La adopción de medidas de seguridad exigida por el artículo 32 del Reglamento General de Protección de Datos (RGPD), es una obligación de medios, no de resultados. Así ha sido confirmado por la Sala de lo Contencioso Administrativo del Tribunal Supremo, en una sentencia que ratifica una sanción de 40.000€ anteriormente impuesta por la Agencia Española de Protección de Datos (AEPD).

La sanción fue impuesta en 2018, debido a una vulneración del principio de seguridad de los datos proclamado por el artículo 9.1 de la ya derogada LOPD. Éste obliga a:

Adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.

En el formulario de solicitud de servicios de la entidad sancionada, figuraba la dirección de correo electrónico del denunciante debido a un error de un empleado de la misma. Esto provocó que recibiera hasta 14 contratos con datos personales (nombre, domicilio, estado civil, teléfono…) de terceras personas.

Medidas de seguridad

De esta forma, la sentencia analiza si la implementación de estas medidas de seguridad:

  • Deben garantizar la inexistencia de filtraciones o incidentes de seguridad.
  • Deben conseguir los resultados esperados con medios que puedan clasificarse de idóneos y suficientes para su consecución.

Dispone al respecto que no basta con diseñar los medios técnicos y organizativos necesarios para la correcta implementación de las medidas; sino que las organizaciones responderán por falta de diligencia en su utilización.  Para el caso en cuestión, se pudo comprobar que las medidas implementadas no eran las adecuadas para garantizar la seguridad de los datos personales. Por un lado, porque no existía ningún método de comprobación de la veracidad de las direcciones de correo electrónico. Por otro lado, porque los empleados de la entidad no contaban con la debida formación y concienciación respecto a la protección de los datos personales.

Asimismo, la sentencia confirma la aplicación del principio de responsabilidad proactiva también a la hora de implementar las medidas de seguridad.

UBT Compliance

AGENDAR LLAMADA