Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
RESUMEN
Cuestiones prejudiciales de la Demandante: Varhoven administrativen sad contra la Demandada: VB / Natsionalna agentsia za prihodite.
1. | ¿Deben interpretarse los artículos 24 y 32 del Reglamento (UE) 2016/679 (1) en el sentido de que, cuando se ha producido una divulgación no autorizada o un acceso no autorizado a datos personales a efectos del artículo 4, punto 12, del Reglamento (UE) 2016/679 por personas que no son funcionarios de la administración del responsable del tratamiento y no están sometidas al control de este, basta considerar que las medidas técnicas y organizativas adoptadas no eran apropiadas? |
2. | En caso de respuesta negativa a la primera cuestión, ¿qué objeto y alcance ha de tener el control judicial de legalidad al examinar si las medidas técnicas y organizativas adoptadas por el responsable del tratamiento eran apropiadas a efectos del artículo 32 del Reglamento (UE) 2016/679? |
3. | En caso de respuesta negativa a la primera cuestión, ¿debe interpretarse el principio de responsabilidad proactiva de los artículos 5, apartado 2, y 24 en relación con el considerando 74 del Reglamento (UE) 2016/679 en el sentido de que en el procedimiento indemnizatorio con arreglo al artículo 82, apartado 1, del Reglamento (UE) 2016/679 le incumbe al responsable del tratamiento la carga de la prueba de haber adoptado medidas técnicas y organizativas apropiadas a efectos del artículo 32 del Reglamento? ¿Puede considerarse que la obtención de un dictamen pericial es un medio de prueba necesario y suficiente para determinar si las medidas técnicas y organizativas adoptadas por el responsable del tratamiento fueron apropiadas en un caso como el presente, en que el acceso y la divulgación no autorizados de datos personales se produjeron a consecuencia de un «ciberataque»? |
4. | ¿Debe interpretarse el artículo 82, apartado 3, del Reglamento (UE) 2016/679 en el sentido de que la divulgación o el acceso no autorizados a datos personales a efectos del artículo 4, punto 12, del Reglamento (UE) 2016/679, como en el presente caso, mediante un «ciberataque», por personas que no son empleados de la administración del responsable y no están sometidas al control de este, constituye un hecho del cual en modo alguno debe responder el responsable del tratamiento, lo que implica su total exención de responsabilidad? |
5. | ¿Debe interpretarse el artículo 82, apartados 1 y 2, en relación con los considerandos 85 y 146 del Reglamento (UE) 2016/679 en el sentido de que, en un caso como el presente, en que se ha producido una violación de la seguridad de los datos personales consistente en el acceso no autorizado a ciertos datos personales mediante un «ciberataque» y la difusión de dichos datos, la sola preocupación, temor y miedo del interesado respecto a un posible uso indebido de sus datos personales en el futuro quedan comprendidos en el concepto de daños inmateriales, que ha de ser interpretado en sentido amplio, y fundamenta una pretensión indemnizatoria, aunque no se haya constatado tal uso indebido y/o el interesado no haya sufrido ningún otro perjuicio? |
Fallo del Tribunal de Justicia (Sala Tercera ) de 14 diciembre de 2023, publicada en el Diario Oficial el 5.2.2024.
1) | Los artículos 24 y 32, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),
deben interpretarse en el sentido de que una comunicación no autorizada de datos personales o un acceso no autorizado a tales datos por parte de «terceros», a los efectos del artículo 4, punto 10, del mencionado Reglamento, no bastan, por sí solos, para considerar que las medidas técnicas y organizativas adoptadas por el responsable del tratamiento de que se trate no eran «apropiadas» con arreglo a los citados artículos 24 y 32. |
Ver líneas abajoos los Fallos 2) al 6), .
A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@hotmail.com
____________________________________________________________________
Diario Oficial de la Unión Europea |
ES
Serie C |
C/2024/1065 | 5.2.2024 |
Sentencia del Tribunal de Justicia (Sala Tercera) de 14 de diciembre de 2023 (petición de decisión prejudicial planteada por el Varhoven administrativen sad — Bulgaria) — VB / Natsionalna agentsia za prihodite
(Asunto C-340/21, (1) Natsionalna agentsia za prihodite)
(Procedimiento prejudicial – Protección de las personas físicas en lo que respecta al tratamiento de datos personales – Reglamento (UE) 2016/679 – Artículo 5 – Principios relativos a dicho tratamiento – Artículo 24 – Responsabilidad del responsable del tratamiento – Artículo 32 – Medidas adoptadas para garantizar la seguridad del tratamiento – Apreciación del carácter apropiado de tales medidas – Alcance del control jurisdiccional – Práctica de la prueba – Artículo 82 – Derecho a indemnización y responsabilidad – Eventual exoneración de responsabilidad del responsable del tratamiento en caso de violación de datos cometida por terceros – Demanda de indemnización por daños y perjuicios inmateriales basada en el temor a un uso indebido de datos personales)
(C/2024/1065)
Lengua de procedimiento: búlgaro
Órgano jurisdiccional remitente
Varhoven administrativen sad
Partes en el procedimiento principal
Recurrente: VB
Recurrida: Natsionalna agentsia za prihodite
Fallo
1) | Los artículos 24 y 32, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),
deben interpretarse en el sentido de que una comunicación no autorizada de datos personales o un acceso no autorizado a tales datos por parte de «terceros», a los efectos del artículo 4, punto 10, del mencionado Reglamento, no bastan, por sí solos, para considerar que las medidas técnicas y organizativas adoptadas por el responsable del tratamiento de que se trate no eran «apropiadas» con arreglo a los citados artículos 24 y 32. |
2) | El artículo 32 del Reglamento 2016/679
