Si una empresa aplica de manera exhaustiva totes les obligacions que estableix la normativa, així com les mesures de seguretat segons la tipologia de dades que tracta i basant-se en una anàlisi de riscos, i, tot i així, té una bretxa de seguretat, la poden sancionar?
Analitzem aquesta recent sentència STS 543/2022 de 15 de febrer de 2022 com a resposta al recurs presentat pel nostre col·lega Xavier Saula, rellevant en l’àmbit de la protecció de dades sobre l’obligació de mitjans vs obligació de resultat.
En concret, el Tribunal Suprem s’ha pronunciat sobre si els errors de les mesures de seguretat comesos pels treballadors han de ser imputats a la persona jurídica pel resultat lesiu que produeixen o, si, pel contrari, s’han de valorar les mesures de prevenció adoptades. A les següents línies analitzarem la resolució del TS i determinarem la responsabilitat de l’empresa.
Antecedents de fet
Aquesta sentència gira entorn a una infracció de seguretat comesa per una treballadora, que va permetre l’accés per part de tercers no autoritzats a almenys 14 sol·licituds de finançament. Aquests documents contenien dades personals dels clients (nom i cognom, dades econòmiques, domiciliació bancària i signatura). Aquest accés es va produir perquè, per a poder realitzar el contracte de finançament, és necessari emplenar un formulari, que entre altres dades sol·licita el correu electrònic per enviar una còpia d’aquest contracte. La treballadora per a poder omplir el formulari usava un compte de correu electrònic que creia inexistent. El resultat va ser que va enviar a aquest correu els contractes de finançament dels clients.
Quina obligació té l’empresari respecte a les mesures de seguretat?
Les obligacions poden ser de resultat o de mitjans. En el primer supòsit s’obliga a obtenir un resultat concret, en el segon, en canvi, s’obliga a adoptar una sèrie de mitjans tècnics i organitzatius que tendeixin a obtenir el fi que es persegueix. La diferència principal radica en la responsabilitat; en el primer supòsit s’és responsable en cas de producció d’un resultat lesiu, mentre que, en el segon supòsit, per a no respondre n’hi ha prou en establir i implementar de manera diligent mesures tècniques adequades.
En relació amb la protecció de dades s’ha d’establir una obligació de mitjans, això implica, implantar una sèrie de mesures tècniques i organitzatives conforme a la tecnologia actual i al tractament realitzat. La sentència en qüestió considera que no es compleix amb la implantació de les mesures conforme a la tecnologia actual per no tenir instaurat el sistema de verificació de correu electrònic “doble opt-in”.
Què és el “doble opt-in”?
Doble opt-in és un sistema que permet comprovar la veracitat de la informació subministrada a partir d’un sistema de doble verificació. Per a fer-ho, s’envia un correu electrònic de confirmació a l’adreça facilitada per assegurar-se d’aquesta manera que l’usuari accepta el tractament de les seves dades.
Aquesta mesura existia en el moment en el que es van produir els fets, i per això el TS considera que no s’han implementat totes les mesures possibles.
Respon l’empresari per fallades comeses pels seus treballadors?
Sí, es trasllada a les persones jurídiques la falta de diligència dels seus empleats. En el present supòsit, el programa utilitzat per l’empresa no implementava totes les mesures disponibles en el moment en el que succeïren els fets. La implementació de totes les mesures disponibles hagués evitat la filtració de dades personals.
En conclusió,
El fonamental per a poder evitar les bretxes de seguretat són unes mesures de seguretat adequades en base a les dades gestionades i d’acord amb els processos tècnics actuals i, una correcta formació als treballadors que els permeti saber quins riscos comporten les seves accions i estar conscienciats amb el que pugui passar.
Tot i així, havent aplicat les mesures correctes, podem patir un atac de dia zero, per exemple, davant el que no podem reaccionar perquè aprofita una nova vulnerabilitat. En un cas així, si ens basem només en el resultat, no ho podrem evitar.
Per altra banda, si esteu interessats en una formació a mida per a la vostra empresa o un curs per als vostres treballadors, poseu-vos en contacte amb nosaltres o registreu-vos directament a la nostra acadèmia, on trobareu cursos adaptats a les vostres necessitats que us permetran aprendre i conscienciar-vos sobre protecció de dades. Si us registreu abans de l’1 d’abril, podreu aprofitar el codi de descompte PYME-RGPD2022, amb el que se us aplicarà un descompte del 40 %.
I recordeu, per a qualsevol dubte o consulta al respecte estem a la vostra disposició.
L’equip de PymeLegal.