José Luis Piñar
La Sentencia de la Sala 3ª del Tribunal Supremo de 15 de febrero de 2022 (recurso nº 7359/2020) ha disipado varias dudas en relación con las medidas de seguridad en materia de protección de datos.
El resumen de los hechos es el siguiente: la Agencia Española de Protección de Datos (AEPD) impuso a una empresa distribuidora oficial y exclusiva de una conocida empresa de telecomunicaciones una sanción de 40.001 € por la infracción del artículo 9.1 de la vieja Ley Orgánica 15/1999, de Protección de Datos (entonces aplicable), tipificada como grave, por violación de medidas de seguridad. La AEPD consideró acreditado que los clientes que adquirían en persona productos en la tienda del distribuidor tenían la opción de financiar su compra, para lo que era necesario rellenar un formulario que exigía, para concluir la compra, incluir una dirección de correo electrónico ya que es a dicho correo al que se enviaba la copia del contrato de financiación y las condiciones generales. Por los motivos que fueran una de las trabajadoras de la empresa introdujo en varios contratos una dirección de correo electrónico inventada, creyendo que era inexistente. Resultó, sin embargo, que tal dirección correspondía a una persona, que llegó a recibir por mail 14 contratos de otras tantas personas solicitantes de financiación, que incluían datos personales tales como nombres, domicilios, teléfonos, estado civil, familiares a cargo, ingresos, situación laboral, cargos, números de cuentas corrientes, importes financiados, mensualidades y la firma del contratante.
La AEPD argumentó que la empresa sancionada estaba obligada a adoptar, de manera efectiva, las medidas técnicas y organizativas que impidan el acceso no autorizado por parte de terceros a datos personales y que la entidad incumplió esta obligación, afirmando que en esta materia se impone una obligación de resultado. Recurrida la resolución de la AEPD ante la Audiencia Nacional, esta considera que la obligación de implantar medidas de seguridad es “una obligación de resultado consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros, de forma que toda entidad responsable de un fichero (o encargado de tratamiento) debe asegurarse de que dichas medidas o mecanismos se implementen de manera efectiva en la práctica”.
La empresa sancionada interpuso recurso de casación y el auto de admisión consideró que la cuestión que reviste interés casacional consiste en determinar si las infracciones de la Ley de Protección de Datos por fallos de las medidas de seguridad que puedan cometer los empleados de una persona jurídica deben examinarse en atención al resultado y, por lo tanto, imputarse a la persona jurídica de la que dependa el empleado, con independencia de los medios y medidas de prevención que hubiera podido adoptar.
El Tribunal Supremo, en la Sentencia que comentamos, de enorme importancia, y teniendo en cuenta ya tanto el RGPD como la Ley Orgánica de Protección de Datos de 2018, señala:
Primero, en cuanto a la obligación de adoptar las medidas necesarias para garantizar la seguridad de los datos personales, establece que no puede considerarse una obligación de resultado (que implica que “producida una filtración de datos personales a un tercero exista responsabilidad con independencia de las medidas adoptadas y de la actividad desplegada por el responsable del fichero o del tratamiento”) sino de medios (en las que “el compromiso que se adquiere es el de adoptar los medios técnicos y organizativos, así como desplegar una actividad diligente en su implantación y utilización que tienda a conseguir el resultado esperado con medios que razonablemente puedan calificarse de idóneos y suficientes para su consecución”). En las segundas “la suficiencia de las medidas de seguridad … ha de ponerse en relación con el estado de la tecnología en cada momento y el nivel de protección requerido en relación con los datos personales tratados, pero no se garantiza un resultado”. En consecuencia, no es posible mantener lo que pretendía la abogacía del Estado, que consideraba que no basta con hacer los mejores esfuerzos, sino que cuando se produce una brecha de seguridad se produce un resultado lesivo para los afectados siempre y en todo caso.
Segundo, no basta con diseñar los medios técnicos y organizativos necesarios, sino que también es necesaria su correcta implantación y su utilización de forma apropiada, de modo que también se responderá por la falta de una diligencia razonable en su utilización, atendiendo a las circunstancias del caso. Tal diligencia alcanza al hecho de que las personas jurídicas responden por la actuación de sus empleados o trabajadores. Por ello debe entenderse que en el caso analizado por la sentencia la empresa ha de responder por la actuación negligente de la trabajadora que incluyó direcciones falsas de correo electrónico.
Tercero, en lo que se refiere a las medidas de seguridad implantadas por la empresa, el Tribunal concluye que “el programa utilizado para la recogida de los datos de los clientes no contenía ninguna medida de seguridad que permitiese comprobar si la dirección de correo electrónico introducida era real o ficticia y si realmente pertenecía a la persona cuyos datos estaban siendo tratados y prestaba el consentimiento para ello. El estado de la técnica en el momento en el que se produjeron estos hechos permitía establecer medidas destinadas a comprobar la veracidad de la dirección de email… Medidas que no se adoptaron en este caso”. En particular, señala que “existía un sistema de verificación del correo electrónico conocido como "doble opt-in" consistente en un proceso de aceptación de unas normas o condiciones de uso cuyo principal objetivo es el de verificar que los usuarios son quienes dicen ser y no son ni robots creando suscripciones automáticas, ni correos Spam, o terceras personas generando suscripciones fraudulentas utilizando correos electrónicos que no son de su propiedad. Se trata de un proceso de doble verificación que asegura que los usuarios han aceptado la política de tratamiento de datos y/o las condiciones de privacidad antes de recibir cualquier tipo de comunicación”. Al no haber implantado esta medida de seguridad, la empresa incumplió la legislación de protección de datos, sin que sea relevante el hecho de que la infracción se deba a la actuación negligente de una empleada.
La presente publicación no constituye asesoramiento jurídico de sus autores. Si desea recibir periódicamente las publicaciones de Referencias Jurídicas CMS, que analizan y comentan la actualidad legal y jurisprudencial de interés, puede suscribirse a través de este formulario.
