LA ADOPCIÓN DE MEDIDAS DE SEGURIDAD ES UNA OBLIGACIÓN DE MEDIOS NO DE RESULTADO
La Sala Tercera del Tribunal Supremo ha dictado recientemente una sentencia en la que confirma que la adopción de medidas de seguridad por parte del responsable o encargado del tratamiento es una obligación de medios y no de resultado.
En síntesis, se presentó recurso de casación que impugnaba la sentencia de la Sala de lo Contencioso - Administrativo de la Audiencia Nacional, la cual estimaba la sanción de 40.001 euros a una empresa por infracción del principio de seguridad de los datos del artículo 9.1 de la ya derogada Ley Orgánica 15/1999.
En concreto, la empresa incumplió la obligación de adoptar medidas técnicas y organizativas que impidieran el acceso no autorizado por parte de terceros, al enviarse 14 solicitudes de financiación a una cuenta de correo electrónico no autorizada. En dicha sentencia se afirmaba que la normativa de protección de datos impone una obligación de resultado, es decir, independientemente de los medios y la diligencia adoptada.
La sentencia del Alto Tribunal versa sobre sí efectivamente la obligación de adoptar medidas de seguridad por parte de los responsables o encargados es de resultado o de medios.
La diferencia entre ambas concepciones en síntesis es la siguiente:
En las obligaciones de resultado existe un compromiso de cumplir con un determinado objetivo, mientras que en las obligaciones de medios el compromiso es de adoptar todos los medios posibles para cumplir con la norma, por ello estas también son denominadas obligaciones de “diligencia o “comportamiento.”
En la práctica esto se traduciría en que, el responsable del tratamiento o encargado en una obligación de resultado respondería por el solo hecho de causar el daño, sin importar la diligencia o causa, es decir, si el sistema de protección de datos, o como en el presento supuesto, el error de un empleado causa una lesión, se respondería al haberse causado el daño.
Mientras que, en una obligación de medios lo relevante para determinar si se ha incumplido con la normativa, a pesar de haber existido el daño, sería si se adoptaron todas las medidas para evitarlo, teniendo en cuenta los costes y el estado de la técnica.
Partiendo de esta diferenciación, el Tribunal Supremo concluye que la obligación de adoptar medidas de seguridad es de medios y no de resultado conforme al espíritu del artículo 9.1 de la Ley Orgánica 13/1999, e incluso esto se plasma en la actual Ley Orgánica 3/2018, que establece como infracciones “la falta de medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad apropiado al riesgo del tratamiento” o “ la falta de la debida diligencia en la utilización de medidas técnicas y organizativas implantadas”, denotándose con la inclusión de estas infracciones que el legislador establece una obligación de medios y no de resultado.
Finalmente, pese a la aclaración que realiza el Tribunal, se mantiene la sanción a la empresa dado que se corroboró en los hechos que, las medidas de seguridad adoptadas, como obligación de medios, incumplían las condiciones de seguridad y la diligencia debida.
Artículo de Carolina Sanabrias