GDPR Learning Hub

Menú
  • Take quizzes
  • Download guides
  • Buy courses
  • Buy Templates
  • GDPR-Courses are under construction

ARTÍCULO 82 DEL RGPD

Daños cuando una empresa viola el RGPD

Los interesados pueden tener derecho a daños y perjuicios cuando una empresa viola el RGPD. El derecho del interesado a una indemnización por daños y perjuicios por infracciones del RGPD se regula en el artículo 82 del RGPD. Tenga en cuenta que los daños y las multas administrativas no son lo mismo. Esto es algo que es importante que conozcan tanto las empresas como los interesados. 

¿Cuál es la diferencia entre daños y multas administrativas?

Las autoridades de supervisión tienen el poder de imponer multas administrativas a las empresas que violen el RGPD. Una multa administrativa es una forma de multa que la empresa debe pagar. El importe máximo de la multa que puede imponerse a una empresa en caso de infracciones graves es de 20 millones EUR. Alternativamente, hasta el 4 % del volumen de negocios total anual mundial de la empresa durante el ejercicio anterior. 

Por otro lado, a los interesados no se les permite beneficiarse de las multas pagadas, ya que las empresas las pagan al Estado. En su lugar, el interesado debe entablar una acción civil contra la propia empresa, con el fin de reclamar daños y perjuicios a la empresa. En la mayoría de los casos, el interesado debe haber sufrido daños para obtener una indemnización por daños y perjuicios. Sin embargo, es posible que los interesados reciban daños y perjuicios en caso de temor a que los datos personales se utilicen indebidamente en el futuro.

What breaches of the GDPR can lead to an administrative fine?

¿Pueden tanto los controladores como los procesadores ser responsables de los daños?

Sí, aunque es el responsable del tratamiento quien tiene la responsabilidad última del tratamiento de los datos personales, los encargados del tratamiento también tienen la responsabilidad de su tratamiento. Si un procesador viola las disposiciones del acuerdo de procesamiento de datos, o no cumple con las reglas del RGPD que se dirigen a los procesadores, puede ser responsable de los daños y perjuicios. Así se establece en el artículo 82, apartado 2, del RGPD.

Perjuicio material o moral para reclamar una indemnización

Un interesado que haya sufrido daños materiales o inmateriales como resultado de una empresa que haya violado el RGPD, tiene derecho a una compensación de la empresa. Así se establece en el artículo 82 del RGPD. 

Daños materiales

Un interesado puede sufrir daños materiales debido a la infracción del RGPD por parte de una empresa. En resumen, las pérdidas financieras constituyen un daño material.

Por ejemplo: 

  • La filtración de datos que condujo al robo de identidad con pérdida financiera, por un sujeto de datos secuestrado y alguien no autorizado ha tomado un préstamo a su nombre.
  • Violaciones de datos que conducen a otros tipos de transacciones no autorizadas y fraude.
  • Los costos de lidiar con el robo de identidad, como cambio de documentos de identidad, asesoramiento legal, pérdida de ingresos, servicio de monitoreo de crédito, etc. 

Perjuicio moral

Además de la indemnización por daños materiales, en algunos casos el interesado también puede tener derecho a una indemnización por daños inmateriales. En resumen, el daño no material tiene que ver con el impacto psicológico o emocional.

Por ejemplo: 

  • La violación de datos hace que el interesado sienta ansiedad, estrés, incomodidad o preocupación. 
  • El interesado se siente impotente y violado, debido a la intrusión en su privacidad. 
  • Una violación de la seguridad de los datos personales sensibles podría dar lugar a que el interesado tenga miedo de que los datos personales sensibles sean difundidos o tratados por personas no autorizadas.

¿Cuándo puede un interesado tener derecho a una indemnización de una empresa?

Para que un interesado tenga derecho a una indemnización de una empresa por incumplimiento del RGPD, deben cumplirse tres criterios: 

1. Infracción del RGPD

La empresa debe haber infringido las disposiciones del RGPD y, por lo tanto, haber procesado los datos personales del interesado en violación del RGPD.

What is the definition of anonymised data?

2. Daños

El interesado debe haber sufrido daños y perjuicios por los que solicita una indemnización a la empresa. El daño puede ser material o inmaterial.

Subjektivt integritetskänsliga personuppgifter

3. Vínculo causal

Debe existir un vínculo claro (causalidad) entre el daño sufrido por el interesado y la infracción del RGPD por parte de la empresa.

Si la empresa puede demostrar que no es de ninguna manera responsable del evento que causó el daño, la empresa escapará a la responsabilidad y no pagará daños al interesado. Así se desprende del artículo 82, apartado 3, del RGPD. 

Daños por temor a un futuro uso indebido de los datos personales

Es posible que los interesados obtengan daños y perjuicios por temor a un futuro uso indebido de los datos personales. Así lo estableció el Tribunal de Justicia a raíz de una petición de decisión prejudicial planteada por el Tribunal Supremo de lo Contencioso-Administrativo búlgaro. En otras palabras, puede constituir un daño moral si existen razones fundadas para que los datos personales que, por ejemplo, se hayan filtrado o no estén autorizados de alguna otra manera, se utilicen indebidamente en el futuro. 

APRENDE MÁS

The supervisory authority can issue a reprimand to a company that violates the RGPD

Si una empresa viola el RGPD, esto no significa necesariamente que la empresa tenga que pagar una multa administrativa. Es posible que la empresa reciba una sanción más indulgente. Por ejemplo, una amonestación (corrección) en caso de infracciones menos graves. Hay varios factores que juegan un papel en la sanción a la que conduce una violación. Entre otras cosas, lo que la empresa ha hecho para limitar el daño, el tamaño de la empresa, etc.

Want to learn more?

Read more
Scroll al inicio