Cabe indemnización del responsable del tratamiento de datos en caso de ciberataque

Escrito por Jiménez & Asociados el Jueves, 14 Diciembre 2023. Publicado en Contencioso-Administrativo, Administración Pública, Noticias Jurídicas, Protección de Datos, Sentencias

El Tribunal de Justicia de la Unión Europea plantea los requisitos para su obtención

Cabe indemnización del responsable del tratamiento de datos en caso de ciberataque

Según plantea en su última Sentencia el Tribunal de Justicia de la Unión Europea (TJUE), el temor a un potencial uso indebido de datos personales puede constituir por sí solo un daño o perjuicio inmaterial.

La Agencia Nacional de Recaudación búlgara (NAP) depende del Ministro de Hacienda búlgaro. Se encarga, en particular, de la identificación, el aseguramiento y el cobro de los créditos públicos. En este contexto, es responsable del tratamiento de datos personales. El 15 de julio de 2019, los medios de comunicación informaron de que se había producido un acceso no autorizado al sistema informático de la NAP y de que, a raíz de este ciberataque, se habían publicado en Internet los datos personales de millones de personas. Un gran número de afectados interpusieron acciones contra la NAP reclamando una indemnización por los daños y perjuicios inmateriales (morales) que afirman haber sufrido por el temor a un potencial uso indebido de sus datos personales.

El Tribunal Supremo de lo Contencioso-Administrativo búlgaro plantea al Tribunal de Justicia una serie de cuestiones prejudiciales en relación con la interpretación del Reglamento General de Protección de Datos (RGPD) Dicho Tribunal solicita que se especifiquen cuáles son los requisitos para la indemnización de los daños y perjuicios inmateriales que alega una persona cuyos datos personales, en manos de una agencia pública, han sido publicados en Internet a raíz de un ciberataque.

En su sentencia, el Tribunal de Justicia responde lo siguiente:

  • Los jueces no pueden deducir del mero hecho de que se haya producido una comunicación no autorizada de datos personales o un acceso no autorizado a dichos datos que las medidas de protección adoptadas por el responsable del tratamiento no eran apropiadas. Los jueces deben examinar el carácter apropiado de estas medidas en cada caso concreto.
  • Corresponde al responsable del tratamiento probar que las medidas de protección adoptadas eran apropiadas.
  • En el supuesto de que la comunicación no autorizada de datos personales o el acceso no autorizado a esos datos haya sido cometida por "terceros" (como ciberdelincuentes), puede obligarse al responsable del tratamiento a indemnizar a las personas que hayan sufrido un daño, a menos que dicho responsable logre demostrar que el hecho que provocó el daño de que se trate no le es imputable en modo alguno.
  • El temor que experimenta un interesado a un potencial uso indebido de sus datos personales por terceros a raíz de una infracción del RGPD puede constituir, por sí solo, un "daño o perjuicio inmaterial".

Sentencia.

Jiménez & Asociados | Abogados en San Pedro Alcántara
Consultas: · Teléfono: +34 952 82 00 73

Sobre el autor

Jiménez & Asociados

Jiménez & Asociados

| Jiménez & Asociados

Leave a comment

You are commenting as guest. Optional login below.