Área clientes Área clientes
Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

¿Podemos reclamar daños morales tras un ciberataque?

La pregunta del título, más bien, sería la siguiente: ¿Podemos reclamar una indemnización por daños morales si nuestros datos personales se ven comprometidos en un ciberataque?. El caso ya se ha dado y estamos pendiente de que el TJUE se pronuncie al respecto. 

Asunto C340/21 

El 15 de julio de 2019, los medios de comunicación búlgaros difundieron la noticia de que se había producido un acceso no autorizado al sistema informático de la Natsionalna agentsia za prihodite, la Agencia Nacional de Recaudación de Bulgaria (NAP) y que se había publicado en Internet información fiscal y de la seguridad social de millones de personas, tanto nacionales como extranjeros.

Numerosas personas, entre ellas V. B., demandaron a la NAP solicitando una indemnización por el daño moral causado, materializado en forma de preocupaciones y temores en torno a un futuro uso indebido de sus datos personales.

V.B. acudió al Administrativen sad Sofia-grad (Tribunal de lo Contencioso Administrativo de la ciudad de Sofía, Bulgaria; en lo sucesivo, ASSG) alegando que la NAP había infringido las normas nacionales y comunitarias en materia de protección de datos, incumplido la obligación de adoptar las necesarias medidas para garantizar niveles de seguridad adecuados en lo que respecta al tratamiento de datos personales en su condición de responsable del tratamiento.

La NAP se defendió alegando que no había recibido ninguna solicitud de V.B. en la que se indicaran exactamente los datos personales afectados por el acceso. Asimismo, recordó que había adoptado las medidas técnicas y organizativas necesarias en su condición de responsable del tratamiento y negó que existieran pruebas de un daño moral efectivo. A su juicio, la ansiedad y los temores son estados emocionales no indemnizables.

El ASSG desestimó la demanda de V.B., considerarando que la divulgación de los datos personales no era imputable a la NAP, que la carga de la prueba de la adecuación de las medidas adoptadas recaía sobre V.B. y que no existían daños morales indemnizables.

Cuestiones Prejudiciales

El Varhoven Administrativen Sad (Tribunal Supremo de lo Contencioso–Administrativo de Bulgaria), encargado de resolver el recurso de apelación interpuesto por V.B, ha planteado al Tribunal de Justicia de la Unión Europea (TJUE) varias cuestiones prejudiciales, en concreto, las siguientes:

  1. ¿Basta un acceso no autorizado a la información personal para considerar que las medidas técnicas y organizativas adoptadas por el responsable del tratamiento no eran apropiadas?
  2. ¿Cuál es el objeto y el alcance del control judicial al comprobar la adecuación de las medidas técnicas y organizativas adoptadas por el responsable del tratamiento?
  3. ¿Habida cuenta del principio de responsabilidad proactiva, en el marco de una demanda de indemnización de daños, la carga de la prueba de la adecuación de las medidas técnicas y organizativas recae sobre el responsable del tratamiento?
  4. ¿El acceso no autorizado a datos personales mediante un ciberataque constituye un hecho del cual no debe responder el responsable del tratamiento, de forma que cabe su total exención de responsabilidad?
  5. ¿Debe interpretarse que, tras una violación de la seguridad por un ciberataque, los temores, miedos y preocupaciones del interesado respecto a un posible uso indebido de sus datos en el futuro están comprendidos en el concepto de daños morales (inmateriales), aunque no se haya constatado tal uso indebido o el interesado no haya sufrido ningún otro perjuicio?»

Las cinco cuestiones prejudiciales giran en torno al mismo tema: los requisitos para que sea indemnizable el daño moral sufrido por una persona cuyos datos personales, en poder de un organismo público, han sido publicados en Internet a raíz de un ciberataque.

Conclusiones del Abogado General

El Abogado General –Giovanni Pitruzzuella– presentó en fecha 27 de abril de 2023 sus conclusiones, que dejo enlazadas aquí. Procede aclarar que el Abogado General tiene la función de asistir al TJUE presentando conclusiones motivadas sobre los asuntos de que éste conoce, acompañadas de una propuesta sobre cómo el Tribunal de Justicia debe resolver las cuestiones que le han sido sometidas. Actúa con absoluta imparcialidad y con plena independencia.

A la primera cuestión prejudicial, el Abogado General declara que el hecho de que se haya producido una violación de la seguridad de los datos personales no basta, por sí sola, para concluir que las medidas técnicas y organizativas aplicadas por el responsable del tratamiento no eran «apropiadas» para garantizar la protección de los datos personales.

