La protección que actualmente se otorga a los datos de carácter personal de las personas físicas impone a las empresas una serie de obligaciones destinadas a garantizar su seguridad, con el fin de evitar que sean extraviados o cedidos a terceros.
Sin embargo, la normativa de protección de datos no establece de manera suficientemente clara el alcance de las obligaciones impuestas a las personas jurídicas. El debate que se plantea es si es suficiente que las mercantiles adopten todas las medidas de seguridad que estén a su alcance o si, por otro lado, la normativa impone a la empresa la obligación de evitar en todo caso el tratamiento inadecuado de los datos, es decir, que la medida sea efectiva.
En otras palabras, existe una controversia consistente en si la normativa impone a las empresas una obligación de medios o de resultado.
En relación con este supuesto, se ha pronunciado recientemente el Tribunal Supremo, Sala de lo Contencioso-Administrativo, en su Sentencia nº188/2022 de 15 de febrero.
En este supuesto, el Alto Tribunal analiza la sanción impuesta por la AEPD y confirmada por la Audiencia Nacional a la empresa COMMCENTER, como encargada del tratamiento de los datos personales de los clientes de la empresa TELEFÓNICA CONSUMER FINANCE.
En concreto, algunos clientes de la financiera cedieron sus datos personales a COMMCENTER en aras a solicitar financiación. Sin embargo, una empleada de la mercantil encargada de recopilar los datos introdujo una dirección de email falsa debido a que el proceso de contratación no permitía continuar sin introducir una dirección de correo para cada cliente.
La empleada, intuyendo que la cuenta de email era inexistente, en realidad estaba remitiendo los contratos financieros con los datos personales de los clientes a un tercero.
El Supremo, en su Sentencia, a pesar de confirmar la sanción de 40.000 euros, difiere de la AEPD y la Audiencia Nacional, al entender que la obligación de la empresa encargada de tratar los datos es una obligación de medios y no de resultado. Por ello, lo que se debe entrar a valorar es si la mercantil implementó las medidas de seguridad necesarias en aras a evitar la cesión de los datos a un tercero.
Como bien razona la resolución, la empresa no será culpable, si ante un hecho imprevisible se crea una brecha de seguridad que el sujeto no hubiera podido evitar siquiera aplicando las más estrictas medidas.
Sin embargo, motiva el Supremo que, en el año 2018, cuando sucedieron los hechos, existía un sistema de verificación de correo electrónico. Era el llamado doble opt-in, el cual permitía verificar que los usuarios eran quienes decían ser, y no robots que creaban suscripciones automáticas o terceras personas. Este sistema, hubiese impedido a la empleada introducir una dirección existente errónea, y, por tanto, se hubiese evitado la cesión de los datos de los clientes a un tercero.
Por ello, entiende el Alto Tribunal que la mercantil encargada del tratamiento de los datos no empleó todas las medidas que estaban a su alcance para evitar que la información personal de los perjudicados se cediese.
Ni siquiera las alegaciones relativas al error de la empleada o a que los perjudicados firmaron el documento impidieron la sanción impuesta. Entra el Supremo a valorar, que tales hechos son valorables a la hora de cuantificar la sanción, pero no al objeto de decidir la procedencia de la misma.
En definitiva, pese a la posible ambigüedad jurídica en los términos expresados en la normativa aplicable, las empresas deben estar al corriente de las últimas tecnologías en materia de tratamiento de datos personales. Todo ello en la medida en que, a la hora de valorar la procedencia de sanciones, los organismos públicos y los tribunales valorarán si se han empleado los medios necesarios para evitar el tratamiento inadecuado, con independencia de la efectividad real de la medida.
También puede interesarte
