Hasta la entrada en vigor del GDPR, el criterio de la AEPD en lo referente a las medidas de seguridad, tanto técnicas como organizativas en las entidades, era considerar que la adopción e implantación de las mismas era una obligación de resultado, es decir que la adopción de estas medidas tenían como fin último evitar que los datos personales se perdieran, extraviaran o acabasen en manos de terceros, y si no se conseguía ese resultado, se sancionaba, con independencia de la diligencia en la adopción de esas medidas por parte de la organización, y todo ello en base a la anterior normativa de protección de datos (LOPD 15/1999 y RD 1720/2007).
A partir de la entrada en vigor del GDPR, y así se desprende de los últimos expedientes resueltos por la AEPD en los que se valoran las medidas de seguridad adoptadas por las entidades, la Agencia empieza a considerar la adopción de esas medidas como una obligación de medios y no de resultado, es decir que estas medidas no siempre serán infalibles, y para determinar el cumplimiento normativo en lo referente a las mismas se deberá valorar que la entidad adopta medidas de seguridad adecuadas, y las implanta y utiliza con una diligencia razonable.
Recientemente el Tribunal Supremo en su STS 543/2022, sobre una brecha de seguridad producida en una compañía, por la que la AEPD imponía una sanción a la misma, ratifica el criterio seguido por la AEPD a partir de la entrada en vigor del GDPR, en lo que respecta a considerar la adopción de medidas de seguridad como una obligación de medios y no de resultados.
El Supremo interpreta que no comete infracción quien adopta medidas de seguridad adecuadas, y las implanta y utiliza con una diligencia razonable, sin que sea exigible la infalibilidad de las mismas. El indicador principal para decidir qué medidas deben ser adoptadas en cada caso a efectos de garantizar el cumplimiento normativo y los derechos y libertades de los titulares de los datos, será el riesgo que presente el tratamiento en cuestión.
Sin embargo, en este caso el Supremo ha mantenido la sanción que imponía la AEPD a la compañía, ya que considera que:
• El sistema utilizado por la compañía para recabar los datos de los clientes no incluía ninguna medida de seguridad que permitiese comprobar si la dirección de correo electrónico introducida era real o no.
• No se podía corroborar si la información realmente pertenecía a la persona cuyos datos estaban siendo tratados y que prestaba el consentimiento para ello, a pesar de que, en esos momentos, la tecnología ya disponía de herramientas para facilitar esta labor de identificación.
• El hecho de que fuera una persona trabajadora quien provocara la brecha no exime a la compañía de su responsabilidad, ya que es quien debe supervisar la correcta utilización de las medidas.
• No basta con adoptar medidas técnicas y organizativas adecuadas y necesarias, es fundamental de igual modo su correcta implantación y su utilización de forma apropiada, de modo que también responderá la compañía por la falta de la diligencia en su utilización.