La reciente Sentencia del Tribunal Supremo nº 188/2022 de 15 de febrero de 2022 ha concluido que la obligación de adoptar medidas técnicas y organizativas necesarias para garantizar la seguridad de datos personales es una obligación de medios y no de resultado.
En consecuencia, no es exigible la infalibilidad de las medidas adoptadas.
«CUARTO.- (…) Ya hemos razonado que la obligación que recae sobre el responsable del fichero y sobre el encargado del tratamiento respecto a la adopción de medidas necesarias para garantizar la seguridad de los datos de carácter personal no es una obligación de resultado sino de medios, sin que sea exigible la infalibilidad de las medidas adoptadas.»
No obstante, ojo porque dicha obligación de medios abarca también a la oportuna utilización o implantación de tales medidas. En otras palabras, no basta con tener los protocolos de seguridad en un cajón, se tienen que aplicar de forma efectiva dentro de la organización.
«TERCERO.- (…) No basta con diseñar los medios técnicos y organizativos necesarios también es necesaria su correcta implantación y su utilización de forma apropiada, de modo que también responderá por la falta de la diligencia en su utilización, entendida como una diligencia razonable atendiendo a las circunstancias del caso.»
Tampoco sirve excusarse en una conducta culpable de un empleado, la empresa responde por las acciones u omisiones del empleado según consolidada jurisprudencia del Tribunal Constitucional.
«TERCERO.- (…) Por último, resulta oportuno recordar que las personas jurídicas responden por la actuación de sus empleados o trabajadores. No se establece por ello una responsabilidad objetiva, pero si es trasladable a la persona jurídica la falta de diligencia de sus empleados, en tal sentido STC 246/1991, de 19 de diciembre f.j 2.»
Por otro lado, si bien es cierto que dicha STS aplica la antigua LOPD, las constantes referencias a la nueva normativa hacen que sus conclusiones sean, en gran parte, extrapolables al RGPD y a la LOPDgdd.
Finalmente, recalcar que esta jurisprudencia se enmarca en un procedimiento administrativo sancionador. Estaría por ver si también aplica en sede de un procedimiento civil.
Autoría: Sergio de Juan-Creix | Sofía Pérez
