Garantizar la seguridad y privacidad de los tratamientos que contengan datos personales es una cuestión “de medios y no de resultados”, así lo establece el Tribunal Supremo en una sentencia tras penalizar a una empresa distribuidora de telefonía a una sanción de 40.000 euros impuesta por la Agencia Española de Protección de Datos.

El Supremo la acusa como responsable de una infracción grave, al no evitar el acceso no autorizado por parte de terceros “de al menos catorce solicitudes de financiación, en la que figuraban datos personales de los clientes como nombre y apellidos, datos económicos, de domiciliación bancaria y firma” según detalla la sentencia. El Supremo establece en su sentencia que la obligación de las empresas es adoptar las medidas necesarias para garantizar la seguridad de los datos personales ya que, por ley, les “es exigible la adopción e implantación de medidas técnicas y organizativas que permitan razonablemente evitar su alteración, pérdida, tratamiento o acceso no autorizado”, argumenta en su resolución.

El Supremo ha arrojado luz acerca de si las medidas de seguridad de los datos son obligaciones de medios u obligaciones de resultado, o dicho desde un punto de vista práctico, sobre si las infracciones de la Ley de Protección de Datos, por fallos de las medidas de seguridad, que puedan cometer los empleados de una persona jurídica, deben examinarse en atención al resultado y, por lo tanto, imputarse a la empresa de la que depende el trabajador, con independencia de los medios y medidas de prevención que hubiera podido adoptar.

En este sentido, el Alto Tribunal concluye que las empresas tienen la obligación de garantizar la seguridad de los ficheros que contengan datos personales de sus clientes, por lo que deben adoptar “los medios técnicos y organizativos, así como desplegar una actividad diligente en su implantación y utilización que tienda a conseguir el resultado esperado con medios que razonablemente puedan calificarse de idóneos y suficientes para su consecución”.

En conclusión, esta sentencia es relevante por esclarecer tres escenarios que anteriormente no han sido abordados como hasta ahora:

– Por un lado, se confirma como señala la AEPD, la Audiencia Nacional y el Tribunal Supremo, que se debe habilitar el sistema doble opt-in, que asegure que los usuarios han aceptado la política de privacidad antes de recibir cualquier comunicación o sistema de verificación de correo electrónico, como medio de comprobación de que la información recogida es correcta y veraz, asegurar que los usuarios que han aceptado la política de privacidad antes  de recibir cualquier tipo de comunicación y evitar que la información vaya a una dirección equivocada.

– Por otro, determina que el cumplimiento con la Ley de Protección de Datos es una obligación de medios y no de resultados, esto quiere decir que el cumplimiento de la seguridad de los datos debe procurarse en todo momento desde el diseño de las medidas técnicas y organizativas de seguridad, como implantación correcta, así como la utilización apropiada y diligente en todo momento.

–  Por último, que al encargado de tratamiento no se le aplica ningún eximente por seguir las directrices e indicaciones del responsable, por lo que, Encargado y Responsable deben adoptar las medidas necesarias para garantizar la seguridad de los datos de carácter personal, evaluando cada uno las herramientas proporcionadas entre ellos, detectando si carecen de las medidas adecuadas y en ese caso abstenerse de utilizarlas o promover alternativas.