Reclamación de daños y perjuicios a la luz de la legislación sobre protección de datos

Por Eur Ing Mark Hawksworth, líder del grupo de práctica de especialistas en tecnología global y ajustador ejecutivo de MCL.

A medida que se introducen nuevas leyes de protección de datos, también surgen nuevos retos.

La «reclamación masiva» se produce cuando las partes presentan reclamaciones con fines lucrativos contra objetivos que desconocen el uso indebido de datos, y está aumentando en el Reino Unido. Tras superar las dificultades relacionadas con la COVID-19 y el aumento del número de ciberataques, las empresas británicas se enfrentan ahora a una exposición adicional a la «claim farming» mediantela Regulación 6de las Regulacionesde Privacidad y Comunicaciones Electrónicas(Directiva CE) de 2003 (PECR). En las reclamaciones que hemos recibido hasta ahora, las empresas no eran conscientes de su exposición, lo que hace que sea fundamental crear conciencia y elaborar un plan para que los asegurados se protejan.

Preocupaciones sobre el cumplimiento normativo

En algunos casos, las empresas pueden desconocer que son responsables del uso indebido de datos personales. Si una persona visita su página web y observa que se han descargado cookies de seguimiento, puede presentar una reclamación alegando que la página web no cumple con la normativa. El reto consiste en determinar si la persona que presenta la reclamación buscó deliberadamente esa página web para obtener un beneficio económico.

Se están generando masivamente reclamaciones de terceros relacionadas con la instalación de cookies de seguimiento persistentes en dispositivos personales sin el consentimiento del propietario. El argumento es que las cookies de seguimiento son intrusivas y contrarias al RGPD y, dado que no se ha dado consentimiento para su instalación, el reclamante puede solicitar una compensación económica.

La correspondencia de los demandantes en serie suele citar el artículo 2, apartado 1, del Reglamento 6 del Reglamento sobre privacidad y comunicaciones electrónicas (Directiva CE) de 2003 (PECR), que hace referenciaal «consentimiento de un usuario o suscriptor, que corresponde al consentimiento del interesado en el RGPD». El considerando 32 del RGPD establece que«el consentimiento debe manifestarse mediante un acto afirmativo claro que establezca una indicación libre, específica, informada e inequívoca del acuerdo del interesado».

El proceso para los asegurados

Si se detecta una infracción basada en las directrices anteriores, se notifica al titular de la póliza la instalación de cookies de seguimiento y se le invita a presentar una reclamación en virtud de cualquier cobertura de seguro adecuada que tenga contratada. La reclamación se remite a las aseguradoras y, a continuación, a un gestor al que se le proporcionan pruebas tanto de la instalación como de la persistencia de las cookies de seguimiento, normalmente en forma de un vídeo grabado desde el dispositivo del reclamante.

La reclamación puede hacer referencia a:

• acusaciones/pruebas
• la supuesta página web que instala cookies de seguimiento
• prueba de persistencia de las cookies de seguimiento
• cómo las cookies de seguimiento crean un identificador único que rastrea el comportamiento en Internet, infringiendo el artículo 6, apartado 1, del PECR.
• No proporcionar al reclamante información clara y completa sobre los fines de estas cookies, en contravención del Reglamento (6)(2)(a) del PECR.
• incumplimiento de la obligación de obtener el consentimiento para utilizar las cookies, en contravención del artículo 6, apartado 2, letra b), del PECR;
• incumplimiento del tratamiento de datos personales de manera leal, lícita y transparente, en contravención del artículo 5 del RGPD.

Durante las negociaciones sobre la reclamación, se amenaza con que, si el asunto no se resuelve a satisfacción del reclamante, los detalles se remitirán a la Oficina del Comisionado de Información (ICO). La ICO puede ejercer sus funciones de ejecución en virtud del artículo 32 del PECR, que establece que existe responsabilidad personal por el incumplimiento del PECR en virtud del artículo 2(3) del Reglamento sobre privacidad y comunicaciones electrónicas (modificación)de 2018. La correspondencia suele concluir con la solicitud de un pago en forma de compensación económica por la falta de consentimiento mencionada anteriormente, tras cuya recepción no se procederá a la notificación a la ICO.

Para las aseguradoras, los corredores y los asegurados, es fundamental comprender el impacto que tiene no contar con el consentimiento para el uso de cookies en las páginas web. Independientemente de que la empresa sea consciente de ello o no, puede seguir siendo culpable y, como tal, responsable de proporcionar una compensación económica al reclamante. Crear conciencia sobre la práctica de reclamar indemnizaciones y elaborar un plan puede proteger a las partes inocentes de reclamaciones de terceros como esta.