La obligación de las empresas de garantizar la seguridad y privacidad de los ficheros que contengan datos personales de sus clientes es de medios y no de resultados. Foto: Confilegal.
El Supremo obliga a las empresas a establecer un sistema de doble verificación que garantice que aceptaron la política de privacidad
La Sala confirma una sanción de 40.000 euros impuesta por la Agencia Española de Protección de Datos a una empresa distribuidora de productos de telefonía, como responsable de una infracción grave
|
24/2/2022 06:50
|
Actualizado: 24/2/2022 00:32
|
La Sala de lo Contencioso-Administrativo del Tribunal Supremo concluye en una reciente sentencia que la obligación de las empresas de garantizar la seguridad y privacidad de los ficheros que contengan datos personales de sus clientes es de medios y no de resultados.
Desde esta perspectiva, el Supremo es partidario que las empresas establezcan un sistema de verificación del correo electrónico, entendiendo que es un sistema de doble verificación que asegura que los usuarios que han aceptado la política de privacidad antes de recibir cualquier tipo de comunicación, evitando que la información vaya a una dirección equivocada.
En la sentencia 188/2922, de 15 de febrero, hecha pública este miércoles, señala que aunque “es exigible la adopción e implantación de medidas técnicas y organizativas, que conforme al estado de la tecnología y en relación con la naturaleza del tratamiento realizado y los datos personales en cuestión, permitan razonablemente evitar su alteración, pérdida, tratamiento o acceso no autorizado”.
En la resolución, de la que ha sido ponente el magistrado Diego Córdoba, la Sala confirma una sanción de 40.000 euros impuesta por la Agencia Española de Protección de Datos (AEPD) a una empresa distribuidora de productos de telefonía, como responsable de una infracción grave de privacidad.
Esa infracción de privacidad permitió el acceso no autorizado por parte de terceros de a al menos,14 solicitudes de financiación en la que figuraban datos personales de los clientes (nombre y apellidos, datos económicos, de domiciliación bancaria y firma).
La Audiencia Nacional confirmó la sanción y el Supremo admitió el recurso de casación de la empresa para responder a la cuestión de si las infracciones de la Ley de Protección de Datos por fallos de las medidas de seguridad que puedan cometer los empleados de una persona jurídica deben examinarse en atención al resultado o en relación a los medios que adoptó la empresa.
Hay que reforzar las medidas
Xavier Saula, socio de Auris Advocats, quien interpuso el recurso en esta cuestión de privacidad, indica que el Supremo acoge sus argumentos íntegramente, “pese a ello, es importante prestar atención a cómo resuelve el caso concreto, puesto que, a pesar de entender que esta parte tiene razón en cuanto al fondo, mantiene íntegramente la sanción impuesta por la AEPD».
“Este pronunciamiento es importante porque se pronuncia sobre dos cuestiones muy comunes y que deberán ser tenidas en cuenta a la hora de adoptar los medios necesarios».
Saula recuerda que “nuestro representado es sancionado como encargado de tratamiento, que utiliza un sistema de toma de datos proporcionado, impuesto, controlado y diseñado por el responsable del tratamiento (Financiera)».
El tribunal estima que esto no es una circunstancia eximente ni siquiera atenuante para el encargado, puesto que éste también deberá adoptar las medidas de índole técnica y organizativas necesarias para garantizar la seguridad de los datos de carácter personal, ello con independencia de que el sistema le venga impuesto íntegramente por el responsable.
“Dice que el encargado de tratamiento deberá evaluar también las herramientas proporcionadas o impuestas por el responsable, deberá detectar si el sistema carece de las medidas adecuadas y, en caso de que así sea, deberá abstenerse de utilizarlo o buscar o promover alternativas”, indica.
Por otro lado, Saula señala que el Supremo “se pronuncia sobre la necesidad de implantar el sistema de doble ‘opt-in’ o sistema de verificación del correo electrónico, entendiendo que es un sistema de doble verificación que asegura que los usuarios que han aceptado la política de privacidad antes de recibir cualquier tipo de comunicación, evitando que la información vaya a una dirección equivocada».
“En definitiva, se trata de un medio para comprobar que la información recogida es correcta y veraz que el Supremo considera necesaria, ya que en caso de no estar se estaría incumpliendo la obligación de medios en los términos establecidos por la legislación”.
Este abogado indica que “a pesar de mantener la sanción, el TS elimina las costas de instancia y no condena a ninguna de las partes, por entender que, aunque se confirma finalmente la sanción impuesta y el resultado del proceso en instancia, la cuestión controvertida planteaba serias dudas de derecho sobre la naturaleza de las obligaciones de seguridad en materia de protección de datos”.
