a la indemnización tiene habitualmente origen judicial, aunque no son desdeñables otras fuentes de atribución de responsabilidad (v.gr. arbitraje, etc.). BUISAN (9) señala, que si bien es la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, la que tiene atribuido, por mor de la Disposición adicional 4ª.5º de la Ley 29/1.998, de 13 de julio, el conocimiento en única instancia, de los actos administrativos dictados por la Agencia Española de Protección de datos, sin embargo ha sido doctrina reiterada y constante de tal Sala que carece de competencia para pronunciarse, en dichos procedimientos a las resoluciones de la AEPD, sobre la existencia o inexistencia de una eventual indemnización a favor de los interesados, que hayan podido sufrir daño o lesión en sus bienes o derechos por eventuales incumplimiento de dicha normativa sobre la protección de datos de carácter personal. Al hilo de ello, esta visión debe ser completada, porque el origen u atribución de responsabilidad en sede judicial, no debe circunscribirse única y exclusivamente a los pronunciamientos que se deriven de las resoluciones dictadas por la AEPD, o a su impugnación judicial, que como se ha visto no es viable jurídicamente, sino que dicha atribución ha de establecerse sobre la base de las facultades y competencias deferidas en favor de las jurisdicciones civil y penal. La primera de ellas, la de orden civil, determinará la responsabilidad de esta clase, nacida de las relaciones contractuales o extracontractuales que vinculen tanto al infractor como a la víctima en esta materia.

Del mismo modo, la jurisdicción penal será competente para la instrucción y enjuiciamiento de las causas que tengan como base en los artículos 197 y siguientes contenidos en la Ley Orgánica 10/1.995, de 23 de noviembre, por el que se aprueba el Código Penal, y demás reformas operadas. Sin embargo, debe hacerse una puntualización consistente en que en lo referente a la Administración Pública, como generadora de responsabilidad por el incumplimiento de lo estipulado en la Ley, determina la aplicación del apartado 1º del artículo 139 de la Ley 30/1.992, de 26 de noviembre, integrándose en el concepto de responsabilidad por el funcionamiento anormal de los servicios públicos, lo que abre la puerta a su vez a la jurisdicción contenciosa-administrativa para la exigencia de la correspondiente responsabilidad o indemnización previsto en la Ley, responsabilidad que en ningún caso abarcaría los supuestos de fuerza mayor.

La legitimación para la exigencia de la responsabilidad a la que se hace alusión en este apartado 1º del artículo 19 de la LOPD, viene atribuida por dicha Ley Orgánica únicamente a los interesados, debiendo entender por tales, de conformidad con lo dispuesto en la letra a) del apartado 1º, del artículo 5º del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, donde se indica que: «a los efectos previstos en este reglamento, se entenderá por «Afectado o interesado«, la persona física titular de los datos que sean objeto del tratamiento», entendiendo por tal, «cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias» (letra t) apartado 1º, del artículo 5º del RLOPD). En este sentido, cabe afirmar, que toda vez que el concepto de interesado queda reservado de manera exclusiva, en esta materia, a las personas físicas, quedando fuera de su ámbito de aplicación consecuentemente, las personas jurídicas, tal como se señala en el apartado 2º, del artículo 2º del RLOPD, ya que estas al estar excluidas expresamente de esta regulación, carecen de legitimación en la materia que nos ocupa, y ello conlleva consecuentemente que con carácter general, se encuentren excluidas para el ejercicio de cualquier acción en orden a la exigencia de responsabilidad civil o del derecho a percibir una indemnización. No obstante ello, en el orden estrictamente procesal, cabe plantearse otras alternativas a la legitimación que puede establecerse para el ejercicio de las acciones que se puedan ejercitar a través de la aplicación del precepto que nos ocupa. En este sentido, ello no es óbice para que puedan existir otras que incidan en la aplicación del citado artículo 19 LOPD, y que puedan presentar un ámbito de aplicación mayor. A título de ejemplo, cabe traer a colación el contenido de los apartados 1º y 2º del artículo 11 de la Ley 1/2.007, de 7 de enero, de Enjuiciamiento Civil, y que hacen referencia a la legitimación para la defensa de derechos e intereses de consumidores y usuarios, en los que se afirma:

«1. Sin perjuicio de la legitimación individual de los perjudicados, las asociaciones de consumidores y usuarios legalmente constituidas estarán legitimadas para defender en juicio los derechos e intereses de sus asociados y los de la asociación, así como los intereses generales de los consumidores y usuarios.

