01/03/2022

El alcance de la responsabilidad de las empresas en caso de brecha de seguridad.

  • Las empresas están obligadas a implantar las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales, así como a velar por su correcta aplicación.
  • La responsabilidad de una brecha de seguridad causada por un empleado podrá atribuirse a la persona jurídica cuando exista falta de diligencia por su parte en la implantación y utilización de las medidas de seguridad.

Recientemente, la Sala de lo Contencioso-Administrativo del Tribunal Supremo ha dictado sentencia confirmando una sanción de 40.000 euros impuesta por la Agencia Española de Protección de Datos a una distribuidora de productos de telefonía por permitir el acceso no autorizado por parte de terceros a varias solicitudes de financiación donde constaban nombres y apellidos de clientes, datos económicos, datos bancarios y firmas. El tribunal confirmó la sanción porque el programa que recogía los datos de los clientes no tenía implantada medida de seguridad alguna que permitiese comprobar si la dirección de correo electrónico introducida era real o ficticia, y si realmente pertenecía a la persona cuyos datos estaban siendo tratados y que prestaba el consentimiento.

No obstante, el Tribunal Supremo ha aclarado en la citada resolución que la obligación de las empresas de garantizar la seguridad de los datos de carácter personal de sus clientes es de medios, y no de resultado, por lo que sería suficiente con aplicar medidas técnicamente adecuadas y utilizarlas de forma razonable. Apunta también que la ley exige la adopción e implantación de medidas técnicas y organizativas que, considerando la tecnología y la naturaleza de los datos, permitan razonablemente evitar su alteración, pérdida, tratamiento o acceso no autorizado.

Además, el citado órgano admitió el recurso de casación formulado por la compañía de telefonía con la finalidad de aclarar si las infracciones de la Ley de Protección de Datos por fallos de las medidas de seguridad cometidos por los empleados deben examinarse en atención al resultado. Si ello fuera así, dichas brechas de seguridad serían imputables a la empresa a la que pertenece el trabajador, con independencia de los medios y medidas de prevención que la compañía hubiera podido adoptar. Es por ello que la obligación de adoptar medidas necesarias para garantizar la seguridad de los datos personales no puede considerarse de resultado, pues de lo contrario se haría responsable a las empresas de forma automática.

Sin embargo, el Tribunal Supremo establece que no basta con diseñar los medios técnicos y organizativos necesarios, sino que también se debe trabajar en su correcta implantación y su utilización de forma apropiada, o de lo contrario, la persona jurídica será responsable por su falta de diligencia. En consecuencia, advierte de que el hecho de que un empleado provoque una brecha de seguridad no exime a la empresa de responsabilidad, puesto que la compañía es la encargada última de la correcta utilización de las medidas que deberían haber garantizado el uso del sistema de tratamiento y registro de datos de carácter personal.