Obligación de medios frente a obligación de resultado
Le mercantil Commcenter, S.A. interpuso recurso de casación ante el Tribunal Supremo contra la sentencia de la Sala de lo Contencioso-administrativo de la Audiencia Nacional de julio de 2020, por la que se desestimó el recurso interpuesto por dicha entidad contra la resolución de la AEPD de noviembre de 2018, que impuso a la mencionada empresa una sanción de 40.001€ por infracción del artículo 9.1 de la LOPD. Si quieres conocer como actuar ante un procedimiento sancionador accede a ésta otra entrada.
Los motivos por los que se sancionó a la entidad recurrente son básicamente los siguientes: en las solicitudes de financiación de productos de telefonía de distintos clientes con con la mercantil Telefónica Consumer Finance, S.A.U. figuraba una dirección de corrreo electrónico que no correspondía a los clientes, lo que provocó que se permitiera el acceso no autorizado por parte de terceros, al menos a 14 solicitudes de financiación, en las que obraban datos personales de los clientes (nombre y apellidos, datos económicos, de domiciliación bancaria y firma).
La empresa recurrente, alega que trabaja a tres niveles distintos:
- En la compra y venta de productos de telefonía y comunicaciones, actúa por su propia cuenta y riesgo, con sus propios programas y tarifas, y formalizando una relación directa entre ella y el cliente.
- En cuanto a las altas de línea ofertadas por Movistar, actúa en nombre y por cuenta de Movistar, haciendo de intermediario en la formalización de la relación contractual entre Telefónica de España, SAU y el cliente.
- En cuanto a la financiación, actúa en nombre y por cuenta de Telefónica Consumer Finance, SAU, haciendo de intermediario en la formalización de la relación contractual entre ésta y el cliente.
Commcenter tiene contratos de distribución y representación tanto con Movistar como con Telefónica Consumer Finance, SAU.
La empresa Commcenter tiene claro que queda bajo su esfera de responsabilidad la recogida, intruducción y envío de datos también cuando trabaja en nombre y por cuenta de Movistar y Telefónica Consumer Finance, SAU.
La recurrente entiende que las medidas de seguridad relativas al sistema de informático no dependen de Commcenter, puesto que es un sistema que está ubicado, controlado y gestionado por Telefónica Consumer Finance, así como también los protocolos de uso del software los imponen ellos.
La empresa Commcenter considera o entiende que la instrucción del proceso se había acordado para determinar si había lugar a sancionar a la recurrente por un presunto ilícito que le era imputable, cometido por un empleada por el acto de introducir datos de carácter personal inexactos en los contratos de financiación.
Una vez planteadas estas cuestiones previas Commcenter alega los siguientes motivos de impugnación:
El artículo 9 de la LOPD no establece una obligación de resultado respecto a las medidas de seguridad.
Se aduce, que la sentencia recurrida establece, en relación con el artículo 9 de la LOPD, una clara obligación de resultado. La recurrente considera que esta obligación de resultado entra en contradicción con la legislación y la jurisprudencia, que vienen a establecer una obligación de medios, considerando que el sujeto obligado a cumplir con la normativa debe diseñar e implantar las medidas de seguridad para evitar las posibles brechas de seguridad y evitar ser sancionado. Al margen de que por un hecho fortuito o un acontecimiento de imposible previsión se cree una brecha de seguridad que el sujeto no hubiera podido evitar siquiera aplicando las más estrictas medidas.
En definitiva, la sentencia considera insuficientes por inoperantes las medidas de seguridad que hayan podido aplicarse, siempre que tenga lugar una brecha de segurida de los datos, sea ésta de la naturaleza que sea. Pero no se examinan si las medidas de seguridad que tenía realmente implementadas la mercantil recurrrente eran las adecuadas para cumplir con la normativa.
Ni la LOPD ni el RD 1720/2007 hablan de una obligación de resultado, sino que hacen referencia a medios. Lo mismo sucede con las previsiones contenidas en el RGPD y en la LOPDGDD, en las que se pone énfasis en la responsabilidad proactiva del obligado que debe adoptar las medidas que sean necesarias (medios) que en ningún caso se refiere a obligaciones de resultado.
En los fundamentos de derecho de la Sentencia del TS, se trata en su apartado segundo sobre la delimitación de la cuestión controvertida.
En dicho apartado el alto Tribunal deja constancia de que la sentencia impugnada, interpretando el artículo 9 de la LOPD, considera que dicho precepto impone una obligación de resultado consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros.
Por el contrario, la empresa recurrente en casación entiende que la adopción de las medidas de seguridad es una obligación de medios y no de resultado, sin que sea posible apreciar una responsabilidad objetiva o sin culpa y que los empleados de la empresa no pueden incurrir en una vulneración del artículo 9 LOPD que se haga extensible a la empresa.
El Auto de admisión considera que la cuestión que reviste interés casacional consiste en determinar si las infracciones de la Ley de Protección de Datos por fallos de medidas de seguridad que puedan cometer los empleados de una persona jurídica deben examinarse en atención al resultado y, por lo tanto, imputarse a la persona jurídica de la que dependa dicho empleado, con independencia de los medios y medidas de prevención que hubiera podido adoptar.
Por su parte el fundamento de derecho tercero trata sobre las medidas de seguridad en materia de protección de datos y las personas jurídicas.
