El temor a un potencial uso de los datos justifica la indemnización por daños inmateriales.
El Tribunal de Justicia de la Unión Europea resuelve el asunto C-340/21. En 2019, la Agencia Nacional de Recaudación Búlgara sufrió un ciberataque, mediante el cual se publicaron en internet datos personales de millones de ciudadanos. Los hechos generaron temores generalizados sobre el potencial uso de los datos en internet. Por ello, un gran número de personas presentó acciones contra la agencia, a fin de obtener una indemnización por daños inmateriales.
El Tribunal Supremo de lo Contencioso-Administrativo búlgaro elevó varias cuestiones prejudiciales al TJUE sobre la concesión de dichas indemnizaciones.
Requisitos establecidos por el TJUE
En su sentencia, el Tribunal de Justicia interpretó varios preceptos del RGPD de la siguiente manera:
- Los jueces no pueden presumir automáticamente que las medidas de protección adoptadas por el responsable del tratamiento eran inapropiadas sólo porque se haya producido un acceso no autorizado o una comunicación no autorizada de datos. La idoneidad de las medidas debe evaluarse caso por caso.
- Es responsabilidad del responsable del tratamiento probar que las medidas de protección adoptadas eran apropiadas, es decir, ostenta la carga de la prueba.
- En casos de acceso no autorizado por terceros, como ciberdelincuentes, el responsable del tratamiento puede ser obligado a indemnizar a las personas afectadas, a menos que demuestre que no es imputable de ninguna manera al daño causado.
- El mero temor de un interesado a un posible uso indebido de sus datos personales, como resultado de una violación del RGPD, puede constituir un “daño o perjuicio inmaterial” por sí solo.
Estas son las aclaraciones que ha proporcionado el TJUE respecto a la interpretación de los artículos 5, 24, 32, y 82 del RGPD.
Otras noticias de interés:
