La posición del Tribunal de Justicia de la Unión Europea sobre los daños y perjuicios en caso de violación de datos personales es que es posible que una empresa sea responsable ante los interesados. Lo mismo se aplica a las organizaciones y organismos públicos. Tenga en cuenta que los daños y las multas administrativas no son lo mismo. No tiene que ser necesariamente un daño financiero que se haya producido para que los interesados tengan derecho a una indemnización por daños y perjuicios. También se pueden pagar daños a los interesados si también se refiere a daños inmateriales.
Diferencia entre daños y perjuicios y multas administrativas
Puede ser útil entender la diferencia entre daños y multas administrativas, ya que hay muchos que confunden los conceptos. Cuando una autoridad de control impone una multa a una empresa por infringir el RGPD, los interesados afectados no reciben ninguna parte del dinero. Las multas administrativas son pagadas por la compañía al estado. Sin embargo, el interesado puede reclamar daños y perjuicios, pero en tales casos no es la autoridad de control la que reclama los daños y perjuicios. En su lugar, el interesado debe interponer su propia acción contra la empresa en cuestión. Además, el interesado puede ponerse en contacto directamente con la empresa para tratar de acordar una compensación justa antes de llevar el caso a los tribunales, con el fin de tratar de ahorrar tiempo y recursos.
Posición del Tribunal de Justicia de la Unión Europea sobre los daños y perjuicios en caso de violación de la seguridad de los datos personales a los que pueden tener derecho los interesados
El Tribunal de Justicia de la Unión Europea se pronunció con carácter prejudicial a petición del Tribunal Supremo de lo Contencioso-Administrativo de Bulgaria. Esto fue después de que la autoridad fiscal búlgara hubiera sido objeto de un ciberataque. El ciberataque dio lugar a la publicación de millones de datos personales en internet. Posteriormente, las personas afectadas habían reclamado daños y perjuicios a la autoridad tributaria. Argumentaron que la violación de datos personales podría causar daños inmateriales y, por lo tanto, querían una indemnización por ello.
Conclusiones del Tribunal de Justicia de la Unión Europea
El Tribunal de Justicia de la Unión Europea (TJUE) sostuvo que los interesados pueden reclamar daños y perjuicios por cualquier daño inmaterial que pueda surgir en el futuro como resultado de la violación de datos personales. Sin embargo, debe ser un temor bien fundado.
Un factor importante que el tribunal debe tener en cuenta en relación con el importe de los daños y la responsabilidad son las garantías que la empresa ha tomado para proteger los datos personales. Las empresas deben adoptar las medidas de seguridad organizativas y técnicas adecuadas. Cuanto más importantes sean los datos personales, mayores serán los requisitos. Puede ser que un tribunal dictamine que una empresa ha hecho todo lo posible para proteger los datos personales, pero que los hackers más calificados accedieron a ellos de todos modos, y por lo tanto no imponen una multa a la empresa.
Sentencia del Tribunal Europeo de Derechos Humanos sobre el golpeteo de las puertas de las comunidades religiosas
La Junta Finlandesa de Protección de Datos prohibió a una comunidad religiosa tomar notas cuando realizaba su trabajo de predicación llamando a las puertas. La Junta de Protección de Datos consideró que la comunidad religiosa debe cumplir con el RGPD en dicho procesamiento, que la comunidad religiosa no consideró. El caso llegó hasta el Tribunal Supremo Administrativo, que solicitó una decisión prejudicial al Tribunal Europeo de Derechos Humanos. El Tribunal Europeo de Derechos Humanos consideró que la comunidad religiosa debe obtener el consentimiento al tratar datos personales en caso de llamada puerta a puerta.
