Derecho

Derecho

Ágora Mercatorum
Menú
19 de agosto de 2025

A PROPÓSITO DE LA KISS CAM DE COLDPLAY, ¿SE PODRÍAN RECLAMAR PERJUICIOS DESDE LA PERSPECTIVA DE LA PROTECCIÓN DE DATOS PERSONALES?

Por: Dionisio Manuel de la Cruz Camargo*

1. Introducción: ¿Y qué tal que fueras tú?,

Risas, memes y toda clase de burlas ha originado en todo el mundo la situación en la que quedaron expuestos en un concierto de la banda Coldplay, una pareja de asistentes que aparecieron en la pantalla gigante del escenario y que por su reacción llamó la atención del cantante de la banda lo cual, hizo que se viralizara en las redes para descubrir, según se ha dicho, que la pareja sostenía una relación extramatrimonial.

El tratarse de una presunta infidelidad desvía la discusión por el componente moral, religioso y de género que tiene el comportamiento, así que pensemos que sea otra la situación que se hubiere captado por esa cámara, pero más importante aún, invitamos al lector a que se sitúe en los zapatos de una pareja como la que origina esta columna o una persona singular, que se ve expuesta públicamente ella o sus datos personales a una situación que nunca previó, originada en el mal manejo de información que concierne a su intimidad (i.e. la divulgación de la declaración tributaria, la difusión de una secuencia en donde la persona imitaba a un personaje conocido; la difusión del estado de salud del titular).1 De ahí la pregunta y ¿qué tal que fueras tú?.

Los protagonistas del escándalo perdieron sus trabajos o fueron presionados para renunciar, ya que según parece trabajaban en la misma empresa y había una relación de poder entre ellos, por lo que su futuro laboral es incierto, su intimidad quedo expuesta y de su buen nombre, apenas queda esto último, y ni hablar de su familia: hijos; padres, hermanos…El tema es si habría un perjuicio que indemnizar. El enfoque jurídico que queremos abordar para tratar de responder la pregunta, es desde la perspectiva de la protección de datos personales.


2. La perspectiva de la protección de datos

La ley de protección de datos personales se podría aplicar en una situación como la expuesta. Los asistentes al evento entregan sus datos al momento que estos adquieren la boleta que hoy día se hace a través de una “boletera” de manera digital; durante el evento se recogen imágenes. Para esto, la empresa organizadora debe tener una política de protección de datos personales y en ella se debe indicar las finalidades del tratamiento del dato. Una de las finalidades debería de haber sido la posibilidad de utilizar la imagen en video producto de las tomas dentro el escenario en la dinámica que implica el salir en las pantallas del coliseo, independientemente de la decisión de los protagonistas de darse un beso o reaccionar de una manera distinta.

Las normas colombianas que regulan la protección de los datos personales no establecen la posibilidad de demandar por los perjuicios que se pudieren generar por el incumplimiento de la ley. Se establece sí, una regulación que permite a la Superintendencia de Industria y Comercio-SIC imponer sanciones pecuniarias y órdenes de índole administrativo contra aquellos Responsables y Encargados que incumplan la norma, pero la naturaleza de estas sanciones no compensan al perjudicado por el mal uso de sus datos o el incumplimiento de la regulación. La ley sólo prevé una tutela pública de los datos personales que legitima a la SIC a investigar y sancionar a los infractores de la ley con base a unos criterios determinados.2

La regulación europea contenida en el Reglamento UE 2016/679, por el contrario, sí permite que se instauren acciones especiales por los perjuicios que se pueden derivar por el incumplimiento de la ley de protección de datos. En este sentido, coexisten la tutela pública, enmarcada en la posibilidad de que las autoridades de cada uno de los estados miembros de la Unión Europea apliquen multas administrativas con finalidad punitiva que no se encuentran supeditadas a la existencia de daños y perjuicios, con la tutela privada que permite al perjudicado reclamar perjuicios.3

Sobre la tutela privada, el artículo 82 del Reglamento UE 2016/679 legitima a cualquier persona que haya sufrido daños a reclamar perjuicios materiales o inmateriales como consecuencia de la infracción al Reglamento y a recibir una indemnización del responsable por los perjuicios sufridos. También, se estableció la responsabilidad solidaria cuando en la causa del perjuicio hubieren participado el Responsable y el Encargado. Incluso, el Reglamento en su artículo 80 abre paso a la presentación de acciones colectivas a través de entidades, organizaciones o asociaciones sin ánimo de lucro creadas para proteger el interés público y que actúe en el ámbito de la protección de datos personales.

