La Sala de lo Contencioso del Supremo debe decidir si las brechas fortuitas o imprevisibles también deben seguir siendo sancionadas. Foto: Freepik.

Expectación ante el próximo fallo del Supremo que podría cambiar los criterios de la AEPD sobre brechas de seguridad

Actualmente cualquier brecha implica una sanción a la empresa, sin entrar a valorar si tenía las medidas idóneas aplicadas

Luis Javier Sánchez

03/1/2022 06:49

Actualizado: 02/1/2022 22:20

¿Puede estar tranquilo el empresario que cumple escrupulosamente con la normativa, incluso, si por una circunstancia impredecible y ajena a su voluntad se produce una brecha de seguridad? ¿O el resultado lesivo seguirá implicando, en cualquier caso, una sanción?

El próximo 11 de enero la Sala de lo Contencioso-Administrativo aclarará finalmente este punto negro. Es cuando la Sección Primera, con el presidente de la Sala al frente, César Tolosa, deliberará, votará y fallará el recurso de casación interpuesto en mayo pasado por el abogado especializado en protección de datos Xavier Saula, de Auris Advocats, contra una sentencia de la Audiencia Nacional de 22 de julio de 2020.

Dicho fallo ratificaba una acuerdo previo de la Agencia Española de Protección de Datos (AEPD) por la que sancionó con 40.000 euros de multa a una empresa de seguridad que había sufrido una brecha de seguridad.

La AEPD consideró insuficientes, por inoperantes, todas las medidas de seguridad que hayan podido aplicarse a tenor de lo dispuesto por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Son inoperantes “siempre que tenga lugar una brecha de seguridad de los datos, sea de la naturaleza que sea”, dice este fallo de la Sala de lo contencioso de la AN.

Da lo mismo que el origen de dicha brecha haya sido fortuito o que se haya podido producido por un hecho imprevisible. La empresa, en cualquier caso, es responsable.

A juicio de Saula, esta obligación de resultado entra en contradicción con la legislación y jurisprudencia, que vienen a establecer una obligación de medios, considerando que el sujeto obligado a cumplir con la normativa de protección de datos debe diseñar e implantar una serie de medidas de seguridad para no ser sancionado.

El interés casacional, por lo tanto, es evidente, porque el Alto Tribunal todavía no se ha pronunciado sobre este asunto.

El Tribunal Supremo, mediante Auto de fecha 8 de abril de 2021, explicaba que el recurso planteado plantea dicho debate entre los medios empleados y el resultado de esas medidas, lo que «plantea una cuestión jurídica de alcance general que trasciende del caso objeto del proceso, por lo que procede la admisión del recurso”.

Para Xavier Saula, de Auris Advocats, la situación actual no es sostenible.

Resolver una confusión normativa

«Ante la dualidad de interpretaciones, vale la pena que el Tribunal Supremo y su sala Contenciosa se decida por uno de los dos planteamientos existentes», opina Xavier Ribas, abogado igualmente experto en privacidad, de Ribas y Asociados.

«Si la seguridad es una obligación de resultado va a ser muy injusto para muchas empresas. Es el caso del ransomware, puedes tenerla protegerla, pero si tienen herramientas de ultima generación, no puedes hacerles frente. Es imposible”, subraya.

En su opinión hay tres niveles de resultados o «status» dentro de la eficacia de una medida de seguridad: “Es común tanto en el ‘Compliance’ como en la protección de datos. Tanto el artículo 31 bis del Código Penal, por el que se introdujo en 2011 la responsabilidad penal de las personas jurídicas, como el derecho administrativo y el Reglamento General de Protección de Datos [RGPD], establece estos tres niveles».

«No conozco ninguna ley de protección de datos en materia de seguridad que te obligue a tener unos resultados. Puedes sufrir un ataque de día cero, que no tiene ninguna capacidad de frenarse al aprovechar una vulnerabilidad nueva”, relata Ribas.

El primer nivel es «la obligación de medios. La empresa tiene la obligación de establecer medidas que sean idóneas para prevenir una brecha de seguridad. El RGPD en su artículo 32 habla de la capacidad. Utiliza dos adjetivos cuando habla de medidas apropiadas y capaces de garantizar la confidencialidad, integridad y la disponibilidad”.

Un segundo nivel, según Ribas, es “el de obligación de medios eficaces y verificados. Lo que decía la Audiencia Nacional en el 2010 y que señala en esta sentencia. Sentó la doctrina de que no son suficientes las medidas idóneas sino que hay que verificar la eficacia, que es lo que se llama pruebas de intrusión, test o comprobaciones. Hay auditorias técnicas y otras organizativas para comprobar que el equipo de trabajo las aplica”.

