El riesgo cero no existe. Cualquiera puede convertirse en una víctima más tras un ciberataque. Para dar cuenta de ello, basta ver el listado de víctimas de ciberataques en España que dejo enlazado aquí.
A raíz de un ciberataque, cabe la posibilidad de que los ciberatacantes difundan los datos personales obtenidos ilícitamente, causando daños y perjuicios a los afectados. No tienen por qué ocurrir, pero siempre cabe la posibilidad, por tanto, el temor a que ocurra. En tales casos, cabe preguntar:
¿Existe la posibilidad de reclamar al responsable del tratamiento atacado una indemnización por el daño moral que supone un eventual y futuro uso indebido de nuestros datos personales?, es decir, ¿el temor a un futuro acceso ilícito a los datos personales puede constituir un daño o perjuicio inmaterial indemnizable?. El Tribunal de Justicia de la Unión Europea (TJUE) nos responde en la Sentencia de 14 de diciembre de 2023 (asunto C‑340/21).
El caso
El 15 de julio de 2019, los medios de comunicación búlgaros informaron de que se había producido un ciberataque al sistema informático de la NAP, una autoridad dependiente del Ministro de Hacienda, y que, a raíz de éste, se habían publicado en Internet datos personales almacenados en dicho sistema.
Más de seis millones de personas, de nacionalidad búlgara y extranjera, se vieron afectadas. Cientos de ellas ejercieron acciones contra la NAP por los daños y/o perjuicios inmateriales supuestamente derivados de la comunicación de sus datos personales.
En este contexto, la demandante demandó a la NAP ante el Administrativen sad Sofia–grad (Tribunal de lo Contencioso-Administrativo de Sofía), en la que solicitaba una indemnización por los daños y perjuicios ocasionados de 1.000 levas (unos 510 euros) al amparo del artículo 82 apartado 1 del RGPD y de determinadas disposiciones del derecho búlgaro.
La demandante alegó sufrir un daño inmaterial consistente en el temor a que sus datos personales, publicados sin su consentimiento, sean objeto de un uso indebido en el futuro, o a que ella misma sea víctima de un chantaje, una agresión o incluso un secuestro.
Resolución del TJUE
El TJUE resuelve, entre otras, la siguiente cuestión prejudicial:
¿El artículo 82 apartado 1 del RGPD debe interpretarse en el sentido de que el temor que experimenta un interesado a un potencial uso indebido de sus datos por terceros a raíz de una infracción del RGPD puede constituir, por sí solo, un «daño o perjuicio inmaterial» a los efectos de dicha disposición?
El mencionado artículo 82 apartado 1 del RGPD dispone que «toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos».
El TJUE señala que, del tenor literal del artículo invocado, se desprende, claramente, que la existencia de «daños» y/o «perjuicios» que se han «sufrido» constituye uno de los requisitos legales previstos en dicha disposición, al igual que la existencia de una infracción del RGPD, como incumplir la adopción de medidas de seguridad, aunque exige que exista una relación de causalidad entre el daño y/o perjuicio y la infracción cometida.
El Tribunal también advierte que los jueces nacionales no pueden deducir del mero hecho de que se haya producido una comunicación no autorizada de datos personales o un acceso no autorizado a dichos datos que las medidas de protección adoptadas por el responsable del tratamiento no fuesen apropiadas. La carga de la prueba de que las medidas de protección adoptadas eran apropiadas recae en el responsable del tratamiento. Los jueces han de examinar el carácter apropiado de las medidas en cada caso concreto.
A su vez, el TJUE resuelve que, cuando una persona que solicita una indemnización por el temor de que en el futuro se produzca un uso indebido de sus datos personales como consecuencia de dicha infracción (falta de medidas de seguridad), el órgano jurisdiccional que conozca del asunto deberá comprobar que ese temor puede considerarse fundado, habida cuenta de las circunstancias del caso y del interesado.
Conclusión
El temor del interesado puede, por sí solo, constituir un «daño o perjuicio inmaterial» a los efectos del artículo 82 apartado 1 del RGPD, aunque el interesado deberá probar que su temor a sufrir daños y/o perjuicios es fundado.
El TJUE acaba de abrir una vía a futuras reclamaciones, aunque pocas prosperarán, pues no será fácil probar que el temor a sufrir daños y/o perjuicios es fundado. Lo sería, por ejemplo, si se constata que otras personas han sufrido en su mismo caso daños y/o perjuicios. Que dichas circunstancias generen un estado de ansiedad (demostrable) en el interesado ayudaría a que prospere la demanda.