Al seleccionar las medidas de seguridad, el responsable del tratamiento debe tener en cuenta una serie de factores, entre los que se encuentra el estado de la técnica, tomando en consideración los costes de aplicación. Las medidas de seguridad pueden ser apropiadas y, no obstante, ser burladas por ciberdelincuentes, que utilizan instrumentos tremendamente sofisticados.

El Abogado General destaca que la inclusión de la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en los casos de incidentes físicos o técnicos garantiza «un nivel de seguridad adecuado al riesgo». De ahí, la importancia de las copias de seguridad. Para el Abogado General es absurdo plantear que «la simple violación de los sistemas constituye en sí misma la prueba de la inadecuación de tales medidas».

A la segunda cuestión prejudicial, el Abogado General precisa que, al examinar la adecuación de las medidas, el juez nacional debe llevar a cabo un control que comprenda un análisis del contenido de las medidas y del modo en que se han aplicado y sus efectos prácticos. Y dado que las medidas deben revisarse y actualizarse, cuando sea necesario, el juez también valorará esta circunstancia.

A la tercera cuestión prejudicial, el Abogado General responde que la carga de la prueba respecto a la adecuación de las medidas de seguridad recae sobre el responsable del tratamiento. De conformidad con el principio de autonomía procesal, corresponde al ordenamiento jurídico interno de cada Estado miembro determinar los medios de prueba admisibles y su valor probatorio.

No obstante, el demandante debe demostrar que se ha producido una infracción de la normativa de protección de datos, que ha sufrido un daño y que existe una relación de causalidad entre estos dos elementos.

A la cuarta cuestión prejudicial, el Abogado General declara que el hecho de que la infracción se haya producido a causa de personas no sujetas al ámbito de control del responsable del tratamiento no exime de responsabilidad a este último.

Para quedar exento de responsabilidad, el responsable del tratamiento debe demostrar, con un nivel probatorio elevado, que el hecho causante del daño no le es imputable en modo alguno.

Cuando una organización es víctima de un ciberataque puede considerarse que el hecho generador del daño no le es imputable al responsable del tratamiento, pero no se descarta que la negligencia de éste haya estado en el origen del ciberataque, facilitándolo por la falta o inadecuación de las medidas de seguridad que está obligado a aplicar. En todo caso, será el juez nacional que conoce del asunto quien debe valorar si hubo o no negligencia por parte del responsable del tratamiento a la hora de adaptar las medidas de seguridad.

El responsable del tratamiento deberá demostrar que ha hecho todo lo posible para restaurar la disponibilidad y el acceso a los datos personales de forma rápida.

A la quinta cuestión prejudicial, el Abogado General declara que ni el artículo 82 ni los considerandos del RGPD relativos a la indemnización de los daños y perjuicios aportan una respuesta clara a esta cuestión, pero cabe inferir de ellos algunos elementos útiles para el análisis:

  • Los daños inmateriales o morales pueden ser objeto de indemnización, además de los materiales o patrimoniales.
  • De la infracción del RGPD no se deriva automáticamente un daño, si bien una violación de la seguridad de los datos personales puede entrañar daños físicos, materiales o inmateriales para las personas físicas.
  • El concepto de «daño» debe interpretarse «en sentido amplio» a la luz de la jurisprudencia del TJUE.
  • La indemnización de los daños y perjuicios sufridos debe ser «total y efectiva».

El Abogado General duda de que pueda nacer un derecho a indemnización como consecuencia de las simples inquietudes, ansiedades y temores de la persona interesada por un eventual futuro uso indebido de los datos personales, más aún cuando ese uso indebido no se ha acreditado y la persona interesada no ha sufrido ningún otro perjuicio.

No obstante, el hecho de que el uso indebido de los datos personales sea solo potencial, y no efectivo, no impide que el interesado puede haber sufrido un daño moral, si bien debe demostrar que el temor a ese uso indebido le ha ocasionado, de forma concreta y específica, un daño emocional real y cierto. Corresponde a los jueces nacionales la tarea de delimitar la frontera entre las meras contrariedades (no indemnizables) y los verdaderos daños inmateriales (indemnizables).

Conclusiones

Personalmente, creo acertadas las conclusiones del Abogado General.

Habrá que estar atentos al pronunciamiento del TJUE porque marcará la senda para futuros casos.

Índice de artículos
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).