{"id":10405,"date":"2022-06-30T14:31:45","date_gmt":"2022-06-30T12:31:45","guid":{"rendered":"https:\/\/auris.bcntic.com\/?p=10405"},"modified":"2022-06-30T17:05:18","modified_gmt":"2022-06-30T15:05:18","slug":"como-implantar-correctamente-las-medidas-de-seguridad-impuestas-por-el-rgpd-y-la-lopdgdd-sentencia-del-tribunal-supremo-de-15-2-22","status":"publish","type":"post","link":"https:\/\/auris.bcntic.com\/en\/como-implantar-correctamente-las-medidas-de-seguridad-impuestas-por-el-rgpd-y-la-lopdgdd-sentencia-del-tribunal-supremo-de-15-2-22\/","title":{"rendered":"C\u00f3mo implantar correctamente las medidas de seguridad impuestas por el RGPD y la LOPDGDD (Sentencia del Tribunal Supremo de 15\/2\/22)"},"content":{"rendered":"

Han pasado cuatro meses de la Sentencia del Tribunal Supremo de fecha\u00a015 de febrero de 2022<\/strong>, dictada a ra\u00edz de un recurso interpuesto por Auris Advocats, y mediante la que el alto Tribunal fij\u00f3 jurisprudencia acerca de c\u00f3mo debe interpretarse la normativa en materia de protecci\u00f3n de datos en relaci\u00f3n con la obligaci\u00f3n de implantar una serie de medidas de seguridad para proteger la informaci\u00f3n de la empresa.<\/p>\n

Numerosos y prestigiosos expertos en materia de Protecci\u00f3n de datos se han hecho eco de esta Sentencia, y existe unanimidad en destacar la importancia de esta y las consecuencias que tiene a la hora de afrontar una correcta implantaci\u00f3n de medidas, que nos garantice que no vamos a ser sancionados en caso de sufrir una incidencia y\/o una inspecci\u00f3n.<\/p>\n

Recordemos que la cuesti\u00f3n principal radicaba en si la obligaci\u00f3n de implantar medidas de seguridad para proteger los datos se trataba de una obligaci\u00f3n de medios o de resultado. Mientras la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos, avalada por la Audiencia Nacional, afirmaban que se trataba de una obligaci\u00f3n de resultado (lo que conllevaba que por mucho que la empresa implantara medidas ser\u00eda sancionada s\u00ed o si en caso de que se produjera una brecha de seguridad), Auris lleg\u00f3 hasta el alto Tribunal defendiendo que se trata de una obligaci\u00f3n de medios y, por lo tanto, si se produce una brecha pero los medios se han implantado correctamente, la empresa no debe ser sancionada.<\/p>\n

A pesar de que el TS acogi\u00f3 \u00edntegramente en su Sentencia nuestro razonamiento y se posicion\u00f3 claramente por el deber de medios, incluy\u00f3\u00a0tres cuestiones muy importantes y que deber\u00e1n ser tenidas en cuenta a la hora de adoptar los medios necesarios<\/strong>:<\/p>\n

1.- El Tribunal Supremo confirma que no basta con dise\u00f1ar los medios t\u00e9cnicos y organizativos necesarios. Tambi\u00e9n\u00a0es necesaria su\u00a0correcta implantaci\u00f3n y su utilizaci\u00f3n de forma apropiada, de modo que el responsable del tratamiento tambi\u00e9n responder\u00e1 por la falta de la diligencia en su utilizaci\u00f3n<\/u><\/strong>.<\/p>\n

Si lo relacionamos con uno de los principios b\u00e1sicos del RGPD, que es la implantaci\u00f3n de medidas desde el dise\u00f1o y por defecto, ya no cabe duda de que para cumplir con la normativa no basta con implantar una serie de medidas de seguridad, sino que deberemos poder demostrar una diligencia constante, mediante comprobaciones peri\u00f3dicas de que las medidas funcionan, y documentar estas comprobaciones. Tambi\u00e9n deber\u00e1 analizarse, en funci\u00f3n de cada caso concreto, cu\u00e1les son las medidas adecuadas, no s\u00f3lo t\u00e9cnicas, sino tambi\u00e9n organizativas, formativas y contractuales.<\/p>\n

2.- El Tribunal Supremo afirma que cuando somos Encargados de Tratamiento (cuando tratamos datos de terceras empresas por subcontrataci\u00f3n) tambi\u00e9n deberemos adoptar las medidas de \u00edndole t\u00e9cnica y organizativas necesarias para garantizar la seguridad de los datos de car\u00e1cter personal, ello con independencia de que el sistema le venga impuesto \u00edntegramente por el responsable. El Encargado de Tratamiento deber\u00e1 evaluar tambi\u00e9n las herramientas proporcionadas o impuestas por el responsable, deber\u00e1 detectar si el sistema carece de las medidas adecuadas y, en caso de que as\u00ed sea, deber\u00e1 abstenerse de utilizarlo o buscar o promover alternativas<\/strong>.<\/strong><\/p>\n

\n

Cuando optamos por la subcontrataci\u00f3n de servicios, o cuando compartimos el tratamiento de datos con un tercero, es muy importante elegir colaboradores que garanticen niveles de cumplimiento adecuados, porque en caso de no cumplir uno de ellos y se produzca una brecha, es muy posible que se sancione a todos los intervinientes en el tratamiento<\/strong>.<\/p>\n<\/blockquote>\n

3.- Se pronuncia sobre\u00a0la necesidad de implantar el<\/strong>\u00a0<\/strong>sistema de<\/u><\/strong>\u00a0<\/u><\/strong>doble opt-in<\/u><\/strong><\/em>\u00a0<\/strong>o sistema de verificaci\u00f3n del correo electr\u00f3nico<\/strong>, entendiendo que es un sistema de doble verificaci\u00f3n que asegura que los usuarios que han aceptado la pol\u00edtica de privacidad antes de recibir cualquier tipo de comunicaci\u00f3n, evitando que la informaci\u00f3n vaya a una direcci\u00f3n equivocada. En definitiva, se trata de\u00a0un medio para comprobar que la informaci\u00f3n recogida es correcta y veraz que el TS considera necesaria, ya que en caso de no estar se estar\u00eda incumpliendo la obligaci\u00f3n de medios en los t\u00e9rminos establecidos por la legislaci\u00f3n<\/strong>.<\/p>\n

Todo lo anterior obliga a las empresas a preguntarse si lo est\u00e1 haciendo correctamente y est\u00e1 preparada para el caso de sufrir una brecha y\/o una inspecci\u00f3n:<\/p>\n