Este mes ha habido una gran expectación acerca de una sentencia de la Sala Contencioso-Administrativo del Tribunal Supremo, en concreto de la Sentencia 188/2022 de 15 de febrero, de la que es ponente el Magistrado Diego Córdoba. En ella, se iba a aclarar si la seguridad de los datos personales es una obligación de medios o una obligación de resultado. El Tribunal ha establecido que es una obligación de medios. Entendiendo que cada entidad es un universo complejo en cuanto a sus bases de datos, la compañía Datcon Norte ofrece información acerca de la protección datos empresa. Para hacerlo, lo ejemplifica con el siguiente caso.
El alto tribunal considera acreditado que una conocida empresa de telecomunicaciones es la distribuidora oficial y exclusiva de una empresa de telefonía móvil, entidad con la que tiene suscritos los correspondientes contratos para dichos servicios. Los clientes que adquieren productos en la tienda tienen la opción de financiar su compra, financiación que se realiza a través de una entidad con la que la empresa de telecomunicaciones ha suscrito los correspondientes contratos de prestación de servicios. Para la realización del contrato de financiación, esta dispone de una aplicación web, facilitada por esa entidad, a través de la cual gestiona las solicitudes. El acceso a dicha aplicación requiere la introducción de un código de usuario y una contraseña que es único para tienda. El formulario exige rellenar diversos datos: del producto, económicos y personales del solicitante de financiación. Entre ellos, se incluye la dirección de correo electrónico, obligatoria para poder continuar con la operación, ya que es a dicho correo al que se envía la copia del contrato de financiación y las condiciones generales.
El denunciante (un particular) recibió 14 contratos de financiación de productos en los que figuran datos de los solicitantes de financiación (nombres, domicilios, teléfonos, estado civil, familiares a cargo, ingresos, situación laboral, cargos, número de cuentas corrientes, importes financiados, mensualidades y la firma del contratante). La distribuidora alegó que todo apunta a que lo acontecido es que, a la hora de rellenar el formulario de solicitud de financiación de algunos clientes, una de las trabajadoras introdujo la dirección de correo electrónico del denunciante, cuenta que la trabajadora creyó inexistente, con la única intención de no ver bloqueado el procedimiento de financiación.
La resolución administrativa de la AEPD imputa a la distribuidora la vulneración del principio de seguridad de los datos personales, establecido en el art. 9.1 de la LOPD. Argumenta que esta estaba obligada a adoptar, de manera efectiva, las medidas técnicas y organizativas que impidan el acceso no autorizado por parte de terceros a los datos personales que constan en sus ficheros y la entidad incumplió esta obligación como lo demuestra que las solicitudes de financiación fueran remitidas a la dirección del correo del denunciante, afirmando que en esta materia se impone una obligación de resultado. Por ello, la resolución impugnada considera que se ha cometido la infracción grave prevista en el art. 44.3 h) de la LOPD por la vulneración del principio de seguridad de los datos, recogido en el artículo 9.
La cuestión que reviste interés casacional consiste en determinar si las infracciones de la Ley de Protección de Datos por fallos de las medidas de seguridad que puedan cometer los empleados de una persona jurídica deben examinarse en atención al resultado y, por lo tanto, imputarse a la persona jurídica de la que dependa el empleado, con independencia de los medios y medidas de prevención que hubiera podido adoptar.
La Sala confirma que la obligación de adoptar las medidas necesarias para garantizar la seguridad de los datos personales no puede considerarse una obligación de resultado que implique que, producida una filtración de datos personales a un tercero, exista responsabilidad con independencia de las medidas adoptadas y de la actividad desplegada por el responsable del fichero o del tratamiento.
En las obligaciones de resultado existe un compromiso consistente en el cumplimiento de un determinado objetivo, asegurando el logro o resultado propuesto, en este caso garantizar la seguridad de los datos personales y la inexistencia de filtraciones o quiebras de seguridad.
