El resarcimiento de daños por infracción de la normativa sobre protección de datos.

La Sentencia del Tribunal Supremo n.º 398/2024, de 19 de marzo de 2024, aborda con meticulosidad jurídica las cuestiones suscitadas en torno a la vulneración de los derechos fundamentales al honor y a la intimidad, así como la responsabilidad civil extracontractual, en un caso que implica consultas no autorizadas de solvencia patrimonial realizadas por una empleada de SURAVAL S.G.R., Dña. Beatriz, en el fichero ASNEF.

De su análisis puede extraerse que para solicitar el resarcimiento por una intromisión en la esfera íntima de la persona, han de acreditarse los daños que dicho acceso haya ocasionado.

Sobre la Prescripción de la Acción

La cuestión de la prescripción de la acción es crucial en el desarrollo del litigio. Los recurrentes arguyen que su acción no estaba prescrita, basándose en supuestos actos interruptivos que, conforme al artículo 1973 del Código Civil, habrían impedido tal prescripción. Sin embargo, el Tribunal Supremo adopta una postura crítica frente a este argumento, señalando que la Audiencia Provincial, al desestimar la apelación, no se fundamentó principalmente en la prescripción sino en la inviabilidad sustantiva de las acciones ejercitadas. Este razonamiento del Supremo recalca la importancia de distinguir entre los fundamentos decisivos de una sentencia y aquellos argumentos que, aunque presentes, no constituyen la razón principal de la decisión judicial. La referencia a la prescripción, en este sentido, es entendida como un argumento adicional y no como el núcleo de la decisión, lo cual enfatiza la relevancia de centrar el recurso de casación en los fundamentos que efectivamente sustentan el fallo.

En concreto, el TS expresa que:

Es reiterada la jurisprudencia que afirma que el recurso de casación únicamente puede dirigirse contra el fallo y, de manera indirecta, contra el razonamiento operativo o ratio decidendi [razón de decidir] de la sentencia. No cabe, en consecuencia, impugnar razonamientos auxiliares, accesorios, secundarios u obiter dicta [expresiones incidentales] o, a mayor abundamiento, cuya hipotética eliminación no alteraría el camino lógico que conduce a la conclusión obtenida en el fallo, de tal forma que las diversas consideraciones que puedan hacerse en la resolución y no tengan dicho carácter trascendente para la decisión judicial son casacionalmente irrelevantes ( sentencias 454/2007, de 3 de mayo; 230/2008, de 24 de marzo; 374/2009, de 5 de junio; 258/2010, de 28 de abril; 737/2012, de 10 diciembre; 185/2014, de 4 de abril; y 85/2019, de 12 de febrero).

Intimidad y Protección de Datos

El Tribunal Supremo dedica un análisis detallado a la distinción entre el derecho a la intimidad y el derecho a la protección de datos personales. Aunque ambos derechos comparten un núcleo común orientado a la salvaguarda de la esfera privada del individuo, el Tribunal aclara que no toda infracción de las normas de protección de datos supone una violación del derecho a la intimidad. Esta distinción es vital, pues permite comprender que la consulta no autorizada de datos personales por parte de Dña. Beatriz no incidió directamente sobre el núcleo íntimo de los demandantes, en tanto que la información consultada ya era accesible públicamente a través de registros como el Registro de la Propiedad. En concreto el TS expresa que:

El derecho a la intimidad permite excluir ciertos datos de una persona del conocimiento ajeno, de donde deriva el derecho de resguardar su vida privada frente a una publicidad no querida; pero el objeto de protección del derecho fundamental a la protección de datos no se reduce solo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales. En este caso, aunque el acceso a los datos patrimoniales de los demandantes se hizo a través de un fichero de solvencia patrimonial, las demandadas no incluyeron a los actores en ningún fichero de tales características. Como bien dice la Audiencia Provincial, no hubo revelación de datos íntimos pues esos datos ya eran públicos, puesto que en registros de dicha naturaleza, como el de la Propiedad, figuraban diversos embargos.

Además, el Supremo critica el anacronismo de invocar la Ley Orgánica 3/2018 para hechos acontecidos entre 2013 y 2014, cuando la normativa aplicable era la Ley Orgánica 15/1999. Esta precisión legal no solo subraya la importancia de la correcta aplicación temporal de las normas sino que también refleja el rigor con que deben analizarse los fundamentos de cualquier reclamación basada en la protección de datos personales.

Responsabilidad de SURAVAL S.G.R.

Otro punto sustancial abordado por el Tribunal Supremo es la cuestión de la responsabilidad de SURAVAL ante los actos de su empleada. El Tribunal resalta que SURAVAL no puede ser considerada responsable por actos realizados por Dña. Beatriz para fines personales y al margen de sus funciones laborales, especialmente cuando la empresa había adoptado las medidas de seguridad adecuadas para proteger los datos manejados. Esta conclusión enfatiza la importancia de diferenciar entre la responsabilidad individual de los empleados y la responsabilidad corporativa, particularmente en contextos donde las acciones individuales exceden los límites de su rol profesional y las políticas de la empresa.

Sobre la Indemnización por Daños y Perjuicios

El análisis del Tribunal sobre la procedencia de indemnizaciones por daños y perjuicios revela una aplicación cuidadosa de los principios que rigen el derecho de daños en España. El Supremo recuerda que no basta con la infracción de la normativa de protección de datos para justificar automáticamente una indemnización. Es necesario demostrar el daño efectivo y la relación causal entre el tratamiento ilícito de datos y el perjuicio sufrido, criterios que no se cumplieron en el caso presente. Este razonamiento se alinea con la jurisprudencia del Tribunal de Justicia de la Unión Europea, enfatizando que el derecho a obtener una indemnización debe estar fundamentado en la existencia real de un perjuicio.

En este caso, el Tribunal expresa que

En este caso únicamente concurre el primero de los requisitos indicados que, por sí solo, es insuficiente a los efectos pretendidos por los demandantes. Como resalta la primera STJUE antes citada, «la realización de daños y perjuicios en el marco de tal tratamiento solo es potencial; […] la infracción del RGPD no conlleva necesariamente daños y perjuicios, y […] debe existir una relación de causalidad entre la infracción en cuestión y los daños y perjuicios sufridos por el interesado para fundamentar un derecho a indemnización». Por lo que insiste en que una cosa es la infracción de la normativa sobre protección de datos, que puede dar lugar a una sanción administrativa y otra la obtención de una indemnización que no puede ser automática; sin que quepa una equiparación lineal entre infracción e indemnización.

Fallo

En consecuencia, el Tribunal Supremo desestima los recursos de casación interpuestos, ratificando la sentencia de la Audiencia Provincial de Cádiz. Se impone a los recurrentes las costas del procedimiento y se decreta la pérdida de los depósitos constituidos para la formulación del recurso.

Esta sentencia constituye un referente en la interpretación de los derechos fundamentales en el contexto de la protección de datos personales, distinguiendo claramente entre las infracciones de normativa específica y la vulneración de derechos fundamentales como el honor y la intimidad, y reafirmando los límites de la responsabilidad empresarial frente a actos individuales de sus empleados realizados fuera del ámbito de sus funciones corporativas