La Sentencia del Tribunal de Justicia en el asunto C-340/21 resuelve una cuestión prejudicial en la que se solicita que se especifiquen cuáles son los requisitos para la indemnización de los daños y perjuicios inmateriales que alega una persona cuyos datos personales, en manos de una agencia pública, han sido publicados en Internet a raíz de un ciberataque.
La Agencia Nacional de Recaudación búlgara (NAP) depende del Ministro de Hacienda búlgaro. Se encarga, en particular, de la identificación, el aseguramiento y el cobro de los créditos públicos. En este contexto, es responsable del tratamiento de datos personales.
El 15 de julio de 2019, los medios de comunicación informaron de que se había producido un acceso no autorizado al sistema informático de la NAP y de que, a raíz de este ciberataque, se habían publicado en Internet los datos personales de millones de personas. Un gran número de afectados interpusieron acciones contra la NAP reclamando una indemnización por los daños y perjuicios inmateriales (morales) que afirman haber sufrido por el temor a un potencial uso indebido de sus datos personales.
El Tribunal Supremo de lo Contencioso-Administrativo búlgaro plantea al Tribunal de Justicia una serie de cuestiones prejudiciales en relación con la interpretación del Reglamento General de Protección de Datos (RGPD). Dicho Tribunal solicita que se especifiquen cuáles son los requisitos para la indemnización de los daños y perjuicios inmateriales que alega una persona cuyos datos personales, en manos de una agencia pública, han sido publicados en Internet a raíz de un ciberataque.
En su sentencia, el Tribunal de Justicia responde lo siguiente:
- Los jueces no pueden deducir del mero hecho de que se haya producido una comunicación no autorizada de datos personales o un acceso no autorizado a dichos datos que las medidas de protección adoptadas por el responsable del tratamiento no eran apropiadas. Los jueces deben examinar el carácter apropiado de estas medidas en cada caso concreto.
- Corresponde al responsable del tratamiento probar que las medidas de protección adoptadas eran apropiadas.
- En el supuesto de que la comunicación no autorizada de datos personales o el acceso no autorizado a esos datos haya sido cometida por «terceros» (como ciberdelincuentes), puede obligarse al responsable del tratamiento a indemnizar a las personas que hayan sufrido un daño, a menos que dicho responsable logre demostrar que el hecho que provocó el daño de que se trate no le es imputable en modo alguno.
- El temor que experimenta un interesado a un potencial uso indebido de sus datos personales por terceros a raíz de una infracción del RGPD puede constituir, por sí solo, un «daño o perjuicio inmaterial».
Fuente: Comunicado de Prensa nº 191/23
Documentos relacionados
Artículos doctrinales
Protección de datos en Europa. Origen, evolución y regulación actual. Año 2021. Escrito por Lucrecio Rebollo
Aproximación al derecho a la protección de datos personales en Europa. El reglamento general de protección de datos personales a debate. Revista de Derecho, Empresa y Sociedad (REDS). Núm 8, Enero 2016. Escrito por Ana Isabel Herrán Ortiz. Profesora Titular de Derecho Civil en Universidad de Deusto
Legislación
