Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

¿Podemos reclamar daños morales tras un ciberataque?

La pregunta del título, más bien, sería la siguiente: ¿Podemos reclamar una indemnización por daños morales si nuestros datos personales se ven comprometidos en un ciberataque?. 

Asunto C-340/2021

El 15 de julio de 2019, los medios de comunicación búlgaros difundieron la noticia de que se había producido un acceso no autorizado al sistema informático de la Natsionalna agentsia za prihodite (NAP), la Agencia Nacional de Recaudación de Bulgaria. Como consecuencia, se filtraron en Internet los datos fiscales y de seguridad social de millones de personas, tanto nacionales como extranjeros.

Varios afectados, entre ellas V. B., demandaron a la NAP solicitando una indemnización por daño moral, materializado en forma de preocupaciones, temores y ansiedad ante un posible uso indebido de sus datos personales.

V.B. acudió al Administrativen sad Sofia-grad (Tribunal Administrativo de Sofía, ASSG) alegando que la NAP había infringido las normas nacionales y de la Unión Europea en materia de protección de datos, al incumplir la obligación de adoptar las medidas necesarias para garantizar niveles de seguridad adecuados en el tratamiento de datos personales, en su condición de responsable del tratamiento.

La NAP se defendió alegando que no había recibido ninguna solicitud de V.B. en la que se indicaran exactamente los datos personales afectados por el acceso. Asimismo, recordó que había adoptado las medidas técnicas y organizativas necesarias en su condición de responsable del tratamiento y negó que existieran pruebas de un daño moral efectivo. A su juicio, la ansiedad y los temores son estados emocionales no indemnizables.

El ASSG desestimó la demanda de V.B., considerando que la divulgación de los datos personales no era imputable a la NAP, que la carga de la prueba sobre la adecuación de las medidas adoptadas recaía sobre V.B. y que no existían daños morales indemnizables.

Cuestiones Prejudiciales

El Varhoven Administrativen Sad (Tribunal Supremo de lo Administrativo de Bulgaria), encargado de resolver el recurso de apelación interpuesto por V.B, planteó al Tribunal de Justicia de la Unión Europea (TJUE) varias cuestiones prejudiciales:

  1. ¿Basta el acceso no autorizado por terceros para concluir que las medidas de seguridad adoptadas por el responsable del tratamiento no eran apropiadas?
  2. ¿Cuál es el alcance del control judicial sobre la adecuación de dichas medidas?
  3. ¿En el marco de una demanda de indemnización, la carga de la prueba de la adecuación de las medidas de seguridad recae en el responsable del tratamiento?
  4. ¿El acceso no autorizado mediante un ciberataque exonera totalmente al responsable del tratamiento?
  5. ¿Constituyen el temor, el miedo o la preocupación por un posible uso indebido futuro de los datos un daño moral indemnizable, aun cuando no se haya producido un uso indebido ni otro perjuicio concreto?

Resolución del TJUE

El TJUE (Sala Tercera) en la sentencia de 14 de diciembre de 2023 (C/340/21) resolvió las cuestiones prejudiciales planteadas del siguiente modo:

  1. Un acceso o comunicación no autorizada de datos por terceros no basta por sí solo para considerar que las medidas técnicas y organizativas adoptadas no eran «apropiadas» (artículos 24 y 32 del RGPD).
  2. El carácter adecuado de las medidas técnicas y organizativas debe valorarse por los órganos jurisdiccionales nacionales en cada caso, teniendo en cuenta los riesgos vinculados al tratamiento y apreciando si la naturaleza, el contenido y la adopción de esas medidas están adaptados a estos riesgos (art. 32 del RGPD).
  3. En el marco de una acción de indemnización basada en el artículo 82 del RGPD, la carga de la prueba sobre la adecuación de las medidas de seguridad recae en el responsable del tratamiento. Un informe pericial ordenado por el juez no constituye sistemáticamente un medio de prueba necesario y suficiente para acreditar la adecuación de las medidas; los tribunales pueden valorar otras pruebas.
  4. El responsable del tratamiento no queda exonerado automáticamente de la obligación de indemnizar los daños y perjuicios sufridos por una persona, con arreglo al artículo 82, apartados 1 y 2, del RGPD, por el mero hecho de que deriven de una acción de terceros (ciberataque); debe demostrar que no es responsable en modo alguno del hecho causante del daño.
  5. El temor de un interesado a un posible uso indebido futuro de sus datos, tras una violación de seguridad, puede constituir por sí solo un daño o perjuicio inmaterial indemnizable (artículo 82.1 del RGPD), siempre que se trate de un daño emocional real y cierto.

Conclusión

Sí, es posible reclamar una indemnización por daño moral en caso de brecha de datos por ciberataque, incluso sin daño patrimonial, si se acredita un temor fundado y real ante el riesgo de uso indebido, si bien el interesado debe probar el nexo causal entre la infracción del RGPD y el daño. El responsable puede eximirse demostrando que adoptó medidas de seguridad adecuadas y que no es responsable del incidente.

Esta sentencia consolida la doctrina iniciada con Österreichische Post (asunto C-300/21) 

Interpretación del artículo 82 del RGPD sobre indemnización por daños y perjuicios

 

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es