Sanció de 40.000€ por una bretxa de seguretat en la protecció de dades personals.

protección de datos

Sanció de 40.000€ por una bretxa de seguretat en la protecció de dades personals.

La Sala Tercera, del Contenciós-Administratiu, del Tribunal Suprem ha confirmat una sanció de 40.000 euros imposada per l’Agència de Protecció de Dades a una empresa distribuïdora de productes de telefonia, com a responsable d’una infracció greu en permetre l’accés no autoritzat per part de tercers a, almenys, 14 sol·licituds de finançament en la qual figuraven dades personals dels clients (nom i cognoms, dades econòmiques, de domiciliació bancària i signatura).

Per el TS:

  • L’obligació de les empreses de garantir la seguretat dels fitxers que continguin dades personals dels seus clients és d’obligació i no de mitjans, encara que «és exigible l’adopció i implantació de mesures tècniques i organitzatives, que conformi a l’estat de la tecnologia i en relació amb la naturalesa del tractament realitzat i les dades personals en qüestió, permetin raonablement evitar la seva alteració, pèrdua, tractament o accés no autoritzat».
  • «No n’hi ha prou amb dissenyar els mitjans tècnics i organitzatius necessaris, també és necessària la seva correcta implantació i la seva utilització de manera apropiada, de manera que també respondrà (l’empresa) per la falta de la diligència en la seva utilització, entesa com una diligència raonable ateses les circumstàncies del cas».

– En el moment en què es van produir aquests fets, existien mesures tècniques referides al procés de registre, que haguessin evitat la filtració de dades personals produïda. Això implica que les mesures tècniques adoptades incomplien les condicions de seguretat en els termes exigits.

L’actuació negligent d’una empleada no eximeix de responsabilitat

Finalment, la Sala assenyala que el fet que fos l’actuació negligent d’una empleada la que va provocar la bretxa de seguretat no li eximeix de responsabilitat a l’empresa com a encarregada de la correcta utilització de les mesures de seguretat que haurien d’haver garantit l’adequada utilització del sistema de registre de dades dissenyat.

En el supòsit examinat, el tribunal confirma la sanció a l’empresa perquè «el programa utilitzat per a la recollida de les dades dels clients no contenia cap mesura de seguretat que permetés comprovar si l’adreça de correu electrònic introduïda era real o fictícia i si realment pertanyia a la persona les dades de la qual estaven sent tractats i prestava el consentiment per a això. L’estat de la tècnica en el moment en el qual es van produir aquests fets permetia establir mesures destinades a comprovar la veracitat de la direcció d’email, condicionant la continuació del procés al fet que l’usuari rebés el contracte en la direcció proporcionada i només des d’ella prestés el consentiment necessari per a la seva recollida i tractament. Mesures que no es van adoptar en aquest cas».

Des d’Arias Assessors els recordem la importància de tenir en la seva empresa una regulació correcta sobre el tractament de dades personals i la seva correcta adaptació al Reglament General de Protecció de Dades, per a més informació poden posar-se en contacte amb nosaltres en el telèfon 93 454 50 95 o mail info@ariasassessors.com