En las obligaciones de medios, el compromiso que se adquiere es el de adoptar los medios técnicos y organizativos, así como desplegar una actividad diligente en su implantación y utilización que tienda a conseguir el resultado esperado con medios que razonablemente puedan calificarse de idóneos y suficientes para su consecución, por ello se las denomina obligaciones «de diligencia» o «de comportamiento». La diferencia radica en la responsabilidad en uno y otro caso, pues mientras que en la obligación de resultado se responde ante un resultado lesivo por el fallo del sistema de seguridad, cualquiera que sea su causa y la diligencia utilizada, en la obligación de medios basta con establecer medidas técnicamente adecuadas e implantarlas y utilizarlas con una diligencia razonable.
En estas últimas, la suficiencia de las medidas de seguridad que el responsable ha de establecer ha de ponerse en relación con el estado de la tecnología en cada momento y el nivel de protección requerido en relación con los datos personales tratados, pero no se garantiza un resultado.
En este sentido, en la actualidad, el art. 31 del Reglamento de la Unión Europea 2016/679, del Parlamento y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, establece, respecto a la seguridad del tratamiento, que las medidas técnicas y organizativas apropiadas lo son “teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas […]».
Y así debe interpretarse el artículo 9 de la derogada LOPD cuando establecía que: «1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural». No basta con diseñar los medios técnicos y organizativos necesarios, también es necesaria su correcta implantación y su utilización de forma apropiada, de modo que también responderá por la falta de la diligencia en su utilización, entendida como una diligencia razonable atendiendo a las circunstancias del caso.
Es un hecho no controvertido que fallaron las medidas de seguridad y los contratos de financiación de 14 particulares que contenían datos personales -nombres, domicilios, teléfonos, estado civil, familiares a cargo, ingresos, situación laboral, cargos, números de cuentas corrientes, importes financiados, mensualidades y la firma del contratante- se enviaron a un tercero ajeno a la relación contractual. La empresa denunciada apuntó, como explicación más probable, que una de las trabajadoras de la tienda, a la hora de rellenar el formulario de solicitud de financiación de algunos clientes, incluyó la dirección de correo electrónico del denunciante, correo que la trabajadora creyó inexistente al referirse a la provincia donde se encuentra situada la tienda, con la única intención de no ver bloqueado el procedimiento de financiación, dado que el sistema técnico diseñado no le permitía continuar con el contrato de financiación si no se introducía una dirección de correo electrónico.
Ya se ha razonado que la obligación que recae sobre el responsable del fichero y sobre el encargado del tratamiento respecto a la adopción de medidas necesarias para garantizar la seguridad de los datos de carácter personal no es una obligación de resultado sino de medios, sin que sea exigible la infalibilidad de las medidas adoptadas. Tan solo resulta exigible la adopción e implantación de medidas técnicas y organizativas, que conforme el estado de la tecnología y en relación con la naturaleza del tratamiento realizado y los datos personales en cuestión, permitan razonablemente evitar su alteración, pérdida, tratamiento o acceso no autorizado.
Pues bien, el programa utilizado para la recogida de los datos de los clientes no contenía ninguna medida de seguridad que permitiese comprobar si la dirección de correo electrónico introducida era real o ficticia y si realmente pertenecía a la persona cuyos datos estaban siendo tratados y prestaba el consentimiento para ello. El estado de la técnica en el momento en el que se produjeron estos hechos permitía establecer medidas destinadas a comprobar la veracidad de la dirección de email, condicionando la continuación del proceso a que el usuario recibiese el contrato en la dirección proporcionada y solo desde ella prestase el consentimiento necesario para su recogida y tratamiento. Medidas que no se adoptaron en este caso.
