El Supremo establece que la obligación de las empresas de garantizar la seguridad de los ficheros que contengan datos personales de sus clientes es de medios
Protección de Datos. Sanción. Medidas de seguridad. Obligación de medios. Acceso por terceros a datos personales de los clientes. Actuación de los empleados de una persona jurídica.
La sala declara que la obligación de adoptar las medidas necesarias para garantizar la seguridad de los datos personales no puede considerarse una obligación de resultado, que implique que producida una filtración de datos personales a un tercero exista responsabilidad con independencia de las medidas adoptadas y de la actividad desplegada por el responsable del fichero o del tratamiento.
En las obligaciones de medios el compromiso que se adquiere es el de adoptar los medios técnicos y organizativos, así como desplegar una actividad diligente en su implantación y utilización que tienda a conseguir el resultado esperado con medios que razonablemente puedan calificarse de idóneos y suficientes para su consecución, por ello se las denomina obligaciones «de diligencia» o «de comportamiento». La diferencia radica en la responsabilidad en uno y otro caso, pues mientras que en la obligación de resultado se responde ante un resultado lesivo por el fallo del sistema de seguridad, cualquiera que sea su causa y la diligencia utilizada. En la obligación de medios basta con establecer medidas técnicamente adecuadas e implantarlas y utilizarlas con una diligencia razonable.
En el presente caso, la Agencia de Protección de Datos impuso una sanción de 40.001 euros a una empresa distribuidora de productos de telefonía, como responsable de una infracción grave al permitir el acceso no autorizado por parte de terceros a, al menos, 14 solicitudes de financiación en la que figuraban datos personales de los clientes (nombre y apellidos, datos económicos, de domiciliación bancaria y firma).
La sala declara que el programa utilizado para la recogida de los datos de los clientes no contenía ninguna medida de seguridad que permitiese comprobar si la dirección de correo electrónico introducida era real o ficticia y si realmente pertenecía a la persona cuyos datos estaban siendo tratados y prestaba el consentimiento para ello. El estado de la técnica en el momento en el que se produjeron estos hechos permitía establecer medidas destinadas a comprobar la veracidad de la dirección de email, condicionando la continuación del proceso a que el usuario recibiese el contrato en la dirección proporcionada y solo desde ella prestase el consentimiento necesario para su recogida y tratamiento. De modo que, en el momento en que se produjeron estos hechos, existían medidas técnicas referidas al proceso de registro, que hubiesen evitado la filtración de datos personales producida.
Además, la sala recuerda que las personas jurídicas responden por la actuación de sus empleados o trabajadores. No se establece por ello una responsabilidad objetiva, pero si es trasladable a la persona jurídica la falta de diligencia de sus empleados. En cuanto a la graduación de la sanción, la filtración de 14 contratos de financiación con numerosos datos personales sensibles como las cuentas corrientes, lugar de trabajo y datos personales y familiares no puede considerarse una filtración que ni por su importancia ni por el volumen merezca ser atenuada. Por tanto, la sala desestima el recurso de casación y confirma la sanción impuesta.