La Sala III del Tribunal Supremo ha concluido que la obligación de las empresas de garantizar la seguridad de los ficheros que contengan datos personales de sus clientes es de obligación y de no de medios, aunque “es exigible la adopción e implantación de medidas técnicas y organizativas, que conforme al estado de la tecnología y en relación con la naturaleza del tratamiento realizado y los datos personales en cuestión, permitan razonablemente evitar su alteración, pérdida, tratamiento o acceso no autorizado”.
En sentencia, la Sala confirma una sanción de 40.000 euros impuesta por la Agencia de Protección de Datos a una empresa distribuidora de productos de telefonía, como responsable de una infracción grave al permitir el acceso no autorizado por parte de terceros a solicitudes de financiación en las que figuraban datos personales de los clientes.
La Audiencia Nacional confirmó la sanción, y el Supremo admitió el recurso de casación de la empresa para responder a la cuestión de si las infracciones de la Ley de Protección de Datos por fallos de las medidas de seguridad que puedan cometer los empleados de una persona jurídica deben examinarse en atención al resultado y, por lo tanto, imputarse a la persona jurídica de la que dependa el empleado, con independencia de los medios y medidas de prevención que hubiera podido adoptar.
La Sala contesta y añade que “no basta con diseñar los medios técnicos y organizativos necesarios, también es necesaria su correcta implantación y su utilización de forma apropiada, de modo que la empresa también responderá por la falta de la diligencia en su utilización, entendida como una diligencia razonable atendiendo a las circunstancias del caso”.
En el supuesto examinado, el tribunal confirma la sanción a la empresa porque en el momento en que se produjeron los hechos, existían medidas técnicas referidas al proceso de registro, que hubiesen evitado la filtración de datos personales. Ello implica que las medidas técnicas adoptadas incumplían las condiciones de seguridad en los términos exigidos.
Por último, señala que el hecho de que fuese la actuación negligente de una empleada la que provocó la brecha de seguridad no le exime de responsabilidad a la empresa en cuanto encargada de la correcta utilización de las medidas de seguridad que deberían haber garantizado la adecuada utilización del sistema de registro de datos diseñado.
