Mesures de seguretat: una obligació de mitjans, no de resultat

El passat mes de maig el Tribunal Suprem va admetre un recurs de cassació per determinar si la protecció de dades és una obligació de mitjans o de resultat, enfocant-se especialment en les obligacions establertes en relació amb la necessària implantació de mesures de seguretat que mantinguin les dades protegides davant d’atacs externs o pèrdues fortuïtes.

La sentència de l’Audiència Nacional recorreguda establia una obligació de resultat, consistent en què s’adoptin les mesures necessàries per evitar que les dades es perdin, extraviïn, o acabin en mans de tercers. El Tribunal requeria una explicació adequada i

raonable de com les dades personals han anat a parar a un lloc en el que són susceptibles de recuperació per part de tercers, sent insuficient amb acreditar que s’adopten una sèrie de mesures.

En el recurs presentat davant la Sala Contenciós-Administratiu del Tribunal Suprem s’argumentava que aquesta obligació de resultat entra en contradicció amb la legislació i jurisprudència, que venen a establir una obligació de mitjans, considerant que el subjecte obligat a complir amb la normativa de protecció de dades ha de dissenyar i implantar una sèrie de mesures de seguretat per no ser sancionat, i si les compleix no serà sancionat, al marge de per un fet fortuït o un esdeveniment d’impossible previsió es creï una violació de seguretat que el subjecte no hagués pogut evitar ni tan sols aplicant les mesures més estrictes.

El Tribunal Suprem ha dictat sentència amb data 15 de febrer de 2022, la qual es posiciona indicant que es tracta d’una obligació de mitjans, al·legant que “l’obligació d’adoptar les mesures necessàries per garantir la seguretat de les dades personals no pot considerar-se una obligació de resultat, que impliqui que produïda una filtració de dades personals a un tercer existeixi responsabilitat amb independència de les mesures adoptades i de l’activitat desplegada pel responsable del tractament.

La diferència radica en la responsabilitat en un i altre cas, doncs mentre que en l’obligació de resultat es respon davant d’un resultat lesiu per l’error del sistema de seguretat, qualsevol que sigui la causa i la diligència utilitzada, en l’obligació de mitjans és suficient amb establir mesures tècnicament adequades i implantar-les i utilitzar-les amb una diligència raonable.

Afegeix el Tribunal que “en aquestes últimes, la suficiència de les mesures de seguretat que el responsable ha d’establir ha de posar-se en relació amb l’estat de la tecnologia en cada moment i el nivell de protecció requerit en relació amb les dades personals tractades, però no es garanteix un resultat”.

A més, la sentència del Tribunal Suprem es pronuncia sobre tres qüestions molt importants i que hauran de ser tingudes en compte a l’hora d’adoptar els mitjans necessaris:

Dissenyar i implementar efectivament

No és suficient amb dissenyar els mitjans tècnics i organitzatius necessaris. També és necessària la seva correcta implantació i utilització apropiades, de manera que el responsable del tractament també respondrà per la manca de diligència en la seva utilització.

Responsabilitat de l’encarregat

L’encarregat de tractament haurà d’adoptar les mesures tècniques i organitzatives necessàries per garantir la seguretat de les dades de caràcter personal, això amb independència de que el sistema li vingui imposat íntegrament pel responsable. L’encarregat de tractament haurà d’avaluar també les eines proporcionades o imposades pel responsable, haurà de detectar si el sistema no disposa de les mesures adequades i, en cas de que així sigui, haurà d’abstenir-se d’utilitzar-lo o buscar o promoure alternatives.

Sistemes de validació

Per últim, es pronuncia sobre la necessitat d’implantar el sistema de doble opt-in (i.e. correus electrònics, telèfon,…), com a mitjà per comprovar que la informació recollida és correcta i veraç, ja que en cas de no estar s’estaria incomplint les mesures de seguretat com una obligació de mitjans en els termes establerts per la regulació.