2. Cuando los perjudicados por un hecho dañoso sean un grupo de consumidores o usuarios cuyos componentes estén perfectamente determinados o sean fácilmente determinables, la legitimación para pretender la tutela de esos intereses colectivos corresponde a las asociaciones de consumidores y usuarios, a las entidades legalmente constituidas que tengan por objeto la defensa o protección de éstos, así como a los propios grupos de afectados».

Debe ponerse de manifiesto la evidente conexión entre el artículo 19 LOPD, y las normas trascritas, toda vez que en ambos casos estamos en presencia de preceptos que habilitan para la defensa de hechos dañosos, cuyas consecuencias, se materializan en este caso, en una acción típicamente la acción indemnizatoria, que en todo circunstancia puede ser reclamada tanto a título individual por la persona afectada, por la titular de los datos, o incluso es posible llevarla a cabo por medio de una asociación de consumidores y usuarios, de conformidad con la legitimación que como se deprende de las normas a las que se ha hecho referencia, a ellas se atribuye expresamente.

Procesalmente existen muchas vicisitudes a tomar en consideración, que por su amplitud exceden de los límites del presente análisis, pero que en cualquiera de los casos es importante tener presente a los efectos de determinar adecuadamente el ejercicio de las acciones derivadas del artículo 19 LOPD. La legitimación pasiva, en aras de la exigencia de la obligación de resarcir y de indemnizar, y por ende, de la responsabilidad civil que puede ser exigida, se limita legalmente al responsable del fichero o tratamiento, entendiendo como tales, de conformidad con lo afirmado en el apartado d) del artículo 3º de la LOPD a los siguientes: en primer término el responsable del fichero puede ser considerado como «la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento»; y en segundo lugar el encargado del tratamiento que es «la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento«.

En este apartado 1º del artículo 19 LOPD, se condiciona la obtención del derecho a la indemnización, a que se haya producido una contravención de la regulación legal existente en materia de protección de datos, y que a consecuencia de la producción de la misma, sufran los afectados o titular de los datos, daño o lesión en sus bienes o derechos. Sin embargo, también podemos encontrarnos ante la posibilidad práctica de que, a pesar de la contravención legal producida, no se haya producido efectivamente daño alguno que quepa resarcir o indemnizar. Ello puede justificarse porque el quebranto legal producido se repare de forma o manera específica, y no recurriendo a una indemnización de daños y perjuicios, simplemente, porque no llegue a producirse daño alguno. Y en su consecuencia, todo esto debe conducir a que no exista una de las premisas básicas que justifican la legitimación para el ejercicio de la presente acción, con lo que no sería posible llevar a cabo reclamación alguna al efecto, y en el caso que esta se produjere, debería ser exoneratoria tanto para el responsable del fichero, como en su caso, para el responsable del tratamiento.

La contravención a la que se ha hecho alusión no se puede establecer sobre cualquier norma vigente en esta materia, sino única y exclusivamente sobre la base de lo afirmado a la Ley Orgánica 15/1.999. Ello implica que ante la existencia de una vulneración del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, o a cualquier otra norma que no sea la citada Ley Orgánica, no conlleve la posibilidad de la existencia de un derecho por el que uno deba ser indemnizado. En el examen de las hipotéticas contravenciones que se pueden producir en la materia que nos ocupa, surge la duda con relación a si las vulneraciones legales que dan derecho a la posibilidad de una indemnización, son principalmente aquellas que se encuentran expresamente previstas como tales infracciones en el ámbito sancionador de la propia Ley Orgánica, o por el contrario, la infracción de cualquier norma comprendida en su seno, con independencia de que se encuentre expresamente prevista una sanción derivada de su vulneración. Ante estas dos posiciones interpretativas, pensamos que es preferible decantarse por la segunda posibilidad, al no existir precisión expresa en la Ley, con relación a la necesidad de la vulneración legal producida lo sea única y exclusivamente con relación a una norma punitiva concreta o que la misma haya de estar prevista en la propia ley, para posibilitar una ulterior acción indemnizatoria.

Del mismo modo, hay que indicar que ante la falta de precisión del precepto, la indemnización que pudiera derivarse del incumplimiento de las normas legales objeto de esta materia, por parte tanto del responsable del fichero, como en su caso, por el encargo del tratamiento, debe entenderse que la naturaleza jurídica del vínculo que une a estos responsables para con el afectado, puede tener tanto carácter contractual, o en su defecto extracontractual, dependiendo de la naturaleza jurídica del negocio jurídico subyacente, sobre el cual se ha producido el tratamiento de datos, y consecuentemente con ellos, la contravención que da objeto a la responsabilidad civil en cuestión.

