The General Data Protection Regulation and technological challenges: the architecture of responsibility and compensation of non-material damages in the event of a cyberattack
Keywords:
Proactive responsibility; non-material damages; cyberattack; principles of effectiveness and equivalence; fundamental rights and freedoms.Abstract
In the case VB vs. Natsionalna agentsia za prihodite, the Court of Justice
of the European Union (CJEU) has had the opportunity to express its
view on several crucial issues, such as the responsibility of the data
controller and the compensation for non-material damage in the event
of a cyberattack, in the framework of the General Data Protection Regulation.
This study thoroughly analyses the decision of the CJEU, in
order to make some critical remarks and advance several critical proposals,
by also suggesting that the adoption of a human rights-based
approach, throughout judicial dialogue between the CJEU and the European
Court of Human Rights, would help to enhance the results achieved
in the ruling.
Downloads
References
BELISARIO, E., RICCIO, G.M., SCORZA, G., GDPR e Normativa Privacy –
Commentario, Wolters Kluwer, Alphen aan den Rijn, 2022;
DE BARRÓN ARNICHES, P., “Vulneraciones automatizadas del dere- cho a la protección de datos personales y mecanismos de tutela”, Revista de Derecho Civil, XI(1) (enero-marzo, 2024), Estudios, págs. 149-194;
DEMETZOU, K., “Data Protection Impact Assessment: A tool for ac- countability and the unclarified concept of ‘high risk’ in the Gene- ral Data Protection Regulation”, Computer Law & Security Review, núm. 35, 6, 2019, págs. 1-14;
DEMETZOU, K., “GDPR and the Concept of Risk: The Role of risk, the Scope of risk and the technology involved”, en Privacy and Identity Management. Fairness, Accountability, and Transparency in the Age of Big Data, 13th IFIP WG 9.2, 9.6/11.7, 11.6/SIG 9.2.2 International Summer School, Vienna, Austria, August 20-24, 2018, Revised Se- lected Papers, 2019, págs. 137-154;
DÍAZ LAFUENTE, J., “Los desafíos de la sociedad global digitalizada y la protección de datos personales. Análisis de la elaboración de perfiles en el Reglamento General de Protección de datos de la Unión Europea”, en El Reglamento General de Protección de Datos. Un enfoque nacional y comparado. Especial referencia a la LO 3/2018 de Protección de Datos y garantía de los derechos digitales, Tirant lo Blanch, Valencia, 2019, págDUIĆ, D., PETRAŠEVIĆ, T., “Data protection and cybersecurity: ca- se-law of two European Courts”, Eu and Comparative Law Issues and Challenges Series (ECLIC 7 - Special Issue), págs. 94-118;
ESTEPA MONTERO, M., “El principio de responsabilidad proactiva o rendición de cuentas como informador del régimen jurídico de la protección de datos de las personas físicas”, Anuario Jurídico y Económico Escurialense, núm. LV (2022), págs. 67-90;
FAHEY, E., “Does the EU’s Digital Sovereignty Promote Localisation in Its Model Digital Trade Clauses?”, European Papers, núm. 8(2), 2023, págs. 503-511;
GARCÍA SAN JOSÉ, D.I., European Normative Framework for Biomedical Research in Human Embryos, Editorial Aranzadi, Cizur Menor (Na- varra), 2013, págs. 99-100;
GELLERT, R., “Understanding the notion of risk in the General Data Protection Regulation”, Computer Law & Security Review, núm. 34, 2018, págs. 279-288;
GENTILE, G., “Effective judicial protection: enforcement, judicial fede- ralism and the politics of EU law”, European Law Open, núm. 2, 2023, págs. 128-143;
HALBERSTAM, D., “Understanding national remedies and the princi- ple of national procedural autonomy: a constitutional approach”, Cambridge Yearbook of European Legal Studies, núm. 23, 2021, págs. 128-158;
