Han pasado cuatro meses de la Sentencia del Tribunal Supremo de fecha 15 de febrero de 2022, dictada a raíz de un recurso interpuesto por Auris Advocats, y mediante la que el alto Tribunal fijó jurisprudencia acerca de cómo debe interpretarse la normativa en materia de protección de datos en relación con la obligación de implantar una serie de medidas de seguridad para proteger la información de la empresa.
Numerosos y prestigiosos expertos en materia de Protección de datos se han hecho eco de esta Sentencia, y existe unanimidad en destacar la importancia de esta y las consecuencias que tiene a la hora de afrontar una correcta implantación de medidas, que nos garantice que no vamos a ser sancionados en caso de sufrir una incidencia y/o una inspección.
Recordemos que la cuestión principal radicaba en si la obligación de implantar medidas de seguridad para proteger los datos se trataba de una obligación de medios o de resultado. Mientras la Agencia Española de Protección de Datos, avalada por la Audiencia Nacional, afirmaban que se trataba de una obligación de resultado (lo que conllevaba que por mucho que la empresa implantara medidas sería sancionada sí o si en caso de que se produjera una brecha de seguridad), Auris llegó hasta el alto Tribunal defendiendo que se trata de una obligación de medios y, por lo tanto, si se produce una brecha pero los medios se han implantado correctamente, la empresa no debe ser sancionada.
A pesar de que el TS acogió íntegramente en su Sentencia nuestro razonamiento y se posicionó claramente por el deber de medios, incluyó tres cuestiones muy importantes y que deberán ser tenidas en cuenta a la hora de adoptar los medios necesarios:
1.- El Tribunal Supremo confirma que no basta con diseñar los medios técnicos y organizativos necesarios. También es necesaria su correcta implantación y su utilización de forma apropiada, de modo que el responsable del tratamiento también responderá por la falta de la diligencia en su utilización.
Si lo relacionamos con uno de los principios básicos del RGPD, que es la implantación de medidas desde el diseño y por defecto, ya no cabe duda de que para cumplir con la normativa no basta con implantar una serie de medidas de seguridad, sino que deberemos poder demostrar una diligencia constante, mediante comprobaciones periódicas de que las medidas funcionan, y documentar estas comprobaciones. También deberá analizarse, en función de cada caso concreto, cuáles son las medidas adecuadas, no sólo técnicas, sino también organizativas, formativas y contractuales.
2.- El Tribunal Supremo afirma que cuando somos Encargados de Tratamiento (cuando tratamos datos de terceras empresas por subcontratación) también deberemos adoptar las medidas de índole técnica y organizativas necesarias para garantizar la seguridad de los datos de carácter personal, ello con independencia de que el sistema le venga impuesto íntegramente por el responsable. El Encargado de Tratamiento deberá evaluar también las herramientas proporcionadas o impuestas por el responsable, deberá detectar si el sistema carece de las medidas adecuadas y, en caso de que así sea, deberá abstenerse de utilizarlo o buscar o promover alternativas.
Cuando optamos por la subcontratación de servicios, o cuando compartimos el tratamiento de datos con un tercero, es muy importante elegir colaboradores que garanticen niveles de cumplimiento adecuados, porque en caso de no cumplir uno de ellos y se produzca una brecha, es muy posible que se sancione a todos los intervinientes en el tratamiento.
3.- Se pronuncia sobre la necesidad de implantar el sistema de doble opt-in o sistema de verificación del correo electrónico, entendiendo que es un sistema de doble verificación que asegura que los usuarios que han aceptado la política de privacidad antes de recibir cualquier tipo de comunicación, evitando que la información vaya a una dirección equivocada. En definitiva, se trata de un medio para comprobar que la información recogida es correcta y veraz que el TS considera necesaria, ya que en caso de no estar se estaría incumpliendo la obligación de medios en los términos establecidos por la legislación.
Todo lo anterior obliga a las empresas a preguntarse si lo está haciendo correctamente y está preparada para el caso de sufrir una brecha y/o una inspección:
- ¿Tengo implantadas las medidas de Seguridad (técnicas, organizativas, formativas) adecuadas?
- ¿Puedo acreditar que compruebo periódicamente su eficacia?
- ¿Qué medidas cumplen mis clientes, colaboradores o proveedores con los que comparto un tratamiento de datos?
En Auris hemos habilitado un cuestionario de diagnóstico de cumplimiento que puede resultar de ayuda: Acceder al cuestionario.
Los cuestionarios 3 y 4 se refieren a las medidas de seguridad.