El acceso ilícito a datos personales por parte de terceros genera la responsabilidad por culpa presunta del responsable del tratamiento y puede dar lugar a un daño moral indemnizable
Para quedar exento de responsabilidad, el responsable del tratamiento debe demostrar que el hecho causante del daño no le es imputable en modo alguno. El temor a un futuro uso indebido de los datos personales puede constituir un daño moral que genere derecho a indemnización siempre que se trate de un daño emocional real y cierto, y no de un mero trastorno o molestia
El 15 de julio de 2019, los medios de comunicación búlgaros difundieron la noticia de que se había producido un acceso no autorizado al sistema informático de la Agencia nacional de recaudación búlgara («NAP») y se había publicado en Internet información fiscal y de la seguridad social de millones de personas. Numerosas personas, entre ellas V.B., demandaron judicialmente a la NAP solicitando la indemnización del daño moral, materializado en forma de preocupaciones y temores en torno a un futuro uso indebido de sus datos personales. Según V.B., la NAP había infringido las normas nacionales e incumplido la obligación de adoptar medidas apropiadas para garantizar niveles de seguridad adecuados en lo que respecta al tratamiento de datos personales en su condición de responsable del tratamiento. El órgano jurisdiccional de primera instancia desestimó la demanda por considerar que la divulgación de los datos personales no era imputable a la Agencia, que la carga de la prueba de la adecuación de las medidas adoptadas recaía sobre V.B. y que no existían daños morales indemnizables. El Tribunal Supremo de lo Contencioso-Administrativo (Bulgaria), que ha de pronunciarse en apelación, ha planteado al Tribunal de Justicia varias cuestiones prejudiciales acerca de la interpretación del Reglamento general de protección de datos [1] con el fin de determinar los requisitos para que sea indemnizable el daño moral sufrido por una persona cuyos datos personales, en poder de un organismo público, han sido publicados en Internet a raíz de un ciberataque.
En las conclusiones presentadas en el día de hoy, el Abogado General Giovanni Pitruzzella afirma que el responsable del tratamiento debe aplicar medidas técnicas y organizativas apropiadas a fin de garantizar que el tratamiento de los datos personales sea conforme con dicho Reglamento. La adecuación de tales medidas ha de determinarse tomando en consideración la naturaleza, el ámbito, el contexto, la finalidad del tratamiento y la probabilidad y gravedad de los riesgos para los derechos y libertades de las personas físicas, sobre la base de una valoración caso por caso.
En primer lugar, el Abogado General declara que el hecho de que se haya producido una «violación de la seguridad de los datos personales» no basta por sí sola para concluir que las medidas técnicas y organizativas aplicadas por el responsable del tratamiento no eran «apropiadas» para garantizar la protección de los datos. Al elegir las medidas, el responsable del tratamiento debe tener en cuenta una serie de factores, entre los que se encuentra el «estado de la técnica», que supone una limitación del nivel tecnológico de las medidas a lo que sea razonablemente posible en el momento de la adopción, tomando también en consideración los costes de aplicación. La elección del responsable del tratamiento está sujeta a un eventual control jurisdiccional de conformidad. La valoración de la adecuación de dichas medidas debe basarse en una ponderación entre los intereses de la persona afectada y los intereses económicos y la capacidad tecnológica del responsable del tratamiento, respetando el principio general de proporcionalidad.
En segundo lugar, el Abogado General precisa que, al examinar la adecuación de las medidas, el juez nacional debe llevar a cabo un control que comprenda un análisis concreto tanto del contenido de las medidas como del modo en que se han aplicado y sus efectos prácticos. Por tanto, el control judicial deberá tener en cuenta todos los factores recogidos en el Reglamento. Entre estos, la adopción de códigos de conducta o mecanismos de certificación puede ofrecer un elemento útil para valorar si se ha satisfecho la carga de la prueba, habiendo de precisarse que el responsable del tratamiento tiene la carga de demostrar que ha adoptado concretamente las medidas que prevé el código de conducta, mientras que la certificación constituye por sí misma la prueba de que el tratamiento realizado es conforme con el Reglamento. Dado que las medidas deben revisarse y actualizarse cuando sea necesario, el juez también deberá valorar esta circunstancia.
En tercer lugar, el Abogado General precisa que la carga de la prueba de la adecuación de las medidas recae sobre el responsable del tratamiento. De conformidad con el principio de autonomía procesal, corresponde al
ordenamiento jurídico interno de cada Estado miembro determinar los medios de prueba admisibles y su valor probatorio, incluidas las diligencias de prueba.
En cuarto lugar, el hecho de que la infracción del Reglamento haya sido cometida por un tercero no constituye en sí mismo un motivo para eximir de responsabilidad al responsable del tratamiento. Para quedar exento de responsabilidad, el responsable del tratamiento debe demostrar, con un nivel probatorio elevado, que el hecho causante del daño no le es imputable en modo alguno. El supuesto de tratamiento ilícito de datos
personales tiene, en efecto, la naturaleza de responsabilidad agravada por culpa presunta. De ello se desprende la posibilidad de que el responsable del tratamiento presente una prueba de descargo.
Por último, según el Abogado General, el perjuicio consistente en el temor a un potencial futuro uso indebido de sus datos personales, cuya existencia haya sido demostrada por el interesado, puede constituir un daño moral que genere derecho a indemnización siempre que se trate de un daño emocional real y cierto y no de un mero trastorno o molestia.
NOTA: Las conclusiones del Abogado General no vinculan al Tribunal de Justicia. La función del Abogado General consiste en proponer al Tribunal de Justicia, con absoluta independencia, una solución jurídica al asunto del que se ocupa. Los jueces del Tribunal de Justicia comienzan ahora sus deliberaciones sobre este asunto. La sentencia se dictará en un momento posterior.
NOTA: La remisión prejudicial permite que los tribunales de los Estados miembros, en el contexto de un litigio del que estén conociendo, interroguen al Tribunal de Justicia acerca de la interpretación del Derecho de la Unión o sobre la validez de un acto de la Unión. El Tribunal de Justicia no resuelve el litigio nacional, y es el tribunal nacional quien debe resolver el litigio de conformidad con la decisión del Tribunal de Justicia. Dicha decisión vincula igualmente a los demás tribunales nacionales que conozcan de un problema similar.
[1] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (DO 2016, L 119, p. 1).