Es un error llamar a esta verificación de la eficacia obligación de resultado, en opinión del abogado.

«Creo que es una obligación de verificación de la eficacia de las medidas, que va implícita en la obligación de medios idóneos y eficaces establecida en el RGPD y en el artÍculo 31 bis del Código Penal para conseguir la exención de la responsabilidad penal”, subraya.

Xavier Ribas, de Ribas y Asociados, recuerda que en el derecho administrativo rige el principio de culpabilidad, «de manera que no puede haber una responsabilidad objetiva, sino que debería haber una culpabilidad, o bien por una actuación imprudente o por dolo, al igual que pasa en sede penal”.

Por último, hay un tercer nivel. Es el del resultado propiamente dicho.

«Es muy difícil de alcanzar. Los bancos gastan millones de euros en seguridad y no pueden impedir estas brechas”, afirma.

De acuerdo con este experto, el RGPD habla de “medidas apropiadas y adecuadas, pero no habla de medidas eficaces y que impidan que se produzca una brecha de seguridad. Ahí es donde está la confusión en la interpretación de la sentencia de la Audiencia Nacional”.

La anterior Ley Orgánica de Protección de Datos, que fue sustituida por la actual, la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales, exigía una obliación de idoneidad pero no de resultado.

«No conozco ninguna ley de protección de datos en materia de seguridad que te obligue a tener unos resultados. Puedes sufrir un ataque de día cero, que no tiene ninguna capacidad de frenarse al aprovechar una vulnerabilidad nueva”, relata Ribas.

La Audiencia Nacional tenía que haber señalado en su sentencia que “hay medios idóneos y eficaces. Que la obligación de resultado es evitar que haya una brecha de seguridad, pero no siempre se puede evitar».

Este experto recuerda que en el derecho administrativo rige el principio de culpabilidad, «de manera que no puede haber una responsabilidad objetiva, sino que debería haber una culpabilidad, o bien por una actuación imprudente o por dolo, al igual que pasa en sede penal”.

Una de las posibilidades que baraja este abogado es que el Supremo le pida a la Audiencia Nacional que aclare mejor su resolución para que especifique que en la obligación de medios ya se incluye una medida de verificación de la eficacia.

Obligación de resultado

José Leandro Núñez, socio de Audens, explica, en cuanto a las obligaciones derivadas de las medidas de seguridad, que la redacción de la LOPD era más estricta y que el RGPD es más flexible y apunta hacia la obligación de resultado. Porque exige que se garantice la seguridad, evitando cualquier tratamiento no autorizado; pero al mismo tiempo, esa interpretación no se puede llevar al extremo, porque da lugar a situaciones injustas”.

Para evitar esas situaciones «existe el llamado ‘principio de culpabilidad’, que se aplica a todas las resoluciones de la Administración: solo se puede sancionar a las empresas cuando no han sido lo suficientemente diligentes”, comenta.

El problema es que, en ocasiones, «tanto los tribunales como la AEPD interpretan este principio de forma muy restrictiva, hasta el punto de que casi nunca consideran que una empresa ha sido diligente, por muchos esfuerzos que haya realizado”.

“Casi siempre el argumento de la AEPD es que tienes que saberlo», aclara.

«Si eres una empresa que se dedica de forma sistemática, al tratamiento de información personal debes tener una diligencia mayor que otra persona o empresa que no se dedica a eso. Y como el nivel de diligencia es mayor, siempre hay culpabilidad, salvo en escasos casos que se archivan”.

José Leandro Núñez, socio de Audens, cree que el Supremo debería aprovechar la oportunidad para aclarar esta cuestión.

“Y es ahí donde la sentencia del Tribunal Supremo puede marcar la diferencia. En el caso que hablase de diligencia razonable o suficiente tendría que cambiar la AEPD de criterios y dejar de hablar de diligencia máxima para evitar ser sancionado con posterioridad”, añade.

En cuanto a la relevancia de esta futura sentencia del Supremo, cree que “podría ser útil de cara al futuro, pero no debemos olvidar que el RGPD no es tan estricto como la vieja LOPD; básicamente, porque obliga a establecer unas medidas de seguridad adecuadas al riesgo, lo que se acerca más al deber de diligencia que a la obligación de resultado”.

Núñez entiende que el Tribunal Supremo «debería aprovechar la oportunidad para interpretar también este apartado, porque una sentencia que se centre solo en el texto de la derogada LOPD de 1999 supondría perder una oportunidad muy buena para aclarar el alcance de esta obligación con la nueva normativa. Esa interpretación más amplia daría seguridad jurídica a las empresas”.

Una vez que se conozca esta sentencia, “el grado de afectación será máximo porque empresas y particulares están expuestos a sufrir una brecha de seguridad», concluye.

Noticias Relacionadas: