El Tribunal de Justicia de la Unión Europea (en adelante “TJUE”) se ha pronunciado en su Sentencia de 14 de diciembre de 2023 (asunto C-340/21) sobre los requisitos y presupuestos necesarios para la concurrencia del daño moral indemnizable en supuestos de acceso indebido a los datos personales, aclarando varias cuestiones que, hasta la fecha, eran controvertidas.
El Tribunal Supremo de lo Contencioso Administrativo de Bulgaria planteó al TJUE, una serie de cuestiones prejudiciales entre las que son de especial interés la primera y la quinta:
Primera cuestión prejudicial: el hecho de que se haya producido una violación de seguridad de los datos personales, ¿basta por sí misma para concluir que las medidas técnicas y organizativas del responsable del tratamiento no eran apropiadas?
El TJUE argumenta en sentido negativo, determinando que el carácter apropiado de tales medidas debe evaluarse, necesariamente, en cada caso concreto, examinando si el responsable ha adoptado las medidas teniendo en cuenta los diferentes criterios establecidos en el RGPD, y, asimismo, las necesidades de protección de datos inherentes al tratamiento específico de que se trate. Además, el TJUE también hace mención al derecho que el responsable del tratamiento tiene de aportar prueba en este sentido, posibilidad de la que se vería privado en caso de admitirse, a estos efectos, una presunción contra la que no cabe prueba en contrario.
Por tanto, la simple violación de las medidas de seguridad del responsable no constituye, en sí misma, una prueba sobre la adecuación o inadecuación de tales medidas.
Quinta cuestión prejudicial: ¿tienen el temor o miedo que experimenta un interesado a un potencial uso indebido de sus datos personales por terceros a raíz de una infracción del RGPD entidad suficiente para constituir, por sí solos, un daño o perjuicio inmaterial indemnizable conforme al RGPD?
En este caso, y en la medida en que el daño moral indemnizable ha de ser “interpretado en sentido amplio”, el TJUE da una respuesta afirmativa a la cuestión planteada. No obstante, el TJUE aclara y matiza que (i) será el interesado quien deba demostrar que las consecuencias que se desprenden del incumplimiento del RGPD constituyen daños y perjuicios materiales; y (ii) será el órgano jurisdiccional que conozca del asunto quien compruebe que el temor o miedo es verdaderamente fundando, y, por tanto, susceptible de ser indemnizado.
