El Tribunal Supremo nos admite un recurso de casación para determinar si la protección de datos es una obligación de medios o de resultado. Para un jurista es siempre un orgullo contribuir a crear Jurisprudencia. Y hemos llegado al Supremo con una cuestión que entendemos vital en materia de protección de datos:¿La protección de datos es una obligación de medios o de resultado?
La respuesta a esta cuestión, jamás abordada por el Tribunal Supremo, tiene una importancia capital para afrontar el cumplimiento de todas las medidas que establece la normativa vigente en materia de protección de datos. ¿Puede estar tranquilo el empresario que cumple escrupulosamente con la normativa incluso si por una circunstancia impredecible y ajena a su voluntad se produce una brecha de seguridad? O bien el resultado lesivo implicará en cualquier caso una sanción.
Desde nuestra experiencia profesional siempre hemos dado por hecho que la legislación de materia de protección de datos desarrolla normas de cumplimiento normativo y que, por lo tanto, impone un deber de medios, no de resultado. Sin embargo, la experiencia de un cliente nuestro parece contradecir esta teoría.
Hace aproximadamente tres años, se produjo en el seno de su organización una brecha de seguridad, derivada de un error humano impredecible, imputable a un empleado que había recibido formación específica en materia de LOPD, que había recibido manuales de conducta desarrollando las medidas, que había firmado un compromiso de confidencialidad, que tenía años de experiencia y que siempre había sido escrupuloso en el tratamiento de datos personales que tenia delegado. Cometió un error a la hora de enviar información a una dirección de correo electrónico equivocada, permitiendo que un destinatario no autorizado recibiera copia de 14 expedientes con datos personales de los clientes de la organización.
El receptor de dicha información interpuso denuncia en la AGPD y, tras una inspección, ésta sancionó a la empresa con una multa de 40.000 euros por considerar que el resultado lesivo implicaba que se había cometido la infracción, por “no adoptar las medidas técnicas y organizativas necesarias previstas, entre ellas, la adopción de medidas específicamente destinadas a impedir el acceso no autorizado por parte de terceros a los datos personales de sus ficheros”. A pesar de este razonamiento, la AGPD nunca indicó cuales eran las medidas que debían haberse implementado y que nuestro representado había obviado, centrándose completamente en que el resultado lesivo implicaba que “no eran suficientes”.
Tras infructuosos recursos administrativos se interpuso demanda frente a la Audiencia Nacional, quién la desestimó por considerar, literalmente, que se impone una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen, o acaben en manos de terceros (…) y por tanto debe dar una explicación adecuada y razonable de cómo los datos personales han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas, pues también es responsable de que las mismas se cumplan con rigor.
En definitiva, la Sentencia (igual que las resoluciones administrativas emitidas por la AGPD) considera insuficientes por inoperantes todas las medidas de seguridad que hayan podido aplicarse a tenor de lo dispuesto por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, siempre que tenga lugar una brecha de seguridad de los datos, sea ésta de la naturaleza que sea. Es irrelevante plantearse si las medidas acreditadas eran todas las que se podían tomar por el mero hecho de que ha existido una fuga. En ningún caso se entra a valorar o a cuestionarse si las medidas que se ha acreditado tener implementadas eran las que se esperaba de nuestro representado en cumplimiento de la normativa, y ésta había seguido estrictamente no sólo lo que imponía la Ley, sino también las propias resoluciones y guías publicadas por la Agencia de Protección de datos.
Dicha obligación de resultado invalida de facto todo esfuerzo e inversión tecnológica y organizativa que pudiere ser implementado en materia de seguridad de los datos. Cumplir con los todos y cada uno de requisitos de seguridad que dispone la LOPD y su reglamento, no resulta de incidencia alguna llegado el momento de establecer el grado de incumplimiento normativo y su correspondiente sanción. Ni siquiera para graduar la sanción, algo que parece sorprendente.
Interposición de recurso de casación ante el Tribunal Supremo
Por todo ello se interpuso recurso de casación ante el Tribunal Supremo, alegando que la afirmación de la Audiencia Nacional de que se impone un deber de resultado se contradice con lo que parece desprenderse de la normativa vigente en materia de protección de datos y de otras resoluciones del mismo Tribunal. Además, alegamos que la cuestión de si se impone un deber de medios o de resultado reviste un interés general más allá del caso concreto. El Tribunal Supremo, mediante Auto de fecha 8 de Abril de 2021, nos admite el recurso, al entender lo siguiente:
La cuestión de interés casacional que plantea la recurrente consiste en determinar si las infracciones de la Ley de Protección de Datos por fallos de las medidas de seguridad que puedan cometer los empleados de una persona jurídica, deben examinarse en atención al resultado y, por lo tanto, imputarse a la persona jurídica de la que dependa el empleado, con independencia de los medios y medidas de prevención que hubiera podido adoptar. Y la cuestión así planteada no carece manifiestamente de interés casacional objetivo y plantea una cuestión jurídica de alcance general que trascienden del caso objeto del proceso, por lo que procede la admisión del recurso.
Esperamos impacientes la Sentencia del Supremo que aclare esta materia, puesto que, sin duda, esta puede cambiar por completo la perspectiva que tienen los obligados a implantar medidas concretas en cumplimiento de la legislación vigente en materia de Protección de Datos.
Xavi Saula
xavi@aurisadvocats.com
Especialidades:
Área procesal civil y mercantil
Concursal
Nuevas tecnologías
Gestión de impagos y morosidad