Indemnizaciones por fallas de ciberseguridad y filtraciones de datos personales. Por Pablo Contreras y Paz Fernández.

Feb 3, 2025 | Opinión

Por Pablo Contreras, Director del Doctorado en Derecho UCEN y Paz Fernández, consultora asociada en DataCompliance.

Una reciente sentencia del Tribunal Federal de Justicia en Alemania contra Meta Platforms Ireland Ltd., vinculada a una masiva falla de seguridad que expuso datos personales de 533 millones de usuarios, ofrece importantes lecciones que resultan altamente relevantes en el contexto de la Ley No. 21.719 que reforma la protección de datos personales en Chile. Este fallo no solo reafirma la centralidad del Reglamento General de Protección de Datos (RGPD) en Europa, sino que también constituye un antecedente relevante respecto a cómo deberían abordarse incidentes similares bajo un marco legal robusto.

En Chile, con la publicación de la nueva Ley de Protección de Datos Personales, inspirada en el RGPD, se impondrá una mayor responsabilidad a las empresas para garantizar la seguridad de los datos de los ciudadanos. El caso Meta subraya aspectos clave que nuestra legislación debería considerar al avanzar en su aplicación. Primero, el principio de minimización de datos se convierte en un aspecto fundamental. El tribunal alemán criticó las configuraciones predeterminadas de Facebook, que exponían información personal como los números telefónicos a una audiencia muy amplia. En Chile, las empresas deben ser proactivas al configurar herramientas tecnológicas que protejan los datos por defecto, asegurando que la privacidad sea la norma y no la excepción.

Otro aspecto destacable es la pérdida de control sobre los datos, reconocida como un daño no material bajo el RGPD. En el fallo se estableció que la divulgación masiva de información personal genera un perjuicio que trasciende lo económico, afectando derechos fundamentales como la autodeterminación informativa. Este concepto es crucial para la nueva ley chilena, y la jurisprudencia internacional será clave para definir qué constituye un daño no material en nuestro país.

El caso también pone de manifiesto la relevancia de las notificaciones oportunas ante incidentes de seguridad. Meta no informó adecuadamente a las autoridades ni a los usuarios tras el ataque, lo que intensificó el impacto de la brecha. En Chile, la nueva legislación obliga a las empresas a reportar incidentes que comprometan datos personales a la Agencia de Protección de Datos, una medida que, de implementarse rigurosamente, podría prevenir daños mayores y fortalecer la confianza del público.

Sin embargo, el gran desafío para Chile será garantizar la aplicación efectiva de estas normas, especialmente en lo que respecta a la indemnización por daños derivados de fallas en la protección de datos. La sentencia alemana evidencia que no basta con establecer un marco regulatorio; es necesario contar con organismos fiscalizadores fuertes que supervisen su cumplimiento y aseguren que las sanciones e indemnizaciones sean proporcionales al impacto de las infracciones.

Esto incluye reconocer y compensar adecuadamente los daños no materiales, como la pérdida de control sobre los datos personales, sin requerir que los afectados deban probar el daño de manera directa. Este criterio normativo es particularmente exigente respecto de los responsables del tratamiento de datos y favorece a los titulares porque, en muchos casos, éstos no tienen los recursos o las herramientas necesarias para demostrar cómo la vulneración de sus datos impactó su bienestar o generó perjuicios específicos.

Al eliminar la exigencia de probar el daño de manera directa, se incrementan las posibilidades de que los afectados puedan iniciar acciones legales, facilitando el acceso a la justicia para quienes han visto comprometida su privacidad. Además, este enfoque reconoce que el simple hecho de perder el control sobre información sensible ya constituye un daño en sí mismo, independientemente de que existan consecuencias tangibles inmediatas.

Sin embargo, esta facilidad para presentar demandas también plantea un desafío importante: el riesgo de un aumento considerable en los litigios. Las empresas podrían enfrentar costos legales significativos y mayores exigencias para demostrar su cumplimiento normativo, lo que subraya la necesidad de establecer mecanismos claros y equilibrados que permitan distinguir entre demandas válidas y aquellas sin fundamento.

Este equilibrio será esencial para evitar que el sistema se sobrecargue y para asegurar que las empresas mantengan un compromiso genuino con la protección de los datos personales. Al eliminar la exigencia de prueba del daño moral, se nivela el terreno entre las grandes empresas tecnológicas y los usuarios, permitiendo que se priorice la protección de los derechos fundamentales por sobre las complejidades procesales.

| LO MAS LEIDO