La Sala de lo Contencioso-Administrativo del Tribunal Supremo confirma la sanción impuesta por la Agencia de Protección de Datos e insiste en la importancia de que las empresas adopten las medidas de seguridad oportunas relativas al tratamiento de datos de carácter personal, considerando la adopción de estas medidas como una obligación de medios, y no de resultado.
La sanción tiene su origen en el acceso no autorizado por parte de terceros a datos de carácter personal, debido la inexistencia de medidas de seguridad del programa que utilizaba la empresa, puesto que el programa no contenía ninguna medida de seguridad que permitiese comprobar si la dirección de correo electrónico introducida era real o ficticia y si realmente pertenecía a la persona cuyos datos estaban siendo tratados y prestaba el consentimiento para ello. De esta manera, de haber existido la correcta implantación de las medidas de seguridad, se hubiese evitado el filtrado de datos personales producido.
El Tribunal Supremo (Sentencia 188/2022) , considera que la obligación de garantizar la seguridad de los datos personales no puede considerarse una obligación de resultado, sino que además de las medidas técnicas, es necesario completar estas medidas con la adecuada implantación que conforme al estado de la tecnología y en relación con la naturaleza del tratamiento realizado y los datos personales en cuestión, permitan razonablemente evitar su alteración, pérdida, tratamiento o acceso no autorizado siendo responsabilidad de la empresa, la falta de diligencia en su utilización.
En cumplimiento de esta obligación de medios, resulta de especial interés la responsabilidad proactiva por parte del responsable del tratamiento para garantizar la adopción de las medidas de seguridad necesarias en el tratamiento de datos de carácter personal. La empresa debe implantar todas las medidas de seguridad adecuadas para garantizar el cumplimiento de la normativa.
Unive Abogados pone a su disposición un equipo de abogados especialistas en Protección de Datos con amplia experiencia, tanto en el ámbito público como privado, que asesoran y acompañan al responsable del tratamiento en la adaptación y cumplimiento de las medidas de seguridad en materia de Protección de Datos.