Hace algún tiempo, escibí un post quejándome amargamente de la escasa atención prestada, en general, por la Administración Pública sobre las consecuencias de los incumplimientos de los mandatos previstos en la LOPD.

No es que las cosas hayan cambiado mucho, pero sí empiezan a haber sentencias que ponen un poco de cordura en los desmanes de la Administración Pública.

Uno de los últimos casos publicados es el de la Sentencia n. 1498/2009, del TSJ de la Comunidad Valenciana, Sala de los Contencioso Administrativo, Secc. 1ª.

Rápido resumen de los hechos: el Director General de una institución pública justifica, en una entrevista en un periódico de difusión nacional, el despido del Jefe de Inversiones, haciendo mención a que éste padecía una enfermedad que, al parecer, imposibilitaba al afectado ejercer sus funciones.

El Jefe de Inversiones ve reconocido como improcedente su despido y es indemnizado. Sin embargo, y con razón, el Jefe de Inversiones argumenta que, a mayores, también ha sufrido un daño moral, económico y profesional, ya que se han revelado públicamente, sin su consentimiento, datos personales que afectan a su propia salud. Y con esta pretensión, se presenta al Tribunal Superior de Justicia de la Comunidad Valenciana.

En la mencionada sentencia, el Tribunal analiza tres asuntos:

  1. Si es competente o no en la materia;
  2. Si existe responsabilidad patrimonial del Instituto, cuyo Director General ha utilizado y difundido datos personales de saludo del afectado;
  3. Si ha habido una violación de un derecho fundamental y, eventalmente, cómo repararlo.

Sobre los primeros dos puntos, a mi manera de entender, la sentencia es acertada, pero sobre el reconocimiento del daño por violación de un derecho fundamental, acierta a mitad.

Concretamente, la sentencia afirma que las «…manifestaciones vulneran el Derecho a la intimidad…» y, hasta aquí, todo bien.

Los problemas surgen cuando se procede a determinar la indemnización, ya que se afirma que «siendo difícil cuantificar la vulneración de un Derecho fundamental» el Tribunal estima en sólo 3.000€ la cuantía a pagar. Además, siempre según la sentencia, revelar los datos médicos del denunciante no es especialmente grave, al no afectar esencialmente a su vida.

Dos errores en una sola frase es algo que hay que subrayar.

Para empezar ¿cómo no afecta a la vida de una persona que sus datos de salud sean difundidos a los cuatro vientos?

El Derecho a la Intimidad, sin ser absoluto, sigue siendo fundamental, es decir, no se puede vivir plenamente sin él. Puedo entender que no es lo mismo revelar a un periódico la impotencia sexual de una persona que revelar su tasa de colesterol. Pero eso sólo incidirá sobre el grado de afectación de la vida del «expuesto«, no si eso es importante o no (que lo es).

Un Derecho fundamental es íntegro sólo si no es afectado en ningún grado. Sin embargo, si se ve afectado, implica necesariamente una intrusión indebida en la esfera personal. En este caso, el daño se ha producido (lo dice la misma sentencia), ergo ha afectado esencialmente a la vida del demandante. Ahora sólo se trata de establecer la cuantía que satisfaga el daño sufrido. Y aquí está el segundo error, siempre en mi opinión.

Es decepcionante leer que, como es un asunto «difícil«, el Tribunal no utiliza ningún criterio jurídico y, aleatoriamente, establece la indemnización en 3.000€.

Olvida el Tribunal que sí existe una escala de valores para cuantificar el daño sufrido por la violación de un Derecho fundamental. Sólo se trata de interpretar por analogía la Ley Orgánica de Protección de Datos.

Si el Tribunal hubiera echado un vistazo al Título VII de la LOPD, hubiera podido superar esta «dificultad«, anclando la indemnización a criterios puramente legales. Por ejemplo, ¿cómo calificamos la revelación del Director General con la LOPD en la mano? Pues, como una cesión/comunicación de datos sin consentimiento. Esto es, estaríamos frente a una infracción muy grave, sancionada con una multa entre 300.000€ y 600.000€.

¿Hacen falta más criterios para establecer la cuantía? Como el espacio entre la cantidad menor y la mayor es bastante amplio, sugiero la adopción de otro criterio, siempre basado en la LOPD.

En el artículo 7 clasifica los datos de salud, entre otros, como los más necesitados de protección (literalmente, «datos especialmente protegidos«). Así que, éstos deberían ser los parametros de valoración en el caso en el que el TSJ de Comunidad Valenciana se vuelva a encontrar con otro caso similar:

  • Revelación sin consentimiento de un dato personal por parte de la Administración Pública= indemnización entre 300.000€ y 600.000€;
  • Si la revelación afectara a datos especialmente protegidos, como son los datos de salud, la indemnización deberá ser necesariamente de la mitad superior (entre 450.000€ y 600.000€).

Señores del TSJ, buscar criterios para cuantificar una indemnización es difícil, ciert, pero en este caso Ustedes tenían una base legal para cuantificar el daño. La próxima vez, por favor, échenle un vistazo a la LOPD.