El abogado general de la Unión Europea, Giovanni Pitruzzella, estima que cuando se produce un acceso ilícito a datos personales por parte de terceros, la competencia recae al responsable del tratamiento de dichos datos, el cual es poseedor de esos datos personales, y que puede enfrentarse a una indemnización por daños morales siempre que se trate de un daño emocional real y no de un trastorno o molestia.
La entidad responsable del tratamiento debe aplicar medidas técnicas y organizativas a fin de demostrar que el tratamiento de los datos se ajusta al Reglamento General de Protección de Datos y así justificar si la explotación indebida de esos datos se ajusta realmente a una indemnización por daños morales. "La adecuación de tales medidas ha de determinarse tomando en consideración la naturaleza, el ámbito, el contexto, la finalidad del tratamiento y la probabilidad y gravedad de los riesgos para los derechos y libertades de las personas físicas, sobre la base de una valoración caso por caso".
Según las valoraciones del abogado, el hecho de que se haya producido una intromisión de los datos personales no es un argumento válido para determinar que las medidas de seguridad aplicadas por el responsable del tratamiento no eran apropiadas para salvaguardar los datos personales de las personas, sino que debe demostrar la violación de esos datos no es responsabilidad de la entidad poseedora del tratamiento al tener un sistema de seguridad óptimo de protección.
De la misma manera, manifiesta que el juez nacional de cada Estado Miembro debe establecer un control de esas medidas establecidas por el responsable de los datos para determinar si dicho sistema se ajusta al Reglamento de Protección de Datos y no le corresponde hacerse cargo de una indemnización por daños morales.
"El control judicial deberá tener en cuenta todos los factores recogidos en el Reglamento. Entre estos, la adopción de códigos de conducta o mecanismos de certificación puede ofrecer un elemento útil para valorar si se ha satisfecho la carga de la prueba, habiendo de precisarse que el responsable del tratamiento tiene la carga de demostrar que ha adoptado concretamente las medidas que prevé el código de conducta", expresa el abogado.
Asimismo, para que el responsable del tratamiento de esos datos quede impune de la infracción, debe demostrar, con un nivel probatorio elevado, que el hecho causante del daño no le es imputable en modo alguno. En caso de que las pruebas no sean suficientes, constituirá un daño moral con derecho a indemnización.
Relacionados
- Protección de Datos investiga a OpenAI, empresa dueña de ChatGPT
- Las plataformas digitales vetarán a los vendedores que oculten datos fiscales
- Las empresas tienen prohibido ocultar datos salariales para evitar casos discriminatorios por razón de sexo
- La Audiencia Nacional libra a BBVA de una multa de cinco millones por incumplir la protección de datos
