¿Puede la difusión ilícita de datos personales en poder de un organismo público como consecuencia de un ciberataque dar lugar a la indemnización del daño moral a favor del titular de esos datos por el mero hecho de que éste tema un eventual futuro uso indebido de sus datos? ¿Cuáles son los criterios para la imputación de la responsabilidad al responsable del tratamiento?
El abogado general del Tribunal de Justicia de la Unión Europea (TJUE) Giovanni Pitruzzella concluye que el acceso ilícito a datos personales por parte de terceros «genera la responsabilidad por culpa presunta del responsable del tratamiento y puede dar lugar a un daño moral indemnizable».
Destaca que para quedar exento de responsabilidad, el responsable del tratamiento debe demostrar, «con un nivel probatorio elevado», que el hecho causante del daño no le es imputable en modo alguno.
A su juicio, «el temor» a un futuro uso indebido de los datos personales puede constituir un daño moral que genere derecho a indemnización, siempre que se trate de un «daño emocional real y cierto, y no de un mero trastorno o molestia».
Estas son las principales conclusiones del italiano Giovanni Pitruzzella a varias cuestiones prejudiciales planteadas por el Tribunal Supremo de lo Contencioso-Administrativo de Bulgaria -‘Varhoven administrativen sad’-, en las que también quiere que el TJUE aclare cómo se reparte la carga de la prueba en el marco del procedimiento judicial y cuál es la amplitud del control del juez. Es el asunto C‑340/21.
EL CASO
El 15 de julio de 2019, los medios de comunicación búlgaros difundieron la noticia de que se había producido un acceso no autorizado al sistema informático de la Agencia nacional de recaudación búlgara y se había publicado en Internet información fiscal y de la seguridad social de millones de personas, tanto nacionales como extranjeros.
Numerosas personas, entre ellas V. B., demandaron judicialmente a la Agencia Nacional de recaudación solicitando la indemnización de los daños morales, materializado en forma de «preocupaciones y temores en torno a un futuro uso indebido de sus datos personales».
V. B. argumentó que la agencia había infringido las normas nacionales e incumplido la obligación de adoptar medidas apropiadas para garantizar niveles de seguridad adecuados en lo que respecta al tratamiento de datos personales en su condición de responsable del tratamiento.
La parte recurrida subrayó, en cambio, que no había recibido ninguna solicitud de la recurrente en el procedimiento principal en la que se indicaran exactamente los datos personales afectados por el acceso. Por otra parte, después de tener conocimiento del acceso no autorizado, convocó reuniones con expertos para proteger los derechos e intereses de los ciudadanos.
Según alegó, no existía tampoco una relación de causalidad entre el ciberataque y el supuesto daño sufrido, pues la agencia había instaurado todos los sistemas de gestión de procedimientos y de seguridad de la información, con arreglo a las normas internacionales vigentes en la materia.
El tribunal búlgaro de primera instancia -el Tribunal de lo Contencioso Administrativo de la ciudad de Sofía- desestimó la demanda por considerar que la divulgación de los datos personales no era imputable a la agencia, que la carga de la prueba de la adecuación de las medidas adoptadas recaía sobre V.B. y que no existían daños morales indemnizables.
Contra dicha sentencia se interpuso recurso ante el Tribunal Supremo de lo Contencioso-Administrativo, Bulgaria. Entre las alegaciones formuladas, la recurrente en el litigio principal subrayó que el órgano jurisdiccional de primera instancia había incurrido en error al repartir la carga de la prueba de la falta de adopción de las medidas de seguridad. A su juicio, el daño moral tampoco debería ser objeto de la carga de la prueba, puesto que se trata de un daño moral efectivo y no meramente potencial.
La agencia, por su parte, recordó que había adoptado las medidas técnicas y organizativas necesarias en su condición de responsable del tratamiento y negó que existieran pruebas de un daño moral efectivo. Considera que la ansiedad y los temores son estados emocionales no indemnizables.
El órgano jurisdiccional observó que los diversos procedimientos incoados por los perjudicados contra la agencia para la indemnización de los daños morales habían producido resultados diferentes. En este contexto, suspendió el procedimiento y en junio de 2021 elevó al Tribunal de Justicia de la UE varias cuestiones prejudiciales acerca de la interpretación del Reglamento general de protección de datos, con el fin de determinar los requisitos para que sea indemnizable el daño moral sufrido por una persona cuyos datos personales, en poder de un organismo público, han sido publicados en Internet a raíz de un ciberataque.
LAS CUESTIONES QUE TIENE QUE ACLARAR EL TJUE
Quiere que el TJUE aclare si deben interpretarse los artículos 24 y 32 del Reglamento (UE) 2016/679 en el sentido de que basta una divulgación no autorizada o un acceso no autorizado a datos personales a efectos del artículo 4, punto 12, de dicho Reglamento por personas que no son funcionarios de la administración del responsable del tratamiento y no están sometidas al control de este, para considerar que las medidas técnicas y organizativas adoptadas no eran apropiadas.
En caso de respuesta negativa, pregunta qué objeto y alcance ha de tener el control judicial de legalidad al examinar si las medidas técnicas y organizativas adoptadas por el responsable del tratamiento eran apropiadas a efectos del artículo 32 del Reglamento.
También en caso de respuesta negativa a la primera cuestión, plantea si debe interpretarse el principio de responsabilidad proactiva de los artículos 5, apartado 2 y 24 en relación con el considerando 74 del Reglamento, en el sentido de que en el procedimiento indemnizatorio con arreglo al artículo 82, apartado 1, de dicho Reglamento incumbe al responsable del tratamiento la carga de probar que las medidas técnicas y organizativas son apropiadas a efectos del artículo 32 de ese mismo Reglamento.
«¿Puede considerarse que la obtención de un dictamen pericial es un medio de prueba necesario y suficiente para determinar si las medidas técnicas y organizativas adoptadas por el responsable del tratamiento fueron apropiadas en un caso como el presente, en el que el acceso y la divulgación no autorizados de datos personales se produjeron a consecuencia de un “ciberataque”?», pregunta también.
La cuarta cuestión es: ¿Debe interpretarse el artículo 82, apartado 3, del Reglamento (UE) 2016/679 en el sentido de que la divulgación o el acceso no autorizados a datos personales a efectos del artículo 4, punto 12, del Reglamento (UE) 2016/679, como en el presente caso, mediante un “ciberataque”, por personas que no son empleados de la administración del responsable y que no están sometidas al control de este, constituye un hecho del cual no debe responder en modo alguno el responsable del tratamiento, lo que implica su total exención de responsabilidad?
Por último, quiere saber si debe interpretarse el artículo 82, apartados 1 y 2, en relación con los considerandos 85 y 146 del Reglamento, en el sentido de que en un caso como éste, en el que se ha producido una violación de la seguridad de los datos personales consistente en el acceso no autorizado a ciertos datos personales mediante un “ciberataque” y la difusión de dichos datos, «los meros temores, miedos y preocupaciones del interesado respecto a un posible uso indebido de sus datos personales en el futuro están comprendidos en el concepto de daños inmateriales, que ha de ser interpretado en sentido amplio, y fundamentan una pretensión indemnizatoria, aunque no se haya constatado tal uso indebido o el interesado no haya sufrido ningún otro perjuicio».
LAS CONCLUSIONES DEL ABOGADO
El abogado general afirma que el responsable del tratamiento debe aplicar medidas técnicas y organizativas apropiadas a fin de garantizar que el tratamiento de los datos personales sea conforme con dicho Reglamento. La adecuación de tales medidas ha de determinarse «tomando en consideración la naturaleza, el ámbito, el contexto, la finalidad del tratamiento y la probabilidad y gravedad de los riesgos para los derechos y libertades de las personas físicas, sobre la base de una valoración caso por caso», apunta.
En primer lugar, declara que el hecho de que se haya producido una «violación de laseguridad de los datos personales» no basta por sí sola para concluir que las medidas técnicas y organizativas aplicadas por el responsable del tratamiento no eran «apropiadas» para garantizar la protección de los datos en cuestión.