En dicho apartado se establece o se manifiesta que la obligación de adoptar las medidas de seguridad necesarias para garantizar la seguridad de los datos no puede considerarse una obligación de resultado, que implique que producida una filtración de datos a un tercero exista responsabilidad con independencia de las medidas adoptadas por el responsable del tratamiento.
En las obligaciones de resultado existe un compromiso consistente en el cumplimiento de un determinado objetivo, asegurando el logro o resultado propuesto, en este caso garantizar la seguridad de los datos y la inexistencia de filtraciones o quiebras de seguridad.
En las obligaciones de medios el compromiso que se adquiere es el de adoptar los medios técnicos y organizativos, así como desplegar una actividad diligente en su implantación y utilización que tienda a conseguir el resultado esperado con medios que puedan calificarse de idóneos y suficientes para su consecución.
La diferencia radica en la responsabilidad en uno y otro caso, pues mientras que en la obligación de resultado se responde ante un resultado lesivo por el fallo del sistema de seguridad, cualquiera que sea su causa y la diligencia utilizada. En la obligación de medios basta con establecer medidas técnicamente adecuadas e implantarlas y utilizarlas con una diligencia razonable.
En estas últimas, la suficiencia de las medidas de seguridad que el responsable ha de establecer ha de ponerse en relación con el estado de la tecnología en cada momento y el nivel de protección requerido en relación con los datos personales tratados, pero no se garantiza un resultado. El artículo 31 del RGPD establece respecto a la seguridad del tratamiento que las medidas técnicas y organizativas apropiadas lo son «Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas […]».
Y así debe interpretarse el artículo 9 LOPD cuando establece que el responsable del fichero, y, en su caso el encargado del tratamiento deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a los que están expuesto, ya provengan de la acción humana o del medio físico o natural.
No basta con diseñar los medios técnicos y organizativos necesarios también es necesaria su correcta implantación y su utilización de forma apropiada.
Por último, considera el alto Tribunal oportuno recordar que las personas jurídicas responden por la actuación de sus empleados. No se establece por ello una responsabilidad objetiva, pero si es trasladable a la persona jurídica la falta de diligencia de sus empleados, en tal sentido STC 246/1991, fundamento jurídico 2.
El fundamento jurídico cuarto de la sentencia del TS, viene a reafirmar el razonamiento de que la obligación que recae sobre el responsable del tratamiento y sobre el encargado del tratamiento respecto a la adopción de medidas necesaria para garantizar la seguridad de los datos personales no es una oblilgación de resultados sino de medios, sin que sea exigible la infalibilidad de las medidas adoptadas.
Pues bien, el programa utilizado para la recogida de los datos de los clientes no contenía ninguna medida de seguridad que permitiera comprobar si la dirección de correo electrónico introducida es real o ficticia y si realmente pertencía a la persona cuyos datos estaban siendo tratados y prestaba el consentimiento para ello. El estado de la técnica en el momento en el que se produjeron estos hechos permitía establecer medidas destinadas a comprobar la veracidad de la dirección de email, condicionando la continuación del proceso a que el usuario recibiese el contrato en la dirección proporcionada y solo desde ella prestase el consentimiento necesario para su recogida y tratamiento. Medidas que no se adoptaron en este caso.
La propia empresa recurrente en el escrito de alegaciones presentado a la propuesta de resolución puso de manifiesto que el programa no disponía de un sistema de verificación del correo electrónico. En efecto, en el año 2018 existía un sistema de verificación del correo electrónico conocido como «doble opt-in» consistente en un proceso de aceptación de unas normas o condiciones de uso cuyo principal objetivo es el de verificar que los usuarios son quienes dicen ser y no son ni robots creando suscripciones automáticas, ni correos spam, o terceras personas generando suscripciones fraudulentas utilizando correos electrónicos que no son de su propiedad.
Es la propia mercantil que recurre la que considera este sistema como básico en materia de seguridad de las información añadiendo que «[…] sin duda hubiera evitado que se hubiera producido la fuga de datos objeto de autos».
Lo cierto es que el encargado del tratamiento también deberá adoptar las medidas de índole técnica y organizativas necesarias para garantizar la seguridad de los datos personales, pues así lo dispone el artículo 32.1 del RGPD UE 2016/679.
La entidad recurrente trataba los datos de los clientes por cuenta del responsable del tratamiento por lo que se implantó y utilizó dicho programa siendo conocedora, o hubiera debido serlo, de que éste carecía de las medida de seguridad necesarias para comprobar la veracidad y exactitud de la dirección de email a la que se enviaba la copia del contrato de financiación. Pero lo que es más importante, el programa d tratamiento de datos diseñado tampoco se utilizó de forma adecuada, lo cual hubiera evitado la filtración. La empresa encargada de recopilar los datos que se incluían en el fichero estaba obligada a controlar que se burlaban las medidas de seguridad existentes para registrar los datos de los usuarios. Sin embargo, una empleada hizo un mal uso reiterado del programa, introduciendo datos inexactos de forma voluntaria, puesto que rellenó una dirección email inventada para poder continuar con el proceso de registro aun a sabiendas que el contrato se enviaría a dicha dirección. El hecho de que fuese la actuación negligente de una empleada no le exime de su responsabilidad en cuanto encargado de la correcta utilización de las medidas de seguridad que deberían haber garantizado la adecuada utilización del sistema de registro de datos diseñado.