HELMINEN, P., “Analyzing the obscurities of the data protection im- pact assessment and “likely to result in a high risk” under Article 35 of the EU General Data Protection Regulation”, Bachelor’s the- sis, Programme HAJB08/17, Specialisation European Union and international law; Supervisor: Jenna Uusitalo, MA in international law, Ph.D Candidate at the University of Helsinki, Tallinn, 2021;
KUNER, C., BYGRAVE, L.A., DOCKSEY, C. (Coord.), The EU General Data
Protection Regulation: A Commentary. Update of Selected Articles, Oxford University Press, Oxford, 2021;
LENAERTS, K., “National remedies for private parties in the light of equi- valence and effectiveness”, Irish Jurist, núm. 46, 2011, págs. 13-37;
s. 287-310;
MARTÍN FABA, J.M., “Novedades en materia de indemnización y pro- tección de datos personales”, Revista CESCO, 49, 2024 , pág. 131- 147;
MAYOR GÓMEZ, R., “Contenido y novedades del Reglamento General de Protección de Datos de la UE” (Reglamento UE 2016/679, de 27 de abril de 2016)”, GABILEX, núm. 6, 2016, págs. 1-25;
MEGÍAS QUIRÓS, J.J., “RGPD y actividades personales en materia de protección de datos RGPD and personal activities in the field of data protection”, Persona y Derecho, núm. 80, 2019, págs. 147-178;
MULDERS, S., “Can GDPR damages be ‘effective’ without compen- sating personality harms?”, International Data Privacy Law, núm. 13(3), 2023, pág. 169-181;
NUSSELDER, S., “A Closer Look at the GDPR’s Security Requirements and Assessing the (In)Appropriateness of Technical and Organi- sational Measures (TOMs)”, European Data Protection Law Review, núm. 10(1), 2024, pág. 111-116,
ORDÓÑEZ SOLÍS, D., “Crónica de la Jurisprudencia del Tribunal de Jus- ticia de la Unión Europea. Segundo semestre de 2023. Case Law Review of the Court of Justice of the European Union”, Cuadernos Europeos de Deusto, núm. 70, 2024, págs. 171-216;
PRECHAL, S., “Horizontal direct effect of the Charter of Fundamental Rights of the EU”, Revista de Derecho Comunitario Europeo, núm. 66, 2020, págs. 408-426;
QUELLE, C., “The risk revolution in EU data protection law : We can’t have our cake and eat it, too”, en Data protection and privacy: The age of intelligent machines, Hart Publishing, Oxford, 2017;
RUBÍ PUIG, A., “Daños por infracciones del derecho a la protección de datos personales. El remedio indemnizatorio del artículo 82 RGPD”, Revista de Derecho Civil, núm. V(4), 2018, págs. 53-87;
SÁNCHEZ FRÍAS, A., Los conceptos autónomos en el Derecho de la Unión Europea, Tirant lo Blanch, Valencia, 2023;
SANTAMARÍA RAMOS, F.J., “El principio de responsabilidad proactiva: una oportunidad para un mejor cumplimiento de la normativa en
materia de protección de datos de carácter personal en el ámbito latinoamericano”, Derecho PUCP, núm. 85, 2020, págs. 139-174;
SCHMITZ, S., “Conceptualising the Legal Notion of ‘State of the Art’ in the Context of IT Security”, en Privacy and Identity Management. Between Data Protection and Security, Springer, Berlin, 2021, págs. 25-32;
SELZER, A., “The Appropriateness of Technical and Organisational Me- asures under Article 32 GDPR”, European Data Protection Law Re- view, núm. 1, 2021, págs. 120-128;
VILASAU I SOLANA, M., “La realización de perfiles y la salvaguardia de los derechos y libertades del afectado”, en Retos jurídicos de la inteligencia artificial, Editorial Aranzadi, Cizur Menor (Navarra), 2020, págs. 182-183;
VOIGT, P., VON DEM BUSSCHE, A., The EU General Data Protection Regu- lation (GDPR), Springer, Berlin, 2017;
WARREN, S., BRANDEIS, L., “The Right to Privacy”, Harvard Law Review, núm. 4(5), 1890, págs. 193-220;
WESTIN, ALAN, Privacy and Freedom, Atheneum, New York, 1970.
