La pregunta del título, más bien, sería la siguiente: ¿Podemos reclamar una indemnización por daños morales si nuestros datos personales se ven comprometidos en un ciberataque?.
Asunto C-2024/1065
El 15 de julio de 2019, los medios de comunicación búlgaros difundieron la noticia de que se había producido un acceso no autorizado al sistema informático de la Natsionalna agentsia za prihodite, la Agencia Nacional de Recaudación de Bulgaria (NAP) y que se había publicado en Internet información fiscal y de la seguridad social de millones de personas, tanto nacionales como extranjeros.
Numerosas personas, entre ellas V. B., demandaron a la NAP solicitando una indemnización por el daño moral causado, materializado en forma de preocupaciones y temores en torno a un futuro uso indebido de sus datos personales.
V.B. acudió al Administrativen sad Sofia-grad (Tribunal de lo Contencioso Administrativo de la ciudad de Sofía, Bulgaria; en lo sucesivo, ASSG) alegando que la NAP había infringido las normas nacionales y comunitarias en materia de protección de datos, incumplido la obligación de adoptar las necesarias medidas para garantizar niveles de seguridad adecuados en lo que respecta al tratamiento de datos personales en su condición de responsable del tratamiento.
La NAP se defendió alegando que no había recibido ninguna solicitud de V.B. en la que se indicaran exactamente los datos personales afectados por el acceso. Asimismo, recordó que había adoptado las medidas técnicas y organizativas necesarias en su condición de responsable del tratamiento y negó que existieran pruebas de un daño moral efectivo. A su juicio, la ansiedad y los temores son estados emocionales no indemnizables.
El ASSG desestimó la demanda de V.B., considerarando que la divulgación de los datos personales no era imputable a la NAP, que la carga de la prueba de la adecuación de las medidas adoptadas recaía sobre V.B. y que no existían daños morales indemnizables.
Cuestiones Prejudiciales
El Varhoven Administrativen Sad (Tribunal Supremo de lo Contencioso–Administrativo de Bulgaria), encargado de resolver el recurso de apelación interpuesto por V.B, ha planteado al Tribunal de Justicia de la Unión Europea (TJUE) varias cuestiones prejudiciales, en concreto, las siguientes:
- ¿Basta un acceso no autorizado a la información personal para considerar que las medidas técnicas y organizativas adoptadas por el responsable del tratamiento no eran apropiadas?
- ¿Cuál es el objeto y el alcance del control judicial al comprobar la adecuación de las medidas técnicas y organizativas adoptadas por el responsable del tratamiento?
- ¿Habida cuenta del principio de responsabilidad proactiva, en el marco de una demanda de indemnización de daños, la carga de la prueba de la adecuación de las medidas técnicas y organizativas recae sobre el responsable del tratamiento?
- ¿El acceso no autorizado a datos personales mediante un ciberataque constituye un hecho del cual no debe responder el responsable del tratamiento, de forma que cabe su total exención de responsabilidad?
- ¿Debe interpretarse que, tras una violación de la seguridad por un ciberataque, los temores, miedos y preocupaciones del interesado respecto a un posible uso indebido de sus datos en el futuro están comprendidos en el concepto de daños morales (inmateriales), aunque no se haya constatado tal uso indebido o el interesado no haya sufrido ningún otro perjuicio?»
Las cinco cuestiones prejudiciales giran en torno al mismo tema: los requisitos para que sea indemnizable el daño moral sufrido por una persona cuyos datos personales, en poder de un organismo público, han sido publicados en Internet a raíz de un ciberataque.
Resolución del TJUE
El TJUE (Sala Tercera) resolvió en la sentencia de 14 de diciembre de 2023 (C/2024/1065) las cuestiones prejudiciales planteadas del siguiente modo:
- Los artículos 24 y 32 del RGPD deben interpretarse en el sentido de que una comunicación no autorizada de datos personales o un acceso no autorizado a tales datos por parte de «terceros», a los efectos del artículo 4, punto 10, del mencionado Reglamento, no bastan, por sí solos, para considerar que las medidas técnicas y organizativas adoptadas por el responsable del tratamiento de que se trate no eran «apropiadas» con arreglo a los citados artículos 24 y 32.
- El artículo 32 del RGPD debe interpretarse en el sentido de que el carácter apropiado de las medidas técnicas y organizativas adoptadas por el responsable del tratamiento, en virtud de dicho artículo, debe ser apreciado por los órganos jurisdiccionales nacionales en cada caso, teniendo en cuenta los riesgos vinculados al tratamiento y apreciando si la naturaleza, el contenido y la adopción de esas medidas están adaptados a estos riesgos.
- El principio de responsabilidad del responsable del tratamiento, enunciado en el artículo 5, apartado 2, del RGPD y desarrollado en el artículo 24 del RGPD, debe interpretarse en el sentido de que, en el marco de una acción de indemnización basada en el artículo 82 del RGPD, el responsable del tratamiento soporta la carga de la prueba del carácter apropiado de las medidas de seguridad que ha adoptado con arreglo al artículo 32.
- El artículo 32 del RGPD y el principio de efectividad del Derecho de la Unión Europea deben interpretarse en el sentido de que, para apreciar el carácter apropiado de las medidas de seguridad que el responsable del tratamiento ha adoptado en virtud de dicho artículo, un informe pericial ordenado por el juez no constituye sistemáticamente un medio de prueba necesario y suficiente.
- El artículo 82, apartado 3, del RGPD debe interpretarse en el sentido de que el responsable del tratamiento no puede quedar exonerado de la obligación de indemnizar los daños y perjuicios sufridos por una persona, con arreglo al artículo 82, apartados 1 y 2, del RGPD, por el mero hecho de que esos daños y perjuicios resulten de una comunicación no autorizada de datos personales o de un acceso no autorizado a esos datos por parte de «terceros», a los efectos del artículo 4, punto 10, del RGPD, pues ese responsable debe demostrar que no es, en modo alguno, responsable del hecho que haya causado los daños y perjuicios en cuestión.
- El artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que el temor que experimenta un interesado a un potencial uso indebido de sus datos personales por terceros a raíz de una infracción del Reglamento puede constituir, por sí solo, un «daño o perjuicio inmaterial» a los efectos de la mencionada disposición.
Por consiguiente, cabe reclamar un daño moral siempre que se cumplan los condicionantes de la normativa a la luz del TJUE.
Interpretación del artículo 82 del RGPD (indemnización por daños y perjuicios)