Decía el profesor Garrigues que “el Derecho es el arte de trazar límites”. Y de ahí resulta, entre otras cosas, la necesidad de que el jurista fije bien la frontera entre los conceptos, establezca distinciones precisas y, en fin, separe el grano de la paja. Es lo que, a nuestro juicio, ha hecho una reciente de la Sala 1ª del Tribunal Supremo (la número 398/2024, de 19 de marzo) al diferenciar entre “privacidad”, “intimidad”, “protección de datos” e “indemnización”. Son ideas conexas, pero distintas.
Nos ayudará un breve resumen de los hechos del caso. La empleada de una empresa consulta en el fichero de ASNEF la solvencia patrimonial de su hermano y de su sobrina. Los afectados preguntan a la empresa sobre el motivo de tal consulta; y, como no obtienen respuesta, presentan sendas denuncias ante la Agencia Española de Protección de Datos. La Agencia incoa un expediente y la empleada reconoce que usó la clave de la empresa para acceder a ASNEF y consultar los datos por un interés personal. La Agencia impone a la empleada una multa de 1.500 €, y, además, la empresa le incoa un expediente disciplinario que concluye con suspensión de empleo y sueldo.
Por otra parte, los afectados por la consulta presentan una demanda civil contra la empleada y contra la empresa, solicitando una indemnización de 45.000 €. La sentencia de primera instancia desestima la demanda: frente a la empleada, porque no había existido intromisión ilegítima en el derecho al honor; frente a la empresa, porque, pese a haber cumplido todos los protocolos y medidas de seguridad necesarios, no pudo evitar que su empleada usara el acceso a los datos. La Audiencia Provincial desestima el recurso de apelación que habían interpuesto los demandantes, y el asunto llega al Supremo.
Al resolver el recurso de casación, la Sala empieza distinguiendo entre “protección de datos” e “intimidad”, conceptos que, “pese a su vinculación, tienen un carácter autónomo”.
Es cierto que “el derecho a la protección o reserva de los datos y el derecho a la intimidad tienen evidentes caracteres comunes”, pero “no todo acceso a datos protegidos constituye por sí misma una violación del derecho a la intimidad”. Y es cierto que “ambos derechos son manifestaciones del derecho al respeto de la vida privada”, pero “se desenvuelven en ámbitos que no son necesariamente coincidentes”.
Tampoco “privacidad” e “intimidad” son lo mismo. La “privacidad” es, según el DRAE, “el ámbito de la vida privada que se tiene derecho a proteger de cualquier intromisión”. La “intimidad” es, por su parte, “la zona espiritual íntima y reservada de una persona o de un grupo, especialmente de una familia”. Se da entre ambas una relación de género-especie: “todo lo relativo a la intimidad también concierne a la privacidad, pero no todo lo que atañe a la vida privada forma parte necesariamente del espacio de lo íntimo, pues este último concepto tiene una dimensión más reducida”.
Una vez expuesto lo anterior, la Sala ahonda más en la distinción entre “protección de datos” e “intimidad”.
La protección de datos es un derecho fundamental (art. 18.4 CE, Convenio núm. 108 del Consejo de Europa, de 28 de enero de 1981, y art. 8 de la Carta de Derechos Fundamentales de la Unión Europea) y su contenido esencial consiste en que esos datos se traten “de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley”.
Por su parte, el derecho a la intimidad implica “la existencia de un ámbito propio y reservado frente a la acción y el conocimiento de los demás, necesario, según las pautas de nuestra cultura, para mantener una calidad mínima de la vida humana”, y está “estrictamente vinculado a la propia personalidad y deriva de la dignidad de la persona” (art. 10.1 CE). Ese derecho “permite excluir ciertos datos de una persona del conocimiento ajeno, de donde deriva el derecho de resguardar su vida privada frente a una publicidad no querida”.
La consecuencia de lo anterior es que “el objeto de protección del derecho fundamental a la protección de datos no se reduce solo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales”.
Una vez deslindados ambos conceptos, ¿qué decir de la “indemnización” a la que puede dar lugar una infracción del derecho a la protección de datos? La Sala acoge en este punto la doctrina de la STJUE de 4 de mayo de 2023 -C-300/21, según la cual “no puede considerarse que toda infracción de las disposiciones sobre protección de datos personales dé lugar, por sí sola, a un derecho a una indemnización a favor del interesado”. Para que proceda tal indemnización deben concurrir tres requisitos cumulativos: 1) un tratamiento de datos personales en infracción de las disposiciones legales pertinentes; 2) la existencia de daños y perjuicios para el interesado; y 3) una relación de causalidad entre dicho tratamiento ilícito y esos daños y perjuicios.
En el caso enjuiciado sólo había concurrido el primero de los requisitos indicados, pues no constaba que la mera consulta de los datos personales hubiera tenido trascendencia externa o su resultado fuera conocido por terceros, ni que se causara perjuicio alguno a los demandantes. Y, conforme a la doctrina expuesto, el primer requisito (la infracción de la normativa de protección datos) no es, por sí solo, suficiente para fundamentar la indemnización solicitada. La Sala resume así esta idea: “una cosa es la infracción de la normativa sobre protección de datos (…) y otra la obtención de una indemnización que no puede ser automática; sin que quepa una equiparación lineal entre infracción e indemnización”.
No caben, en fin, los automatismos y las inercias cuando, cumpliendo su misión, el Derecho ha trazado ya unos límites.