Algunos expertos comentan que nos encontramos en plena guerra cibernética. La realidad es que sólo en los últimos dos meses hemos asistido al hackeo de la DGT con la puesta en venta de los datos de 34 millones de conductores [1], a Iberdrola que dejó en descubierto los datos de 850.000 clientes aproximadamente, a Telefónica con la filtración de datos de 120.000 clientes o al Banco Santander, en el que quedaron afectados datos de empleados y clientes -aunque la entidad bancaria no ha indicado el número de afectados- [2].
Lo que hay que tener en consideración es que las implicaciones para los ciudadanos de los robos de sus datos van más allá de la información en sí, pudiendo derivar en consecuencias económicas por la afectación a los fondos bancarios o la realización de estafas; o incluso, perjuicios para la salud si tras el ataque a un hospital se produce una suspensión de su actividad. Como ha ocurrido, por ejemplo, tras el hackeo al Sistema Nacional de Salud de Inglaterra en junio de 2024, que obligó a que varios grandes hospitales de Londres a cancelar operaciones, análisis de sangre, citas y, a reubicar a los pacientes. [3]
Ante esta situación, la pregunta que se abre es ¿pueden los ciudadanos afectados por estos ciberataques reclamar una indemnización?
El artículo 82 del RGPD reconoce el derecho de indemnización ante una vulneración de la Ley de Protección de Datos, señalando que: “Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.”
Ahora bien, como se desprende del artículo anterior, el derecho a la indemnización no es absoluto, sino que se basa en el triple criterio general de la responsabilidad civil que exige demostrar 3 aspectos:
1. Que el responsable o encargado del tratamiento haya realizado una actuación que suponga una infracción del RGPD: Por el incumplimiento del RGPD se entiende tanto una vulneración debida a un uso de datos personales ilícito o contrario a la normativa de protección de datos, como el resultado de una brecha de seguridad. Ahora bien, en este segundo caso, el hecho de que la organización contase o no con las medidas adecuadas de seguridad será determinante en el reconocimiento de la indemnización. Por ejemplo, cabe apuntar al respecto que según un informe elaborado por la entidad ENISA sobre el sector de salud, en el 68% de los casos la puerta de entrada una mala configuración de la seguridad [4]. En tal caso, de confirmarse que la entidad afectada no cuenta con las medidas de seguridad técnicas y organizativas necesarias, habría infringiendo el art. 25.1 del RGPD, cumpliéndose esta primera premisa.
2. Que los daños y perjuicios materiales o inmateriales son reales y efectivos: Como siempre en el derecho de daños será el perjudicado quien deba probar el daño material e inmaterial. Por lo general, en las fugas de datos de datos no sensibles (como nombre, correo electrónico, etc.) el daño económico sería mínimo. Pero los daños indemnizables van más allá del valor del dato robado. En este concepto, se abarcarían todos los daños materiales e inmateriales sufridos. De hecho, cabe destacar que el TEDH ha considerado que el mero temor a que se utilicen indebidamente los datos robados en un ciberataque es motivo de indemnización como daño inmaterial. [5]
Ahora bien, la complejidad aquí estriba en la cuantificación del daño, para lo que se pueden distinguir distintos supuestos.
a. Si el daño es económico, en algunos supuestos, puede ser relativamente fácil de cuantificar. Por ejemplo, si la fuga de datos ha implicado una estafa posterior, o en el caso, de que el ataque suponga el retraso de una operación como consecuencia de lo cual, se produce el fallecimiento paciente.
b. Respecto a los daños inmateriales como serían, por ejemplo, los daños morales derivados del estrés ante una estafa económica o por el empeoramiento de la salud, la cuestión de la cuantificación presenta mayores dificultades.
3. Que existe una relación causa-efecto entre la actuación del responsable o encargado y los daños a los usuarios: La valoración de la relación causa-efecto puede tener un mayor grado de subjetividad y es clave aportar pruebas que la avalen. Volviendo al supuesto anteriormente explicado, si como consecuencia del ciberataque se obtiene información bancaria tras lo cual se vacía la cuenta de un ciudadano la relación de causalidad puede ser más sencilla de demostrar. Asimismo, se podría producir si ante el retraso de una operación de urgencia imprescindible para salvar la vida del paciente.
En otros casos, además, estaremos ante una relación de causalidad aún más difícil de demostrar o justificar, especialmente cuando hablamos de la imagen personal; o incluso en algunos supuestos puede haberse producido una ruptura de la causalidad, si por ejemplo, el usuario afectado realizó una actuación indebida con su información.
Cabe señalar que, en España, ya se han concedido indemnizaciones por infringir la Ley de Protección de Datos. Sin embargo, en lo que respecta a filtraciones debidas a una brecha de seguridad que hayan podido causarnos algún daño o perjuicio, aún no hay jurisprudencia al respecto, por lo que la posibilidad de obtener una indemnización dependerá de cada caso concreto y de la posibilidad de acreditar todo lo anterior.