El Abogado General ha presentado sus conclusiones en un caso en el que se ha cuestionado la interpretación del Reglamento General de Protección de Datos (RGPD) para determinar los requisitos de indemnización de daños morales sufridos por personas cuyos datos personales han sido publicados en Internet tras un ciberataque. El Abogado plantea ante el TJUE si cabe la indemnización por daño moral ante el acceso ilícito a los datos personales por parte de terceros.
El caso surgió después de que la Agencia Nacional de Recaudación búlgara sufriera un acceso no autorizado a su sistema informático en 2019. El órgano jurisdiccional de primera instancia desestimó la demanda por considerar que la divulgación de los datos personales no era imputable a la agencia. Asimismo, indicaron que la carga de la prueba de la adecuación de las medidas recaía sobre el demandante y que no existían daños morales indemnizables. El Tribunal Supremo de lo Contencioso-Administrativo (Bulgaria) ha planteado al Tribunal de Justicia varias cuestiones prejudiciales acerca de la interpretación del RGPD.
Acceso ilícito a datos personales
El Abogado General señala que el responsable del tratamiento debe aplicar medidas técnicas y organizativas adecuadas. De este modo, remarca la importancia de garantizar la conformidad del tratamiento de los datos personales con el RGPD. La adecuación de estas medidas debe determinarse caso por caso. Así como tener en cuenta una serie de factores, incluido el estado de la técnica y los costes de aplicación.
Consideración del tribunal Europeo sobre el acceso ilegal a los datos personales
El juez nacional debe llevar a cabo un control concreto de las medidas aplicadas y sus efectos prácticos para evaluar su adecuación. La adopción de códigos de conducta o mecanismos de certificación puede ser útil para demostrar que se han adoptado las medidas necesarias. Y termina indicando que la certificación es una prueba de que el tratamiento es conforme con el RGPD.
Carga de la prueba
La carga de la prueba de la adecuación de las medidas recae en el responsable del tratamiento, y el hecho de que la infracción del RGPD haya sido cometida por un tercero no exime de responsabilidad al responsable del tratamiento.
Por último, según el Abogado General, el perjuicio consistente en el temor a un potencial futuro uso indebido de sus datos personales, cuya existencia haya sido demostrada por el interesado, puede constituir un daño moral que genere derecho a indemnización siempre que se trate de un daño emocional real y cierto y no de un mero trastorno o molestia.
