(England and Wales High Court -Queen’s Bench Division- Decisions September 2021)
La importancia de preservar la privacidad de las personas es una cuestión admitida por todos desde el ámbito social, legal y económico. No es de extrañar por ello que en la sociedad esté creciendo la tendencia a solicitar protección de datos personales y resarcimiento en caso de que se produzcan vulneraciones de derechos.
El caso del mensaje de correo electrónico que llegó a un destinatario equivocado es una manifestación evidente de esa realidad y merece atención. Los hechos se desarrollaron en el sur de Inglaterra en julio de 2019 cuando desde una escuela dirigida por Moon Hall Schools Educational Trust (demandado) y, a través de su asesor legal, se solicitó a los padres de un alumno que procedieran a abonar las cuotas escolares atrasadas pendientes de pago, así como recargos e intereses. El hecho relevante es que un asistente del despacho de abogados representante, por un error tipográfico, en lugar de enviar un email y archivos adjuntos -requiriendo el pago- a los padres del alumno, lo envió a una persona con una dirección de correo electrónico, incluyendo en la dirección un carácter diferente a la de uno de los progenitores (demandantes). El mismo día que se envió el email, el destinatario incorrecto alertó al remitente del error respondiendo al correo electrónico y este le pidió a la persona que eliminara el elemento, tanto de su bandeja de entrada como de la carpeta de elementos eliminados. Hechos que fueron confirmados al siguiente día.
Los demandantes reclamaron daños y perjuicios por uso indebido de información confidencial, abuso de confianza, negligencia, daños de acuerdo con art. 82 del Reglamento General de Protección de Datos (GDPR) y s169 Data Protection Act 2018.
El Tribunal Superior, que resuelve en primera instancia, desestima la demanda y condena en costas a los demandantes. Los argumentos principales son:
- El correo eléctrico contenía datos personales relativos al nombre y domicilio de los afectados, pero en ningún caso, datos relativos a la situación financiera de los demandantes. Se detallaban las cuotas escolares abonadas y las atrasadas durante determinado periodo de tiempo. Las cuotas escolares son información pública contenida en la web. Se entiende que no hay dato personal sensible.
- Los demandantes no conocían personalmente al destinatario erróneo.
- El director de TI del demandado revisó las propiedades del correo electrónico enviado y confirmó que no se envió a través de SMTP básico, sino a través de TLS y, por tanto, la transmisión entre la puerta de enlace de correo electrónico del demandado y el servidor de recepción de Gmail estaba encriptada y no en texto sin formato. Esto significa que las únicas personas que pudieron ver ese correo electrónico entre el momento en que se envió y el momento en que se eliminó fueron las que tenían acceso a la cuenta de correo electrónico del destinatario.
- No queda acreditada la supuesta angustia que el incidente ocasionó a los demandantes, según su propia declaración fundamentada en la incertidumbre sobre el destino de sus datos y el tiempo invertido en aclarar el asunto, puesto que no hubo pérdida real del control de los datos personales. En este caso, el destinatario alerta del error inmediatamente y en consecuencia procede a borrar el mensaje sin dejar rastro alguno del mismo.
En definitiva, el Tribunal si bien considera que los datos de identificación personal de los demandantes (nombre, apellidos y dirección) son datos personales que deben protegerse, no van acompañados de ningún dato personal sensible como pudiera ser el relativo a su salud o situación financiera: “nada especialmente personal”.
Ahora bien, son datos personales insertos en un mensaje con contenido significativamente privado, eso es innegable.
Pero lo realmente relevante para el Tribunal es que, dada la naturaleza de la violación (que existe), la naturaleza de la información (nada especialmente personal) y los pasos inmediatos seguidos para mitigar la violación (se procede a eliminar el email de manera rápida sin divulgación expansiva), parece que no puede considerarse que se haya causado un daño o angustia por encima del umbral del principio del minimis: “ninguna persona de fortaleza ordinaria sufriría razonablemente la angustia que se alega surgida en estas circunstancias en el siglo XXI”. Se llega a calificar este tipo de infracciones de “francamente triviales”.
Al fin y a la postre, para resarcir tiene que existir un daño resarcible que en este caso no existió a juicio del Tribunal Superior de Justicia de Inglaterra y Gales.
Suscríbete a nuestro newsletter aquí.
