PremiumLa Sala Tercera advierte que la protección de datos de clientes es una obligación de medios
Las empresas deben responder si no ponen en marcha medidas suficientes para evitar filtraciones
(Foto: Google)
La Sala Tercera advierte que la protección de datos de clientes es una obligación de medios
Las empresas deben responder si no ponen en marcha medidas suficientes para evitar filtraciones
(Foto: Google)
El pasado 15 de febrero, el Tribunal Supremo dictó una importante sentencia en materia de protección de datos personales. La Sala Tercera ha determinado que las empresas han de adoptar las medidas técnicas y organizativas que, conforme al estado de la tecnología, permitan razonablemente evitar la pérdida o alteración de los datos personales de sus clientes. Ahora bien, dicha obligación es, en todo caso, una obligación de medios, no de resultado.
El hecho de que fuese la actuación negligente de una empleada la que provocó la brecha de seguridad no le exime de responsabilidad a la empresa
En las obligaciones de medios, el obligado se compromete a desempeñar su actividad con la diligencia debida. Lógicamente, si todo se hace bien, es esperable que se produzca el resultado esperado: en este caso, que no se produzcan filtraciones de los datos de los clientes. No obstante, puede haber sucesos que se escapen al control de la empresa. Si esta ha puesto en marcha todas las medidas debidas, no deberá responder por ellos.
El caso
Respecto al tema de la protección de datos, en la sentencia aquí analizada existen dos posturas contrapuestas: por un lado, la del Estado, que concibe el asunto como una obligación de resultado. Aboga por sancionar en todo caso la producción de un resultado lesivo. Por otro lado, está Commcenter, distribuidor oficial y exclusivo de Movistar, que alega haber implementado suficientes medidas de protección y pretende con ello evitar la multa impuesta por la Agencia Española de Protección de Datos (AEPD).
Pues bien, la Sala confirma la sanción de 40.000 euros impuesta por la AEPD. Considera que la distribuidora es responsable de una infracción grave al permitir el acceso no autorizado por parte de terceros a, al menos, 14 solicitudes de financiación en la que figuraban datos personales de los clientes (nombre y apellidos, datos económicos, de domiciliación bancaria y firma).
«En las obligaciones de medios, el obligado se compromete a desempeñar su actividad con la diligencia debida». (Foto: Radio Interior)
No obstante, sobre el tema de si la protección de datos debe considerarse una obligación de medios o de resultado, el Supremo se inclina por la primera opción. Esto tiene importantes repercusiones, por ejemplo, implica que los fallos de las medidas de seguridad que puedan cometer los empleados de una persona jurídica no se imputarán a esta siempre que hubiese adoptado todas las medidas de prevención posibles.
La AEPD ha interpretado durante años la normativa de Protección de Datos de forma contraria al Supremo. Considera que impone una obligación de resultado y ha empleado este criterio en numerosos procedimientos sancionadores.
Por su parte, el Tribunal Supremo basa su sentencia en la redacción de la Directiva 95/46/CE, transpuesta a nuestro ordenamiento por la derogada Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Pese a optar por la vía de la “obligación de medios”, señala el Alto Tribunal que “no basta con diseñar los medios técnicos y organizativos necesarios también es necesaria su correcta implantación y su utilización de forma apropiada, de modo que también responderá por la falta de la diligencia en su utilización, entendida como una diligencia razonable atendiendo a las circunstancias del caso”.
Confirmación de la sanción
En el supuesto examinado, el Alto Tribunal confirma la sanción a la empresa porque “el programa utilizado para la recogida de los datos de los clientes no contenía ninguna medida de seguridad que permitiese comprobar si la dirección de correo electrónico introducida era real o ficticia y si realmente pertenecía a la persona cuyos datos estaban siendo tratados y prestaba el consentimiento para ello. El estado de la técnica en el momento en el que se produjeron estos hechos permitía establecer medidas destinadas a comprobar la veracidad de la dirección de email, condicionando la continuación del proceso a que el usuario recibiese el contrato en la dirección proporcionada y solo desde ella prestase el consentimiento necesario para su recogida y tratamiento. Medidas que no se adoptaron en este caso”.
La Sala Tercera confirma la sanción de 40.000 euros impuesta por la AEPD
Es decir, que en el momento en que se produjeron estos hechos, existían medios aplicables al proceso de registro que hubieran evitado la filtración de datos personales. Puede decirse que las medidas técnicas adoptadas incumplían las condiciones de seguridad en los términos exigidos.
Por último, la Sala señala que el hecho de que fuese la actuación negligente de una empleada la que provocó la brecha de seguridad no le exime de responsabilidad a la empresa, que debió haberse asegurado de que las medidas de seguridad se utilizaban correctamente.
