{"id":9281,"date":"2021-05-03T14:29:30","date_gmt":"2021-05-03T12:29:30","guid":{"rendered":"https:\/\/auris.bcntic.com\/ley-de-proteccion-de-datos-ante-el-ts\/"},"modified":"2021-05-11T13:14:04","modified_gmt":"2021-05-11T11:14:04","slug":"ley-de-proteccion-de-datos-ante-el-ts","status":"publish","type":"post","link":"https:\/\/auris.bcntic.com\/ca\/ley-de-proteccion-de-datos-ante-el-ts\/","title":{"rendered":"Auris Advocats lleva la Ley de Protecci\u00f3n de Datos ante el TS"},"content":{"rendered":"

El Tribunal Supremo nos admite un recurso de casaci\u00f3n para determinar si la protecci\u00f3n de datos es una obligaci\u00f3n de medios o de resultado. <\/strong>Para un jurista es siempre un orgullo contribuir a crear Jurisprudencia. Y hemos llegado al Supremo con una cuesti\u00f3n que entendemos vital en materia de protecci\u00f3n de datos:\u00bfLa protecci\u00f3n de datos es una obligaci\u00f3n de medios o de resultado?<\/p>\n

La respuesta a esta cuesti\u00f3n, jam\u00e1s abordada por el Tribunal Supremo, tiene una importancia capital para afrontar el cumplimiento de todas las medidas que establece la normativa vigente en materia de protecci\u00f3n de datos. \u00bfPuede estar tranquilo el empresario que cumple escrupulosamente con la normativa incluso si por una circunstancia impredecible y ajena a su voluntad se produce una brecha de seguridad? O bien el resultado lesivo implicar\u00e1 en cualquier caso una sanci\u00f3n.<\/p>\n

Desde nuestra experiencia profesional siempre hemos dado por hecho que la legislaci\u00f3n de materia de protecci\u00f3n de datos desarrolla normas de cumplimiento normativo y que, por lo tanto, impone un deber de medios<\/strong>, no de resultado. Sin embargo, la experiencia de un cliente nuestro parece contradecir esta teor\u00eda.<\/p>\n

Hace aproximadamente tres a\u00f1os, se produjo en el seno de su organizaci\u00f3n una brecha de seguridad, derivada de un error humano impredecible, imputable a un empleado que hab\u00eda recibido formaci\u00f3n espec\u00edfica en materia de LOPD, que hab\u00eda recibido manuales de conducta desarrollando las medidas, que hab\u00eda firmado un compromiso de confidencialidad, que ten\u00eda a\u00f1os de experiencia y que siempre hab\u00eda sido escrupuloso en el tratamiento de datos personales que tenia delegado. Cometi\u00f3 un error a la hora de enviar informaci\u00f3n a una direcci\u00f3n de correo electr\u00f3nico equivocada, permitiendo que un destinatario no autorizado recibiera copia de 14 expedientes con datos personales de los clientes de la organizaci\u00f3n.<\/p>\n

El receptor de dicha informaci\u00f3n interpuso denuncia en la AGPD y, tras una inspecci\u00f3n, \u00e9sta sancion\u00f3 a la empresa con una multa de 40.000 euros por considerar que el resultado lesivo implicaba que se hab\u00eda cometido la infracci\u00f3n, por \u201cno adoptar las medidas t\u00e9cnicas y organizativas necesarias previstas, entre ellas, la adopci\u00f3n de medidas espec\u00edficamente destinadas a impedir el acceso no autorizado<\/u><\/strong> por parte de terceros a los datos personales de sus ficheros\u201d.\u00a0 <\/em>A pesar de este razonamiento, la AGPD nunca indic\u00f3 cuales eran las medidas que deb\u00edan haberse implementado y que nuestro representado hab\u00eda obviado, centr\u00e1ndose completamente en que el resultado lesivo implicaba que \u201cno eran suficientes\u201d.<\/p>\n

Tras infructuosos recursos administrativos se interpuso demanda frente a la Audiencia Nacional<\/strong>, qui\u00e9n la desestim\u00f3 por considerar, literalmente, que se impone una obligaci\u00f3n de resultado,<\/u><\/em><\/strong> consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extrav\u00eden, o acaben en manos de terceros (\u2026) y por tanto debe dar una explicaci\u00f3n adecuada y razonable de c\u00f3mo los datos personales han ido a parar a un lugar en el que son susceptibles de recuperaci\u00f3n por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas, pues tambi\u00e9n es responsable de que las mismas se cumplan con rigor<\/em>.<\/p>\n

En definitiva, la Sentencia (igual que las resoluciones administrativas emitidas por la AGPD) considera insuficientes por inoperantes todas las medidas de seguridad que hayan podido aplicarse a tenor de lo dispuesto por la Ley Org\u00e1nica 15\/1999, de 13 de diciembre, de Protecci\u00f3n de Datos de Car\u00e1cter Personal, siempre que tenga lugar una brecha de seguridad de los datos, sea \u00e9sta de la naturaleza que sea<\/strong>. Es irrelevante plantearse si las medidas acreditadas eran todas las que se pod\u00edan tomar por el mero hecho de que ha existido una fuga. En ning\u00fan caso se entra a valorar o a cuestionarse si las medidas que se ha acreditado tener implementadas eran las que se esperaba de nuestro representado en cumplimiento de la normativa, y \u00e9sta hab\u00eda seguido estrictamente no s\u00f3lo lo que impon\u00eda la Ley, sino tambi\u00e9n las propias resoluciones y gu\u00edas publicadas por la Agencia de Protecci\u00f3n de datos.<\/p>\n

