La Sentencia del Tribunal de Justicia, Sala Tercera, de 14 de diciembre de 2023: Asunto C-340/21: Natsionalna agentsia za prihodite (Ponente: N. Jääskinen) declara que los arts. 24 y 32, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos deben interpretarse en el sentido de que una comunicación no autorizada de datos personales o un acceso no autorizado a tales datos por parte de «terceros», a los efectos del artículo 4, punto 10, del mencionado Reglamento, no bastan, por sí solos, para considerar que las medidas técnicas y organizativas adoptadas por el responsable del tratamiento de que se trate no eran «apropiadas» con arreglo a los citados arts. 24 y 32.

Antecedentes

La Agencia Nacional de Recaudación búlgara (NAP) depende del Ministro de Hacienda búlgaro. Se encarga, en particular, de la identificación, el aseguramiento y el cobro de los créditos públicos. En este contexto, es responsable del tratamiento de datos personales. El 15 de julio de 2019, los medios de comunicación informaron de que se había producido un acceso no autorizado al sistema informático de la NAP y de que, a raíz de este ciberataque, se habían publicado en Internet los datos personales de millones de personas. Un gran número de afectados interpusieron acciones contra la NAP reclamando una indemnización por los daños y perjuicios inmateriales (morales) que afirman haber sufrido por el temor a un potencial uso indebido de sus datos personales.

El Tribunal Supremo de lo Contencioso-Administrativo búlgaro plantea al Tribunal de Justicia una serie de cuestiones prejudiciales en relación con la interpretación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) . Dicho Tribunal solicita que se especifiquen cuáles son los requisitos para la indemnización de los daños y perjuicios inmateriales que alega una persona cuyos datos personales, en manos de una agencia pública, han sido publicados en Internet a raíz de un ciberataque.

Apreciaciones del Tribunal de Justicia

En su sentencia, el Tribunal de Justicia responde lo siguiente:

• Los jueces no pueden deducir del mero hecho de que se haya producido una comunicación no autorizada de datos personales o un acceso no autorizado a dichos datos que las medidas de protección adoptadas por el responsable del tratamiento no eran apropiadas. Los jueces deben examinar el carácter apropiado de estas medidas en cada caso concreto.
• Corresponde al responsable del tratamiento probar que las medidas de protección adoptadas eran apropiadas.
• En el supuesto de que la comunicación no autorizada de datos personales o el acceso no autorizado a esos datos haya sido cometida por «terceros» (como ciberdelincuentes), puede obligarse al responsable del tratamiento a indemnizar a las personas que hayan sufrido un daño, a menos que dicho responsable logre demostrar que el hecho que provocó el daño de que se trate no le es imputable en modo alguno.
• El temor que experimenta un interesado a un potencial uso indebido de sus datos personales por terceros a raíz de una infracción del RGPD puede constituir, por sí solo, un «daño o perjuicio inmaterial»