Protección de datos: la empresa es responsable de la actuación negligente de un empleado

El Tribunal Supremo confirma una sanción de 40.000 euros impuesta por la Agencia de Protección de Datos a una empresa de telefonía, como responsable de una infracción grave al permitir el acceso no autorizado por parte de terceros a los datos reflejados en 14 solicitudes de financiación en la que aparecían datos personales de los clientes como su nombre y apellidos, datos económicos, de domiciliación bancaria y firma.

Inicialmente la Audiencia Nacional confirmó la sanción, y el Tribunal Supremo admitió el recurso de casación de la empresa para responder a la cuestión de si las infracciones de la Ley de Protección de Datos por fallos de las medidas de seguridad que puedan cometer los empleados de una empresa deben examinarse en atención al resultado y, por lo tanto, imputarse a la persona jurídica de la que dependa el empleado, con independencia de los medios y medidas de prevención que hubiera podido adoptar.

No puede considerarse una obligación de resultado

Según responde el Tribunal Supremo la obligación de adoptar las medidas necesarias para garantizar la seguridad de los datos personales no puede considerarse una obligación de resultado, que implique que producida una filtración de datos personales a un tercero exista responsabilidad con independencia de las medidas adoptadas y de la actividad desplegada por el responsable del fichero o del tratamiento.

Establece que no basta con diseñar los medios técnicos y organizativos necesarios, también es necesaria su correcta implantación y su utilización de forma apropiada, de modo que la empresa también responderá por la falta de la diligencia en su utilización .

Por esto, el tribunal confirma la sanción a la empresa, porque según consta en la sentencia “el programa utilizado para la recogida de los datos de los clientes no contenía ninguna medida de seguridad que permitiese comprobar si la dirección de correo electrónico introducida era real o ficticia y si realmente pertenecía a la persona cuyos datos estaban siendo tratados y prestaba el consentimiento para ello. El estado de la técnica en el momento en el que se produjeron estos hechos permitía establecer medidas destinadas a comprobar la veracidad de la dirección de email, condicionando la continuación del proceso a que el usuario recibiese el contrato en la dirección proporcionada y solo desde ella prestase el consentimiento necesario para su recogida y tratamiento. Medidas que no se adoptaron en este caso”.

Por lo tanto, las medidas técnicas adoptadas incumplían las condiciones de seguridad en los términos exigidos en el momento en que se produjeron estos hechos, para evitar la filtración de datos personales.

El hecho de que fuese la actuación negligente de una empleada la que provocó la brecha de seguridad no le exime de responsabilidad a la empresa en cuanto encargada de la correcta utilización de las medidas de seguridad que deberían haber garantizado la adecuada utilización del sistema de registro de datos diseñado.

Para evitar situaciones como estas desde Lefebvre te ofrecemos Centinela Protección de datos. Una guía eficaz que te ayudará en la planificación, implantación y mantenimiento del sistema de protección de datos.

Puedes ver más información desde este enlace .