La norma ha generado un debate judicial intenso. Si bien la norma es especial y expresa no implica que automáticamente por la infracción al Reglamento se genere un perjuicio y en esto, el Tribunal de Justicia de la Unión Europea-TJUE ha sido enfático en señalar que es necesario demostrar: i) que hubo una violación al Reglamento; ii) que el afectado haya sufrido daños y perjuicios y iii) que existe una relación de causalidad entre la violación y el perjuicio.4 Estos requisitos han sido aplicados por el TJUE en múltiples casos, según señalan las fuentes como el definido mediante decisión C-300/21 en el que el demandante se sintió perjudicado por la venta que se hizo de su dirección a terceros para entrenar algoritmos en inferir afinidades políticas, ya que se le vinculó a un determinado partido político de manera equivocada, o el caso C-741/21 en el que el demandante consideró que se había causado perjuicio por el sólo hecho de que a pesar de haber revocado su consentimiento para que sus datos fueren utilizados con fines de mercadotecnia, seguía recibiendo folletos publicitarios.

El punto principal es que no hay un perjuicio automático por el incumplimiento del Reglamento, ya que este debe probarse y el TJUE concuerda que cada estado miembro de la Unión Europea establezcan los requisitos para determinarlo.5 En todo caso, el TJUE ha dejado claro que perjuicio debe entenderse de manera amplia, por lo que caben tanto perjuicios materiales como los inmateriales, los cuales, eso sí, deben ser demostrados.6 Y , sobre su alcance, para calcular el importe de la indemnización no es posible utilizar mutatis mutandi, los criterios para la sanción administrativa.7

Sobre los perjuicios inmateriales, uno de los reconocidos es el temor al uso indebido de los datos o la pérdida de control sobre los mismos, esto a raíz de un caso en el que debido a un ciberataque se expusieron datos personales en internet, lo que hizo que los titulares de los datos expuestos reclamaran perjuicios por este hecho.8 Si bien el temor por cualquiera de estas conductas pueden ser catalogados como potenciales originadores de perjuicios inmateriales, ese temor para ser considerado como fundado, debe atender a las circunstancias del caso, teniendo el afectado la carga de demostrar las consecuencias negativas de la infracción.9

En Colombia como dijimos, no existe una norma especial dentro de la ley de protección de datos que reconozca la tutela privada de protección de los datos personales. Pero, recordemos que sí tenemos una regulación de protección de datos personales que contiene los derechos de los titulares y las obligaciones en cabeza de los Responsables y Encargados de las bases de datos.10 Y, hasta el momento, hay claridad frente a las consecuencias del incumplimiento normativo que se centra en medidas administrativas pecuniarias y sancionatorias.

Respecto a la tutela privada de la protección de los datos personales, aunque no hay una norma especial que regule la posibilidad de demandar por los perjuicios que se pueden generar por el incumplimiento de la ley de protección de datos o por su cumplimiento parcial, si se causan perjuicios se aplicaría la norma general de responsabilidad civil, con las dificultades que esto puede generar en un tema tan novedoso.

En efecto, el régimen de responsabilidad civil extracontractual permite, en presencia de un hecho dañoso, en este caso la vulneración de la ley de protección de datos personales, solicitar perjuicios, que por supuesto, habrá que demostrar.11 En el ejemplo que origina esta columna, si el organizador del concierto no contaba con autorización para utilizar la imagen de las personas o simplemente la autorización no incluía este uso, se constituiría inicialmente en la conducta constitutiva del hecho generador del daño. Luego, se debería demostrar que realmente hubo un perjuicio indemnizable y no una simple molestia:12 no nos referimos a los problemas que cada uno hubiere podido tener con sus respectivas parejas que tendrán que definir, sino a las consecuencias en su vida laboral por ejemplo, si la difusión de las imágenes afectan el ejercicio de sus respectivas profesiones.

Aunque, en Colombia la Corte ya ha explicado que por aspectos de la vida privada sólo es posible sancionar a un trabajador cuando estas conductas o comportamientos afectan su desempeño laboral13, habrá que contextualizar cada caso para determinar si hubo o no afectación y si desde el plano laboral o personal hubo consecuencias indemnizable.

Muchos interrogantes surgen por la falta de regulación en un tema que cada vez es más común y que merece de una regulación integral. Por lo pronto, ya estamos notificados de que el mal uso de los datos personales pueden generar perjuicios, más allá de la responsabilidad administrativa.

