La reciente Sentencia del Tribunal Supremo 188/2022 desgrana el deber de protección de datos y aclara la responsabilidad de las empresas en relación con esta obligación de garantizar la protección de los datos personales de sus clientes.
El caso versa sobre un error que permitió el acceso no autorizado de terceros a información de carácter personal de los clientes. Concretamente la vulneración se produjo debido a que el correo electrónico que figuraba en las solicitudes de financiación de productos de telefonía no se correspondía con el de los clientes/solicitantes y, como consecuencia, se permitió a terceros el acceso no autorizado a la información de dichas solicitudes (nombre y apellidos, datos económicos y de domiciliación bancaria y firma).
La Agencia Española de Protección de Datos (AEPD) impuso una sanción de 40.001€ a la empresa por vulneración del artículo 9.1 de la Ley Orgánica de Protección de Datos (LOPD), tipificado como infracción grave en el artículo 44.3.h) de la misma norma. Ante dicha sanción se interpuso recurso que fue desestimado por la Audiencia Nacional mediante sentencia de 22 de julio de 2020 y que dio pie al recurso de casación que resuelve el Tribunal Supremo en la Sentencia que se analiza en el presente artículo.
El artículo 9.1 de la LOPD dispone que: “El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.”
La parte recurrente alega que el artículo 9.1 de la LOPD establece una obligación de resultado y que dicha obligación es contraria a la legislación y jurisprudencia que establece una obligación de medios.
La Sala Tercera del Alto Tribunal rechaza ese argumento y aclara que la obligación de las empresas de garantizar la seguridad de los datos personales que obren en sus ficheros es una obligación de medios y no de resultados. Así, no nos encontramos ante una infracción de responsabilidad objetiva, tal y como alega la parte recurrente, sino ante una obligación “de diligencia”.
Apunta la sala de lo contencioso-administrativo que la obligación es la de establecer medidas técnicamente adecuadas e implantarlas y utilizarlas con una diligencia razonable. Añade la sala que dichas medidas deberán “garantizar un nivel de seguridad apropiado en relación con la naturaleza y riesgo de los datos a proteger”. Esta exigencia esta estrechamente vinculada con “los conocimientos técnicos existentes y el coste de aplicación de las medidas”.
Esta interpretación es acorde con la Directiva Europea 95/46/CE, que se implantó en nuestro ordenamiento mediante la ahora derogada Ley de Protección de Datos de Carácter Personal de 1999.
Así, esta obligación de diligencia está compuesta por dos elementos:
i) diseñar medios técnicos y organizativos para la protección de los datos;
ii) la correcta implantación e implementación de estas medidas para conseguir el fin perseguido.
No resulta exigible ni necesaria la infalibilidad de las medidas adoptadas, tan solo la implementación de dichas medidas y la adecuación de estas a la naturaleza de la información a proteger.
Confirma de este modo el Tribunal Supremo la sanción aplicada por la AEPD tras considerar que la empresa recurrente no disponía de ninguna medida de seguridad que permitiese comprobar si la dirección introducida era real o ficticia, y si realmente pertenecía a la persona cuyos datos estaban siendo tratados. Señala el Alto Tribunal que existían en el momento en que se produjo la infracción sistemas que permitían la verificación de esta información, y por lo tanto el estado de la técnica en ese momento permitía establecer medidas adecuadas para la protección de la información. La empresa fue negligente en la no aplicación de estas medidas.
Apunta también la Sala que el hecho de que la vulneración del artículo fuese producto de la conducta negligente de una empleada no exime de responsabilidad a la empresa, al contrario, es indicativo de que el programa de tratamiento de datos de la empresa fue usado de manera inadecuada.
Aleix Cuadrado
Vilá Abogados
Para más información, contacte con:
4 de marzo de 2022