'La Agencia Nacional de Recaudación búlgara (NAP) depende del Ministro de Hacienda búlgaro. Se encarga, en
particular, de la identificación, el aseguramiento y el cobro de los créditos públicos. En este contexto, es responsable
del tratamiento de datos personales. El 15 de julio de 2019, los medios de comunicación informaron de que se
había producido un acceso no autorizado al sistema informático de la NAP y de que, a raíz de este ciberataque, se
habían publicado en Internet los datos personales de millones de personas. Un gran número de afectados
interpusieron acciones contra la NAP reclamando una indemnización por los daños y perjuicios inmateriales
(morales) que afirman haber sufrido por el temor a un potencial uso indebido de sus datos personales.
El Tribunal Supremo de lo Contencioso-Administrativo búlgaro plantea al Tribunal de Justicia una serie de
cuestiones prejudiciales en relación con la interpretación del Reglamento General de Protección de Datos
(RGPD) Dicho Tribunal solicita que se especifiquen cuáles son los requisitos para la indemnización de los
daños y perjuicios inmateriales que alega una persona cuyos datos personales, en manos de una agencia
pública, han sido publicados en Internet a raíz de un ciberataque.
En su sentencia, el Tribunal de Justicia responde lo siguiente:
- Los jueces no pueden deducir del mero hecho de que se haya producido una comunicación no autorizada de datos personales o un acceso no autorizado a dichos datos que las medidas de protección adoptadas por el responsable del tratamiento no eran apropiadas. Los jueces deben examinar el carácter apropiado de estas medidas en cada caso concreto.
- Corresponde al responsable del tratamiento probar que las medidas de protección adoptadas eran apropiadas.
- En el supuesto de que la comunicación no autorizada de datos personales o el acceso no autorizado a esos datos haya sido cometida por «terceros» (como ciberdelincuentes), puede obligarse al responsable del tratamiento a indemnizar a las personas que hayan sufrido un daño, a menos que dicho responsable logre demostrar que el hecho que provocó el daño de que se trate no le es imputable en modo alguno.
- El temor que experimenta un interesado a un potencial uso indebido de sus datos personales por terceros a raíz de una infracción del RGPD puede constituir, por sí solo, un «daño o perjuicio inmaterial».
NOTA: La remisión prejudicial permite que los tribunales de los Estados miembros, en el contexto de un litigio del
que estén conociendo, interroguen al Tribunal de Justicia acerca de la interpretación del Derecho de la Unión o
sobre la validez de un acto de la Unión. El Tribunal de Justicia no resuelve el litigio nacional, y es el tribunal nacional
quien debe resolver el litigio de conformidad con la decisión del Tribunal de Justicia. Dicha decisión vincula
igualmente a los demás tribunales nacionales que conozcan de un problema similar.
Documento no oficial, destinado a los medios de comunicación y que no vincula al Tribunal de Justicia.
El texto íntegro y, en su caso, el resumen de la sentencia se publican en el sitio CURIA el día de su pronunciamiento.'
[...]
Fuente y texto completo: Nota de prensa del Tribunal de Justicia de la UE de 14/12/2023
No hay comentarios:
Publicar un comentario