*Abogado Universidad Externado de Colombia. Especialista en Derecho Financiero, Universidad Colegio Mayor de Nuestra Señora del Rosario; Especialista en Derecho de los Negocios, Universidad Externado de Colombia; Especialista en Derecho Contractual y Relaciones Jurídico Negociales de la Universidad Externado de Colombia; diplomado de Análisis económico del Derecho en la Universidad Externado de Colombia. Se ha desempeñado como abogado en el Ministerio de Justicia y del Derecho, Oficina de Apoyo para la Defensa Judicial; Asesor del Director Nacional de Estupefacientes; Consultor del Banco Mundial en la Superintendencia de Industria y Comercio, Jefe del Grupo de Preliminares y Seguimiento en la Delegatura para la Promoción de la Competencia, Jefe de la División para la Promoción de la Competencia (E), Jefe del Grupo del Grupo Jurisdiccional de Competencia Desleal en la Delegatura para la Promoción de la Competencia Superintendencia de Industria y Comercio. Profesor de Pregrado y Posgrado de las universidades Jorge Tadeo Lozano y Externado de Colombia. Superintendente de Asuntos Jurisdiccionales en la Superintendencia de Industria y Comercio. Actualmente docente investigador del Departamento de Derecho Económico de la Universidad Externado de Colombia y Asociado a Archila Abogados Ltda.

REFERENCIAS

  1. Sentencias C-340/21; 300/21 del Tribunal de Jus:cia de la Unión Europea. ↩︎
  2. Artículo 22 y ss. Ley 1581 de 2012. ↩︎
  3. MIGUEL ASENCIO, P .A.: “Derecho a indemnización en Materia de Datos Personales: aspectos
    internacionales” . Cuadernos de Derecho Transnacional, Octubre 2024) vol 16, no. 2 , pp 1405-1423. file:///Users/dionisiodelacruzcamargo/Downloads/8925-Texto%20del%20art%C3%ADculo-17050-1-10- 20241030.pdf ↩︎
  4. SANTOS MORÓN, M.J.: “Reflexiones en torno a la Jurisprudencia del TJUE sobre la acción indemnizatoria del artículo 82 RGPD (cases C-300/21; C-340/21; C-456/22; C-667/21; C-687/21; C-741/21)”. Cuadernos de Derecho Transnacional, Octubre 2024) vol 16, no. 2, pp 487-500. hcps://e- revistas.uc3m.es/index.php/CDT/ar:cle/view/8983/6815 ↩︎
  5. Ibidem. ↩︎
  6. Ibidem. ↩︎
  7. Sentencia C-741/21. TJUE. ↩︎
  8. SANTOS MORÓN, M.J.: “Reflexiones en torno a la Jurisprudencia del TJUE sobre la acción indemnizatoria del artículo 82 RGPD (cases C-300/21; C-340/21; C-456/22; C-667/21; C-687/21; C-741/21)”, op. Cit. ↩︎
  9. MIGUEL ASENCIO, P .A.: “Derecho a indemnización en Materia de Datos Personales: aspectos
    internacionales”. Cuadernos de Derecho Transnacional, Octubre 2024) op. Cit. ↩︎
  10. Ley 1266 de 2008, ley 1581 de 2012 y el decreto 1377 de 2013, circulares y guías de expedidas por la SIC. ↩︎
  11. “En consideración a lo detallado en los artículos 2341 del Código Civil, arriba citado, y 97 del Código Penal, en el incidente de reparación integral, por corresponder en su esencia a un proceso declarativo, debe demostrar el que se entiende afectado con el daño, dada su calidad de demandante, tanto la existencia del daño concreto que lo afecta, como el nexo de este con el actuar activo u omisivo del demandado –en este caso, el condenado en el proceso penal, cuya responsabilidad extracontractual se examina- y el monto del perjuicio. ” Corte Suprema
    de Justicia. Rad: 56506 del 7 de febrero de 2024.M.P . Diego Eugenio Corredor Beltrán. ↩︎
  12. En la doctrina y la jurisprudencia del TJUE se discute si existe algún umbral mínimo de gravedad para determinar si el daño es indemnizable y de esta manera dis:nguir entre este y la mera moles:a o contrariedad. Al respecto SANTOS MORÓN, M.J.: “Reflexiones en torno a la Jurisprudencia del TJUE sobre la acción indemnizatoria del artículo 82 RGPD (cases C-300/21; C-340/21; C-456/22; C-667/21; C-687/21; C-741/21)”, op. Cit. ↩︎
  13. Corte Constitucional. Sentencia T-054 de 2018. M.P. Alberto Rojas Ríos. ↩︎