Pitruzzella señala que al elegir las medidas, el responsable del tratamiento debe tener en cuenta una serie de factores, entre los que se encuentra el «estado de la técnica», que supone una limitación del nivel tecnológico de las medidas a lo que sea razonablemente posible en el momento de la adopción, tomando también en consideración los costes de aplicación.
Añade que la elección del responsable del tratamiento está sujeta a un eventual control jurisdiccional de conformidad, y que la valoración de la adecuación de dichas medidas debe basarse en una ponderación entre los intereses de la persona afectada y los intereses económicos y la capacidad tecnológica del responsable del tratamiento, respetando el principio general de proporcionalidad.
En segundo lugar, precisa que, al examinar la adecuación de las medidas técnicas y organizativas aplicadas por el responsable del tratamiento de los datos personales, el juez nacional que conoce del asunto debe realizar un control que comprenda un análisis concreto tanto del contenido de las medidas como del modo en que se han aplicado y sus efectos prácticos.
Por tanto, el control judicial deberá tener en cuenta todos los factores recogidos en el Reglamento. Entre estos, la adopción de códigos de conducta o mecanismos de certificación puede ofrecer un elemento útil para valorar si se ha satisfecho la carga de la prueba, habiendo de precisarse que el responsable del tratamiento tiene la carga de demostrar que ha adoptado concretamente las medidas que prevé el código de conducta, mientras que la certificación constituye por sí misma la prueba de que el tratamiento realizado es conforme con el Reglamento.
Dado que las medidas deben revisarse y actualizarse cuando sea necesario, el juez también deberá valorar esta circunstancia.
El hecho de que la infracción haya sido cometida por un tercero no constituye en sí mismo un motivo para eximir de responsabilidad al responsable del tratamiento, sino que debe demostrarlo
En tercer lugar, el abogado general indica que en el marco de una demanda de indemnización de daños con arreglo al artículo 82 del Reglamento general de protección de datos, «el responsable del tratamiento de los datos personales tiene la carga de probar la adecuación de las medidas que ha aplicado con arreglo al artículo 32 de dicho Reglamento».
De conformidad con el principio de autonomía procesal, «corresponde al ordenamiento jurídico interno de cada Estado miembro determinar los medios de prueba admisibles y su valor probatorio, incluidas las diligencias de prueba que los tribunales nacionales pueden o deben ordenar para dilucidar si el responsable del tratamiento de los datos personales ha adoptado medidas apropiadas con arreglo al citado Reglamento, respetando los principios de equivalencia y de eficacia establecidos en el Derecho de la Unión», manifiesta.
En cuarto lugar, dictamina que el hecho de que la infracción del Reglamento haya sido cometida por un tercero «no constituye en sí mismo un motivo para eximir de responsabilidad al responsable del tratamiento y, a fin de acogerse a la exención prevista por esa disposición, el responsable del tratamiento debe demostrar que no es en modo alguno responsable de la infracción».
Por último, según el abogado general, el perjuicio consistente en el temor a un potencial futuro uso indebido de sus datos personales, cuya existencia haya sido demostrada por el interesado, «puede constituir un daño moral que genere derecho a indemnización, siempre que el interesado demuestre que ha sufrido individualmente un daño emocional real y cierto», lo cual corresponderá comprobar en cada caso concreto al juez nacional que conoce del asunto.
El texto íntegro de las conclusiones, pinchando aquí.
Los abogados generales del TJUE tienen la función de emitir una opinión jurídica neutral, en forma de conclusiones, que puedan ayudar al tribunal del caso, que comenzará ahora sus deliberaciones sobre este asunto.
No son vinculantes, si bien los tribunales de este órgano judicial europeo suelen seguirlas en el 67% de los casos.
La figura del abogado general no existe en el ordenamiento jurídico español. Tiene su origen en el francés y fue adoptado en sus orígenes por el TJUE.En total son diez abogados generales los que tiene el TJUE y el jefe es el polaco Maciej Szpunar.
