TRIBUNAL DE JUSTICIA DE LA UNIÓN EUROPEA, C-340/21, Natsionalna agentsia za prihodite, sentencia del 14-12-23, en https://curia.europa.eu/juris/document/document.jsf?text=&docid=280623&pageIndex=0&doclang=es&mode=req&dir=&occ=first&part=1&cid=1885300.

Antecedentes del caso: la Agencia Nacional de Recaudación (NAP) de Bulgaria depende del Ministerio de Hacienda y se encarga, en particular, de identificar, garantizar y recuperar las deudas públicas. En este marco, es responsable del tratamiento de datos personales. El 15 de julio de 2019, los medios de comunicación informaron que se había producido un acceso no autorizado al sistema informático de la NAP y que, a raíz del ciberataque, se habían publicado en internet los datos personales de millones de personas. Un gran número de afectados interpusieron acciones contra la NAP y reclamaron una indemnización por los daños y perjuicios morales que afirmaron haber sufrido ante el temor a un potencial uso indebido de sus datos personales.
El Tribunal Supremo en lo Contencioso Administrativo de Bulgaria planteó al Tribunal de Justicia de la Unión Europea una serie de cuestiones prejudiciales en relación con la interpretación del Reglamento General de Protección de Datos (RGPD). El tribunal búlgaro solicitó que se especificaran cuáles eran los requisitos para la indemnización de los daños y perjuicios inmateriales que alegaba una persona cuyos datos personales, en manos de una agencia pública, habían sido publicados en internet a raíz de un ciberataque.

Sentencia: el Tribunal de Justicia de la Unión Europea resolvió que los jueces no podían deducir del mero hecho de que se hubiera producido una comunicación no autorizada de datos personales o un acceso no autorizado a esos datos que las medidas de protección adoptadas por el responsable del tratamiento no eran adecuadas. 
El Tribunal de Justicia sostuvo que los jueces debían examinar el carácter apropiado de estas medidas en cada caso concreto. Señaló que correspondía al responsable del tratamiento demostrar que las medidas de protección adoptadas eran adecuadas.
Asimismo, consideró que, en el supuesto de que la comunicación no autorizada de datos personales o el acceso no autorizado a esos datos hubiera sido cometido por terceros, podía obligarse al responsable del tratamiento a indemnizar a las personas que hubieran sufrido un daño, a menos que el responsable lograra probar que el hecho que había provocado el daño no le era imputable en modo alguno.
El Tribunal de Justicia entendió que el temor que experimenta un interesado a un potencial uso indebido de sus datos personales por terceros a raíz de una infracción del RGPD podía constituir, por sí solo, un daño o perjuicio inmaterial.