1.

¿Deben interpretarse los artículos 24 y 32 del Reglamento (UE) 2016/679 (1) en el sentido de que, cuando se ha producido una divulgación no autorizada o un acceso no autorizado a datos personales a efectos del artículo 4, punto 12, del Reglamento (UE) 2016/679 por personas que no son funcionarios de la administración del responsable del tratamiento y no están sometidas al control de este, basta considerar que las medidas técnicas y organizativas adoptadas no eran apropiadas?

2.

En caso de respuesta negativa a la primera cuestión, ¿qué objeto y alcance ha de tener el control judicial de legalidad al examinar si las medidas técnicas y organizativas adoptadas por el responsable del tratamiento eran apropiadas a efectos del artículo 32 del Reglamento (UE) 2016/679?

3.

En caso de respuesta negativa a la primera cuestión, ¿debe interpretarse el principio de responsabilidad proactiva de los artículos 5, apartado 2, y 24 en relación con el considerando 74 del Reglamento (UE) 2016/679 en el sentido de que en el procedimiento indemnizatorio con arreglo al artículo 82, apartado 1, del Reglamento (UE) 2016/679 le incumbe al responsable del tratamiento la carga de la prueba de haber adoptado medidas técnicas y organizativas apropiadas a efectos del artículo 32 del Reglamento? ¿Puede considerarse que la obtención de un dictamen pericial es un medio de prueba necesario y suficiente para determinar si las medidas técnicas y organizativas adoptadas por el responsable del tratamiento fueron apropiadas en un caso como el presente, en que el acceso y la divulgación no autorizados de datos personales se produjeron a consecuencia de un «ciberataque»?

4.

¿Debe interpretarse el artículo 82, apartado 3, del Reglamento (UE) 2016/679 en el sentido de que la divulgación o el acceso no autorizados a datos personales a efectos del artículo 4, punto 12, del Reglamento (UE) 2016/679, como en el presente caso, mediante un «ciberataque», por personas que no son empleados de la administración del responsable y no están sometidas al control de este, constituye un hecho del cual en modo alguno debe responder el responsable del tratamiento, lo que implica su total exención de responsabilidad?

5.

¿Debe interpretarse el artículo 82, apartados 1 y 2, en relación con los considerandos 85 y 146 del Reglamento (UE) 2016/679 en el sentido de que, en un caso como el presente, en que se ha producido una violación de la seguridad de los datos personales consistente en el acceso no autorizado a ciertos datos personales mediante un «ciberataque» y la difusión de dichos datos, la sola preocupación, temor y miedo del interesado respecto a un posible uso indebido de sus datos personales en el futuro quedan comprendidos en el concepto de daños inmateriales, que ha de ser interpretado en sentido amplio, y fundamenta una pretensión indemnizatoria, aunque no se haya constatado tal uso indebido y/o el interesado no haya sufrido ningún otro perjuicio?