Carlos B Fernández. El Tribunal de Justicia de la Unión Europea (TJUE), ha dictado una sentencia de fecha 14 de diciembre de 2023 (asunto C-340/21 (LA LEY 321047/2023), Natsionalna agentsia za prihodite, NAP), en el que aclara diversas cuestiones relacionadas con la posibilidad de que un ciudadano reclame una indemnización con motivo de un ciberataque a un organismo que trata sus datos, con el consiguiente riesgo de puede suponer que se hayan puesto en peligro sus datos personales.
En concreto, en su sentencia, el Tribunal de Justicia responde lo siguiente:
1. El mero hecho de que se haya producido una comunicación no autorizada de datos personales o un acceso no autorizado a dichos datos, no permite deducir a los jueces que las medidas de protección adoptadas por el responsable del tratamiento no eran apropiadas. Los jueces deben examinar el carácter apropiado de estas medidas en cada caso concreto.
2. Corresponde al responsable del tratamiento probar que las medidas de protección adoptadas eran apropiadas.
3. En el supuesto de que la comunicación no autorizada de datos personales o el acceso no autorizado a esos datos haya sido cometida por «terceros» (como ciberdelincuentes), puede obligarse al responsable del tratamiento a indemnizar a las personas que hayan sufrido un daño, a menos que dicho responsable logre demostrar que el hecho que provocó el daño de que se trate no le es imputable en modo alguno.
4. El temor que experimenta un interesado a un potencial uso indebido de sus datos personales por terceros a raíz de una infracción del RGPD puede constituir, por sí solo, un «daño o perjuicio inmaterial».
El caso tuvo su origen cuando, en julio de 2019, se informó por diversos medios que la Agencia Nacional de Recaudación búlgara (NAP), órgano dependiente del Ministro de Hacienda búlgaro encargado, en particular, de la identificación, el aseguramiento y el cobro de los créditos públicos, en su condición de responsable del tratamiento de datos personales, había sufrido un acceso no autorizado a su sistema informático de la NAP y de que, a raíz de este ciberataque, se habían publicado en Internet los datos personales de millones de personas.
Con este motivo, un gran número de afectados interpusieron acciones contra la NAP reclamando una indemnización por los daños y perjuicios inmateriales (morales) que afirman haber sufrido por el temor a un potencial uso indebido de sus datos personales.
Denegada en primera instancia la petición indemnizatoria de la actora, el Tribunal Supremo de lo Contencioso-Administrativo búlgaro planteó al Tribunal de Justicia una serie de cuestiones prejudiciales en relación con la interpretación del RGPD, en relación con los requisitos para la indemnización de los daños y perjuicios inmateriales que alega una persona cuyos datos personales, en manos de una agencia pública, han sido publicados en Internet a raíz de un ciberataque.
Las cuestiones prejudiciales y el criterio del TJUE
En particular, el Tribunal búlgaro pregunta al TJUE:
1. Qué criterios hay que aplicar para considerar si las medidas técnicas y organizativas adoptadas por la organización atacada eran apropiadas o no (arts. 24 (LA LEY 6637/2016) y 32 del RGPD (LA LEY 6637/2016), a efectos del artículo 4, punto 12, de dicho Reglamento)
A este respecto, el TJUE responde que los artículos 24 (LA LEY 6637/2016) y 32 del RGPD (LA LEY 6637/2016) deben interpretarse en el sentido de que una comunicación no autorizada de datos personales o un acceso no autorizado a tales datos por parte de «terceros», no bastan, por sí solos, para considerar que las medidas técnicas y organizativas adoptadas por el responsable del tratamiento no eran «apropiadas» con arreglo a los citados artículos 24 y 32 .
2. ¿Qué objeto y alcance ha de tener el control judicial de legalidad, al examinar si las medidas técnicas y organizativas adoptadas por el responsable del tratamiento eran las apropiadas, con arreglo al artículo 32 del [RGPD (LA LEY 6637/2016)]?
