El pasado mes de febrero, el Tribunal Supremo, ratificó la sanción impuesta a una empresa por la Agencia Española de Protección de Datos (AEPD) por incumplimiento del artículo 9.1 de la, ya derogada, LOPD 15/1999, equivalente al artículo 32 RGPD, incurriendo en la infracción consistente en «Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen […]».
Adopta medidas y garantiza la seguridad de la información
A estas alturas no reviste novedad el hecho de que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, Reglamento General de Protección de Datos o RGPD) exige un enfoque preventivo, y no reactivo, por parte de las organizaciones en lo que al tratamiento de datos se refiere, o lo que es lo mismo, la imposición de obligaciones de medios en virtud de las cuales dichas organizaciones se comprometen a actuar diligentemente a efectos de lograr un resultado común: garantizar la seguridad de la información tratada.
Todo ello encuentra su justificación en que el riesgo cero no existe, por lo que una obligación de resultados que comprometa a una entidad a la consecución de un objetivo, independientemente de los esfuerzos realizados en actuar de forma diligente, no tiene cabida, y así lo afirma el Tribunal Supremo (TS) en su reciente sentencia 188/2022 del pasado 15 de febrero. Dichos esfuerzos han de materializarse en la adopción de medidas dirigidas a garantizar el nivel de seguridad adecuado al riesgo en cada caso, de acuerdo con lo dispuesto en el artículo 32 RGPD, no siendo exigible a ninguna organización, tal y como afirma el TS, la adopción de medidas infalibles sino que “tan solo resulta exigible la adopción e implantación de medidas técnicas y organizativas, que conforme al estado de la tecnología y en relación con la naturaleza del tratamiento realizado y los datos personales en cuestión, permitan razonablemente evitar su alteración, pérdida, tratamiento o acceso no autorizado”.
¿Cómo evitar sanciones por incumplimiento?
Con ello, a efectos de evitar sanciones por falta de diligencia en este sentido, tanto Responsables como Encargados del tratamiento, han de concentrar esfuerzos en diseñar e implantar medidas de seguridad suficientes y adecuadas, que logren evitar eventuales brechas de seguridad o por lo menos minimizar su impacto, así como en acreditar su riguroso cumplimiento; en particular, aludiendo a la sentencia que protagoniza este post, queremos hacer hincapié en la importancia de formar a las personas de cada organización en materia de protección de datos, pues la esencia de la actuación de una persona jurídica es que lo que hace a través de personas físicas, por lo que la actuación de estas se trasmite a aquella directamente, y es por ello que será la persona jurídica quien responda de la actuación poco diligente de uno de sus trabajadores.
Conclusiones
Cabe destacar la importancia de valorar el estado de la técnica en los procesos de determinación de medidas de seguridad. Dado el carácter dinámico del contexto en el que se desarrollan la mayoría de tratamientos de datos de carácter personal, en especial gracias a los constantes avances tecnológicos, las posibilidades de consolidar garantías de seguridad en nuestros tratamientos son cada vez mayores. Por este motivo se debe hacer uso de ellas siempre que esto no suponga un esfuerzo desproporcionado. No obstante, la otra cara de la moneda es que, de forma directamente proporcional, aumentan los riesgos, por lo que las organizaciones han de formalizar procedimientos de mejora continua que permitan que dichas medidas se mantengan actualizadas de acuerdo con los avances y riesgos asociados a los mismos.