debe interpretarse en el sentido de que el carácter apropiado de las medidas técnicas y organizativas adoptadas por el responsable del tratamiento en virtud de dicho artículo debe ser apreciado por los órganos jurisdiccionales nacionales en cada caso concreto, teniendo en cuenta los riesgos vinculados al tratamiento y apreciando si la naturaleza, el contenido y la adopción de esas medidas están adaptados a estos riesgos. |
3) | El principio de responsabilidad del responsable del tratamiento, enunciado en el artículo 5, apartado 2, del Reglamento 2016/679 y desarrollado en el artículo 24 de este Reglamento,
debe interpretarse en el sentido de que, en el marco de una acción de indemnización basada en el artículo 82 del citado Reglamento, el responsable del tratamiento soporta la carga de la prueba del carácter apropiado de las medidas de seguridad que ha adoptado con arreglo al artículo 32 del mencionado Reglamento. |
4) | El artículo 32 del Reglamento 2016/679 y el principio de efectividad del Derecho de la Unión
deben interpretarse en el sentido de que, para apreciar el carácter apropiado de las medidas de seguridad que el responsable del tratamiento ha adoptado en virtud de dicho artículo, un informe pericial ordenado por el juez no constituye sistemáticamente un medio de prueba necesario y suficiente. |
5) | El artículo 82, apartado 3, del Reglamento 2016/679
debe interpretarse en el sentido de que el responsable del tratamiento no puede quedar exonerado de la obligación de indemnizar los daños y perjuicios sufridos por una persona, con arreglo al artículo 82, apartados 1 y 2, de dicho Reglamento, por el mero hecho de que esos daños y perjuicios resulten de una comunicación no autorizada de datos personales o de un acceso no autorizado a esos datos por parte de «terceros», a los efectos del artículo 4, punto 10, del mencionado Reglamento, pues ese responsable debe demostrar que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios en cuestión. |
6) | El artículo 82, apartado 1, del Reglamento 2016/679
debe interpretarse en el sentido de que el temor que experimenta un interesado a un potencial uso indebido de sus datos personales por terceros a raíz de una infracción del citado Reglamento puede constituir, por sí solo, un «daño o perjuicio inmaterial» a los efectos de la mencionada disposición. |
ELI: http://data.europa.eu/eli/C/2024/1065/oj
ISSN 1977-0928 (electronic edition)
——————
Petición de decisión prejudicial planteada por el Varhoven administrativen sad (Bulgaria) el 2 de junio de 2021 — VB / Natsionalna agentsia za prihodite
(Asunto C-340/21)
(2021/C 329/16)
Lengua de procedimiento: búlgaro
Órgano jurisdiccional remitente
Varhoven administrativen sad
Partes en el procedimiento principal
Recurrente en casación: VB
Recurrida en casación: Natsionalna agentsia za prihodite
Cuestiones prejudiciales
1. | ¿Deben interpretarse los artículos 24 y 32 del Reglamento (UE) 2016/679 (1) en el sentido de que, cuando se ha producido una divulgación no autorizada o un acceso no autorizado a datos personales a efectos del artículo 4, punto 12, del Reglamento (UE) 2016/679 por personas que no son funcionarios de la administración del responsable del tratamiento y no están sometidas al control de este, basta considerar que las medidas técnicas y organizativas adoptadas no eran apropiadas? |
2. | En caso de respuesta negativa a la primera cuestión, ¿qué objeto y alcance ha de tener el control judicial de legalidad al examinar si las medidas técnicas y organizativas adoptadas por el responsable del tratamiento eran apropiadas a efectos del artículo 32 del Reglamento (UE) 2016/679? |
3. | En caso de respuesta negativa a la primera cuestión, ¿debe interpretarse el principio de responsabilidad proactiva de los artículos 5, apartado 2, y 24 en relación con el considerando 74 del Reglamento (UE) 2016/679 en el sentido de que en el procedimiento indemnizatorio con arreglo al artículo 82, apartado 1, del Reglamento (UE) 2016/679 le incumbe al responsable del tratamiento la carga de la prueba de haber adoptado medidas técnicas y organizativas apropiadas a efectos del artículo 32 del Reglamento? ¿Puede considerarse que la obtención de un dictamen pericial es un medio de prueba necesario y suficiente para determinar si las medidas técnicas y organizativas adoptadas por el responsable del tratamiento fueron apropiadas en un caso como el presente, en que el acceso y la divulgación no autorizados de datos personales se produjeron a consecuencia de un «ciberataque»? |
4. | ¿Debe interpretarse el artículo 82, apartado 3, del Reglamento (UE) 2016/679 en el sentido de que la divulgación o el acceso no autorizados a datos personales a efectos del artículo 4, punto 12, del Reglamento (UE) 2016/679, como en el presente caso, mediante un «ciberataque», por personas que no son empleados de la administración del responsable y no están sometidas al control de este, constituye un hecho del cual en modo alguno debe responder el responsable del tratamiento, lo que implica su total exención de responsabilidad? |
5. | ¿Debe interpretarse el artículo 82, apartados 1 y 2, en relación con los considerandos 85 y 146 del Reglamento (UE) 2016/679 en el sentido de que, en un caso como el presente, en que se ha producido una violación de la seguridad de los datos personales consistente en el acceso no autorizado a ciertos datos personales mediante un «ciberataque» y la difusión de dichos datos, la sola preocupación, temor y miedo del interesado respecto a un posible uso indebido de sus datos personales en el futuro quedan comprendidos en el concepto de daños inmateriales, que ha de ser interpretado en sentido amplio, y fundamenta una pretensión indemnizatoria, aunque no se haya constatado tal uso indebido y/o el interesado no haya sufrido ningún otro perjuicio? |
(1) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1).