A este respecto el TJUE responde que el artículo 32 del RGPD (LA LEY 6637/2016) debe interpretarse en el sentido de que el carácter apropiado de las medidas técnicas y organizativas adoptadas por el responsable del tratamiento en virtud de dicho artículo debe ser apreciado por los órganos jurisdiccionales nacionales en cada caso concreto, teniendo en cuenta los riesgos vinculados al tratamiento y apreciando si la naturaleza, el contenido y la adopción de esas medidas están adaptados a estos riesgos.
3. ¿En quien recae la carga de la probar que, en caso de un ciberataque, las medidas técnicas y organizativas adoptadas eran las apropiadas y cómo debe interpretarse el principio de responsabilidad proactiva de los artículos 5, apartado 2, y 24 del RGPD?
A este respecto, el TJUE declara que el principio de responsabilidad del responsable del tratamiento, enunciado en el artículo 5, apartado 2, del RGPD y desarrollado en el artículo 24 de este, debe interpretarse en el sentido de que, en el marco de una acción de indemnización basada en el artículo 82 del citado Reglamento, el responsable del tratamiento soporta la carga de la prueba del carácter apropiado de las medidas de seguridad que ha adoptado con arreglo al artículo 32 del mencionado Reglamento.
¿Puede considerarse que un informe pericial ordenado por el juez es un medio de prueba necesario y suficiente para determinar si las medidas técnicas y organizativas adoptadas por el responsable del tratamiento eran apropiadas en caso de que el acceso y la comunicación no autorizados de datos personales se hayan producido a consecuencia de un “ciberataque”?
Sobre este particular, el TJUE declara que el artículo 32 del RGPD (LA LEY 6637/2016) y el principio de efectividad del Derecho de la Unión deben interpretarse en el sentido de que, para apreciar el carácter apropiado de las medidas de seguridad que el responsable del tratamiento ha adoptado en virtud de dicho artículo, un informe pericial ordenado por el juez no constituye sistemáticamente un medio de prueba necesario y suficiente.
4. ¿Debe responder el responsable del tratamiento de un ciberataque o está exonerado de responsabilidad? (artículo 82, apartado 3, del RGPD, en relación con el artículo 4, punto 12, del mismo)?
El TJUE estima que procede responder a esta cuarta cuestión prejudicial en el sentido de que el artículo 82, apartado 3, del RGPD debe interpretarse en el sentido de que el responsable del tratamiento no puede quedar exonerado de la obligación de indemnizar los daños y perjuicios sufridos por una persona, con arreglo al artículo 82, apartados 1 y 2, de dicho Reglamento, por el mero hecho de que esos daños y perjuicios resulten de una comunicación no autorizada de datos personales o de un acceso no autorizado a esos datos por parte de «terceros», a los efectos del artículo 4, punto 10, del mencionado Reglamento, pues ese responsable debe demostrar que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios en cuestión.
5. ¿Está comprendido el mero temor del interesa a que se haya accedido y se puedan difundir sus datos, cuando la entidad que los trata ha sido objeto un ciberataque, en el concepto de daños inmateriales, de forma que le permita fundamentar una pretensión indemnizatoria al respecto, aunque no se haya constatado tal uso indebido o el interesado no haya sufrido ningún otro perjuicio?
Finalmente, en relación con esta cuestión, el TJUE declara, en primer lugar, que el artículo 82, apartado 1, del RGPD no distingue entre los supuestos en los que, tras una infracción acreditada de las disposiciones del Reglamento, los «daños y perjuicios inmateriales» que alega el interesado están relacionados con un uso indebido de sus datos personales por terceros que ya se ha producido en la fecha de la demanda indemnizatoria, de los supuestos en los que esos «daños y perjuicios inmateriales» están relacionados con el temor que experimenta ese interesado a que tal uso pueda producirse en el futuro.
