Como avanzamos en anteriores publicaciones, el pasado mes de mayo el Tribunal Supremo nos admitió un recurso de casación para determinar si la protección de datos es una obligación de medios o de resultado, enfocándose especialmente en las obligaciones establecidas en relación con la necesaria implantación de medidas de seguridad que mantenga los datos protegidos frente ataques externos o pérdidas fortuitas.
La Sentencia de la Audiencia Nacional recurrida establecía una clarísima obligación de resultado, indicando literalmente lo siguiente:
“Hemos considerado, en consecuencia, que se impone una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen, o acaben en manos de terceros [… ] y por tanto debe dar una explicación adecuada y razonable de cómo los datos personales han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas”
Esta parte argumentó en su recurso que esta obligación de resultado entra en contradicción con la legislación y jurisprudencia, que vienen a establecer una obligación de medios, considerando que el sujeto obligado a cumplir con la normativa de protección de datos debe diseñar e implantar una serie de medidas de seguridad para no ser sancionado, y si las cumple, no lo será, al margen de que por un hecho fortuito o un acontecimiento de imposible previsión se cree una brecha de seguridad que el sujeto no hubiera podido evitar siquiera aplicando las más estrictas medidas.
El abogado del estado, contestando al recurso en nombre de la AGPD, también se decantó por una obligación de resultado, de modo que, a su juicio, no basta con hacer los mejores esfuerzos, sino que cuando se produce una brecha, como aquí ha ocurrió, se produce un resultado lesivo para los afectados siempre y en todo caso.
El Tribunal Supremo dicta Sentencia con fecha 15 de febrero de 2022 y se pronuncia acogiendo íntegramente los argumentos aducidos por esta parte, posicionándose sin dudar por que se trata de una obligación de medios, alegando literalmente lo siguiente:
La obligación de adoptar las medidas necesarias para garantizar la seguridad de los datos personales no puede considerarse una obligación de resultado, que implique que, producida una filtración de datos personales a un tercero, exista responsabilidad con independencia de las medidas adoptadas y de la actividad desplegada por el responsable del fichero o del tratamiento. (…)
La diferencia radica en la responsabilidad en uno y otro caso, pues mientras que en la obligación de resultado se responde ante un resultado lesivo por el fallo del sistema de seguridad, cualquiera que sea su causa y la diligencia utilizada, en la obligación de medios basta con establecer medidas técnicamente adecuadas e implantarlas y utilizarlas con una diligencia razonable.
En estas últimas, la suficiencia de las medidas de seguridad que el responsable ha de establecer ha de ponerse en relación con el estado de la tecnología en cada momento y el nivel de protección requerido en relación con los datos personales tratados, pero no se garantiza un resultado.
A pesar de que el TS acoge íntegramente en su Sentencia nuestro razonamiento y se posiciona claramente por el deber de medios, es importante prestar atención a como resuelve el caso concreto, puesto que, a pesar de entender que esta parte tiene razón en cuanto al fondo, mantiene íntegramente la sanción impuesta por la AEPD. Este pronunciamiento es importante porque se pronuncia sobre tres cuestiones muy importantes y que deberán ser tenidas en cuenta a la hora de adoptar los medios necesarios:
1.- El Tribunal Supremo confirma que no basta con diseñar los medios técnicos y organizativos necesarios. También es necesaria su correcta implantación y su utilización de forma apropiada, de modo que el responsable del tratamiento también responderá por la falta de la diligencia en su utilización.
2.- Nuestro representado es sancionado como “Encargado de Tratamiento”, que utiliza un sistema de toma de datos proporcionado, impuesto, controlado y diseñado por el Responsable del Tratamiento (Financiera). LA STS estima que esto no es una circunstancia eximente ni siquiera atenuante para el Encargado, puesto que éste también deberá adoptar las medidas de índole técnica y organizativas necesarias para garantizar la seguridad de los datos de carácter personal, ello con independencia de que el sistema le venga impuesto íntegramente por el Responsable. Dice que el Encargado de Tratamiento deberá evaluar también las herramientas proporcionadas o impuestas por el Responsable, deberá detectar si el sistema carece de las medidas adecuadas y, en caso de que así sea, deberá abstenerse de utilizarlo o buscar o promover alternativas.
3.- Se pronuncia sobre la necesidad de implantar el sistema de doble opt-in o sistema de verificación del correo electrónico, entendiendo que es un sistema de doble verificación que asegura que los usuarios que han aceptado la política de privacidad antes de recibir cualquier tipo de comunicación, evitando que la información vaya a una dirección equivocada. En definitiva, se trata de un medio para comprobar que la información recogida es correcta y veraz que el TS considera necesaria, ya que en caso de no estar se estaría incumpliendo la obligación de medios en los términos establecidos por la legislación.
A pesar de mantener la sanción, el TS elimina las costas de instancia y no condena a ninguna de las partes, por entender que, aunque se confirma finalmente la sanción impuesta y el resultado del proceso en instancia, la cuestión controvertida planteaba serias dudas de derecho sobre la naturaleza de las obligaciones de seguridad en materia de protección de datos, de hecho se acoge la argumentación de la parte referida a que nos encontramos ante una obligación de medios y no de resultado, aunque ello no se traduzca en la anulación de la sanción impuesta.
Muchos medios se han hecho eco de esta Sentencia, como por ejemplo Confilegal.
Xavier Saula
Abogado y Socio Cofundador de Auris Advocats
Laura Bachs
Abogada Dept. LegalTech