Confilegal
Confilegal
Menú
Portada / Firmas
Firmas

Medidas de seguridad en empresas: una obligación de medios

Medidas de seguridad en empresas: una obligación de medios
José Leandro Núñez García, socio de la firma Audens, analiza la sentencia del Supremo del 15 de febrero pasado por la que se ratifica la sanción de 40.001 euros que la AEPD impuso a una empresa por negligencia en la seguridad.
28/2/2022 06:48
|
Actualizado: 18/3/2022 13:00
|

En esta noticia se habla de:

El pasado 15 de febrero, el Tribunal Supremo dictó una importante sentencia en materia de protección de datos personales, relacionada con las brechas de seguridad.

Se enfrentaban dos posturas contrapuestas: el Estado, que entendía que cuando ocurre una filtración de información, se produce un resultado lesivo que debe ser sancionado en todo caso; y una empresa de telecomunicaciones, que alegaba haber implementado suficientes medidas de protección y pretendía evitar así una multa impuesta por la Agencia Española de Protección de Datos (AEPD).

En su resolución, el Alto Tribunal se ha inclinado por interpretar la normativa como una obligación de medios: no comete infracción quien establece medidas técnicamente adecuadas, y las implanta y utiliza con una diligencia razonable; pero ha desestimado el recurso y mantenido la sanción.

¿Por qué motivo?

Analicémoslo.

De entrada, debemos aclarar que esta sentencia se refiere a la derogada Ley Orgánica de Protección de Datos (LOPD) de 1999. Su articulado exigía la adopción de medidas que garantizasen la seguridad de los datos de carácter personal y evitasen su alteración, pérdida, tratamiento o acceso no autorizados.

Basándose en su tenor literal, la Audiencia Nacional había interpretado que la norma imponía una obligación de resultado (sentencias de 9 de noviembre de 2006, 28 de mayo de 2009, 27 de junio de 2013 o 22 de julio de 2020, entre muchas otras):

“Hemos considerado, en consecuencia, que se impone una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros (…) sin que, bajo ningún concepto, datos bancarios, laborales o cualesquiera otros datos de carácter personal, puedan llegar a manos de terceras personas”.

Esta doctrina fue abrazada por la AEPD, y utilizada con profusión en sus procedimientos sancionadores: una simple búsqueda, en la base de datos que esta autoridad pone a disposición de los ciudadanos, ofrece más de un centenar de resoluciones en las que se empleó este criterio: en la práctica, y salvo contadas excepciones (en las que se apreció una total falta de culpabilidad), la Agencia convertía toda brecha de seguridad de la que tuviese conocimiento en una sanción; y ello con independencia de las medidas puestas en práctica, pues entendía que las empresas estaban obligadas “garantizar la seguridad de los datos y la efectividad de las medidas adoptadas”.

LA SENTENCIA DEL TRIBUNAL SUPREMO PONE EN TELA DE JUICIO LA PRIMERA INTERPRETACIÓN

La reciente sentencia del Tribunal Supremo pone en cuestión esta interpretación, basándose en la redacción de la Directiva 95/46/CE, transpuesta a nuestro ordenamiento, precisamente, por la LOPD de 1999.

Su Sala Tercera entiende que la obligación de adoptar medidas de seguridad “no es una obligación de resultado, sino de medios, sin que sea exigible la infalibilidad de las medidas adoptadas”.

Según los magistrados, únicamente “resulta exigible la adopción e implantación de medidas técnicas y organizativas que, conforme al estado de la tecnología y en relación con la naturaleza del tratamiento realizado y los datos personales en cuestión, permitan razonablemente evitar su alteración, pérdida, tratamiento o acceso no autorizado”; si bien consideran que “no basta con diseñar los medios técnicos y organizativos necesarios: también es necesaria su correcta implantación y su utilización de forma apropiada”.

Podría concluirse que la posición del Alto Tribunal, impecable en nuestra opinión, debería suponer necesariamente una revolución en el actuar del regulador, que se vería abocado a cambiar su asentada doctrina.

No parece, sin embargo, que vaya a ser así: la AEPD ya había dado este paso, hasta el punto de abandonar este controvertido posicionamiento desde hace más de dos años.

¿El motivo?

La entrada en aplicación del Reglamento General de Protección de Datos de la Unión Europea (RGPD), que obliga a quienes traten datos personales, únicamente, a aplicar aquellas medidas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

Detrás de este nuevo enfoque se encuentra la conveniencia de dotar a quienes traten datos de cierta flexibilidad organizativa, de tal forma que no se vean compelidos a optar por el máximo grado de seguridad cuando realicen tratamientos relativamente inocuos.

El indicador principal para decidir qué concretas medidas deben ser implementadas a efectos garantizar el cumplimiento normativo, y con qué prioridad, pasa a ser, precisamente, el riesgo que presente el tratamiento; y así lo han ido reflejando las propias resoluciones de la Agencia (procedimientos PS/00001/2021; PS/00021/2021 o PS/00046/2021, entre otros), que interpreta ahora esta obligación como sigue:

Debe indicarse que no se exige una obligación de resultado, sino de actividad, pero para evaluar dicha actividad e implementación de medidas y su consideración como “adecuadas” es inevitable analizar los métodos utilizados (…), las salvaguardas implementadas e, inevitablemente, el resultado”.

EL MOTIVO POR EL QUE SE DESESTIMÓ EL RECURSO

Por tanto, y concluyendo, no prevemos que la sentencia que hoy nos ocupa tenga una especial repercusión en la práctica, puesto que el criterio que asienta ya venía siendo aplicado por el regulador.

Sí contribuye, sin duda, a arrojar una mayor seguridad jurídica sobre este asunto particular; y parece exigir, además, un mayor esfuerzo probatorio por parte de la AEPD, que vendrá obligada a analizar con mayor detalle en sus resoluciones las circunstancias aplicables a cada caso.

Asentado lo anterior, solo nos queda explicar el motivo por el que se desestimó el recurso y confirmó la sanción a la empresa recurrente.

Según explica la resolución, la brecha de seguridad se habría producido porque “una empleada hizo un mal uso reiterado del programa” en el que se registraban los datos de los clientes.

Por ese motivo, en concurrencia con una falta de medidas suficientes para evitar filtraciones como la ocurrida, la empresa es considerada administrativamente responsable de la negligencia de su trabajadora, por lo que deberá abonar la multa de 40.001€ inicialmente impuesta por la AEPD.

Otras Columnas por José Leandro Núñez García:
Últimas Firmas
  • Opinión | ¿Ante qué juez se interpone una demanda de exequatur de una sentencia extranjera de divorcio?
    Opinión | ¿Ante qué juez se interpone una demanda de exequatur de una sentencia extranjera de divorcio?
  • Opinión | El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (y VI)
    Opinión | El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (y VI)
  • Opinión | Directiva Europea contra el «greenwashing»: hacia las auditorías rigurosas sobre las prácticas ESG
    Opinión | Directiva Europea contra el «greenwashing»: hacia las auditorías rigurosas sobre las prácticas ESG
  • Opinión | Caso Begoña Gómez: ¿voluntarismo judicial?
    Opinión | Caso Begoña Gómez: ¿voluntarismo judicial?
  • Opinión | Sobre la reparación del daño por el perdón del ofendido
    Opinión | Sobre la reparación del daño por el perdón del ofendido