Como avanzamos en anteriores publicaciones, el pasado mes de mayo el Tribunal Supremo nos admiti\u00f3 un recurso de casaci\u00f3n para determinar si la protecci\u00f3n de datos es una obligaci\u00f3n de medios o de resultado<\/u>, enfoc\u00e1ndose especialmente en las obligaciones establecidas en relaci\u00f3n con la necesaria implantaci\u00f3n de medidas de seguridad que mantenga los datos protegidos frente ataques externos o p\u00e9rdidas fortuitas.<\/p>\n
La Sentencia de la Audiencia Nacional recurrida establec\u00eda una clar\u00edsima obligaci\u00f3n de resultado<\/strong>, indicando literalmente lo siguiente:<\/p>\n \u201cHemos considerado, en consecuencia, que se impone una obligaci\u00f3n de resultado<\/strong>, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extrav\u00eden, o acaben en manos de terceros [\u2026 ] y por tanto debe dar una explicaci\u00f3n adecuada y razonable de c\u00f3mo los datos personales han ido a parar a un lugar en el que son susceptibles de recuperaci\u00f3n por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas<\/em>\u201d<\/p><\/blockquote>\n Esta parte argument\u00f3 en su recurso que esta obligaci\u00f3n de resultado entra en contradicci\u00f3n con la legislaci\u00f3n y jurisprudencia, que vienen a establecer una obligaci\u00f3n de medios<\/strong>, considerando que el sujeto obligado a cumplir con la normativa de protecci\u00f3n de datos debe dise\u00f1ar e implantar una serie de medidas de seguridad para no ser sancionado, y si las cumple, no lo ser\u00e1, al margen de que por un hecho fortuito o un acontecimiento de imposible previsi\u00f3n se cree una brecha de seguridad que el sujeto no hubiera podido evitar siquiera aplicando las m\u00e1s estrictas medidas.<\/p>\n El abogado del estado, contestando al recurso en nombre de la AGPD, tambi\u00e9n se decant\u00f3 por una obligaci\u00f3n de resultado<\/strong>, de modo que, a su juicio, no basta con hacer los mejores esfuerzos, sino que cuando se produce una brecha, como aqu\u00ed ha ocurri\u00f3, se produce un resultado lesivo para los afectados siempre y en todo caso.<\/p>\n El Tribunal Supremo dicta Sentencia con fecha <\/strong>15 de febrero de 2022<\/strong> y se pronuncia acogiendo \u00edntegramente los argumentos aducidos por esta parte, posicion\u00e1ndose sin dudar por que se trata de una obligaci\u00f3n de medios<\/u><\/strong>, alegando literalmente lo siguiente:<\/p>\n La obligaci\u00f3n de adoptar las medidas necesarias para garantizar la seguridad de los datos personales no puede considerarse una obligaci\u00f3n de resultado<\/strong>, que implique que, producida una filtraci\u00f3n de datos personales a un tercero, exista responsabilidad con independencia de las medidas adoptadas y de la actividad desplegada por el responsable del fichero o del tratamiento. (\u2026) <\/em><\/p>\n La diferencia radica en la responsabilidad en uno y otro caso, pues mientras que en la obligaci\u00f3n de resultado se responde ante un resultado lesivo por el fallo del sistema de seguridad, cualquiera que sea su causa y la diligencia utilizada, en la obligaci\u00f3n de medios basta con establecer medidas t\u00e9cnicamente adecuadas e implantarlas y utilizarlas con una diligencia razonable.<\/em><\/p>\n En estas \u00faltimas, la suficiencia de las medidas de seguridad que el responsable ha de establecer ha de ponerse en relaci\u00f3n con el estado de la tecnolog\u00eda en cada momento y el nivel de protecci\u00f3n requerido en relaci\u00f3n con los datos personales tratados, pero no se garantiza un resultado<\/u><\/strong>. <\/em><\/p><\/blockquote>\n A pesar de que el TS acoge \u00edntegramente en su Sentencia nuestro razonamiento y se posiciona claramente por el deber de medios, es importante prestar atenci\u00f3n a como resuelve el caso concreto, puesto que, a pesar de entender que esta parte tiene raz\u00f3n en cuanto al fondo, mantiene \u00edntegramente la sanci\u00f3n impuesta por la AEPD.\u00a0 Este pronunciamiento es importante porque se pronuncia sobre tres cuestiones muy importantes y que deber\u00e1n ser tenidas en cuenta a la hora de adoptar los medios necesarios<\/strong>:<\/p>\n 1.- El Tribunal Supremo confirma que no basta con dise\u00f1ar los medios t\u00e9cnicos y organizativos necesarios. Tambi\u00e9n es necesaria su\u00a0correcta implantaci\u00f3n y su utilizaci\u00f3n de forma apropiada, de modo que el responsable del tratamiento tambi\u00e9n responder\u00e1 por la falta de la diligencia en su utilizaci\u00f3n<\/u><\/strong>.<\/p>\n 2.- Nuestro representado es sancionado como \u201cEncargado de Tratamiento\u201d<\/strong>, que utiliza un sistema de toma de datos proporcionado, impuesto, controlado y dise\u00f1ado por el Responsable del Tratamiento (Financiera). LA STS estima que esto no es una circunstancia eximente ni siquiera atenuante para el Encargado, puesto que \u00e9ste tambi\u00e9n deber\u00e1 adoptar las medidas de \u00edndole t\u00e9cnica y organizativas necesarias para garantizar la seguridad de los datos de car\u00e1cter personal, ello con independencia de que el sistema le venga impuesto \u00edntegramente por el Responsable<\/u>. Dice que el Encargado de Tratamiento deber\u00e1 evaluar tambi\u00e9n las herramientas proporcionadas o impuestas por el Responsable, deber\u00e1 detectar si el sistema carece de las medidas adecuadas y, en caso de que as\u00ed sea, deber\u00e1 abstenerse de utilizarlo o buscar o promover alternativas<\/u><\/strong>.<\/p>\n 3.- Se pronuncia sobre la necesidad de implantar el sistema de doble opt-in<\/em><\/u> o sistema de verificaci\u00f3n del correo electr\u00f3nico<\/strong>, entendiendo que es un sistema de doble verificaci\u00f3n que asegura que los usuarios que han aceptado la pol\u00edtica de privacidad antes de recibir cualquier tipo de comunicaci\u00f3n, evitando que la informaci\u00f3n vaya a una direcci\u00f3n equivocada. En definitiva, se trata de un medio para comprobar que la informaci\u00f3n recogida es correcta y veraz que el TS considera necesaria, ya que en caso de no estar se estar\u00eda incumpliendo la obligaci\u00f3n de medios en los t\u00e9rminos establecidos por la legislaci\u00f3n<\/strong>.<\/p>\n A pesar de mantener la sanci\u00f3n, el TS elimina las costas de instancia y no condena a ninguna de las partes, por entender que, aunque se confirma finalmente la sanci\u00f3n impuesta y el resultado del proceso en instancia, la cuesti\u00f3n controvertida planteaba serias dudas de derecho sobre la naturaleza de las obligaciones de seguridad en materia de protecci\u00f3n de datos, de hecho se acoge la argumentaci\u00f3n de la parte referida a que nos encontramos ante una obligaci\u00f3n de medios y no de resultado<\/strong><\/u>, aunque ello no se traduzca en la anulaci\u00f3n de la sanci\u00f3n impuesta.<\/em><\/p>\n