España│TS: las medidas de seguridad de datos personales son obligación de medios, no de resultado

La sentencia 188/2022 dictada por la sala tercera del Tribunal Supremo resuelve el recurso de casación interpuesto por Commcenter, S.A., empresa distribuidora oficial de Movistar, y confirma la sanción impuesta por la Agencia Española de Protección de Datos (“AEPD”) a la entidad recurrente en fecha 3 de octubre de 2018 por infracción del Artículo 9.1 de la ahora ya derogada Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (“LOPD”). La sanción ascendía a 40.001 euros.

El hecho que motivó el inicio del procedimiento contra la citada entidad y la posterior sanción fue la filtración de catorce contratos de financiación que contenían una gran cantidad de datos personales (nombres, domicilios, teléfonos, estado civil, familiares a cargo, ingresos, situación laboral, cargos, números de cuentas corrientes, importes financiados, mensualidades y la firma del contratante) que se enviaron a una cuenta de correo errónea (la del denunciante). Commercer, S.A. consideró que hubo un mal uso del formulario por parte de una de sus empleadas que, al rellenar la solicitud de financiación de algunos clientes, incluyó la dirección de correo electrónico del denunciante pensando que esa dirección era inexistente, al aludir a la provincia donde se ubica la tienda, para así poder dar curso al procedimiento de financiación, que exigía la introducción de una dirección de correo electrónico.

Respondiendo a las alegaciones de la recurrente, la Sala de lo Contencioso-Administrativo señala que “[l]a obligación de adoptar las medidas necesarias para garantizar la seguridad de los datos personales no puede considerarse una obligación de resultado, que implique que producida una filtración de datos personales a un tercero exista responsabilidad con independencia de las medidas adoptadas y de la actividad desplegada por el responsable del fichero o del tratamiento”. A tal efecto recuerda que en el caso de “obligaciones de resultado” existe un compromiso consistente en el cumplimiento de un determinado objetivo, asegurando el logro o resultado propuesto, en este caso garantizar la seguridad de los datos personales y la inexistencia de filtraciones o quiebras de seguridad. En las “obligaciones de medio”, en cambio, el compromiso que se adquiere es el de adoptar los medios técnicos y organizativos, así como desplegar una actividad diligente en su implantación y utilización que tienda a conseguir el resultado esperado con medios que razonablemente puedan calificarse de idóneos y suficientes para su consecución, por ello se las denomina obligaciones "de diligencia" o "de comportamiento".

La diferencia entre los citados conceptos radica en la responsabilidad en uno y otro caso. Mientras que en la obligación de resultado se responde ante un resultado lesivo por el fallo del sistema de seguridad, cualquiera que sea su causa y la diligencia utilizada, en la obligación de medios basta con establecer medidas técnicamente adecuadas e implantarlas y utilizarlas con una diligencia razonable.

Indica el Tribunal Supremo que tan solo resulta exigible a los responsables y encargados del tratamiento la adopción e implantación de medidas técnicas y organizativas que, conforme al estado de la tecnología y en relación con la naturaleza del tratamiento realizado y los datos personales en cuestión, permitan razonablemente evitar su alteración, pérdida, tratamiento o acceso no autorizado.

Ahora bien, en el caso concreto, el Tribunal llega a la conclusión de que las medidas adoptadas por la recurrente, como encargada del tratamiento, no fueron suficientes, ya que el programa utilizado no contenía ninguna medida de seguridad para comprobar si la dirección de correo electrónico era real o ficticia y si correspondía a la persona cuyos datos estaban siendo tratados. Entiende el Tribunal que el estado de la técnica en el momento de los hechos permitía establecer medidas para comprobar la veracidad de la dirección de email. Indica finalmente el Tribunal que el hecho de que la filtración se produjera en última instancia por la actuación negligente de una empleada no exime a la empresa de su responsabilidad. Por todo ello, confirma la sanción impuesta por la AEPD.