EL TRIBUNAL SUPREMO SE PRONUNCIA SOBRE LAS MEDIDAS DE SEGURIDAD APLICABLES A LA PROTECCIÓN DE DATOS PERSONALES

¿Qué medidas de seguridad debe implementar una empresa para cumplir con el Reglamento General de Protección de Datos?

Esta pregunta parece ser una constante en aquellas organizaciones que se plantean adecuar sus sistemas a la normativa de protección de datos, y hasta hoy ha sido una cuestión ampliamente controvertida. Por fortuna, la reciente sentencia 188/2022 del Tribunal Supremo ha arrojado una muy necesaria luz sobre un aspecto clave del cumplimiento normativo sobre protección de datos y seguridad de la información.

¿Qué obligaciones impone el Reglamento General de Protección de Datos en lo que respecta a medidas de seguridad?

La seguridad de los datos constituye un pilar esencial del marco regulador de nuestra privacidad. No es casualidad que el RGPD incluya entre sus postulados el principio de “confidencialidad e integridad”, por el que los datos serán “tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas”. Pero, ¿cómo garantizar esa seguridad? Pues bien, el mismo RGPD ofrece una respuesta:

«Responsables y encargados del tratamiento determinarán y adoptarán las medidas apropiadas al riesgo existente, “Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas”.

El problema de estas previsiones es evidente; en ningún momento se especifica el contenido concreto de estas medidas. En su lugar, deberán ser los propios sujetos obligados quienes realicen el pertinente análisis de riesgos y, en consecuencia, apliquen las medidas necesarias para salvaguardar los datos personales en su haber. La adopción de medidas eficaces es un deber legal de responsables y encargados, y su incumplimiento podrá conllevar sanciones económicas de hasta 20 millones de euros.

¿Qué obligaciones impone el Reglamento General de Protección de Datos en lo que respecta a medidas de seguridad?

En 2018, la Agencia Española de Protección de Datos impuso una multa de 40.000 euros a una compañía de telecomunicaciones como consecuencia de una brecha de datos personales, entendiendo incumplidas las obligaciones de seguridad impuestas por la normativa de protección de datos.

A juicio de la Agencia, las medidas de seguridad adoptadas por la empresa no servirían para dar por cumplidos sus deberes por cuanto no han impedido la materialización de la brecha en cuestión. Esto es lo que se conoce como una “obligación de resultado”.

Después de que la Audiencia Nacional confirmara la decisión de la Agencia, la empresa sancionada elevó recurso de casación a la Sala de lo Contencioso-Administrativo del Tribunal Supremo. La empresa argumentaba que no tenía sentido concebir la obligación de seguridad como una de resultado, toda vez que siempre existirá un riesgo, por mínimo que sea, de que un incidente tenga lugar. En palabras de la propia empresa, Configurarlo como una obligación de resultado invalida de facto todo esfuerzo e inversión tecnológica y organizativa que pudiere ser implementado en materia de seguridad de datos. En su lugar, se pedía considerar la obligación en liza como una de “medios”, donde lo determinante fuera la actitud proactiva y diligente del sujeto obligado.

En la sentencia que aquí referimos, el Tribunal Supremo asume esta tesis y confirma, sin lugar a dudas, que la obligación de seguridad es una obligación de medios. Así, bastaría con implementar medidas proporcionales a los riesgos existentes, sin que quepa hacer responsable a la organización de cualquier incidente, independientemente del esfuerzo que haya podido realizarse para prevenir sucesos semejantes. Sin embargo, el Tribunal confirma la multa impuesta, al entender que, aunque la entidad había planificado una serie de medidas de protección, no se incluyeron tecnologías existentes en ese momento que, de aplicarse, habrían prevenido la brecha acaecida. Asimismo, el alto Tribunal recalca que:

“No basta con diseñar los medios técnicos y organizativos necesarios también es necesaria su correcta implantación y su utilización de forma apropiada, de modo que también responderá por la falta de la diligencia en su utilización, entendida como una diligencia razonable atendiendo a las circunstancias del caso”.

En definitiva, aunque no se exige una infalibilidad absoluta y perfecta en los sistemas de seguridad de la información – por imposible –, la organización debe asegurarse de emplear medidas adecuadas y que se correspondan con los últimos avances tecnológicos. Además, será imprescindible asegurarse de que las medidas acordadas sean debidamente aplicadas a todos los niveles y por todo el personal relevante al efecto.

¿Cómo puede una empresa cumplir sus obligaciones?

  • Las empresas deben someter sus procesos a un análisis de riesgos y, en su caso, una evaluación de impacto para detectar las amenazas que pueden afectar a los tratamientos de datos en los que tomen parte.

  • Determinados los riesgos relevantes, deberán acordarse y aplicarse las medidas de seguridad necesarias para prevenir tales contingencias. A tal fin, es recomendable ajustarse a estándares nacionales e internacionales de seguridad de la información, cuya eficacia ha sido demostrada en múltiples ocasiones. La ISO 27001 o el Esquema Nacional de Seguridad son algunos estándares de referencia.

  • Finalmente, la organización debe revisar constantemente las pautas anteriormente descritas; de este modo, puede asegurarse que las medidas fijadas son debidamente aplicadas en la práctica, que son realmente eficaces y que se encuentran actualizadas a las mejores técnicas disponibles. Para ello, es recomendable someter la organización a auditorías periódicas por parte de profesionales independientes.