Filtración de datos personales: reclamar a la empresa

Si ha sufrido una filtración de datos personales, lo primero suele ser conservar pruebas, pedir explicaciones a la empresa y valorar si procede una reclamación. En términos jurídicos, el RGPD habla de violación de la seguridad de los datos personales o brecha de seguridad, expresión que incluye accesos, divulgaciones o pérdidas no autorizadas de datos.

El art. 4.12 del Reglamento (UE) 2016/679 define esta violación como todo incidente de seguridad que ocasione la destrucción, pérdida, alteración o comunicación no autorizada de datos personales, o el acceso a ellos. Ante una sospecha razonable, conviene actuar con rapidez: recopilar la documentación de la incidencia, solicitar información por un medio que deje constancia y revisar si sus datos comprometidos pueden generar riesgos reales, como suplantación de identidad o fraude.

No toda incidencia da derecho automáticamente a una indemnización ni toda queja termina en sanción. Habrá que distinguir qué obligaciones tiene la empresa, qué derechos puede ejercer la persona afectada y si se inicia una reclamación ante la AEPD o una eventual acción de daños.

Qué se considera una filtración de datos personales

Una filtración de datos personales puede producirse por un ciberataque, un error humano, el envío de información al destinatario equivocado, la publicación accidental de documentos o la pérdida de dispositivos con datos. Lo relevante no es solo la causa, sino que exista una violación de seguridad de los datos con impacto sobre la confidencialidad, integridad o disponibilidad.

Tras detectar la brecha, la empresa responsable del tratamiento debe valorar el riesgo para los derechos y libertades de las personas. Si la brecha puede entrañar riesgo, el art. 33 RGPD prevé la notificación a la autoridad de control, en España la AEPD, sin dilación indebida y, de ser posible, en 72 horas desde que se tenga constancia. Si es probable que entrañe un alto riesgo para la persona afectada, el art. 34 RGPD regula la comunicación al interesado en un lenguaje claro y sencillo.

Esa comunicación no sustituye su derecho a pedir más información ni impide que usted reclame. También puede ocurrir que la persona afectada detecte antes que la empresa un uso indebido de sus datos; en ese caso, conviene documentarlo cuanto antes.

Qué información puede pedir a la empresa afectada

La persona afectada puede solicitar a la empresa una explicación concreta sobre la incidencia: qué datos se han visto comprometidos, cuándo se detectó, qué medidas se adoptaron y qué riesgos se han identificado. Si no dispone de información suficiente, puede resultar útil ejercer el derecho de acceso del art. 15 RGPD, para conocer qué datos tratan y, en su caso, verificar el alcance del problema.

En determinados supuestos también puede valorarse el derecho de supresión del art. 17 RGPD, por ejemplo si se están tratando datos que ya no son necesarios o si su mantenimiento agrava el riesgo, aunque su procedencia dependerá del caso concreto y de si existe una base legal que obligue a conservarlos.

Para dejar constancia, suele ser recomendable dirigir la solicitud por un medio fehaciente, como burofax o un correo electrónico que permita acreditar envío y contenido. Guarde capturas, avisos recibidos, comunicaciones de terceros y cualquier otra prueba digital útil.

Cómo reclamar si sospecha una brecha de seguridad

Antes de reclamar formalmente, conviene ordenar la cronología: fecha en que tuvo conocimiento, datos posiblemente afectados, perjuicios sufridos y respuesta de la empresa. Con esa base, puede presentar un escrito a la entidad solicitando aclaraciones, medidas de contención y confirmación de si ha existido una brecha de seguridad.

En esa reclamación a la empresa puede pedir, de forma prudente y concreta, que identifique los datos comprometidos, informe sobre la causa del incidente y acredite las medidas correctoras adoptadas. Si han aparecido movimientos fraudulentos, intentos de suplantación o perjuicios reputacionales, habrá que incorporarlos con soporte documental.

No es necesario utilizar un tono agresivo. Una reclamación bien planteada, con hechos verificables y referencias al RGPD y a la LOPDGDD, suele ser más útil que una mera queja genérica. Si la respuesta es insuficiente o inexistente, puede valorarse el siguiente paso con asesoramiento legal a autónomos y empresas.

Cuándo puede acudir a la AEPD

Puede plantearse una reclamación ante la AEPD cuando considere que la empresa ha incumplido la normativa de protección de datos: por ejemplo, si no informa adecuadamente, no atiende sus derechos o no adopta medidas de seguridad exigibles. La AEPD actúa como autoridad de control en España.

Es importante distinguir esta vía administrativa de una reclamación de daños. La AEPD puede investigar y, en su caso, requerir medidas o imponer sanciones, pero eso no supone automáticamente que usted vaya a recibir una indemnización. Para que la reclamación administrativa sea sólida, ayuda aportar comunicaciones, capturas, respuestas de la empresa y cualquier prueba digital relevante.

Como referencias oficiales, puede consultarse el Reglamento (UE) 2016/679 y la información práctica de la AEPD.

Qué hace falta para pedir una indemnización por datos

El art. 82 RGPD reconoce el derecho a recibir indemnización por los daños y perjuicios materiales o inmateriales sufridos como consecuencia de una infracción del Reglamento. Ahora bien, su viabilidad dependerá del caso concreto, de la prueba disponible y del daño efectivamente acreditado.

Por eso, no basta con afirmar que hubo una filtración. Habrá que valorar si existe relación entre la brecha y el perjuicio alegado: cargos fraudulentos, tiempo invertido en bloquear servicios, suplantación de identidad, afectación reputacional o ansiedad acreditable, entre otros. También será relevante la respuesta de la empresa y si adoptó o no medidas diligentes.

Si se plantea una reclamación económica, conviene revisar con asesoramiento jurídico la estrategia de prueba, la cuantificación del daño y la documentación que permita sostener la pretensión con mayor solidez.

Errores frecuentes y siguiente paso recomendable

• Esperar demasiado para guardar evidencias o borrar correos y capturas relevantes.
• Confundir la reclamación ante la AEPD con una vía automática de indemnización.
• Solicitar la supresión de datos sin analizar antes si procede legalmente.
• Reclamar sin concretar qué datos se han visto afectados y qué perjuicio se ha producido.

En resumen, ante una posible filtración de datos personales conviene documentar la incidencia, pedir información a la empresa, ejercer los derechos que procedan y valorar si hay base para una reclamación ante la AEPD o para una acción de daños. La respuesta adecuada puede variar según el tipo de datos, el riesgo generado y la prueba disponible.

Si tiene dudas sobre cómo reclamar a la empresa o si su caso puede justificar pasos adicionales, puede ser razonable solicitar una consulta jurídica para revisar la documentación y definir una estrategia proporcionada, ya sea de forma presencial o con abogado online.