Cuando planifico la política de privacidad de un cliente me preocupa que las medidas adoptadas sean suficientes para garantizar la seguridad de la información y es que los recursos económicos para implementar medidas técnicas suelen ser limitados y ello obliga a hacer encaje de bolillos.
Dicho lo cual, hoy les traigo a colación una reciente sentencia del Tribunal Supremo sobre medidas de seguridad en materia de protección de datos y responsabilidad de las personas jurídicas (Tribunal Supremo, Sala Tercera, de lo Contencioso-administrativo, Sección 3ª, Sentencia nº 188/2022, de 15 de febrero de 2022, Recurso nº 7359/2020).
La referida sentencia es importante porque compromete a la AEPD a cambiar de criterio y es que esta venía considerando que la obligación de responsables y encargados del tratamiento era de resultado, y no de medios, empleando este criterio en numerosos procedimientos sancionadores.
El Tribunal Supremo argumenta en su sentencia que la «obligación de adoptar las medidas necesarias para garantizar la seguridad de los datos personales no puede considerarse una obligación de resultado, que implique que producida una filtración de datos personales a un tercero exista responsabilidad con independencia de las medidas adoptadas y de la actividad desplegada por el responsable del fichero o del tratamiento». Así pues, la obligación que se impone a los responsables y encargados del tratamiento no es de resultado, sino de diligencia.
En las obligaciones de medios el compromiso que se adquiere es el de adoptar los medios técnicos y organizativos que, razonablemente, puedan calificarse de idóneos y suficientes para la consecución de un fin, en este caso, asegurar la información que tratan responsables y encargados del tratamiento.
En la obligación de medios basta con establecer medidas técnicamente adecuadas e implantarlas, con una diligencia razonable, para eludir la responsabilidad derivada de un incidente.
Las medidas de seguridad deberán garantizar un nivel de seguridad apropiado habida cuenta del estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.
La sentencia nos recuerda que las personas jurídicas responden por la actuación de sus empleados. No se establece una responsabilidad objetiva, pero si es trasladable a la persona jurídica la falta de diligencia de sus subordinados.
En el caso de la referenciada sentencia, el Tribunal Supremo confirma la sanción de 40.000 € impuesta a la empresa, considerándola responsable de una infracción grave, al permitir el acceso no autorizado a, al menos, catorce solicitudes de financiación en la que figuraban datos personales de otros clientes porque «el programa utilizado para la recogida de los datos de los clientes no contenía ninguna medida de seguridad que permitiese comprobar si la dirección de correo electrónico introducida era real o ficticia y si realmente pertenecía a la persona cuyos datos estaban siendo tratados y prestaba el consentimiento para ello. El estado de la técnica en el momento en el que se produjeron estos hechos permitía establecer medidas destinadas a comprobar la veracidad de la dirección de correo electrónico, condicionando la continuación del proceso a que el usuario recibiese el contrato en la dirección proporcionada y solo desde ella prestase el consentimiento necesario para su recogida y tratamiento. Medidas que no se adoptaron en este caso».
Con diseñar los medios necesarios para asegurar la información no es suficiente para que el responsable del tratamiento eluda su responsabilidad. Solo la eludirá con la correcta implantación y su utilización de forma apropiada, sin que sea exigible la infalibilidad de las medidas adoptadas, pues no estamos ante una obligación de resultado, sino de medios.