El Tribunal Supremo (TS) ha determinado que la obligación de las empresas de garantizar la seguridad de los ficheros que contengan datos personales de sus clientes es de medios, y no de resultado, por lo que bastaría con establecer medidas "técnicamente adecuadas" y utilizarlas de forma razonable. Esta es la conclusión de la sala de lo Contencioso-Administrativo, que apunta que, por ley, les "es exigible la adopción e implantación de medidas técnicas y organizativas" que, considerando la tecnología y la naturaleza de los datos, "permitan razonablemente evitar su alteración, pérdida, tratamiento o acceso no autorizado".
La sentencia, conocida este miércoles y de la que ha sido ponente el magistrado Diego Córdoba, confirma una sanción de 40.000 euros impuesta por la Agencia Española de Protección de Datos (AEPD) a una distribuidora de productos de telefonía. El castigo se produjo con motivo de una infracción grave al permitir el acceso no autorizado por parte de terceros a, al menos, 14 solicitudes de financiación en las que figuraban nombres y apellidos de clientes, datos económicos, de domiciliación bancaria y firma.
Una vez confirmada la sanción por la Audiencia Nacional, el Supremo admitió el recurso de casación de la compañía con el objetivo de aclarar si las infracciones de la Ley de Protección de Datos por fallos de las medidas de seguridad que puedan cometer empleados deben examinarse en atención al resultado. Esto haría que tales problemas fueran imputables a la persona jurídica a la que pertenezca el trabajador, con independencia de los medios y de las medidas de prevención que la firma hubiera podido adoptar.
Ahora la sala sostiene que la obligación de adoptar las medidas necesarias para garantizar la seguridad de los datos personales no puede considerarse de resultado, lo que, de haber sido así, habría hecho responsable a una empresa de forma automática en caso de una filtración a un tercero. Con todo, los magistrados explican que "no basta con diseñar los medios técnicos y organizativos necesarios", sino que también "es necesaria su correcta implantación y su utilización de forma apropiada", o de lo contrario, la persona jurídica tendría que responder por su falta de diligencia.
En el procedimiento analizado, el tribunal confirma la sanción porque "el programa utilizado para la recogida de los datos de los clientes no contenía ninguna medida de seguridad que permitiese comprobar si la dirección de correo electrónico introducida era real o ficticia". Tampoco se podía constatar "si realmente pertenecía a la persona cuyos datos estaban siendo tratados y que prestaba el consentimiento para ello", a pesar de que, en esos momentos, la tecnología ya disponía de herramientas para facilitar esta labor de identificación.
Por último, el Supremo advierte de que el hecho de que fuera una empleada quien provocara una brecha de seguridad no exime a la empresa de su responsabilidad, puesto que es la encargada última de la "correcta utilización" de las medidas que deberían haber garantizado el uso del sistema de registro de datos.
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que lainformacion.com restringirá la posibilidad de dejar comentarios