Anàlisi de cas sobre la possibilitat d'indemnitzar les persones que tinguin un temor fundat que les seves dades puguin emprar-se de manera il·legítima - Maig 2023

Anàlisi de cas sobre la possibilitat d'indemnitzar les persones que tinguin un temor fundat que les seves dades puguin emprar-se de manera il·legítima

Anàlisi de cas sobre la possibilitat d’indemnitzar les persones que tinguin un temor fundat que les seves dades puguin emprar-se de manera il·legítima

Un Advocat General del Tribunal de Justícia de la Unió Europea planteja la possibilitat d'indemnitzar les persones que tinguin un temor fundat que les seves dades puguin emprar-se de manera il·legítima.

 

Les conclusions presentades per l’Advocat General del Tribunal de Justícia de la Unió Europea (TJUE), Giovanni Pitruzzella, el proppassat 27 d’abril, recullen la proposta de resposta sobre diverses qüestions relatives a la responsabilitat derivada d’una violació de la seguretat de les dades personals. 

 

Segons l’Advocat General, l’existència d’un temor real per part d’una persona interessada que les seves dades siguin emprades de manera il·legítima fruit de la seva difusió per causa d’un ciberatac ha de resultar en indemnització. No obstant això, per tal que els danys siguin indemnitzables cal que el dany moral sigui sofert de manera efectiva, i no meres contrarietats o inconvenients. 

 

L’anterior és la proposta de resposta a la cinquena qüestió prejudicial plantejada per part del Tribunal Suprem Administratiu de Bulgària al Tribunal de Justícia de la Unió Europea en el marc de l’Assumpte C-340/2021. Així mateix, en aquest mateix procediment, es resolen diverses qüestions relatives a l’existència de responsabilitat o no en el marc d’una violació de seguretat provocada per un ciberatac a l’Agència nacional de Recaptació de Bulgària. Aquest atac, comès al juny de l’any 2019, va afectar la confidencialitat de les dades personals dels contribuents del país. 

 

La resposta a la primera qüestió prejudicial es resol en el sentit que la mera existència d’una violació de la seguretat de les dades personals no implica que les mesures de seguretat adoptades hagin resultat insuficients. Les mesures de seguretat adoptades han de ser adequades als riscos en cada moment, tenint en compte elements com el nivell de diligència i de responsabilitat proactiva adoptat pel responsable del tractament, així com les limitacions derivades dels costos, de la capacitat tecnològica del responsable i de les altres limitacions que puguin afectar a l’adopció de determinades mesures organitzatives o tècniques. En aquest sentit, i tal com es proposa respondre a la segona qüestió prejudicial, correspondrà al jutge nacional determinar si el responsable del tractament ha adoptat les mesures de seguretat adequades. L’Advocat General assenyala que l’adopció d’un codi de conducta suposa un útil element de valoració a l’hora de demostrar que s’han aplicat les mesures apropiades. Així mateix, com es respon a la tercera qüestió plantejada, i en el marc de la valoració que ha de fer el jutge, correspondrà al responsable del tractament facilitar els elements probatoris que demostrin el compliment de les obligacions en matèria de seguretat de les dades personals. 

 

Sobre l’origen de la violació de seguretat, l’Advocat General recomana una interpretació que desvinculi l’origen extern d’aquesta com a element d’exempció de la responsabilitat del responsable del tractament. Així, encara que la violació de la seguretat de les dades tingui origen en un ciberatac, quan l’èxit o abast d’aquest s’ha vist afavorit per la manca de diligència o la negligència del responsable del tractament en l’aplicació de les mesures de seguretat, caldrà establir el seu grau de responsabilitat en el resultat indesitjat. 

 

Les conclusions de l’Advocat General són una proposta de resposta a les qüestions plantejades al Tribunal de Justícia de la Unió, però és aquest darrer Tribunal qui ha de manifestar una resposta que pugui desplegar els efectes oportuns. Tanmateix, les propostes de l’Advocat General acostumen a ser un indicador fiable sobre el sentit en què pot acabar-se pronunciant el Tribunal de Justícia de la Unió Europea. Aquesta resolució, per raó dels notables efectes que pot produir en el marc de responsabilitat per infraccions en matèria de protecció de dades, fins i tot per al sector públic, haurà de ser seguida amb deteniment.

 

Les conclusions de l’Advocat General Pitruzzella poden consultar-se aquí.