Riesgos en protección de datos y la solicitud de indemnización por su incumplimiento

Blog

Riesgos en protección de datos y la solicitud de indemnización por su incumplimiento

Aunque el RGPD (Reglamento General de Protección de Datos) no hace una enumeración de riesgos en su articulado, sí señala que los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales.

Es indiscutible que un tratamiento de datos que vulnere la LOPD-GDD (Ley Orgánica de Protección de Datos) puede originar un perjuicio importante para las personas.

El derecho a indemnización por incumplimiento del reglamento de protección de datos es, por tanto, un mecanismo del que disponen los afectados en caso de que se les cause un daño debido a la mala gestión de sus datos de carácter personal.

Los casos que pudieran provocar daños y perjuicios pueden ser los siguientes, según considerando 75 del RGPD (Reglamento General de Protección de Datos).

El tratamiento de datos personales puede dar lugar a siguientes problemas de:

  • discriminación
  • usurpación de identidad o fraude
  • pérdidas financieras
  • daño para la reputación
  • pérdida de confidencialidad de datos sujetos al secreto profesional
  • reversión no autorizada de la seudonimización
  • cualquier otro perjuicio económico o social significativo

Se prive a los interesados de sus derechos en protección de datos y libertades o se les impida ejercer el control sobre sus datos personales que revelen:

  • el origen étnico o racial
  • las opiniones políticas
  • la religión o creencias filosóficas
  • la militancia en sindicatos
  • el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas.

Se evalúen aspectos personales, en particular, el análisis o la predicción de aspectos referidos a:

  • rendimiento en el trabajo
  • situación económica
  • salud
  • preferencia o intereses personales
  • fiabilidad o comportamiento
  • situación o movimientos
  • con el fin de crear o utilizar perfiles personales
  • cuando se traten datos de personas vulnerables (niños, por ejemplo) 
  • cuando el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados.

Operaciones de tratamiento que entrañen altos riesgos

Por otro lado, el Comité Europeo de Protección de Datos CEPD, en sus directrices, incluye nueve criterios que deberían ser tenidos en cuenta:

  • Evaluación o puntuación, incluida la elaboración de perfiles y la predicción de comportamientos.
  • Toma de decisiones automatizada con efecto jurídico significativo o similar.
  • Observación sistemática.
  • Datos sensibles o muy personales.
  • Tratamiento de datos a gran escala.
  • Asociación o combinación de conjuntos de datos.
  • Datos relativos a interesados vulnerables.
  • Uso innovador o aplicación de nuevas soluciones tecnológicas u organizativas.
  • Cuando el propio tratamiento impida a los interesados ejercer un derecho o utilizar un servicio o ejecutar un contrato.