Fins a l'entrada en vigor del GDPR, el criteri de l'AEPD pel que fa a les mesures de seguretat, tant tècniques com organitzatives a les entitats, era considerar que l'adopció i la implantació d'aquestes era una obligació de resultat, és a dir que la adopció d'aquestes mesures tenien com a fi últim evitar que les dades personals es perdessin, extraviessin o acabessin en mans de tercers, i si no s'aconseguia aquest resultat, se sancionava, amb independència de la diligència en l'adopció d'aquestes mesures per part de la organització, i tot això sobre la base de l'anterior normativa de protecció de dades (LOPD 15/1999 i RD 1720/2007).
A partir de l'entrada en vigor del GDPR, i així es desprèn dels darrers expedients resolts per l'AEPD en què es valoren les mesures de seguretat adoptades per les entitats, l'Agència comença a considerar l'adopció d'aquestes mesures com una obligació de mitjans i no de resultat, és a dir que aquestes mesures no sempre seran infal·libles, i per determinar el compliment normatiu pel que fa a aquestes s'haurà de valorar que l'entitat adopta mesures de seguretat adequades, i les implanta i utilitza amb una diligència raonable.
Recentment el Tribunal Suprem a la seva STS 543/2022,
sobre una bretxa de seguretat produïda en una companyia, per la qual l'AEPD hi imposava una sanció, ratifica el criteri seguit per l'AEPD a partir de l'entrada en vigor del GDPR, pel que fa a considerar l'adopció de mesures de seguretat com una obligació de mitjans i no de resultats.
El Suprem interpreta que no comet infracció qui adopta mesures de seguretat adequades, i les implanta i utilitza amb una diligència raonable, sense que sigui exigible la seva infal·libilitat. L'indicador principal per decidir quines mesures han de ser adoptades en cada cas a efectes de garantir el compliment normatiu i els drets i les llibertats dels titulars de les dades, serà el risc que presenti el tractament en qüestió.
Tot i això, en aquest cas el Suprem ha mantingut la sanció que imposava l'AEPD a la companyia, ja que considera que: