El Tribunal Supremo confirma la sanción de 40.000 euros a un encargado de tratamiento por falta de adopción de medidas técnicas necesarias para garantizar la seguridad de los datos

Análisis de la Sentencia nº 188/2022, de 15 de febrero, del Tribunal Supremo -Secc. 3ª, Sala C.-A.-, Rec. nº 7359-2020,
sobre Medidas de Seguridad

El alto Tribunal resuelve el recurso de casación interpuesto por la mercantil COMMCENTER S.A., contra la sentencia de 22 de julio de 2020 de la Audiencia Nacional -rec. 136/2019-, que a su vez desestimó el recurso interpuesto contra la resolución de 27 de noviembre de 2018 de la AEPD confirmatoria de la sanción impuesta con fecha 3 de octubre de 2018, ascendente a 40.001 euros, por infracción del art. 9.1 de la antigua normativa de protección de datos, la LOPD 15/1999.

Dicho precepto dispone que “el responsable del ficheroy, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural”.

La clave estriba en dilucidar si dicho precepto impone una obligación de resultado o una obligación de medios. Además, vinculado a lo anterior, en la determinación de si las infracciones en materia de Protección de Datos por fallos de las medidas de seguridad por los empleados de una persona jurídica, deben examinarse en atención a los medios efectivamente empleados o en atención al resultado producido y, con ello, imputarse finalmente a la persona jurídica con independencia de los medios adoptados por esta.

Expondremos en esencia los hechos probados para analizar el fondo del asunto planteado, así:

  1. Commcenter opera contractualmente como distribuidor oficial exclusivo de Movistar.
  2. Los clientes de Commcenter pueden financiar sus compras a través de Telefónica Consumer Finance. Para ello las tiendas de Commcenter utilizan una web de Telefónica Finance que gestiona las solicitudes. El acceso a esta web requiere la introducción de un código de usuario y una contraseña únicos para cada tienda. 
  3. El formulario exige aportar datos como la dirección de correo electrónico del solicitante, al que se envía la copia del contrato de financiación y las condiciones generales. 
  4. El particular denunciante recibió 14 contratos de financiación de productos con Telefónica Consumer con numerosos datos personales de los solicitantes de financiación. 
  5. La empresa Commcenter considera que hubo un mal uso del formulario por una de las empleadas de una tienda, que al rellenar la solicitud de financiación de algunos clientes incluyó la dirección de correo electrónico del denunciante por pensar que esa dirección era inexistente, al aludir a la provincia donde se ubica la tienda, y dar curso al procedimiento de financiación.

Pues bien, previa diferenciación entre obligaciones de resultado y obligaciones de medios la sentencia señala que, en lo referente a medidas de seguridad en materia de protección de datos no cabe hablar de obligación de resultado, pero sí de obligación de medios como una obligación de “diligencia”, o de “comportamiento”, sin que pueda exigirse la infalibilidad de las medidas de seguridad adoptadas. En aplicación del art. 31 de la normativa de protección de datos acutal, es decir del RGPD 2016/679, la responsabilidad en estos casos quedaría atendida mediante la implantación de medidas técnicamente adecuadas en función del estado de la técnica en cada momento, así como en función de los costes de aplicación y del nivel de protección requerido respecto de los datos personales tratados, utilizadas con una diligencia razonable, de modo que permitan evitar su alteración, pérdida, tratamiento o acceso no autorizado -fj. 3º-.

Así ha de interpretarse el art. 9.1 LOPD 15/1999, por tanto junto con la planificación empresarial de las medidas técnicas y organizativas necesariases indispensable la correcta implantación y utilización por el personal de la empresapudiendo esta responder cuando los empleados no despliegan una diligencia razonable y adecuada a las circunstancias propias en cada caso, declarando aquí el Tribunal que si bien no cabe hablar de responsabilidad objetiva de la persona jurídica, sí sería trasladable a esta la falta de diligencia apropiada de sus empleados, respondiendo por la actuación de estos.

Entre las medidas de seguridad no implementadas -pese a resultar aplicables cuando se produjeron los hechos en 2018-, se hallaba el sistema de verificación conocido como “doble opt-in”. Sistema mediante el cual se verifica la aceptación de normas y condiciones de uso, a la vez que se acredita la veracidad de la dirección de correo electrónico suministrada inicialmente por el cliente. De este modo la persona interesada en formalizar un contrato recibe en la dirección de correo facilitada para iniciar el proceso de contratación ese contrato, con ello la perfección del mismo se lleva a cabo accediendo al correo electrónico que ha proporcionado y prestando ahí su consentimiento -consentimiento necesario también para la recogida y tratamiento de sus datos-, con lo cual se evita que la documentación relacionada con el contrato celebrado pueda remitirse a una dirección errónea -fj. 4º-.

De lo anterior concluye la sentencia que no habiéndose adoptado en atención al estado de la técnica medidas como las de doble verificación mencionadas, debe declararse la responsabilidad de la mercantil Commcenter s.a., sin que pueda eximirle de responsabilidad el hecho de actuar como encargado por cuenta de Telefónica Consumer Finance -responsable del fichero y del tratamiento-, ya que también al encargado del tratamiento incumbe la adopción de las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal, así como la correcta utilización de estas (art. 32.1 RGPD, y art. 9.1 LOPD).   


Conclusiones:

  1. El cumplimiento de las medidas  técnicas y organizativas necesarias para la seguridad de los datos es una obligación de medios y no de resultados, que incumbe tanto al Responsable de tratamiento como al Encargado, y que deben examinarse en atención al estado de la técnica en cada momento de tal manera que el compromiso de seguridad tienda a conseguir el resultado esperado con los medios razonablemente idóneos y suficientes. Se trata por tanto de una obligación de Diligencia o de Comportamiento, de tal manera que la persona jurídica de la que dependa el empleado podrá responder cuando no quede acreditada la correcta implantación de esas medidas, y su utilización mediante una diligencia razonable en atención a las circunstancias de cada caso.
  2. Los sistemas de autenticación en la contratación entre ausentes como el sistema de doble opt-in, son sistemas razonablemente exigibles para Responsables y Encargados de tratamiento como medidas de seguridad técnicas y organizativas a implantar que eviten su alteración, pérdida, tratamiento o acceso no autorizado.

Roberto Sánchez Lucena
DPO&itlaw

Comments are closed.

A partir del 01-01-2024 DATA PRIVACY OUTSOURCING & INFORMATION TECHNOLOGY LAW S.L. (DPO&IT LAW) se ha integrado en el despacho de abogados de Club Legal Asesores Internacionales, S.L. (CLUB LEGAL) con el propósito de fortalecer nuestras capacidades actuales y ofrecerles nuevos servicios relacionados con cualquiera de las áreas de práctica legal y jurídica que pueden ver en https://www.clublegal.es/

X