Dicha obligaci\u00f3n de resultado invalida de facto todo esfuerzo e inversi\u00f3n tecnol\u00f3gica y organizativa que pudiere ser implementado en materia de seguridad de los datos. Cumplir con los todos y cada uno de requisitos de seguridad que dispone la LOPD y su reglamento, no resulta de incidencia alguna llegado el momento de establecer el grado de incumplimiento normativo y su correspondiente sanci\u00f3n. Ni siquiera para graduar la sanci\u00f3n, algo que parece sorprendente.<\/p>\n

Interposici\u00f3n de recurso de casaci\u00f3n ante el Tribunal Supremo<\/h2>\n

Por todo ello se interpuso recurso de casaci\u00f3n ante el Tribunal Supremo<\/strong>, alegando que la afirmaci\u00f3n de la Audiencia Nacional de que se impone un deber de resultado se contradice con lo que parece desprenderse de la normativa vigente en materia de protecci\u00f3n de datos y de otras resoluciones del mismo Tribunal. Adem\u00e1s, alegamos que la cuesti\u00f3n de si se impone un deber de medios o de resultado reviste un inter\u00e9s general m\u00e1s all\u00e1 del caso concreto. El Tribunal Supremo, mediante Auto de fecha 8 de Abril de 2021, nos admite el recurso, al entender lo siguiente:<\/p>\n

La cuesti\u00f3n de inter\u00e9s casacional que plantea la recurrente consiste en determinar si las infracciones de la Ley de Protecci\u00f3n de Datos por fallos de las medidas de seguridad que puedan cometer los empleados de una persona jur\u00eddica, deben examinarse en atenci\u00f3n al resultado y, por lo tanto, imputarse a la persona jur\u00eddica de la que dependa el empleado, con independencia de los medios y medidas de prevenci\u00f3n que hubiera podido adoptar. <\/em>Y la cuesti\u00f3n as\u00ed planteada no carece manifiestamente de inter\u00e9s casacional objetivo y plantea una cuesti\u00f3n jur\u00eddica de alcance general que trascienden del caso objeto del proceso, por lo que procede la admisi\u00f3n del recurso.<\/em><\/p>\n

Esperamos impacientes la Sentencia del Supremo que aclare esta materia, puesto que, sin duda, esta puede cambiar por completo la perspectiva que tienen los obligados a implantar medidas concretas en cumplimiento de la legislaci\u00f3n vigente en materia de Protecci\u00f3n de Datos.<\/a><\/p>\n

\"xavi
\nXavi Saula
\n<\/strong>xavi@aurisadvocats.com
\nEspecialidades:<\/strong>
\n\u00c1rea procesal civil y mercantil
\nConcursal
\nNuevas tecnolog\u00edas
\nGesti\u00f3n de impagos y morosidad<\/p>\n","protected":false},"excerpt":{"rendered":"

El Tribunal Supremo nos admite un recurso de casaci\u00f3n para determinar si la protecci\u00f3n de datos es una obligaci\u00f3n de medios o de resultado. Para un jurista es siempre un orgullo contribuir a crear Jurisprudencia. Y hemos llegado al Supremo con una cuesti\u00f3n que entendemos vital en materia de protecci\u00f3n de datos:\u00bfLa protecci\u00f3n de datos […]<\/p>\n","protected":false},"author":6,"featured_media":9278,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":""},"categories":[1182,1189],"tags":[],"_links":{"self":[{"href":"https:\/\/auris.bcntic.com\/ca\/wp-json\/wp\/v2\/posts\/9281"}],"collection":[{"href":"https:\/\/auris.bcntic.com\/ca\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/auris.bcntic.com\/ca\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/auris.bcntic.com\/ca\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/auris.bcntic.com\/ca\/wp-json\/wp\/v2\/comments?post=9281"}],"version-history":[{"count":2,"href":"https:\/\/auris.bcntic.com\/ca\/wp-json\/wp\/v2\/posts\/9281\/revisions"}],"predecessor-version":[{"id":9288,"href":"https:\/\/auris.bcntic.com\/ca\/wp-json\/wp\/v2\/posts\/9281\/revisions\/9288"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/auris.bcntic.com\/ca\/wp-json\/wp\/v2\/media\/9278"}],"wp:attachment":[{"href":"https:\/\/auris.bcntic.com\/ca\/wp-json\/wp\/v2\/media?parent=9281"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/auris.bcntic.com\/ca\/wp-json\/wp\/v2\/categories?post=9281"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/auris.bcntic.com\/ca\/wp-json\/wp\/v2\/tags?post=9281"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}