Últimas novedades en protección de datos: culpabilidad del responsable, indemnizaciones y datos biométricos

31 mayo 2023

Exponemos en el presente artículo las novedades que se han producido recientemente en materia de Protección de Datos.

Responsabilidad por Acceso Ilícito a Datos Personales y Daño Moral Indemnizable: el caso búlgaro

El acceso no autorizado a datos personales por parte de terceros puede generar la responsabilidad por culpa presunta del responsable del tratamiento y dar lugar a un daño moral indemnizable. Para eximirse de responsabilidad, el responsable debe demostrar que el daño no le es imputable. El temor a un futuro uso indebido de los datos puede constituir un daño moral indemnizable si es un daño emocional real y cierto, y no meramente un trastorno o molestia.

En el caso de un ciberataque a la Agencia Nacional de Recaudación búlgara, donde se reveló información fiscal y de seguridad social de millones de personas, V.B. y otros demandaron a la agencia solicitando indemnización por daño moral. El tribunal de primera instancia desestimó la demanda, argumentando que la divulgación no era imputable a la agencia y que no existían daños morales indemnizables. El Tribunal Supremo de lo Contencioso-Administrativo de Bulgaria ha planteado cuestiones al Tribunal de Justicia sobre los requisitos para indemnizar el daño moral sufrido por una persona cuyos datos personales han sido publicados en Internet debido a un ciberataque.

Según el Abogado General Giovanni Pitruzzella, el responsable del tratamiento debe aplicar medidas técnicas y organizativas adecuadas para garantizar el cumplimiento del Reglamento General de Protección de Datos. La adecuación de las medidas debe considerar la naturaleza, el ámbito, el contexto y la finalidad del tratamiento, así como la probabilidad y gravedad de los riesgos. El juez debe realizar un control que analice el contenido y la aplicación de las medidas, y el responsable del tratamiento tiene la carga de demostrar su adopción.

El hecho de que la infracción sea cometida por un tercero no exime automáticamente al responsable de la responsabilidad. Debe demostrar, con un nivel probatorio elevado, que no es imputable.

Además, el temor a un futuro uso indebido de los datos personales puede constituir un daño moral indemnizable si es un daño emocional real y cierto, no solo un trastorno o molestia.

En resumen, el acceso ilícito a datos personales genera responsabilidad por culpa presunta. Para quedar exento de responsabilidad, el responsable debe demostrar que no es imputable. El temor a un uso indebido futuro de los datos puede generar un daño moral indemnizable si es un daño emocional real y cierto.

El caso búlgaro plantea cuestiones sobre los requisitos para indemnizar el daño moral en casos de divulgación de datos por ciberataques. La adecuación de las medidas de seguridad y la carga de la prueba recaen en el responsable del tratamiento.

La Sentencia del Tribunal de Justicia en el asunto C-300/21: la mera infracción del RGPD no da derecho automático a indemnización

El Tribunal de Justicia de la Unión Europea se pronunció recientemente sobre un caso relacionado con daños y perjuicios inmateriales derivados del tratamiento de datos personales. En el asunto C-300/21 entre Österreichische Post y un ciudadano austriaco, se planteó la cuestión de si la mera infracción del Reglamento General de Protección de Datos (RGPD) es suficiente para fundamentar un derecho a indemnización.

En este caso, Österreichische Post recopiló información sobre las afinidades políticas de los ciudadanos austriacos utilizando un algoritmo para definir grupos de destinatarios según criterios sociales y demográficos. Sin embargo, los datos no fueron transmitidos a terceros. El ciudadano afectado, que no había dado su consentimiento para el tratamiento de sus datos personales, reclamó una indemnización de 1.000 euros por los daños y perjuicios inmateriales que afirmaba haber sufrido, como una pérdida de confianza y una sensación de humillación.

El Tribunal de Justicia estableció que el derecho a indemnización establecido por el RGPD está sujeto a tres requisitos acumulativos: la infracción del RGPD, los daños y perjuicios materiales o inmateriales como consecuencia de dicha infracción, y una relación causal entre los daños y perjuicios y la infracción. Por lo tanto, no todas las infracciones del RGPD dan lugar automáticamente a un derecho a indemnización.

En cuanto a la gravedad de los daños y perjuicios, el Tribunal señaló que el RGPD no establece un umbral específico que deba alcanzarse. Restringir la indemnización solo a daños y perjuicios de cierta gravedad sería contrario al enfoque amplio del concepto de “daños y perjuicios” utilizado por el legislador de la Unión.

En cuanto a la cuantificación de la indemnización, el Tribunal afirmó que el RGPD no contiene disposiciones al respecto y que corresponde a los Estados miembros establecer criterios para determinar la cuantía de la indemnización, siempre que se respeten los principios de equivalencia y efectividad.

En resumen, la sentencia del Tribunal de Justicia establece que la mera infracción del RGPD no es suficiente para reclamar una indemnización automática, y que no se requiere un umbral específico de gravedad para los daños y perjuicios. Asimismo, se deja en manos de los Estados miembros la determinación de los criterios para la cuantificación de la indemnización.

Esta sentencia tiene implicaciones significativas para el ámbito de protección de datos en la Unión Europea y destaca además, la importancia de cumplir adecuadamente con las disposiciones del RGPD.

Demanda colectiva en EE.UU. a Coinbase por incumplir la ley de privacidad de información biométrica

Centramos ahora nuestra atención en la demanda colectiva presentada en Estados Unidos contra Coinbase por supuestos incumplimientos de la Ley de Privacidad de Información Biométrica de Illinois (BIPA) en los procedimientos de identificación KYC al abrir una cuenta en el exchange y en los tratamientos posteriores de los datos.

La demanda se centra en el uso de datos biométricos faciales por parte de Coinbase para verificar la identidad de los usuarios al momento de registrarse. Sin embargo, se alega que Coinbase utiliza estos datos para configurar la billetera digital y como método de autenticación en la aplicación móvil, incluyendo la recopilación de datos biométricos de huellas dactilares.

Según los demandantes, Coinbase estaría utilizando los datos biométricos para una finalidad distinta a la inicial, lo cual violaría la BIPA. Además, alegan que la plataforma no cuenta con una política de privacidad adecuada ni establece los plazos de conservación de los datos biométricos, como lo exige la ley.

También acusan a Coinbase de utilizar los datos biométricos de los usuarios sin obtener su consentimiento y de haber compartido dichos datos con terceras partes sin el consentimiento explícito de los usuarios.

Los demandantes solicitan una compensación económica por los presuntos daños sufridos. En casos de violación intencional de la BIPA, se solicitan daños por valor de $5.000 por usuario afectado. En el caso de que las presuntas violaciones no fueran intencionadas, se solicitaría una compensación de $1.000 por usuario.

En definitiva, esta demanda colectiva destaca la importancia de la protección de la privacidad y el uso adecuado de los datos biométricos en el ámbito de las criptomonedas. Coinbase deberá ahora enfrentar este proceso legal y demostrar si ha cumplido con las disposiciones establecidas por la BIPA.

Datos Derecho digital Actualidad