El artículo 82 del Reglamento
(UE) 2016/679 (RGPD), que regula el derecho de quien haya sufrido daños y
perjuicios materiales o inmateriales como consecuencia de una infracción del RGPD
a recibir una indemnización, es objeto de cuestiones prejudiciales en un
elevado número de asuntos pendientes ante el Tribunal de Justicia. El alcance
de las aportaciones de las dos sentencias pronunciadas ayer relativas a la
interpretación de esa disposición es muy diferente. Por una parte, la recaída
en el asunto Gemeinde Ummendorf, C-456/22, EU:C:2023:986,
básicamente se limita a confirmar planteamientos ya establecidos por el
Tribunal en su sentencia del pasado 4 de mayo en el asunto Österreichische Post AG, C-300/2021, EU:C:2023:370, a la que
dediqué esta reseña. La sentencia Gemeinde Ummendorf confirma que, habida cuenta de que el derecho
a indemnización se subordina al cumplimiento solo de tres requisitos
cumulativos (existencia de «daños y perjuicios», infracción del RGPD y relación
de causalidad entre tales daños y perjuicios y la infracción), no cabe fijar un
umbral mínimo de daños para que nazca. Además, el Tribunal recuerda que la mera
infracción del RGPD no constituye por sí sola un perjuicio, debiendo el interesado
demostrar la existencia de daños y perjuicios. Por otra parte, la sentencia
en el asunto Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986,
sí incluye aportaciones relevantes con respecto a la interpretación del artículo
82 RGPD, en el contexto de demandas de indemnización interpuestas frente al responsable del tratamiento por interesados
cuyos datos personales se vieron afectados por un ciberataque dirigido contra el responsable
del tratamiento.
El artículo 24.1 RGPD obliga al responsable del tratamiento a aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD. Por su parte, el artículo 32 RGPD desarrolla la obligación del responsable de aplicar medidas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, lo que exige tener en cuenta “el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas” (art. 32.1). Su apartado 2 hace referencia a la exigencia de tener particularmente en cuenta los riesgos que presente el tratamiento de datos como consecuencia de la destrucción, pérdida o alteración de datos personales tratados, o la comunicación o acceso no autorizados a dichos datos, de cara a evaluar la adecuación del nivel de seguridad.
Con respecto a
estas normas, el Tribunal de Justicia constata que instauran un régimen de
gestión de riesgos y que no pretenden eliminar los riesgos de violación de la
seguridad de los datos personales, de modo que el carácter apropiado de las
medidas de seguridad debe evaluarse en cada caso examinando las adoptadas por el
responsable (apdos. 29 y 30). La mera existencia de una comunicación no
autorizada de datos personales o de un acceso no autorizado a tales datos por
parte de los terceros que llevan a cabo un ciberataque, no basta, por sí sola,
para establecer que las medidas técnicas y organizativas adoptadas por el
responsable del tratamiento no eran «apropiadas» a los efectos de apreciar un
incumplimiento de los artículos 24 y 32 RGPD y con ello el presupuesto del
derecho a indemnización relativo a la infracción del RGPD (apdo. 39). En
relación con los elementos a tener en cuenta al apreciar si las medidas
adoptadas por el responsable son «apropiadas» a los efectos del artículo 32
RGPD, el Tribunal de Justicia destaca la relevancia de los mencionados en los apartados
1 y 2 de ese artículo, así como el margen de apreciación del responsable al seleccionar las medidas apropiadas para garantizar un nivel de seguridad
adecuado al riesgo (apdos. 42 y 43). Ahora bien, lo
anterior debe entenderse sin perjuicio de que corresponde en último extremo a los tribunales
valorar si las medidas técnicas y organizativas aplicadas son apropiadas en el
caso concreto para garantizar un nivel de seguridad adecuado al riesgo. Para
ello, los tribunales deben llevar a cabo un examen en cuanto al fondo de tales
medidas con base en los criterios del artículo 32 RGPD, así como de las
circunstancias del caso y de los elementos de prueba adicionales de
que disponga (apdos. 44 y 45), que típicamente implica un análisis concreto de la
naturaleza y el contenido de las medidas adoptadas por el responsable, así como
de su aplicación y efectos prácticos en el nivel de seguridad en relación con los
riesgos de ese tratamiento (apdo. 46). De ahí la relevancia de la carga
de la prueba del cumplimiento o incumplimiento de las obligaciones de seguridad
del RGPD y los medios de prueba relevantes a esos efectos.
Acerca de la carga de la prueba no resulta una sorpresa que el Tribunal establezca -a
partir de lo dispuesto en los arts. 5.2 y 24.1 RGPD- que también a los efectos
del artículo 82 RGPD, la carga de la
prueba de que los datos personales se tratan de modo que se garantiza una
seguridad adecuada recae sobre el responsable del tratamiento en cuestión (por
lo tanto, en el litigio principal la entidad víctima del ciberataque que condujo
al acceso no autorizado a datos de los interesados) (apdos. 52 y 57).
