Actualmente cualquier brecha implica una sanción a la empresa, sin entrar a valorar si tenía las medidas idóneas aplicadas
¿Puede estar tranquilo el empresario que cumple escrupulosamente con la normativa, de LOPD – RGPD, incluso, si por una circunstancia impredecible y ajena a su voluntad se produce una brecha de seguridad que afecte a datos personales? ¿O el resultado lesivo seguirá implicando, en cualquier caso, una sanción?
El próximo día 11 de enero la Sala de lo Contencioso-Administrativo del Tribunal Supremo aclarará finalmente este punto oscuro. Es cuando la Sección Primera, deliberará, votará y fallará el recurso de casación interpuesto en mayo pasado por el abogado especializado en protección de datos Xavier Saula, contra una sentencia de la Audiencia Nacional de 22 de julio de 2020.
Dicho fallo ratificaba una resolución sancionadora de la Agencia Española de Protección de Datos (AEPD) por la que sancionó con 40.000 euros de multa a una empresa de seguridad que había sufrido una brecha de seguridad.
La AEPD consideró insuficientes, por inoperantes, todas las medidas de seguridad que hayan podido aplicarse a tenor de lo dispuesto por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Son inoperantes “siempre que tenga lugar una brecha de seguridad de los datos, sea de la naturaleza que sea”, dice este fallo de la Sala de lo contencioso de la AN.
Esta obligación de resultado entra en contradicción con la legislación y jurisprudencia, que vienen a establecer una obligación de medios, considerando que el sujeto obligado a cumplir con la normativa de protección de datos debe diseñar e implantar una serie de medidas de seguridad para no ser sancionado.
El interés casacional, por lo tanto, es evidente, porque el Alto Tribunal todavía no se ha pronunciado sobre este asunto.
El Tribunal Supremo, mediante Auto de fecha 8 de abril de 2021, explicaba que el recurso planteado plantea dicho debate entre los medios empleados y el resultado de esas medidas, lo que «plantea una cuestión jurídica de alcance general que trasciende del caso objeto del proceso, por lo que procede la admisión del recurso”.
Es muy difícil de alcanzar. Según saula, los bancos gastan millones de euros en seguridad y no pueden impedir estas brechas, afirma.
El Tribunal Supremo debería aprovechar la oportunidad para proporcionar seguridad jurídica a todas las empresas.