El 15 de julio de 2019, medios de comunicación búlgaros publicaron el descubrimiento de la publicación en Internet de datos personales de millones de ciudadanos, como consecuencia de un acceso no autorizado al sistema informático de la Agencia Nacional de Recaudación. Este organismo, que depende del Ministerio de Hacienda de Bulgaria, actúa legalmente como responsable del tratamiento de los datos personales de los ciudadanos.
Derivado de la confirmación de tal incidente de seguridad, un gran número de afectados presentaron una reclamación de indemnización de daños y perjuicios ante el Tribunal de lo contencioso-administrativo por los daños morales causados, amparada en lo que prevé el artículo 82 del Reglamento General de Protección de Datos, que en sus tres primeros apartados establece:
1. Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.
2. Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento. Un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del presente Reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable.
3. El responsable o encargado del tratamiento estará exento de responsabilidad en virtud del apartado 2 si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.
En este escenario, la demanda se fundamentaba en la provocación de unos eventuales perjuicios inmateriales derivados de los daños morales sufridos por el temor a un potencial uso indebido de sus datos personales.
Llegados a este punto, el citado tribunal planteó una cuestión prejudicial ante el Tribunal de Justicia europeo, relacionada con la interpretación del citado precepto del RGPD.
A este respecto, cabe aclarar que la remisión prejudicial permite que los tribunales de los Estados miembros, en el contexto de un litigio del que estén conociendo, interroguen al Tribunal de Justicia acerca de la interpretación del Derecho de la Unión o sobre la validez de un acto de la Unión. El Tribunal de Justicia no resuelve el litigio nacional, y es el tribunal nacional quien debe resolver el litigio de conformidad con la decisión del Tribunal de Justicia. Dicha decisión vincula igualmente a los demás tribunales nacionales que conozcan de un problema similar.
En particular, dicha consulta solicita que se especifiquen cuáles son los requisitos para poder tener derecho a recibir una indemnización por los daños y perjuicios inmateriales que alega una persona cuyos datos personales, tratados por una agencia pública, han sido publicados en Internet a raíz de un ciberataque.
Tras el correspondiente análisis, el Tribunal de Justicia ha dado respuesta a la consulta planteada, concluyendo lo siguiente:
- Los jueces no pueden deducir del mero hecho de que se haya producido una comunicación no autorizada de datos personales o un acceso no autorizado a dichos datos que las medidas de protección adoptadas por el responsable del tratamiento no eran apropiadas. Los jueces deben examinar el carácter apropiado de estas medidas en cada caso concreto.
- Corresponde al responsable del tratamiento probar que las medidas de protección adoptadas eran apropiadas.
- En el supuesto de que la comunicación no autorizada de datos personales o el acceso no autorizado a esos datos haya sido cometida por «terceros» (como ciberdelincuentes), puede obligarse al responsable del tratamiento a indemnizar a las personas que hayan sufrido un daño, a menos que dicho responsable logre demostrar que el hecho que provocó el daño de que se trate no le es imputable en modo alguno.
- El temor que experimenta un interesado a un potencial uso indebido de sus datos personales por terceros a raíz de una infracción del RGPD puede constituir, por sí solo, un «daño o perjuicio inmaterial».
Así, las cosas, el Tribunal Europeo reconoce la posibilidad de que el temor a la difusión de los datos personales filtrados de un responsable del tratamiento como consecuencia de una infracción del artículo 32 del RGPD en cuanto a la robustez exigida de las medidas de seguridad implementados, puede ser considerado como un daño moral para el afectado y, en consecuencia, puede ser susceptible de ser indemnizado, invirtiendo la carga de la prueba de manera que deba ser el responsable o encargado del tratamiento el que deba demostrar que no fue responsable del daño causado.
Finalmente, habrá que analizar cuál es el impacto que este pronunciamiento pueda tener, por ejemplo, en el incremento de las primas de las pólizas de seguro contratadas, que suelen cubrir la responsabilidad extracontractual y los daños morales causado a terceros, ya que no es un concepto que, en el ámbito de la ciberseguridad, suela venir previsto ni cubierto.