La propia empresa en el escrito de alegaciones presentado a la propuesta de resolución puso de manifiesto que el programa no disponía de un sistema de verificación del correo electrónico. En efecto, en el 2018 existía un sistema de verificación del correo electrónico conocido como «doble opt-in« consistente en un proceso de aceptación de unas normas o condiciones de uso cuyo principal objetivo es el de verificar que los usuarios son quienes dicen ser y no son ni robots creando suscripciones automáticas, ni correos spam, o terceras personas generando suscripciones fraudulentas utilizando correos electrónicos que no son de su propiedad. Se trata de un proceso de doble verificación que asegura que los usuarios han aceptado la política de tratamiento de datos y/o las condiciones de privacidad antes de recibir cualquier tipo de comunicación y evita que los documentos vayan a una dirección equivocada. En definitiva, se trata de comprobar que la información recogida es correcta y veraz.
La propia empresa recurrente considera este sistema como básico en materia de seguridad de la información añadiendo que «[…] sin duda hubiera evitado que se hubiera producido la fuga objeto de autos». Ello implica que las medidas técnicas adoptadas incumplían las condiciones de seguridad en los términos exigidos en el art. 9.1 de la LO 15/1999, incurriéndose, por tanto, en la infracción prevista en el art. 44.3.h) consistente en «Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen […]».
Se afirma que las medidas técnicas de seguridad referidas en el programa informático incumbían a quien diseñó el programa y era la responsable del fichero y del tratamiento, y que la empresa sancionada tan solo actuaba por cuenta de esta, recabando los datos de los clientes que optaban por la financiación. Lo cierto es que el encargado del tratamiento -la persona física o jurídica que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento art. 4 apartado 8 del Reglamento como el art. 3.g) de la LOPD 15/1999, y la recogida de datos implica un tratamiento (art. 3.c) -también deberá adoptar las medidas de índole técnica y organizativas necesarias para garantizar la seguridad de los datos de carácter personal, así lo dispone el art. 32.1 del Reglamento (UE) 2016/679 del Parlamento y del Consejo y el art. 9.1 de la LOPD y está sujeto al régimen sancionador establecido en la Ley (art. 43 dela LOPD 15/1999).
La empresa recurrente trataba los datos de los clientes por cuenta del responsable del fichero, por lo que implantó y utilizó dicho programa siendo conocedora, o hubiera debido serlo, de que este carecía de las medidas de seguridad necesarias para comprobar la veracidad y exactitud de la dirección de email a la que se enviaba la copia del contrato de financiación. Pero lo que es más importante, el programa de tratamiento de datos diseñado tampoco se utilizó de forma adecuada, lo cual hubiese evitado la filtración. La empresa encargada de recopilar los datos que se incluían en el fichero estaba obligada a controlar que no se burlaban las medidas de seguridad existentes para registrar los datos de los usuarios. Sin embargo, una empleada hizo un mal uso reiterado del programa. El hecho de que fuese la actuación negligente de una empleada no le exime de su responsabilidad en cuanto encargado de la correcta utilización de las medidas de seguridad que deberían haber garantizado la adecuada utilización del sistema de registro de datos diseñado.
Como ya se sostuvo en la STS nº 196/2020, de 15 de febrero de 2021 (rec. 1916/2020), el encargado del tratamiento responde también por la actuación de sus empleados y no puede excusarse en su actuación diligente, separadamente de la actuación de sus empleados, sino que es la actuación «culpable» de estos, consecuencia de la violación de las medidas de seguridad existentes la que fundamenta la responsabilidad de la empresa en el ámbito sancionador por actos «propios» de sus empleados o cargos, no de terceros.
Por último, resulta oportuno recordar que las personas jurídicas responden por la actuación de sus empleados o trabajadores. No se establece por ello una responsabilidad objetiva, pero sí es trasladable a la persona jurídica la falta de diligencia de sus empleados.
En consonancia con la AEPD y la Audiencia Nacional, el Tribunal Supremo confirma que no basta con diseñar los medios técnicos y organizativos necesarios. También es necesaria su correcta implantación y su utilización de forma apropiada, de modo que el responsable del tratamiento también responderá por la falta de la diligencia en su utilización.