El TJUE abre la puerta a indemnizar a particulares por la difusión de sus datos tras un ciberataque a la Administración
Responde a una fuga de datos masiva de una Administración pública y advierte que se puede indemnizar el “temor” de los titulares de esos datos a que se haga un uso indebido.
“El temor que experimenta un interesado a un potencial uso indebido de sus datos personales por terceros a raíz de una infracción del Reglamento General de Protección de Datos (RGPD) puede constituir, por sí solo, un daño o perjuicio inmaterial (perjuicio moral, daño a la salud…)”. Así lo ha señalado el Tribunal de Justicia de la Unión Europea (TJUE) en una sentencia que resuelve la consulta del Tribunal Supremo búlgaro sobre los requisitos para la indemnización de los daños y perjuicios inmateriales que alega una persona cuyos datos personales, en manos de una agencia pública, fueron publicados en Internet a raíz de un ciberataque. Todos recordamos el ataque informático que sufrió el Hospital Clínic de Barcelona el pasado marzo.
Los hechos que han motivado la consulta a la justicia europea comenzaron cuando la Agencia Nacional de Recaudación búlgara (NAP), dependiente del Ministro de Hacienda del país, sufrió un ciberataque el 15 de julio de 2019. La NAP se encarga de la identificación, el aseguramiento y el cobro de los créditos públicos y es la responsable del tratamiento de datos personales. A raíz del ciberataque que sufrió, los datos personales de millones de personas aparecieron publicados en Internet. Numerosos afectados interpusieron acciones contra la NAP, reclamando “una indemnización por los daños y perjuicios inmateriales (morales) que afirman haber sufrido por el temor a un potencial uso indebido de sus datos personales”.
De acuerdo con el marco regulatorio europeo, esos ciudadanos búlgaros ¿tienen derecho a una indemnización? El TJUE ha dicho que sí, con varias puntualizaciones. Por un lado, el responsable de la custodia de los datos debe demostrar que se pusieron todos los medios disponibles para realizar la mejor custodia de la información personal. Porque, antes de determinar si existe o no derecho a indemnizar un daño en estos casos, “los jueces [de cada Estado miembro] deben examinar el carácter apropiado de estas medidas, en cada caso concreto”.
EL TJUE
En palabras de la justicia europea: “En el supuesto de que la comunicación no autorizada de datos personales o el acceso no autorizado a esos datos haya sido cometida por terceros (como ciberdelincuentes), puede obligarse al responsable del tratamiento a indemnizar a las personas que hayan sufrido un daño, a menos que dicho responsable logre demostrar que el hecho que provocó el daño de que se trate no le es imputable en modo alguno”.
Otra cuestión es determinar ¿qué daño es el indemnizable? Aquí el TJUE abre la puerta a indemnizar ese “temor” del ciudadano a que se haga un uso indebido de sus datos. Es decir, el daño moral o inmaterial, al que se refiere la sentencia.
El abogado Francesc José María, experto en Derecho Sanitario y miembro de la Asociación Jurista de la Salud interpreta la sentencia del TJUE y dice que “efectivamente, el tribunal europeo abre la puerta a la indemnización por daños morales, que recoge como el temor al uso indebido, pero de forma casuística, es decir teniendo en cuenta el caso concreto y no de manera general ni automática. Además, de manera rigurosa, puesto que la entidad puede demostrar que las medidas de seguridad eran apropiadas”. Soledad Valle