La seguridad como obligación de medios
Por su parte, Xavier Ribas, socio director de Ribas y Asociados y experto en privacidad, señala que “había una gran expectación sobre esta sentencia en la que iba aclarar si la seguridad de los datos personales es una obligación de medios o una obligación de resultado. Acertadamente, el Tribunal Supremo ha establecido que es una obligación de medios”.
Ribas explica que “debemos tener en cuenta que en las obligaciones de resultado existe un compromiso que consiste en el cumplimiento de un determinado objetivo, asegurando el logro o resultado propuesto».
«En el caso de un tratamiento de datos personales, el resultado sería garantizar la seguridad de los datos personales y la inexistencia de filtraciones de datos o brechas de seguridad. Este objetivo es imposible en casos como los de los ataques de día cero, en los que se explota una vulnerabilidad no conocida hasta el momento”.
“En cambio, en las obligaciones de medios el compromiso que adquiere el responsable del tratamiento es el de adoptar los medios técnicos y organizativos, así como desplegar una actividad diligente en su implantación y utilización que tienda a conseguir el resultado esperado con medios que razonablemente puedan calificarse de idóneos y suficientes para su consecución. Por ello se las denomina también obligaciones de diligencia o de comportamiento», señala.
«La diferencia entre ambos tipos de obligación radica en la responsabilidad»
Este jurista señala que “la diferencia entre ambos tipos de obligación radica en la responsabilidad, ya que en la obligación de resultado la empresa responde ante un resultado lesivo por el fallo del sistema de seguridad, cualquiera que sea su causa y cualquiera que se la diligencia de la empresa».
“En cambio, en la obligación de medios la empresa no será responsable si ha establecido medidas técnicamente adecuadas, las ha implantado y las mantiene activas y actualizadas con una diligencia razonable”.
Ribas destaca que “en las obligaciones de medios, la suficiencia y la adecuación de las medidas de seguridad que el responsable planee establecer ha de ponerse en relación con el estado de la tecnología en cada momento y el nivel de protección requerido en relación con la tipología de los datos personales tratados, pero no se garantiza un resultado, es decir, no se asegura que no haya incidentes de seguridad, ya que este estado de garantía total es imposible de conseguir”.
Este experto indica que “el artículo 32 del Reglamento General de Protección de Datos (RGPD) establece respecto a la seguridad del tratamiento que las medidas técnicas y organizativas apropiadas lo son teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas”.
También señala que “La LOPDGDD distingue dos obligaciones e infracciones autónomas. En el artículo 73, apartados d), e) y f) sanciona la falta de adopción de las medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento. En el artículo 73, apartado g) sanciona la falta de la debida diligencia en la utilización de las medidas técnicas y organizativas implantadas”.
Este abogado subraya que “en consonancia con la AEPD y la Audiencia Nacional, el Tribunal Supremo confirma que no basta con diseñar los medios técnicos y organizativos necesarios. También es necesaria su correcta implantación y su utilización de forma apropiada, de modo que el responsable del tratamiento también responderá por la falta de la diligencia en su utilización”.
Para Ribas, con esta resolución “el esquema a tener en cuenta a partir de ahora es que las medidas de seguridad tienen dos niveles o fases».
Una primera de “la adopción de las medidas técnicas y organizativas, que conforme al estado de la tecnología y en relación con la naturaleza del tratamiento realizado y los datos personales en cuestión, permitan razonablemente evitar su alteración, pérdida, tratamiento o acceso no autorizado«.
“Y otra en cuanto a la correcta implantación y aplicación de las medidas, manteniéndolas activas y actualizadas con una diligencia razonable”.
Ribas indica que ”estos dos niveles representan obligaciones de medios, pero si solo se aplica el primer nivel y no el segundo no se completa el umbral de seguridad exigido en el RGPD y se produce un incumplimiento”.
Desde su punto de vista, “la AEPD y la Audiencia Nacional confundían este segundo nivel con una obligación de resultado, pero el Tribunal Supremo ha aclarado que los dos niveles de cumplimiento forman parte de las obligaciones de medios”.
En su opinión, “aunque el Tribunal Supremo confirma finalmente la sanción impuesta y el resultado del proceso en instancia, resuelve la cuestión controvertida sobre la naturaleza de las obligaciones de seguridad en materia de protección de datos, y establece que se trata de una obligación de medios y no de resultado”.
Noticias Relacionadas:
