El Tribunal Supremo ratifica una resolución de la Agencia Española de Protección por no establecer las medidas de seguridad adecuadas en el tratamiento de datos personales de acuerdo a la finalidad perseguida y establecer controles para verificar que eran efectivas.
¿QUÉ SUCEDIÓ?
La AEPD impone una sanción de 40.001€ a COMMCENTER, S.A. debido a que en las solicitudes de financiación de productos de telefonía de distintos clientes con la entidad TELEFÓNICA, CONSUMER FINANCE, S.A.U. figuraba una dirección de correo electrónico que no correspondía a los solicitantes, con la consecuencia de que se permitió el acceso no autorizado por parte de terceros, al menos a 14 solicitudes de financiación, las cuales contenían datos personales de los clientes, tanto identificativos como económicos.
Todo esto fue causado por la actividad negligente de una de las trabajadoras y por la falta de medidas de seguridad implantadas por la empresa encargada del tratamiento de los datos.
Tras recurrir la sentencia que confirma la sanción impuesta por la AEPD ante la Sección Primera de la Sala de lo Contencioso-administrativo de la Audiencia Nacional, se desestima el recurso interpuesto por la entidad contra la resolución de la directora de la Agencia Española de Protección de Datos. Finalmente, se interpone recurso de casación que queda desestimado por la Sala de lo Contencioso-Administrativo del Tribunal Supremo.
¿QUÉ PRECEPTOS HAN SIDO INCUMPLIDOS?
Se considera cometida la infracción del artículo 9.1 de la LO 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, tipificada como grave en el artículo 44.3.h) de la misma.
En este precepto se indica que “el responsable del fichero y el encargado del tratamiento, deberán adoptar medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento acceso no autorizado, habida cuenta del estado de la tecnología la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural”.
Es importante decir que el hecho de que se obligue a tomar medidas necesarias para asegurar los datos personales no se puede considerar una obligación de resultado, la cual conlleve que al producirse una filtración de datos a un tercero exista responsabilidad, a pesar de las medidas de seguridad adoptadas y de la actividad he haya llevado a cabo el responsable del fichero de los datos.
La suficiencia de las medidas de seguridad adoptadas por el responsable, ha de ponerse en relación con el estado de la tecnología en cada momento y con el nivel de protección requerido según los datos que se traten, pero no se garantiza un resultado concreto.
El compromiso que se adquiere en estas situaciones es de adoptar todas las medidas técnicas y organizativas necesarias, además de llevar a cabo actividades diligentes en la implantación y utilización de dichos datos, para conseguir la finalidad que se persigue, pero empleando medios que se puedan considerar razonablemente idóneos y suficientes. Por todo esto, se las denomina obligaciones “de diligencia” o “de comportamiento”.
No es suficiente el hecho de crear los medios necesarios, sino que es absolutamente necesario que se implante de una forma correcta, además de una utilización diligente. Por la falta de este citado uso, también responderá, teniendo en cuenta las circunstancias de cada caso.
Las personas jurídicas responden por la actuación de sus empleados, en especial cuando no se ha controlado adecuadamente el cumplimiento de las medidas de seguridad.
Por último, es importante destacar que las personas jurídicas responden por la actuación de sus empleados. No se establece por ello una responsabilidad objetiva, pero si es trasladable a la persona jurídica la falta de diligencia de sus empleados.
El hecho de que, en este caso, fuese la actuación negligente de una empleada no exime de su responsabilidad al encargado de tratamiento de la correcta utilización de las medidas de seguridad que deberían haber garantizado el buen uso del sistema de registro de datos diseñado.
¿CÓMO LO PODRÍAN HABER EVITADO?
Para evitar este tipo de fallos de seguridad, se pueden implantar medidas como un sistema de “doble opt-in”. Esta consiste en un proceso de adaptación de normas o condiciones de uso cuyo principal objetivo es el de verificar que los usuarios son quienes dicen ser y no son ni robots generando suscripciones automáticas, ni correos SPAM, o terceras personas generando suscripciones de forma fraudulenta utilizando correos electrónicos que no son de su propiedad. Es un proceso de doble verificación que asegura que los usuarios han aceptado la política de tratamiento de datos y las condiciones de privacidad antes de recibir cualquier tipo de comunicación y evita que los documentos vayan a una dirección equivocada.
En este caso, señala la sentencia que el programa utilizado para la recogida de los datos de los clientes no contenía ninguna medida de seguridad que permitiese comprobar si la dirección de correo electrónico introducida era real o ficticia y si realmente pertenecía a la persona cuyos datos estaban siendo tratados y prestaba el consentimiento para ello.
PERO SI EL ENCARGADO DESCONOCÍA LA NECESARIEDAD DE LAS MEDIDAS DE SEGURIDAD, ¿SIGUE SIENDO RESPONSABLE?
La empresa recurrente trataba los datos de los clientes por cuenta del responsable del fichero por lo que implantó y utilizó dicho programa siendo conocedora, o debiendo serlo, de que éste carecía de las medidas de seguridad necesarias para comprobar la veracidad y exactitud de la dirección email a la que se enviaba la copia del contrato de financiación.
El desconocimiento no le exonera, ya que debería ser conocedor de que el sistema no tenía las medidas de seguridad adecuadas.
PERO SI EL CLIENTE HA FIRMADO EL FORMULARIO CON EL ENVÍO A LA DIRECCIÓN ERRÓNEA ¿SIGUE SIENDO RESPONSABLE?
La responsabilidad de la empresa no se ve excluida por el hecho de que los clientes, más tarde afectados, firmasen un formulario donde aparecía la dirección de correo electrónico falsa. Esta circunstancia podrá atenuar la sanción, pero no evitarla. Además, se considerará una notoria disminución de su antijuricidad, a la que se pueda aplicar el art. 45.5 de la LOPD 15/1999, entonces vigente, no puede considerarse que el cliente indujese a la comisión de la citada infracción, mucho más teniendo en cuenta que ese comportamiento y la dirección email se ha repetido en varios clientes.
El hecho de que los interesados firmasen el formulario no exonera la responsabilidad de la empresa ya que, está obligada a comprobar la veracidad de la dirección de correo electrónico utilizada sin perjuicio de que esta circunstancia pueda ser tomada en consideración para graduar la sanción.
CONCLUSIONES.
A pesar de tratarse de una resolución que aborda el asunto desde la perspectiva de la LOPD 15/1999, lo cierto es que la interpretación del TS resulta de plena actualidad y establece una obligación de medios que abarca tanto la implantación de medidas de seguridad como la vigilancia o control de las mismas, para el tratamiento de los datos personales.
En este sentido, no basta con firmar con el personal las medidas e instrucciones que debe seguir en su puesto de trabajo sobre el tratamiento de datos personales, sino que se requiere el establecimiento de medidas de seguridad técnicas y organizativas efectivas para facilitar que el personal cumpla con las directrices.
Desde el Legitec Ciberseguridad ofrecemos a nuestros clientes servicios informáticos desde la perspectiva de la ciberseguridad, detectando riesgos para el tratamiento de la información en nuestros clientes mediante controles periódicos y adoptando medidas para mitigarlos.
Si tienes dudas acerca de la seguridad de los sistemas de tu organización, contacta con nosotros y nuestro equipo analizará la situación sin ningún compromiso para ofrecerte las soluciones más avanzadas del mercado al respecto.
