Sanción de 40.000€ por una brecha de seguridad en la protección de datos personales.

protección de datos

Sanción de 40.000€ por una brecha de seguridad en la protección de datos personales.

La Sala Tercera, de lo Contencioso-Administrativo, del Tribunal Supremo ha confirmado una sanción de 40.000 euros impuesta por la Agencia de Protección de Datos a una empresa distribuidora de productos de telefonía, como responsable de una infracción grave al permitir el acceso no autorizado por parte de terceros a, al menos, 14 solicitudes de financiación en la que figuraban datos personales de los clientes (nombre y apellidos, datos económicos, de domiciliación bancaria y firma).

Para el TS:

– La obligación de las empresas de garantizar la seguridad de los ficheros que contengan datos personales de sus clientes es de obligación y no de medios, aunque «es exigible la adopción e implantación de medidas técnicas y organizativas, que conforme al estado de la tecnología y en relación con la naturaleza del tratamiento realizado y los datos personales en cuestión, permitan razonablemente evitar su alteración, pérdida, tratamiento o acceso no autorizado».

– «No basta con diseñar los medios técnicos y organizativos necesarios, también es necesaria su correcta implantación y su utilización de forma apropiada, de modo que también responderá (la empresa) por la falta de la diligencia en su utilización, entendida como una diligencia razonable atendiendo a las circunstancias del caso».

– En el momento en que se produjeron estos hechos, existían medidas técnicas referidas al proceso de registro, que hubiesen evitado la filtración de datos personales producida. Ello implica que las medidas técnicas adoptadas incumplían las condiciones de seguridad en los términos exigidos.

La actuación negligente de una empleada no exime de responsabilidad

Por último, la Sala señala que el hecho de que fuese la actuación negligente de una empleada la que provocó la brecha de seguridad no le exime de responsabilidad a la empresa en cuanto encargada de la correcta utilización de las medidas de seguridad que deberían haber garantizado la adecuada utilización del sistema de registro de datos diseñado.

En el supuesto examinado, el tribunal confirma la sanción a la empresa porque «el programa utilizado para la recogida de los datos de los clientes no contenía ninguna medida de seguridad que permitiese comprobar si la dirección de correo electrónico introducida era real o ficticia y si realmente pertenecía a la persona cuyos datos estaban siendo tratados y prestaba el consentimiento para ello. El estado de la técnica en el momento en el que se produjeron estos hechos permitía establecer medidas destinadas a comprobar la veracidad de la dirección de email, condicionando la continuación del proceso a que el usuario recibiese el contrato en la dirección proporcionada y solo desde ella prestase el consentimiento necesario para su recogida y tratamiento. Medidas que no se adoptaron en este caso».

Desde Arias Assessors les recordamos la importancia de tener en su empresa una regulación correcta sobre el tratamiento de datos personales y su correcta adaptación al Reglamento General de Protección de Datos, para más información pueden ponerse en contacto con nosotros en el teléfono 93 454 50 95 o mail info@ariasassessors.com