Por consiguiente, continúa el tribunal, el tenor del artículo 82, apartado 1, del RGPD no excluye que el concepto de «daños y perjuicios inmateriales» que figura en esta disposición incluya una situación, como la examinada por el órgano jurisdiccional remitente, en la que el interesado invoca, con el fin de obtener una indemnización sobre la base de la citada disposición, su temor a que sus datos personales sean objeto de uso indebido en el futuro por parte de terceros como consecuencia de la infracción que se ha cometido de dicho Reglamento.
Esta interpretación literal se ve corroborada, en segundo lugar, por el considerando 146 del RGPD, que versa específicamente sobre el derecho a indemnización previsto en el artículo 82, apartado 1, del RGPD, y que se refiere, en su tercera frase, a que «el concepto de daños y perjuicios debe interpretarse en sentido amplio a la luz de la jurisprudencia del Tribunal de Justicia, de tal modo que se respeten plenamente los objetivos» de dicho Reglamento.
En concreto, una interpretación del concepto de «daños y perjuicios inmateriales», en el sentido del artículo 82, apartado 1, que no incluya las situaciones en las que la persona afectada por una infracción del mencionado Reglamento invoca el temor que experimenta a que sus datos personales puedan ser objeto de un uso indebido en el futuro no sería conforme con una acepción amplia del referido concepto (por analogía, STJUE de 4 de mayo de 2023, Österreichische Post, C 300/21).
Por otra parte, el considerando 85, primera frase, del RGPD indica que «si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, […] o cualquier otro perjuicio económico o social significativo». De esta lista ilustrativa de los «daños» o los «perjuicios» que pueden sufrir los interesados se desprende que el legislador de la Unión quiso incluir en estos conceptos, en particular, la mera «pérdida de control» sobre sus datos a raíz de una infracción de aquel Reglamento, aun cuando no se haya producido un uso indebido de los datos en cuestión en perjuicio de dichas personas.
En tercer y último lugar, la interpretación que figura en el apartado 80 de la presente sentencia se ve corroborada por los objetivos del RGPD, que deben respetarse plenamente para definir el concepto de «daños y perjuicios», como señala el considerando 146, tercera frase, de este Reglamento. Pues bien, una interpretación del artículo 82, apartado 1, del RGPD según la cual el concepto de «daños y perjuicios inmateriales», en el sentido de esta disposición, no incluya las situaciones en las que un interesado invoca únicamente su temor a que sus datos sean objeto de un uso indebido por parte de terceros en el futuro no sería conforme con la necesidad de garantizar un elevado nivel de protección de las personas físicas en cuanto al tratamiento de datos personales en la Unión que persigue el mencionado Reglamento.
No obstante, es importante subrayar que un interesado afectado por una infracción del RGPD que haya tenido consecuencias negativas para él debe demostrar que estas consecuencias constituyen daños y perjuicios inmateriales, en el sentido del artículo 82 de dicho Reglamento [sentencia de 4 de mayo de 2023, Österreichische Post (Daños y perjuicios inmateriales relacionados con el tratamiento de datos personales), C 300/21, EU:C:2023:370 (LA LEY 66893/2023), apartado 50].
En particular, cuando una persona que solicita una indemnización por este motivo invoca el temor de que en el futuro se produzca un uso indebido de sus datos personales como consecuencia de dicha infracción, el órgano jurisdiccional que conozca del asunto deberá comprobar que ese temor puede considerarse fundado, habida cuenta de las circunstancias específicas del caso y del interesado.
A la luz de las consideraciones anteriores, procede responder a la quinta cuestión prejudicial que el artículo 82, apartado 1, del RGPD debe interpretarse en el sentido de que el temor que experimenta un interesado a un potencial uso indebido de sus datos personales por terceros a raíz de una infracción del citado Reglamento puede constituir, por sí solo, un «daño o perjuicio inmaterial» a los efectos de la mencionada disposición.