31 mayo 2023
Exponemos en el presente artículo las novedades que se han producido recientemente en materia de Protección de Datos.
Responsabilidad por Acceso Ilícito a Datos Personales y Daño Moral Indemnizable: el caso búlgaro
El acceso no autorizado a datos personales por parte de terceros puede generar la responsabilidad por culpa presunta del responsable del tratamiento y dar lugar a un daño moral indemnizable. Para eximirse de responsabilidad, el responsable debe demostrar que el daño no le es imputable. El temor a un futuro uso indebido de los datos puede constituir un daño moral indemnizable si es un daño emocional real y cierto, y no meramente un trastorno o molestia.
En el caso de un ciberataque a la Agencia Nacional de Recaudación búlgara, donde se reveló información fiscal y de seguridad social de millones de personas, V.B. y otros demandaron a la agencia solicitando indemnización por daño moral. El tribunal de primera instancia desestimó la demanda, argumentando que la divulgación no era imputable a la agencia y que no existían daños morales indemnizables. El Tribunal Supremo de lo Contencioso-Administrativo de Bulgaria ha planteado cuestiones al Tribunal de Justicia sobre los requisitos para indemnizar el daño moral sufrido por una persona cuyos datos personales han sido publicados en Internet debido a un ciberataque.
Según el Abogado General Giovanni Pitruzzella, el responsable del tratamiento debe aplicar medidas técnicas y organizativas adecuadas para garantizar el cumplimiento del Reglamento General de Protección de Datos. La adecuación de las medidas debe considerar la naturaleza, el ámbito, el contexto y la finalidad del tratamiento, así como la probabilidad y gravedad de los riesgos. El juez debe realizar un control que analice el contenido y la aplicación de las medidas, y el responsable del tratamiento tiene la carga de demostrar su adopción.
Además, el temor a un futuro uso indebido de los datos personales puede constituir un daño moral indemnizable si es un daño emocional real y cierto, no solo un trastorno o molestia.
En resumen, el acceso ilícito a datos personales genera responsabilidad por culpa presunta. Para quedar exento de responsabilidad, el responsable debe demostrar que no es imputable. El temor a un uso indebido futuro de los datos puede generar un daño moral indemnizable si es un daño emocional real y cierto.
El caso búlgaro plantea cuestiones sobre los requisitos para indemnizar el daño moral en casos de divulgación de datos por ciberataques. La adecuación de las medidas de seguridad y la carga de la prueba recaen en el responsable del tratamiento.
La Sentencia del Tribunal de Justicia en el asunto C-300/21: la mera infracción del RGPD no da derecho automático a indemnización
El Tribunal de Justicia de la Unión Europea se pronunció recientemente sobre un caso relacionado con daños y perjuicios inmateriales derivados del tratamiento de datos personales. En el asunto C-300/21 entre Österreichische Post y un ciudadano austriaco, se planteó la cuestión de si la mera infracción del Reglamento General de Protección de Datos (RGPD) es suficiente para fundamentar un derecho a indemnización.
En este caso, Österreichische Post recopiló información sobre las afinidades políticas de los ciudadanos austriacos utilizando un algoritmo para definir grupos de destinatarios según criterios sociales y demográficos. Sin embargo, los datos no fueron transmitidos a terceros. El ciudadano afectado, que no había dado su consentimiento para el tratamiento de sus datos personales, reclamó una indemnización de 1.000 euros por los daños y perjuicios inmateriales que afirmaba haber sufrido, como una pérdida de confianza y una sensación de humillación.
El Tribunal de Justicia estableció que el derecho a indemnización establecido por el RGPD está sujeto a tres requisitos acumulativos: la infracción del RGPD, los daños y perjuicios materiales o inmateriales como consecuencia de dicha infracción, y una relación causal entre los daños y perjuicios y la infracción. Por lo tanto, no todas las infracciones del RGPD dan lugar automáticamente a un derecho a indemnización.
En cuanto a la gravedad de los daños y perjuicios, el Tribunal señaló que el RGPD no establece un umbral específico que deba alcanzarse. Restringir la indemnización solo a daños y perjuicios de cierta gravedad sería contrario al enfoque amplio del concepto de “daños y perjuicios” utilizado por el legislador de la Unión.
En cuanto a la cuantificación de la indemnización, el Tribunal afirmó que el RGPD no contiene disposiciones al respecto y que corresponde a los Estados miembros establecer criterios para determinar la cuantía de la indemnización, siempre que se respeten los principios de equivalencia y efectividad.
Esta sentencia tiene implicaciones significativas para el ámbito de protección de datos en la Unión Europea y destaca además, la importancia de cumplir adecuadamente con las disposiciones del RGPD.
Demanda colectiva en EE.UU. a Coinbase por incumplir la ley de privacidad de información biométrica
Centramos ahora nuestra atención en la demanda colectiva presentada en Estados Unidos contra Coinbase por supuestos incumplimientos de la Ley de Privacidad de Información Biométrica de Illinois (BIPA) en los procedimientos de identificación KYC al abrir una cuenta en el exchange y en los tratamientos posteriores de los datos.
La demanda se centra en el uso de datos biométricos faciales por parte de Coinbase para verificar la identidad de los usuarios al momento de registrarse. Sin embargo, se alega que Coinbase utiliza estos datos para configurar la billetera digital y como método de autenticación en la aplicación móvil, incluyendo la recopilación de datos biométricos de huellas dactilares.
Según los demandantes, Coinbase estaría utilizando los datos biométricos para una finalidad distinta a la inicial, lo cual violaría la BIPA. Además, alegan que la plataforma no cuenta con una política de privacidad adecuada ni establece los plazos de conservación de los datos biométricos, como lo exige la ley.
También acusan a Coinbase de utilizar los datos biométricos de los usuarios sin obtener su consentimiento y de haber compartido dichos datos con terceras partes sin el consentimiento explícito de los usuarios.
Los demandantes solicitan una compensación económica por los presuntos daños sufridos. En casos de violación intencional de la BIPA, se solicitan daños por valor de $5.000 por usuario afectado. En el caso de que las presuntas violaciones no fueran intencionadas, se solicitaría una compensación de $1.000 por usuario.
Comentarios
No hay comentarios