La Sala III del Tribunal Supremo ha determinado que la responsabilidad de las empresas en cuanto a garantizar la seguridad de los archivos que albergan datos personales de sus clientes se basa en la implementación de medidas de carácter técnico y organizativo, siendo esta una obligación de medios y no de resultado. Sin embargo, se enfatiza que se espera que estas medidas sean lo suficientemente adecuadas para prevenir razonablemente la alteración, pérdida, tratamiento o acceso no autorizado de los datos.
En una sentencia en la que el magistrado Diego Córdoba fue el ponente, la Sala ratificó una multa de 40.000 euros impuesta por la Agencia de Protección de Datos a una empresa distribuidora de productos de telefonía por una infracción grave, al permitir el acceso no autorizado de terceros a al menos 14 solicitudes de financiación que contenían datos personales de clientes, como nombres, apellidos, información económica, domicilios bancarios y firmas.
La Audiencia Nacional confirmó la sanción, y el Tribunal Supremo aceptó el recurso de casación de la empresa para abordar si las infracciones de la Ley de Protección de Datos derivadas de fallos en las medidas de seguridad realizadas por empleados de una persona jurídica deben ser examinadas bajo la premisa del resultado y, por ende, imputadas a la persona jurídica empleadora, independientemente de los medios y medidas preventivas que esta haya podido adoptar.
La Sala responde que la obligación de implementar las medidas necesarias para garantizar la seguridad de los datos personales no puede considerarse una obligación de resultado. Esto significa que, ante una filtración de datos personales a un tercero, la responsabilidad no recae automáticamente en la persona jurídica responsable del fichero o tratamiento, sino que también se debe considerar la adecuada implantación y utilización de dichas medidas de seguridad.
En el caso analizado, el tribunal confirma la multa a la empresa debido a que el programa utilizado para recopilar los datos de los clientes no incluía ninguna medida de seguridad para verificar la autenticidad de las direcciones de correo electrónico. Esto implica que, en el momento de los hechos, existían medidas técnicas que podrían haber evitado la filtración de datos personales.
Finalmente, la Sala subraya que la negligencia de una empleada que provocó la brecha de seguridad no exime de responsabilidad a la empresa, que tenía la responsabilidad de garantizar la correcta utilización de las medidas de seguridad implementadas.
Consejo de Lazarus Lex
Por ello, desde Lazarus Lex les faciitamos los siguientes consejos para evitar las temibles sanciones de la Agencia Española de Protección de Datos:
1. Implementa medidas de seguridad adecuadas
Asegúrate de implementar medidas técnicas y organizativas apropiadas para proteger los datos personales de tus clientes. Esto incluye firewalls, cifrado de datos, sistemas de detección de intrusiones y políticas de acceso restringido.
2. Realiza evaluaciones de riesgos de forma regular
Realiza evaluaciones periódicas de riesgos de seguridad de la información para identificar posibles vulnerabilidades y amenazas. Esto te permitirá tomar medidas preventivas adecuadas.
3. Proporciona formación en seguridad de datos
Educa a tus empleados sobre la importancia de la seguridad de los datos y proporciona formación específica sobre las políticas y procedimientos de seguridad de la información de tu empresa.
4. Establece políticas de seguridad claras
Implementa políticas de seguridad de la información claras y específicas que regulen el acceso, el uso y la protección de los datos personales de los clientes.
5. Mantén actualizados tus sistemas y software
Asegúrate de mantener actualizados todos los sistemas operativos, software y aplicaciones utilizados en tu empresa con los últimos parches de seguridad y actualizaciones.
6. Realiza auditorías internas de seguridad
Lleva a cabo auditorías internas de seguridad de forma regular para garantizar el cumplimiento de las políticas y procedimientos de seguridad de la información de tu empresa.
7. Implementa un plan de respuesta a incidentes
Desarrolla un plan de respuesta a incidentes detallado que establezca los procedimientos a seguir en caso de una brecha de seguridad de datos. Esto te permitirá responder de manera rápida y eficaz en caso de emergencia.
8. Mantén un registro de las actividades de tratamiento de datos
Lleva un registro detallado de todas las actividades de tratamiento de datos personales, incluyendo quién accede a los datos, cuándo y con qué propósito.
9. Garantiza la privacidad por diseño y por defecto
Integra la privacidad desde el diseño de tus productos y servicios, y asegúrate de que la configuración por defecto protege la privacidad de los usuarios.
10. Cumple con la normativa de protección de datos
Mantente al tanto de las leyes y regulaciones de protección de datos pertinentes, como el Reglamento General de Protección de Datos (GDPR) en la Unión Europea, y asegúrate de cumplir con todos sus requisitos.
Siguiendo estos consejos y manteniendo un enfoque proactivo en la seguridad de la información, podrás reducir significativamente el riesgo de enfrentarte a sanciones por infracciones relacionadas con la protección de datos personales.
