El Tribunal Supremo obliga a COMCENTER, S.A. a implantar un sistema de doble verificación (Doble OPT-IN)
La Sala de lo Contencioso-Administrativo del Tribunal Supremo en su reciente Sentencia 188/2922 de 15 de febrero, sienta nuevos precedentes acerca de la obligación que tienen las empresas de garantizar la seguridad y privacidad de las Bases de Datos que contengan datos personales de sus clientes.
En esta Sentencia, nuestro Alto Tribunal ha dispuesto que las obligaciones respecto de la privacidad de sus usuarios son de medios y no de resultado, con el siguiente tenor literal:
“[…]es exigible la adopción e implantación de medidas técnicas y organizativas, que conforme al estado de la tecnología y en relación con la naturaleza del tratamiento realizado y los datos personales en cuestión, permitan razonablemente evitar su alteración, pérdida, tratamiento o acceso no autorizado […]”.
Es decir, se valora la diligencia y proactividad de la empresa en la toma de decisiones organizativas e implantación de medidas técnicas que garanticen la protección de los datos personales de sus clientes y usuarios.
Esta obligación de medios está dirigida tanto si la empresa actúa como Responsable o Encargado del tratamiento, estableciendo que la falta de diligencia del Responsable del Tratamiento no puede considerarse como una circunstancia eximente, ni siquiera atenuante para el Encargado del Tratamiento.
En todo momento se han de garantizar y adoptar las medidas de índole técnica y organizativas necesarias para garantizar la seguridad de los datos de carácter personal, con independencia de que el sistema de tratamiento le venga impuesto al Encargado íntegramente por el Responsable.
Puntos clave indicados en la sentencia
En esta resolución, el Supremo confirma la sanción de 40.000 euros impuesta por la Agencia Española de Protección de Datos (AEPD) a una empresa dedicada a la distribución de productos de telefonía, por una infracción de privacidad que permitió el acceso no autorizado por parte de terceros a solicitudes de financiación en la que figuraban datos personales de los clientes.
Asimismo, la Sentencia nos ha dejado unas directrices muy útiles a seguir para lograr un nivel adecuado de garantías y seguridad de los datos de carácter personal de los usuarios y clientes de nuestras empresas, de entre las que os destacamos los siguientes:
- La necesidad de evaluar las herramientas proporcionadas o impuestas para ver si se carece de medidas adecuadas y en ese caso se deberán buscar alternativas.
- La obligación de adoptar las medidas necesarias para garantizar la seguridad de los datos personales no puede considerarse una obligación de resultado, que implique que producida una filtración de datos personales a un tercero exista responsabilidad con independencia de las medidas adoptadas.
- La obligación de establecer medios técnicos y organizativos suficientes para comprobar que los datos personales e información recogida es correcta y veraz.
- La obligación de implementar una mayor seguridad de los datos personales y la inexistencia de filtraciones de datos o brechas de seguridad.
En el caso concreto que ocupa a la Sentencia, se hace mención al sistema de doble ‘opt-in’, cuya finalidad es la de contar con una doble verificación que garantice que los usuarios han sido informados y han aceptado la política de privacidad antes de recibir cualquier tipo de comunicación.
Obligaciones de medios
El artículo 32 del Reglamento General de Protección de Datos (RGPD) establece respecto a la seguridad del tratamiento que las medidas técnicas y organizativas apropiadas lo son teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.
En las obligaciones de medios el compromiso que adquiere el responsable del tratamiento es:
- Adoptar los medios técnicos y organizativos.
- Desplegar una actividad diligente en su implantación y utilización que tienda a conseguir el resultado esperado a través de medios idóneos y suficientes.
- La adecuación de las medidas de seguridad ha de ponerse en relación con el estado de la tecnología en cada momento y el nivel de protección requerido en relación con la tipología de los datos personales tratados.
No llevar acabo estas medidas técnicas y organizativas puede llevar a cabo una infracción en materia de protección de datos tal y como dispone la LOPDGDD en su artículo 73, apartados d), e) y f) sancionando la falta de adopción de las medidas técnicas y organizativas y en el artículo 73, apartado g) sancionando la falta de la debida diligencia en la utilización de las medidas técnicas y organizativas implantadas.
Por todo ello, el Tribunal Supremo viene a decir que hay diseñar los medios técnicos y organizativos necesarios, así como llevar a cabo su correcta integración orgánica y su utilización de forma apropiada, de modo que el responsable del tratamiento también responderá por la falta de la diligencia en su utilización.
Desde Letslaw, estaremos atentos a la evolución en esta materia para mantener informados a todos nuestros clientes.