Hoy les traigo a colación una reciente sentencia del Tribunal Supremo sobre medidas de seguridad en materia de protección de datos y responsabilidad de las personas jurídicas (Tribunal Supremo, Sala Tercera, de lo Contencioso-administrativo, Sección 3ª, Sentencia nº 188/2022, de 15 de febrero de 2022, Recurso nº 7359/2020).
Esta sentencia ha influido en la interpretación del artículo 32 del RGPD, promoviendo un enfoque basado en el riesgo y la diligencia razonable, como se refleja en la guía de la AEPD sobre gestión del riesgo y evaluación de impacto en tratamientos de datos personales.
El Tribunal Supremo argumenta que la «obligación de adoptar las medidas necesarias para garantizar la seguridad de los datos personales no puede considerarse una obligación de resultado, que implique que producida una filtración de datos personales a un tercero exista responsabilidad con independencia de las medidas adoptadas y de la actividad desplegada por el responsable del fichero o del tratamiento». Así pues, la obligación que se impone a los responsables y encargados del tratamiento no es de resultado, sino de diligencia.
En las obligaciones de medios, el compromiso adquirido es el de adoptar los medios técnicos y organizativos que, razonablemente, puedan calificarse de idóneos y suficientes para la consecución de un fin; en este caso, asegurar la información que tratan responsables y encargados del tratamiento.
En la obligación de medios basta con establecer medidas técnicamente adecuadas e implantarlas con una diligencia razonable para eludir la responsabilidad derivada de un incidente. No obstante, la AEPD enfatiza en sus resoluciones en la necesidad de documentar las medidas y realizar controles periódicas para demostrar diligencia en casos de inspección.
Las medidas de seguridad deberán garantizar un nivel de seguridad apropiado, habida cuenta del estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. En el contexto actual, con el auge de amenazas cibernéticas como el ransomware, la AEPD recomienda la adopción de medidas como la encriptación y la autenticación multifactor.
La sentencia nos recuerda que las personas jurídicas responden por la actuación de sus empleados. No se establece una responsabilidad objetiva, pero si es trasladable a la persona jurídica la falta de diligencia de sus subordinados.
El Tribunal Supremo confirmó la sanción de 40.000 euros impuesta a la empresa, considerándola responsable de una infracción grave al permitir el acceso no autorizado a, al menos, catorce solicitudes de financiación en las que figuraban datos personales de otros clientes porque «el programa utilizado para la recogida de los datos de los clientes no contenía ninguna medida de seguridad que permitiese comprobar si la dirección de correo electrónico introducida era real o ficticia y si realmente pertenecía a la persona cuyos datos estaban siendo tratados y prestaba el consentimiento para ello. El estado de la técnica en el momento en el que se produjeron estos hechos permitía establecer medidas destinadas a comprobar la veracidad de la dirección de correo electrónico, condicionando la continuación del proceso a que el usuario recibiese el contrato en la dirección proporcionada y solo desde ella prestase el consentimiento necesario para su recogida y tratamiento. Medidas que no se adoptaron en este caso».
Con diseñar los medios necesarios para asegurar la información no es suficiente para que el responsable del tratamiento eluda su responsabilidad. Solo la eludirá con la correcta implantación y su utilización de forma apropiada, sin que sea exigible la infalibilidad de las medidas adoptadas, pues no estamos ante una obligación de resultado, sino de medios.