El concepto de daño, tal como se establece en el Diccionario de la Real Academia de la Lengua, implica «el valor de la pérdida sufrida o de los bienes destruidos o perjudicados», (10) y el de lesión conlleva un sentido, tal vez, más amplio que hace referencia al daño o detrimento corporal causado por una herida, un golpe o una enfermedad; al daño, perjuicio o detrimento; al daño que se causa en las ventas por no hacerlas en su justo precio; o al perjuicio sufrido con ocasión de otros contratos. No obstante ello, algunos autores sostienen la posibilidad de que pueda surgir derecho a la indemnización, aunque técnicamente no existe el incumplimiento de lo preceptuado en la Ley, un planteamiento que responde más a cuestiones teóricas que reales, y pondrían en un serio apuro al ejercicio y la viabilidad de la acción ejercitada, siempre que la misma se trate de vincular técnicamente a la protección de datos, pues si se establece por la vía de la responsabilidad civil extracontractual (vid. artículo 1.902 del Código Civil) o derivada de la responsabilidad civil contractual (vid. artículo 1.101 del Código Civil) o ex delito, probablemente también sería viable, pero su fundamento se encontraría en el daño o perjuicio sufrido en bienes o derechos, sin que nada tenga que ver la contravención producida a la norma legal orgánica que regula esta materia. Por ello, es importante tener en consideración, que los pronunciamientos indemnizatorios no constituye competencia de la Agencia Española de Protección de Datos, siendo una facultad atribuida en exclusiva a los órganos pertenecientes a la jurisdicción ordinaria. Ello se recoge con claridad en múltiples resoluciones judiciales, entre las que cabe citar la Sentencia de la Sección Primera de la Audiencia Nacional de 8 de marzo de 2.006, dictada en el recurso número 424/2.004 y. En este sentido, aunque constituye un concepto obvio y de sobra conocido, es importante resaltar que la sanción que en su caso pueda imponerse por la Agencia Española de Protección de Datos a un responsable del fichero y/o a un encargado de tratamiento, no va a redundar nunca en beneficio económico de la persona afectada o titular de los datos, es decir, al hipotético denunciante, que en ningún caso, y bajo ningún concepto va a percibir cantidad ni por la denuncia formulada, ni por la sanción que su caso dicho ente administrativo pueda imponer al denunciado o a un tercero en tal concepto. Deben, asimismo, ser traídos a colación, por su expresividad los pronunciamientos citados por BUISAN (12), derivados de la Sentencia del Tribunal Supremo (Sala 3ª), de 28 de diciembre de 2.004 (recurso número 3020/2001), haciéndose eco de la argumentación de la Sentencia de la Sección Primera de la Sala de lo Contencioso-Administrativa de la Audiencia Nacional, en ella recurrida, cuando expone literalmente lo siguiente:

«(…) Y ello porque la situación jurídica de los denunciantes-recurrentes no experimenta ventaja alguna por el hecho de que se sancione a la entidad denunciada, único pronunciamiento que cabría pretender de la Agencia de Protección de Datos, ya que la pretensión indemnizatoria articulada por los actores no puede ser atendida por la Agencia de Protección de datos, sino que deberá, en su caso, ser instada ante los órganos del orden jurisdiccional civil a través del cauce procesal pertinente, ni la prosperabilidad de dicha pretensión queda supeditada o condicionada a la imposición de una previa sanción a la denunciada«.

Desde el punto de vista de la dinámica de la reclamación es conveniente ordenar una serie de conceptos. En primer término, no es imprescindible para efectuar la reclamación civil, la previa denuncia ante la Agencia Española de Protección de Datos. La reclamación administrativa no condición el ejercicio de acciones indemnizatorias. No obstante ello, constituye una práctica habitual la previa reclamación ante la Agencia, a los efectos de la preconstitución de las correspondientes pruebas documentales reflejadas en el expediente administrativo que le sirve de base, y en la imposición en la meritada sanción, a los efectos de facilitar la ulterior reclamación económica apoyada en la lesión de los bienes o derechos como consecuencia de la infracción legal. No se puede ocultar la importancia de estas pruebas en sede judicial, pero ello no libera al demandante o reclamante de la realización de las demás actividades o cargas procesales que le corresponden llevar a cabo en el procedimiento judicial, como más adelante se hará especial referencia, y sin cuya realización puede carecer de valor las previas actuaciones administrativas que sirven de pauta inicial, (v.gr. la acreditación del daño o el perjuicio sufrido, entre otras). También es posible acceder de manera directa a la vía penal, ejercitando de manera simultánea la acción penal, sobre la base de los tipos antes indicados, y la acción civil indemnizatoria derivada del delito. En este caso nos encontramos con una incipiente y no demasiado profusa jurisprudencia, que determina que en la mayoría de los casos, no se hayan consolidado excesivamente los tipos penales contenidos en el vigente Código Penal.

