Adopció de mesures de seguretat com una obligació de mitjans i no de resultats


Manuel Castilleja Toscano     04/03/2022

Fins a l'entrada en vigor del GDPR, el criteri de l'AEPD pel que fa a les mesures de seguretat, tant tècniques com organitzatives a les entitats, era considerar que l'adopció i la implantació d'aquestes era una obligació de resultat, és a dir que la adopció d'aquestes mesures tenien com a fi últim evitar que les dades personals es perdessin, extraviessin o acabessin en mans de tercers, i si no s'aconseguia aquest resultat, se sancionava, amb independència de la diligència en l'adopció d'aquestes mesures per part de la organització, i tot això sobre la base de l'anterior normativa de protecció de dades (LOPD 15/1999 i RD 1720/2007).

A partir de l'entrada en vigor del GDPR, i així es desprèn dels darrers expedients resolts per l'AEPD en què es valoren les mesures de seguretat adoptades per les entitats, l'Agència comença a considerar l'adopció d'aquestes mesures com una obligació de mitjans i no de resultat, és a dir que aquestes mesures no sempre seran infal·libles, i per determinar el compliment normatiu pel que fa a aquestes s'haurà de valorar que l'entitat adopta mesures de seguretat adequades, i les implanta i utilitza amb una diligència raonable.

Recentment el Tribunal Suprem a la seva STS 543/2022,

sobre una bretxa de seguretat produïda en una companyia, per la qual l'AEPD hi imposava una sanció, ratifica el criteri seguit per l'AEPD a partir de l'entrada en vigor del GDPR, pel que fa a considerar l'adopció de mesures de seguretat com una obligació de mitjans i no de resultats.

El Suprem interpreta que no comet infracció qui adopta mesures de seguretat adequades, i les implanta i utilitza amb una diligència raonable, sense que sigui exigible la seva infal·libilitat. L'indicador principal per decidir quines mesures han de ser adoptades en cada cas a efectes de garantir el compliment normatiu i els drets i les llibertats dels titulars de les dades, serà el risc que presenti el tractament en qüestió.

Tot i això, en aquest cas el Suprem ha mantingut la sanció que imposava l'AEPD a la companyia, ja que considera que:

  • El sistema utilitzat per la companyia per demanar les dades dels clients no incloïa cap mesura de seguretat que permetés comprovar si l'adreça de correu electrònic introduïda era real o no.
  • • No es podia corroborar si la informació realment pertanyia a la persona les dades de la qual estaven sent tractades i que en prestava el consentiment, malgrat que, en aquells moments, la tecnologia ja disposava d'eines per facilitar aquesta tasca d'identificació.
  • • El fet que fos una persona treballadora qui provoqués la bretxa no eximeix la companyia de la seva responsabilitat, ja que és qui ha de supervisar la utilització correcta de les mesures.
  • • No n'hi ha prou amb adoptar mesures tècniques i organitzatives adequades i necessàries, és fonamental de la mateixa manera la seva correcta implantació i la seva utilització de manera apropiada, de manera que també respondrà la companyia per la manca de la diligència en la seva utilització.