Análisis de la Sentencia nº 188/2022, de 15 de febrero, del Tribunal Supremo -Secc. 3ª, Sala C.-A.-, Rec. nº 7359-2020, sobre Medidas de Seguridad
El alto Tribunal resuelve el recurso de casación interpuesto por la mercantil COMMCENTER S.A., contra la sentencia de 22 de julio de 2020 de la Audiencia Nacional -rec. 136/2019-, que a su vez desestimó el recurso interpuesto contra la resolución de 27 de noviembre de 2018 de la AEPD confirmatoria de la sanción impuesta con fecha 3 de octubre de 2018, ascendente a 40.001 euros, por infracción del art. 9.1 de la antigua normativa de protección de datos, la LOPD 15/1999.
Dicho precepto dispone que “el responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural”.
La clave estriba en dilucidar si dicho precepto impone una obligación de resultado o una obligación de medios. Además, vinculado a lo anterior, en la determinación de si las infracciones en materia de Protección de Datos por fallos de las medidas de seguridad por los empleados de una persona jurídica, deben examinarse en atención a los medios efectivamente empleados o en atención al resultado producido y, con ello, imputarse finalmente a la persona jurídica con independencia de los medios adoptados por esta.
Expondremos en esencia los hechos probados para analizar el fondo del asunto planteado, así:
Pues bien, previa diferenciación entre obligaciones de resultado y obligaciones de medios la sentencia señala que, en lo referente a medidas de seguridad en materia de protección de datos no cabe hablar de obligación de resultado, pero sí de obligación de medios como una obligación de “diligencia”, o de “comportamiento”, sin que pueda exigirse la infalibilidad de las medidas de seguridad adoptadas. En aplicación del art. 31 de la normativa de protección de datos acutal, es decir del RGPD 2016/679, la responsabilidad en estos casos quedaría atendida mediante la implantación de medidas técnicamente adecuadas en función del estado de la técnica en cada momento, así como en función de los costes de aplicación y del nivel de protección requerido respecto de los datos personales tratados, utilizadas con una diligencia razonable, de modo que permitan evitar su alteración, pérdida, tratamiento o acceso no autorizado -fj. 3º-.
Así ha de interpretarse el art. 9.1 LOPD 15/1999, por tanto junto con la planificación empresarial de las medidas técnicas y organizativas necesarias, es indispensable la correcta implantación y utilización por el personal de la empresa, pudiendo esta responder cuando los empleados no despliegan una diligencia razonable y adecuada a las circunstancias propias en cada caso, declarando aquí el Tribunal que si bien no cabe hablar de responsabilidad objetiva de la persona jurídica, sí sería trasladable a esta la falta de diligencia apropiada de sus empleados, respondiendo por la actuación de estos.
Entre las medidas de seguridad no implementadas -pese a resultar aplicables cuando se produjeron los hechos en 2018-, se hallaba el sistema de verificación conocido como “doble opt-in”. Sistema mediante el cual se verifica la aceptación de normas y condiciones de uso, a la vez que se acredita la veracidad de la dirección de correo electrónico suministrada inicialmente por el cliente. De este modo la persona interesada en formalizar un contrato recibe en la dirección de correo facilitada para iniciar el proceso de contratación ese contrato, con ello la perfección del mismo se lleva a cabo accediendo al correo electrónico que ha proporcionado y prestando ahí su consentimiento -consentimiento necesario también para la recogida y tratamiento de sus datos-, con lo cual se evita que la documentación relacionada con el contrato celebrado pueda remitirse a una dirección errónea -fj. 4º-.
De lo anterior concluye la sentencia que no habiéndose adoptado en atención al estado de la técnica medidas como las de doble verificación mencionadas, debe declararse la responsabilidad de la mercantil Commcenter s.a., sin que pueda eximirle de responsabilidad el hecho de actuar como encargado por cuenta de Telefónica Consumer Finance -responsable del fichero y del tratamiento-, ya que también al encargado del tratamiento incumbe la adopción de las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal, así como la correcta utilización de estas (art. 32.1 RGPD, y art. 9.1 LOPD).
Roberto Sánchez Lucena
DPO&itlaw
Comments are closed.
Twitter