Un abogado general de la UE apoya indemnizar el daño moral causado por acceso ilícito a datos personales

El abogado general del Tribunal de Justicia de la Unión Europea (TJUE) Giovanni Pitruzzella ha emitido un dictamen en el que se muestra favorable a que las personas que temen que sus datos personales sean objeto de un posible uso indebido puedan ser indemnizados por el “daño moral” que causa ese miedo. Aclara, sin embargo, que ese daño emocional debe ser «real» y no «un mero trastorno o molestia».

El caso analizado se remonta a julio de 2019. Los medios de comunicación búlgaros difundieron la noticia de que se había producido un acceso no autorizado al sistema informático de la Agencia nacional de recaudación búlgara (NAP) y se había publicado en Internet información fiscal y de la seguridad social de millones de personas.

Numerosas personas demandaron judicialmente a la NAP solicitando la indemnización del daño moral, materializado en forma de preocupaciones y temores en torno a un futuro uso indebido de sus datos personales. Según la persona cuya denuncia ha provocado el dictamen del abogado general, la NAP había infringido las normas nacionales e incumplido la obligación de adoptar medidas apropiadas para garantizar niveles de seguridad adecuados en lo que respecta al tratamiento de datos personales en su condición de responsable del tratamiento.

El órgano jurisdiccional de primera instancia desestimó la demanda por considerar que la divulgación de los datos personales no era imputable a la Agencia, que la carga de la prueba de la adecuación de las medidas adoptadas recaía sobre la demandante y que no existían daños morales indemnizables.

El Tribunal Supremo de lo Contencioso-Administrativo de Bulgaria, que ha de pronunciarse en apelación, planteó al TJUE varias cuestiones prejudiciales acerca de la interpretación del Reglamento general de protección de datos con el fin de determinar los requisitos para que sea indemnizable el daño moral sufrido por una persona cuyos datos personales, en poder de un organismo público, han sido publicados en Internet a raíz de un ciberataque.

Giovanni Pitruzzella. (Foto: CorCom)

En sus conclusiones presentadas hoy, Pitruzzella afirma que el responsable del tratamiento debe aplicar medidas técnicas y organizativas apropiadas a fin de garantizar que el tratamiento de los datos personales sea conforme con el Reglamento 016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Según el abogado general, “la adecuación de tales medidas ha de determinarse tomando en consideración la naturaleza, el ámbito, el contexto, la finalidad del tratamiento y la probabilidad y gravedad de los riesgos para los derechos y libertades de las personas físicas, sobre la base de una valoración caso por caso”.

En este sentido, declara que el hecho de que se haya producido una violación de la seguridad de los datos personales “no basta por sí sola para concluir que las medidas técnicas y organizativas aplicadas por el responsable del tratamiento no eran apropiadas para garantizar la protección de los datos”. Entiende que “al elegir las medidas, el responsable del tratamiento debe tener en cuenta una serie de factores, entre los que se encuentra el estado de la técnica, que supone una limitación del nivel tecnológico de las medidas a lo que sea razonablemente posible en el momento de la adopción, tomando también en consideración los costes de aplicación”.

Por otra parte, precisa que, al examinar la adecuación de las medidas, el juez nacional debe llevar a cabo un control que comprenda un análisis concreto tanto del contenido de las medidas como del modo en que se han aplicado y sus efectos prácticos. “Por tanto, el control judicial deberá tener en cuenta todos los factores recogidos en el Reglamento”, entre los que están la adopción de códigos de conducta o mecanismos de certificación puede ofrecer un elemento útil para valorar si se ha satisfecho la carga de la prueba, habiendo de precisarse que el responsable del tratamiento tiene la carga de demostrar que ha adoptado concretamente las medidas que prevé el código de conducta, mientras que la certificación constituye por sí misma la prueba de que el tratamiento realizado es conforme con el Reglamento”.

El abogado general precisa que la carga de la prueba de la adecuación de las medidas recae sobre el responsable del tratamiento. “De conformidad con el principio de autonomía procesal, corresponde al ordenamiento jurídico interno de cada Estado miembro determinar los medios de prueba admisibles y su valor probatorio, incluidas las diligencias de prueba”, asegura.

De este modo, concluye que “el hecho de que la infracción del Reglamento haya sido cometida por un tercero no constituye en sí mismo un motivo para eximir de responsabilidad al responsable del tratamiento. Para quedar exento de responsabilidad, el responsable del tratamiento debe demostrar, con un nivel probatorio elevado, que el hecho causante del daño no le es imputable en modo alguno. “El supuesto de tratamiento ilícito de datos personales tiene, en efecto, la naturaleza de responsabilidad agravada por culpa presunta. De ello se desprende la posibilidad de que el responsable del tratamiento presente una prueba de descargo”, matiza Pitruzzella.

De este modo, cuncluye que “el perjuicio consistente en el temor a un potencial futuro uso indebido de sus datos personales, cuya existencia haya sido demostrada por el interesado, puede constituir un daño moral que genere derecho a indemnización siempre que se trate de un daño emocional real y cierto y no de un mero trastorno o molestia”.