Una brecha de seguridad provocada por una actuación negligente de un empleado no le exime de responsabilidad a la empresa no basta con diseñar los medios técnicos y organizativos necesarios, también es necesaria su correcta implantación
EL TRIBUNAL SUPREMO CONCLUYE QUE LA OBLIGACIÓN DE LAS EMPRESAS DE ADOPTAR LAS MEDIDAS DE SEGURIDAD NECESARIAS NO PUEDE CONSIDERARSE OBLIGACIÓN DE RESULTADO
La Sala contesta que la obligación de adoptar las medidas necesarias para garantizar la seguridad de los datos personales no puede considerarse una obligación de resultado, que implique que producida una filtración de datos personales a un tercero exista responsabilidad con independencia de las medidas adoptadas y de la actividad desplegada por el responsable del fichero o del tratamiento.
Añade que “no basta con diseñar los medios técnicos y organizativos necesarios, también es necesaria su correcta implantación y su utilización de forma apropiada, de modo que también responderá (la empresa) por la falta de la diligencia en su utilización, entendida como una diligencia razonable atendiendo a las circunstancias del caso”.
El TS confirma la sanción de 40.000 euros impuesta por la Agencia Española de Protección de Datos – AEPD a una empresa distribuidora de telefonía, al permitir el acceso no autorizado por parte de terceros, como mínimo a 14 solicitudes de financiación, en las que aparecían datos personales de clientes, como nombre y apellidos, datos económicos, domiciliación bancaria y firma. El programa que se utilizaba para recoger los datos de los clientes no disponía de ninguna medida de seguridad que permitiese comprobar la veracidad de los datos, así como la pertenencia de los mismos y si el consentimiento prestado era válido.
También la Sala señala que el hecho de que fuese la actuación negligente de una empleada la que provocó la brecha de seguridad no le exime de responsabilidad a la empresa en cuanto encargada de la correcta utilización de las medidas de seguridad que deberían haber garantizado la adecuada utilización del sistema de registro de datos diseñado.
Data21 garantiza mediante sus dos análisis de riesgos el cumplimiento y la aplicación de las medidas
