Sin duda, las empresas, manejan una gran cantidad de información procedente de sus clientes, y por lo tanto se las considera como controladoras de esos datos siendo una obligación para ellas implementar medidas técnicas y organizativas adecuadas que garanticen la seguridad de los datos que procesan. Y aquí surge la primera pregunta, ¿en caso de producirse una brecha de seguridad, deberán ser responsables de compensar a los individuos afectados por los daños causados?
Cumplimiento de los principios y requisitos del GDPR
En España establece la normativa de protección de datos el Reglamento General de Protección de Datos (GDPR por sus siglas en inglés), aplicable en toda Europa. El GDPR establece la obligación no sólo de obtener el consentimiento explícito de los usuarios para el procesamiento de sus datos y permitir a los mismos ejercer sus derechos respecto al tratamiento de los mismos, sino que además, deberán demostrar el cumplimiento de los principios y requisitos del GDPR con un registro de las actividades realizadas con estos datos, impidiéndose la transmisión de datos de forma internacional si el país de destino no cuenta con un nivel de protección adecuado, con cláusulas contractuales estándar, normas corporativas vinculantes o certificaciones de privacidad, evaluaciones períodicas sobre el impacto de protección de datos cuando sea necesario y designar a un delegado de protección de datos. No obstante, la responsabilidad de las empresas no finaliza aquí, ya que cuando sufren una brecha en su seguridad están obligadas a la notificación de este ataque en el plazo de 72 horas a la autoridad de protección de datos competente e incluso a los individuos afectados, salvo que no implique riesgo para estos, recogidos en el art. 33 y 34 de este Reglamento.
Cuando esto sucede en España, deberá ser notificado a la AEPD cuando:
- Su único establecimiento esté localizado en España.
- Si tienen varios establecimientos en la Unión Europea, únicamente cuando el establecimiento principal esté localizado en España.
- Si no tienen establecimiento principal en la Unión Europea, sólo en el caso de que hayan designado un representante en España.
- Si no tienen establecimiento ni representante en la Unión Europea, en el caso de que la brecha de datos personales cuente con afectados en España.
Pongámonos en el supuesto de que una empresa cumple estrictamente todos los requisitos de seguridad y aun así, sufre una brecha de seguridad, ¿tiene algún tipo de responsabilidad?
La jurisprudencia del Tribunal Supremo se ha pronunciado a este respecto en diversas sentencias, de las cuales son ejemplo la STS 543/2022 de 15 de febrero de 2022 y STS 188/2022 de 15 febrero de 2022, esclareciendo la diferencia entre obligación de medios respecto de la obligación de resultado.
Obligación de medios
En concreto, el Tribunal Supremo se ha pronunciado respecto a si los errores en seguridad cometidos por los trabajadores deben de ser imputados a la persona jurídica o se deben valorar las medidas de prevención adoptadas. A este respecto establece el Tribunal que lo que se exige a las empresas es una obligación de medios, deben implantar las medidas técnicas y organizativas conforme a la tecnología y requisitos del momento, lo que implica también proporcionar la formación adecuada y actualizada a los trabajadores. La obligación recae sobre el responsable del fichero y sobre el encargado del tratamiento respecto a la adopción de medidas necesarias para garantizar la seguridad de los datos de carácter personal, sin que sea exigible la infabilidad de las medidas adoptadas. No basta con diseñar los medios técnicos y organizativos necesarios, también es necesaria su correcta implantación y su utilización de forma apropiada, de modo que también responderá por la falta de diligencia en su utilización, entendida como una diligencia razonable conforme a las circunstancias del caso.
Nivel de seguridad
Esta distinción también tiene su reflejo en el Reglamento de la Unión Europea 2016/679, del Parlamento y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, como en la LOPD 3/2018 de 5 de diciembre, al diferenciar como obligaciones e infracciones autónomas entre la falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo de tratamiento (art. 73 d, e y f) y a la falta de la debida diligencia en la utilización de las medidas técnicas y organizativas implantadas (art. 73.g).
Conforme a la sentencia STC 246/1991, de 19 de diciembre, las personas jurídicas son responsables de las acciones de sus empleados o trabajadores: aunque no se presume automáticamente la culpabilidad de la empresa por estas acciones, se le puede atribuir responsabilidad si se demuestra falta de diligencia por parte de sus empleados. Esto se basa en la idea de que la empresa opera a través de sus representantes, empleados y trabajadores, quienes actúan en su nombre y beneficio. Por lo tanto, si un empleado incumple sus obligaciones o actúa con falta de diligencia mientras está en el ejercicio de su empleo, la empresa puede ser considerada responsable por no haber tomado las medidas adecuadas para prevenir o corregir esa conducta. Esta responsabilidad se deriva de la "culpa in eligendo" (la elección cuidadosa de los profesionales a cargo) y la "culpa in vigilando" (la obligación de supervisar las acciones del causante del daño). Aunque el empleado sea el responsable directo de la brecha de seguridad, la empresa es responsable en última instancia de garantizar el uso adecuado de las medidas de protección.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación