/en ,

TRIBUNAL DE JUSTICIA DE LA UNIÓN EUROPEA Y SENTENCIAS RELEVANTES

EL TJUE SEÑALA QUE EL TEMOR A UN POTENCIAL USO INDEBIDO DE DATOS PERSONALES PUEDE CONSTITUIR POR SÍ SOLO UN DAÑO O PERJUICIO INMATERIAL (MORAL)

El origen de la cuestión prejudicial es el acceso no autorizado a un sistema informático de la agencia pública de recaudación búlgara y publicación en Internet de datos personales.

En relación a los requisitos para una indemnización de daños y perjuicios inmateriales a favor de una persona por la exposición de sus datos personales a raíz de un ciberataque la sentencia afirma que:

✅La comunicación o acceso no autorizado a los datos personales no comporta de forma automática que las medidas de protección no eran apropiadas y los jueces deben examinarlas en cada caso concreto.

✅El responsable debe probar que las medidas son apropiadas

✅Cuando el acceso o la comunicación no autorizada ha sido realizada por terceros, “ciberdelincuentes” se puede obligar al responsable a indemnizar a los que sufren un daño salvo que se puede probar que el hecho que provoca el daño no le es imputable.

El temor que experimenta un interesado a un potencial uso indebido de sus datos personales por terceros a raíz de una infracción del RGPD puede constituir, por sí solo, un «daño o perjuicio inmaterial».

Indemnización#dañomoral#responsabilidad#ciberataque#datos personales#TJUE

STJUE de 14 de diciembre de 2023

️https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-12/cp230191es.pdf

EL TJUE DELIMITA LAS CONDICIONES PARA LA IMPOSICIÓN DE MULTAS POR INFRACCIÓN DE LA NORMATIVA DE PROTECCIÓN DE DATOS

En una reciente Sentencia del Tribunal de Justicia de la Unión Europea (STJUE) se ha delimitado el marco de referencia para que las autoridades de control de protección de datos puedan imponer multas a los responsables del tratamiento por infracción de la normativa de protección de datos.

El origen de la cuestión prejudicial proviene entre otros, de un tribunal alemán en el litigio ocasionado por una multa de 14 millones de euros impuesta por la autoridad de protección de datos alemana a una sociedad inmobiliaria por no tener medidas de seguridad necesarias para la supresión periódica de los datos personales de los arrendatarios que ya no eran necesarios o que se mantenían indebidamente almacenados por otras causas.

En particular, se concluye que:

✅ Sólo las infracciones que se cometen de forma intencionada o negligente pueden comportar la imposición de multas administrativas.

✅Ninguno de los factores del artículo 83.2 del RGPD presupone que se pueda generar responsabilidad del responsable sin una conducta culpable, por lo que, el elemento de la culpa en la comisión de la infracción es un requisito esencial.

No es necesario que la infracción con carácter previo sea imputable o imputada a una persona física concreta en el caso de infracciones cometidas por personas jurídicas.

✅Se puede imponer multa a un responsable del tratamiento por las operaciones efectuadas por un encargado del tratamiento siempre que las operaciones se puedan imputar al responsable.

 ✅El importe máximo de la multa en el caso que el destinatario sea una empresa que forme parte de un grupo de empresas se calcula sobre la base de del volumen de negocios del grupo.

Multas#culpa#infracción#negligencia#TJUE#culpa

✍️ Sentencia deTJUE de 5 de diciembre de 2023