Tribunal Supremo, Sala de lo Contencioso-administrativo, Sentencia 188/2022, 15 Feb. Rec. 7359/2020 (LA LEY 11760/2022)
El Supremo ha confirmado la sanción de 40.001 euros impuesta por la AEPD a una empresa distribuidora oficial de Movistar por la infracción del art. 9.1 LOPD (LA LEY 4633/1999)
, tipificada como grave en el art. 44.3 h) de la misma Ley, por la filtración de 14 contratos de financiación con numerosos datos personales sensibles, tales como las cuentas corrientes, lugar de trabajo y datos personales o familiares. Esos contratos fueron recibidos por el denunciante en su dirección de correo electrónico debido a que fue introducida por una empleada en el formulario de solicitud de financiación de algunos clientes en la creencia de que era inexistente, por referirse a la provincia en la que radica la tienda, y ello con el único fin de que no se bloquease el procedimiento de financiación.
Desestima así el recurso de casación interpuesto por la sancionada contra la sentencia de la Audiencia Nacional (LA LEY 117281/2020) que rechazó el recurso contencioso que dedujo contra a la resolución sancionadora. Sostiene la Sala que la obligación de adoptar las medidas necesarias para garantizar la seguridad de los datos personales no puede considerarse una obligación de resultado, que implique que producida una filtración de datos personales a un tercero exista responsabilidad con independencia de las medidas adoptadas y de la actividad desplegada por el responsable del fichero o del tratamiento.
Puntualiza que la diferencia entre ambas radica en la responsabilidad en uno y otro caso, pues mientras que en la obligación de resultado se responde ante un resultado lesivo por el fallo del sistema de seguridad, cualquiera que sea su causa y la diligencia utilizada, en la obligación de medios basta con establecer medidas técnicamente adecuadas e implantarlas y utilizarlas con una diligencia razonable, y añade que, en estas últimas, la suficiencia de las medidas de seguridad que el responsable ha de establecer ha de ponerse en relación con el estado de la tecnología en cada momento y el nivel de protección requerido en relación con los datos personales tratados, pero no se garantiza un resultado.
Considera que así debe interpretarse el art. 9.1 LOPD (LA LEY 4633/1999), de forma que no basta con que el responsable del fichero o, en su caso, el encargado del tratamiento, diseñe los medios técnicos y organizativos necesarios, sino que también es necesaria su correcta implantación y su utilización de forma apropiada, de modo que también responderá por la falta de la diligencia en su utilización, entendida como una diligencia razonable atendiendo a las circunstancias del caso.
De esta manera, concluye el Supremo que la obligación que recae sobre el responsable del fichero y sobre el encargado del tratamiento respecto a la adopción de medidas necesarias para garantizar la seguridad de los datos de carácter personal no es una obligación de resultado sino de medios, sin que sea exigible la infalibilidad de las medidas adoptadas. Y agrega que tan solo resulta exigible la adopción e implantación de medidas técnicas y organizativas, que conforme al estado de la tecnología y en relación con la naturaleza del tratamiento realizado y los datos personales en cuestión, permitan razonablemente evitar su alteración, pérdida, tratamiento o acceso no autorizado.
Seguidamente, en lo que respecta al caso enjuiciado, pone de manifiesto que el programa utilizado por la sancionada para la recogida de los datos de los clientes no contenía ninguna medida de seguridad que permitiese comprobar si la dirección de correo electrónico introducida era real o ficticia y si realmente pertenecía a la persona cuyos datos estaban siendo tratados y prestaba el consentimiento para ello, pese a que el estado de la técnica en ese momento sí permitía establecer medidas destinadas a comprobar la veracidad de la dirección de email, con lo que, de haberse implantado, se habría evitado la filtración de datos producida. Como consecuencia, al incumplir las medidas técnicas adoptadas las condiciones de seguridad en los términos exigidos en el art. 9.1 LOPD (LA LEY 4633/1999), es claro que incurrió en la infracción prevista en el art. 44.3 h) de la misma Ley.
Incide en que la empresa trataba los datos de los clientes por cuenta del responsable del fichero, por lo que implantó y utilizó un programa informático siendo conocedora, o debiendo serlo, de que carecía de las medidas de seguridad necesarias para comprobar la veracidad y exactitud de la dirección de email a la que se enviaba la copia del contrato de financiación. Y resalta especialmente que el programa de tratamiento de datos diseñado tampoco se utilizó de forma adecuada, lo cual hubiese evitado la filtración.
Subraya que la empresa encargada de recopilar los datos que se incluían en el fichero estaba obligada a controlar que no se burlaban las medidas de seguridad existentes para registrar los datos de los usuarios, y que el hecho de que fuese la actuación negligente de una empleada la que provocó la filtración no la exime de su responsabilidad en cuanto encargada de la correcta utilización de las medidas de seguridad que deberían haber garantizado la adecuada utilización del sistema de registro de datos diseñado.
Apunta que es irrelevante que los clientes afectados firmaran el formulario con la dirección de correo electrónico falsa, pues entiende que esta circunstancia puede ser considerada para graduar la sanción, que no excluye la responsabilidad de la empresa ni puede determinar una disminución sensible de su antijuridicidad.
Finalmente, en cuanto a la graduación de la sanción, indica el TS que no se rebaten en casación de forma concreta los criterios agravantes tenidos en cuenta por la AEPD, salvo el relativo al volumen de datos filtrados, y señala en este punto que la filtración de 14 contratos de financiación con numerosos datos sensibles no puede considerarse una filtración que ni por su importancia ni por el volumen merezca ser atenuada. Por último, añade que, a su juicio, indudablemente, la firma por los afectados del formulario con la dirección electrónica falsa contribuyó para que, pese a la existencia de agravantes, se aplicase la sanción mínima legalmente prevista.