El día a día de cualquier empresa conlleva el tratamiento de multitud de datos de carácter personal, de ahí la relevancia de cumplir con la normativa de protección de datos y establecer medidas de seguridad técnicas y organizativas que permitan garantizar la confidencialidad, la integridad y la disponibilidad de la información de carácter personal.
Muchas veces, a pesar de establecer este tipo de medidas, las organizaciones sufren brechas de seguridad, eventos que, bien sean de naturaleza accidental o intencionada, ponen en peligro alguna de las esferas de la seguridad de la información, y pueden conllevar aparejadas sanciones y daño reputacional.
Es por eso que tantas veces surge la duda: ¿Y si a pesar de tomar todas estas medidas la brecha se produce?, ¿puede ser la empresa sancionada? Dar una respuesta a esta pregunta ha sido objeto de no poco debate, razón que ha llevado la cuestión a las más altas esferas judiciales.
Posición del tribunal supremo
En el año 2022 el Tribunal Supremo (STC 188/2022 de 15 de febrero) se pronunció sobre si los errores en las medidas de seguridad cometidos por los trabajadores debían ser imputados a la persona jurídica por el resultado lesivo producido, o si, por el contrario, se debían valorar las medidas de prevención adoptadas.
La resolución en cuestión giraba en torno a una infracción cometida por una trabajadora, la cual permitió el acceso por parte de terceros no autorizados a varias solicitudes de financiación. Estas solicitudes contenían datos personales de los clientes de la empresa. El acceso se producía porque, para poder realizar el contrato de financiación, era necesario rellenar un formulario en el que había que introducir un correo electrónico para poder enviar una copia de dicho contrato. Lo que hacía la trabajadora antes citada era usar una dirección de correo que creía que no existía. ¿Cuál fue el problema? Que la dirección sí existía, por lo que el error de la trabajadora derivó en que se enviasen los contratos a la misma, vulnerándose la confidencialidad de los datos de los clientes.
Más allá del fallo de dicha resolución, lo que interesa aquí, es que en los fundamentos de derecho de la misma se recoge respuesta a la pregunta que antes nos hacíamos:
“Ya hemos razonado que la obligación que recae sobre el responsable del fichero y sobre el encargado del tratamiento respecto a la adopción de medidas necesarias para garantizar la seguridad de los datos de carácter personal no es una obligación de resultado sino de medios, sin que sea exigible la infalibilidad de las medidas adoptadas”.
Es importante matizar que el hecho de que estemos ante una obligación de medios no implica que baste con diseñar unos protocolos y guardarlos en un cajón. Las medidas técnicas y organizativas que se diseñen en atención al análisis de riesgos efectuado en la entidad, deben implantarse y utilizarse de forma apropiada. De modo que, si la empresa no revisa su cumplimiento, responderá también por esa falta de implementación práctica.
La sentencia también recuerda que las personas jurídicas responden por la actuación de sus empleados o trabajadores, no estableciéndose por ello una responsabilidad objetiva, pero sí trasladándose a la persona jurídica la falta de diligencia de sus empleados.
La posición del tribunal de justicia de la UE
Sobre la misma cuestión que da título a este artículo, se ha pronunciado también recientemente el Tribunal de Justicia de la UE (TJUE), en relación con el asunto C-768/21. El asunto en cuestión consistía en que una caja de ahorros constató que una de sus empleadas había consultado datos personales de un cliente en varias ocasiones, sin ser autorizada para ello. La caja de ahorros no informo al cliente porque su delegado de protección de datos no consideró que supusiese un riesgo para él, al confirmarse que no se habían copiado ni conservado los datos, y comunicar la trabajadora que no había trasmitido datos a terceros ni lo haría en el futuro. Además, la caja había adoptado medidas disciplinarias contra la trabajadora y notifico la infracción a la autoridad de control pertinente.
El cliente reclamó ante dicha autoridad de control, pero ésta determinó que no consideraba necesario adoptar medidas de control ante la caja de ahorros. Frente a dicha respuesta, el cliente interpuso un recurso ante un tribunal alemán, el cual, a su vez, solicitó al TJUE que interpretase el Reglamento General de Protección de Datos.
El TJUE respondió que, “en caso de que se constate una violación de la seguridad de datos personales, la autoridad de control no está obligada a adoptar una medida correctora, en particular a imponer una multa administrativa, cuando ello no sea necesario para subsanar la deficiencia constatada y garantizar el pleno respeto del RGPD. Este puede ser el caso, en particular, cuando el responsable del tratamiento haya adoptado, tan pronto como haya tenido conocimiento de ello, las medidas necesarias para poner fin a dicha violación y evitar que vuelva a producirse”.
Concluyendo…
En definitiva, una empresa no será sancionada si puede probar que ha tomado medidas técnicas y organizativas necesarias para tratar de evitar una brecha. Tomar estas medidas no es reflejarlas en un papel y dejar que las lleve el viento. Tomar estas medidas es esforzarse en implementarlas y utilizarlas, dándoles aplicabilidad práctica. Lo contrario es igual a no hacer nada. Y cuando no se hace nada la sanción no espera.
