La obligación de adoptar las medidas necesarias para garantizar la seguridad de los datos personales no puede considerarse una obligación de resultados sino de los medios empleados, según determina el Tribunal Supremo en sentencia de 15 de febrero de 2022.
Una vez que se produce una filtración de datos personales a un tercero no existe responsabilidad independendiernte de las medidas adoptadas y de la actividad desplegada por el responsable del fichero o del tratamiento.
El ponente, el magistrado Córdoba Castroverde, razona que, en el supuesto examinado, el tribunal confirma la sanción a la empresa, de 40.000 euros, porque "el programa utilizado para la recogida de los datos de los clientes no contenía ninguna medida de seguridad que permitiese comprobar si la dirección de correo electrónico introducida era real o ficticia y si realmente pertenecía a la persona cuyos datos estaban siendo tratados y prestaba el consentimiento para ello.
Señala el ponente, que es cierto que los clientes afectados firmaron el formulario con la dirección de correo electrónico falsa, circunstancia que puede se ser tomada en consideración para graduar la sanción, pero que ni excluye la responsabilidad de la empresa ni puede encuadrase como una disminución sensible de su antijuricidad, a la que le sea aplicable el artículo 45.5 de la Ley Orgánica de Protección de Datos (LOPD), pues no puede considerarse que el cliente indujese a la comisión de la infracción, máxime cuando ese comportamiento y la dirección se ha reiterado en otros muchos clientes.
El estado de la técnica en el momento en el que se produjeron estos hechos permitía establecer medidas destinadas a comprobar la veracidad de la dirección de email, condicionando la continuación del proceso a que el usuario recibiese el contrato en la dirección proporcionada y solo desde ella prestase el consentimiento necesario para su recogida y tratamiento. Medidas que no se adoptaron en este caso".
Es decir, explica Córdoba Castroverde, que en el momento en que se produjeron estos hechos, existían medidas técnicas referidas al proceso de registro, que hubiesen evitado la filtración de datos personales producida. Ello implica que las medidas técnicas adoptadas incumplían las condiciones de seguridad en los términos exigidos.
Por último, la Sala señala que el hecho de que fuese la actuación negligente de una empleada la que provocó la brecha de seguridad no le exime de responsabilidad a la empresa en cuanto encargada de la correcta utilización de las medidas de seguridad que deberían haber garantizado la adecuada utilización del sistema de registro de datos diseñado.
Relacionados
- El Tribunal Constitucional avala la legalidad de que el BOE publique datos personales sobre una sanción administrativa
- La Administración que mantiene datos en el certificado de nacimiento previos a una reasignación de género no viola los derechos humanos
- Protección de Datos publica una lista de verificación para ayudar en las evaluaciones de impacto
- Las multas por Protección de Datos aumentan un 521% durante 2021
