EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62021CA0340

Asunto C-340/21, Natsionalna agentsia za prihodite: Sentencia del Tribunal de Justicia (Sala Tercera) de 14 de diciembre de 2023 (petición de decisión prejudicial planteada por el Varhoven administrativen sad — Bulgaria) — VB / Natsionalna agentsia za prihodite [Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 5 — Principios relativos a dicho tratamiento — Artículo 24 — Responsabilidad del responsable del tratamiento — Artículo 32 — Medidas adoptadas para garantizar la seguridad del tratamiento — Apreciación del carácter apropiado de tales medidas — Alcance del control jurisdiccional — Práctica de la prueba — Artículo 82 — Derecho a indemnización y responsabilidad — Eventual exoneración de responsabilidad del responsable del tratamiento en caso de violación de datos cometida por terceros — Demanda de indemnización por daños y perjuicios inmateriales basada en el temor a un uso indebido de datos personales]

DO C, C/2024/1065, 5.2.2024, ELI: http://data.europa.eu/eli/C/2024/1065/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

ELI: http://data.europa.eu/eli/C/2024/1065/oj

European flag

Diario Oficial
de la Unión Europea

ES

Serie C


C/2024/1065

5.2.2024

Sentencia del Tribunal de Justicia (Sala Tercera) de 14 de diciembre de 2023 (petición de decisión prejudicial planteada por el Varhoven administrativen sad — Bulgaria) — VB / Natsionalna agentsia za prihodite

(Asunto C-340/21, (1) Natsionalna agentsia za prihodite)

(Procedimiento prejudicial - Protección de las personas físicas en lo que respecta al tratamiento de datos personales - Reglamento (UE) 2016/679 - Artículo 5 - Principios relativos a dicho tratamiento - Artículo 24 - Responsabilidad del responsable del tratamiento - Artículo 32 - Medidas adoptadas para garantizar la seguridad del tratamiento - Apreciación del carácter apropiado de tales medidas - Alcance del control jurisdiccional - Práctica de la prueba - Artículo 82 - Derecho a indemnización y responsabilidad - Eventual exoneración de responsabilidad del responsable del tratamiento en caso de violación de datos cometida por terceros - Demanda de indemnización por daños y perjuicios inmateriales basada en el temor a un uso indebido de datos personales)

(C/2024/1065)

Lengua de procedimiento: búlgaro

Órgano jurisdiccional remitente

Varhoven administrativen sad

Partes en el procedimiento principal

Recurrente: VB

Recurrida: Natsionalna agentsia za prihodite

Fallo

1)

Los artículos 24 y 32, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),

deben interpretarse en el sentido de que

una comunicación no autorizada de datos personales o un acceso no autorizado a tales datos por parte de «terceros», a los efectos del artículo 4, punto 10, del mencionado Reglamento, no bastan, por sí solos, para considerar que las medidas técnicas y organizativas adoptadas por el responsable del tratamiento de que se trate no eran «apropiadas» con arreglo a los citados artículos 24 y 32.

2)

El artículo 32 del Reglamento 2016/679

debe interpretarse en el sentido de que

el carácter apropiado de las medidas técnicas y organizativas adoptadas por el responsable del tratamiento en virtud de dicho artículo debe ser apreciado por los órganos jurisdiccionales nacionales en cada caso concreto, teniendo en cuenta los riesgos vinculados al tratamiento y apreciando si la naturaleza, el contenido y la adopción de esas medidas están adaptados a estos riesgos.

3)

El principio de responsabilidad del responsable del tratamiento, enunciado en el artículo 5, apartado 2, del Reglamento 2016/679 y desarrollado en el artículo 24 de este Reglamento,

debe interpretarse en el sentido de que,

en el marco de una acción de indemnización basada en el artículo 82 del citado Reglamento, el responsable del tratamiento soporta la carga de la prueba del carácter apropiado de las medidas de seguridad que ha adoptado con arreglo al artículo 32 del mencionado Reglamento.

4)

El artículo 32 del Reglamento 2016/679 y el principio de efectividad del Derecho de la Unión

deben interpretarse en el sentido de que,

para apreciar el carácter apropiado de las medidas de seguridad que el responsable del tratamiento ha adoptado en virtud de dicho artículo, un informe pericial ordenado por el juez no constituye sistemáticamente un medio de prueba necesario y suficiente.

5)

El artículo 82, apartado 3, del Reglamento 2016/679

debe interpretarse en el sentido de que

el responsable del tratamiento no puede quedar exonerado de la obligación de indemnizar los daños y perjuicios sufridos por una persona, con arreglo al artículo 82, apartados 1 y 2, de dicho Reglamento, por el mero hecho de que esos daños y perjuicios resulten de una comunicación no autorizada de datos personales o de un acceso no autorizado a esos datos por parte de «terceros», a los efectos del artículo 4, punto 10, del mencionado Reglamento, pues ese responsable debe demostrar que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios en cuestión.

6)

El artículo 82, apartado 1, del Reglamento 2016/679

debe interpretarse en el sentido de que

el temor que experimenta un interesado a un potencial uso indebido de sus datos personales por terceros a raíz de una infracción del citado Reglamento puede constituir, por sí solo, un «daño o perjuicio inmaterial» a los efectos de la mencionada disposición.


(1)   DO C 329 de 16.8.2021.


ELI: http://data.europa.eu/eli/C/2024/1065/oj

ISSN 1977-0928 (electronic edition)


Top