En lo relativo
a los medios de prueba, la sentencia sienta el criterio general de que como el RGPD
no contiene reglas sobre la admisión y al valor de los medios de prueba en
relación con las acciones de indemnización, corresponde al ordenamiento interno
de cada Estado miembro establecer las reglas relativas a los medios de prueba
que permiten evaluar el carácter apropiado de las medidas de seguridad en el
marco del artículo 32 RGPD, siempre que se respeten los principios de
equivalencia y efectividad (apdo. 54). Seguidamente, proyecta ese criterio sobre
la normativa nacional relevante en el litigio principal, según la cual para apreciar
el carácter apropiado de las medidas de seguridad un informe pericial ordenado
por el juez constituye “un medio de prueba necesario y suficiente” (apdo. 61).
El Tribunal concluye que una norma como esa resulta incompatible con el
principio de efectividad. En primer lugar, porque impide apreciar que hay
supuestos en los que tal medio de prueba puede resultar superfluo, en
particular, en situaciones en las que ha habido un control de cumplimiento
reciente por la autoridad en materia de protección de datos (apdo. 62). En segundo
lugar, porque el derecho a la tutela judicial efectiva exige que un tribunal
imparcial proceda a una apreciación objetiva del carácter apropiado de las
medidas de que se trate, de modo que no cabe que se le imponga tener que
deducir esa conclusión exclusiva o automáticamente de un informe pericial (apdo.
63)
El artículo
82.3 RGPD establece que el responsable del tratamiento queda exento de responsabilidad por
daños y perjuicios “si demuestra que no es en modo alguno responsable del hecho
que haya causado los daños y perjuicios”, lo que se interpreta en el sentido de
que las circunstancias en las que el responsable puede quedar exonerado “deben
limitarse estrictamente a aquellas en las que dicho responsable pueda demostrar
que el daño no le es imputable” (apdo. 70). Cuando la violación de la seguridad
de los datos personales resulta de un ciberataque de un tercero contra el responsable
no puede imputarse a éste, salvo que “la hubiera hecho posible por incumplir
alguna obligación establecida en el RGPD y, en particular, la obligación de
protección de datos a la que está sujeto en virtud de los artículos 5.1.f), 24
y 32” (apdo. 71). Además, procederá la exoneración cuando el responsable del
tratamiento demuestre “que no existe relación de causalidad entre su eventual
incumplimiento de la obligación de protección de datos y los daños y perjuicios
sufridos por la persona física” (apdo. 72).
Aportación destacada de la sentencia es la consideración del temor del interesado a un potencial uso indebido de sus datos personales como daño o perjuicio inmaterial indemnizable en el marco del artículo 82 RGPD. Tomando como punto de partida los criterios ya establecidos en la mencionada sentencia Österreichische Post AG, C-300/2021, sobre los presupuestos del derecho a indemnización en esa disposición, la nueva sentencia constata que la redacción del artículo 82 RGPD no excluye que los «daños y perjuicios inmateriales» a los que hace referencia estén relacionados con el temor que experimenta el interesado a que el uso indebido de sus datos personales pueda producirse en el futuro por terceros como consecuencia de la infracción de las normas del RGPD (apdos. 79 y 80), siempre que ese temor pueda considerarse fundado a la luz de las circunstancias (apdo. 85). La exigencia de una interpretación amplia del concepto de «daños y perjuicios inmateriales», conforme al cdo. 146 RGPD, avala ese planteamiento que resulta corroborado por la previsión de su cdo. 85 RGPD en el sentido de que la mera «pérdida de control» de una persona sobre sus datos a raíz de una infracción del RGPD puede constituir daños y perjuicios, incluso sin que se haya producido un uso indebido de tales datos (apdos. 81 y 82). Ahora bien, esa implicación de la interpretación amplio de concepto «daños y perjuicios inmateriales», según la cual el temor que experimenta un interesado a un potencial uso indebido de sus datos personales por terceros a raíz de una infracción del RGPD puede constituir, por sí solo, un «daño o perjuicio inmaterial» (apdo. 86 y punto 6 del fallo), va seguida del recordatorio por parte del Tribunal en el sentido de que para obtener indemnización el interesado afectado por la infracción del RGPD es quien debe demostrar que las consecuencias negativas que ha sufrido como consecuencia de esa infracción constituyen daños y perjuicios inmateriales (apdo. 84). En todo caso, la sentencia no incluye precisiones acerca de la cuantificación de ese tipo de daños o perjuicios inmateriales, de modo que habrá que estar al criterio ya expresado en su jurisprudencia previa en el sentido de que corresponde al ordenamiento jurídico interno de cada Estado miembro establecer los criterios para determinar la cuantía de la indemnización, siempre que se respeten los principios de equivalencia y de efectividad.