Como conclusión de todo ello, es interesante reiterar la posibilidad de deslindar el ejercicio administrativo de las acciones derivadas de la LOPD, de aquellas otras llevadas a cabo ante los órganos judiciales en reclamación, entre otras pretensiones posibles, de la pertinente indemnización derivada de la lesión de los derechos y bienes lesionados en las condiciones ya mencionadas, sin que de manera previa estas últimas estén absolutamente condicionadas por aquellas de índole administrativa.

En cuanto a las condiciones generales del ejercicio procesal de esta acción es conveniente apoyarse, por su paralelismo, en el artículo 9º, de la Ley 5/1.982, de 5 de mayo de protección del honor, de la intimidad personal y familiar y de la propia imagen, donde se recogen muchas consideraciones normativas a valorar con relación a la misma. Así en su apartado 1º, se dice:

«La tutela judicial frente a las intromisiones ilegítimas en los derechos a que se refiere la presente ley podrá recabarse por las vías procesales ordinarias o por el procedimiento previsto en el artículo cincuenta y tres, dos, de la Constitución. También podrá acudirse, cuando proceda, al recurso de amparo ante el Tribunal Constitucional».

 Frente a este planteamiento, debe indicarse que en si el ejercicio de la acción pretende una reparación en forma específica, como más adelante se verá, es procedente el catálogo de procedimientos previstos en esta norma. Sin embargo, del examen del citado artículo 19 LOPD, parece que su objeto se centra más en una resarcimiento de forma genérico o de contenido económico, en cuyo caso, el procedimiento más adecuado sería el declarativo que corresponda, en función de las cuantías que sean objeto de reclamación en el procedimiento judicial que se inste a tal efecto.

Otra cuestión importante a considerar es la relativa al tiempo hábil para el ejercicio de la presente acción. En este sentido, como primer punto de reflexión debemos traer de nuevo a colación el apartado 5º del artículo 9 de la citada Ley Orgánica 1/1.982, donde se dice:

«Las acciones de protección frente a las intromisiones ilegítimas caducarán transcurridos cuatro años desde que el legitimado pudo ejercitarlas».

 Este precepto, como se deduce de su contenido, limita el plazo de ejercicio de esta acción a cuatro años, entendiendo que el plazo es de caducidad y no de prescripción. Consecuentemente con lo afirmado, debe considerarse este plazo como no apto o aplicable a la acción que nos ocupa. Desde una perspectiva más particular de la protección de datos, deben traerse a colación dos posibilidades adicional basadas en dos preceptos del Real Decreto por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. La primera de ellas la encontramos en el apartado b) del artículo 5º, referido al concepto de «cancelación». Allí se afirma que la cancelación es un «Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos». La aplicación de esta norma nos conduciría a que las responsabilidades sujetas a indemnización estarían sujetas a las prescripciones de las responsabilidades derivadas del propio tratamiento de los datos. Sin embargo, este criterio parece que no es el más aconsejable, pues no valora las relaciones jurídicas y su contexto donde se han producido la conculcación legal, con lesión de los bienes y derechos del afectado. Por eso, parece más acorde con la naturaleza de las reclamaciones que se efectúan, que se abandone el concepto de responsabilidades apoyadas en el propio tratamiento de los datos, para basarse fundamentalmente en el negocio jurídico subyacente que sirve de base para exigencia de tal derecho a la indemnización. Ello nos conduce de manera directa, al apartado 6º, del artículo 8 del citado reglamento, donde se indica:

«Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

 No obstante, podrán conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado.

Una vez cumplido el período al que se refieren los párrafos anteriores, los datos sólo podrán ser conservados previa disociación de los mismos, sin perjuicio de la obligación de bloqueo prevista en la Ley Orgánica 15/1999, de 13 de diciembre, y en el presente reglamento».

En su consecuencia, la exigencia de responsabilidad cuando el responsable del fichero y/o tratamiento se encuentre vinculados contractualmente, dispondrán del plazo de exigencia de responsabilidad supeditado al establecido legalmente para dicho negocio, siendo de aplicación de manera subsidiaria el plazo de quince años previsto en el artículo 1.964 del Código Civil. Por el contrario, si entre el afectado y dichos responsables no existe vinculación contractual alguna, debe interpretarse que el plazo de prescripción de la acción de exigencia de dicha responsabilidad es el de un año, al amparo del apartado 2º del artículo 1.968 de dicho Código Civil.

Share post:

Leave A Comment

Your email is safe with us.