El abogado General Giovanni Pitruzzella ha presentado sus conclusiones en el Asunto C-340/21, de fecha 27 de abril de 2023, donde se pregunta sobre las siguientes cuestiones:
- • ¿Puede la difusión ilícita de datos personales en poder de un organismo público como consecuencia de un ciberataque dar lugar a la indemnización del daño moral a favor del titular de esos datos por el mero hecho de que este tema un eventual futuro uso indebido de sus datos?
- • ¿Cuáles son los criterios para la imputación de la responsabilidad al responsable del tratamiento?
- • ¿Cómo se reparte la carga de la prueba en el marco del procedimiento judicial?
- • ¿Cuál es la amplitud del control del juez?
Antecedentes
El 15 de julio de 2019, los medios de comunicación búlgaros difundieron la noticia de que se había producido un acceso no autorizado al sistema informático de la Agencia nacional de recaudación búlgara («NAP») y se había publicado en Internet información fiscal y de la seguridad social de millones de personas. Numerosas personas, entre ellas V.B., demandaron judicialmente a la NAP solicitando la indemnización del daño moral, materializado en forma de preocupaciones y temores en torno a un futuro uso indebido de sus datos personales.
Según V.B., la NAP había infringido las normas nacionales e incumplido la obligación de adoptar medidas apropiadas para garantizar niveles de seguridad adecuados en lo que respecta al tratamiento de datos personales en su condición de responsable del tratamiento. El órgano jurisdiccional de primera instancia desestimó la demanda por considerar que la divulgación de los datos personales no era imputable a la Agencia, que la carga de la prueba de la adecuación de las medidas adoptadas recaía sobre V.B. y que no existían daños morales indemnizables. El Tribunal Supremo de lo Contencioso-Administrativo (Bulgaria), que ha de pronunciarse en apelación, ha planteado al Tribunal de Justicia varias cuestiones prejudiciales acerca de la interpretación del Reglamento general de protección de datos (LA LEY 6637/2016) 1 con el fin de determinar los requisitos para que sea indemnizable el daño moral sufrido por una persona cuyos datos personales, en poder de un organismo público, han sido publicados en Internet a raíz de un ciberataque.
Conclusiones del Abogado General
En las conclusiones presentadas, el Abogado General Giovanni Pitruzzella afirma que el responsable del tratamiento debe aplicar medidas técnicas y organizativas apropiadas a fin de garantizar que el tratamiento de los datos personales sea conforme con dicho Reglamento. La adecuación de tales medidas ha de determinarse tomando en consideración la naturaleza, el ámbito, el contexto, la finalidad del tratamiento y la probabilidad y gravedad de los riesgos para los derechos y libertades de las personas físicas, sobre la base de una valoración caso por caso.
En primer lugar, el Abogado General declara que el hecho de que se haya producido una «violación de la seguridad de los datos personales» no basta por sí sola para concluir que las medidas técnicas y organizativas aplicadas por el responsable del tratamiento no eran «apropiadas» para garantizar la protección de los datos. Al elegir las medidas, el responsable del tratamiento debe tener en cuenta una serie de factores, entre los que se encuentra el «estado de la técnica», que supone una limitación del nivel tecnológico de las medidas a lo que sea razonablemente posible en el momento de la adopción, tomando también en consideración los costes de aplicación. La elección del responsable del tratamiento está sujeta a un eventual control jurisdiccional de conformidad. La valoración de la adecuación de dichas medidas debe basarse en una ponderación entre los intereses de la persona afectada y los intereses económicos y la capacidad tecnológica del responsable del tratamiento, respetando el principio general de proporcionalidad.
En segundo lugar, el Abogado General precisa que, al examinar la adecuación de las medidas, el juez nacional debe llevar a cabo un control que comprenda un análisis concreto tanto del contenido de las medidas como del modo en que se han aplicado y sus efectos prácticos. Por tanto, el control judicial deberá tener en cuenta todos los factores recogidos en el Reglamento. Entre estos, la adopción de códigos de conducta o mecanismos de certificación puede ofrecer un elemento útil para valorar si se ha satisfecho la carga de la prueba, habiendo de precisarse que el responsable del tratamiento tiene la carga de demostrar que ha adoptado concretamente las medidas que prevé el código de conducta, mientras que la certificación constituye por sí misma la prueba de que el tratamiento realizado es conforme con el Reglamento. Dado que las medidas deben revisarse y actualizarse cuando sea necesario, el juez también deberá valorar esta circunstancia.
En tercer lugar, el Abogado General precisa que la carga de la prueba de la adecuación de las medidas recae sobre el responsable del tratamiento. De conformidad con el principio de autonomía procesal, corresponde al ordenamiento jurídico interno de cada Estado miembro determinar los medios de prueba admisibles y su valor probatorio, incluidas las diligencias de prueba.
En cuarto lugar,el hecho de que la infracción del Reglamento haya sido cometida por un tercero no constituye en sí mismo un motivo para eximir de responsabilidad al responsable del tratamiento. Para quedar exento de responsabilidad, el responsable del tratamiento debe demostrar, con un nivel probatorio elevado, que el hecho causante del daño no le es imputable en modo alguno. El supuesto de tratamiento ilícito de datos personales tiene, en efecto, la naturaleza de responsabilidad agravada por culpa presunta. De ello se desprende la posibilidad de que el responsable del tratamiento presente una prueba de descargo.
Por último, según el Abogado General, el perjuicio consistente en el temor a un potencial futuro uso indebido de sus datos personales, cuya existencia haya sido demostrada por el interesado, puede constituir un daño moral que genere derecho a indemnización siempre que se trate de un daño emocional real y cierto y no de un mero trastorno o molestia.