El Tribunal Supremo de España resolvió que la obligación de seguridad de datos personales que recae en las empresas no puede considerarse una obligación de resultado, pues es de medios. No obstante, la legislación les exige la adopción e implementación de medidas técnicas y organizativas, que conforme a la tecnología disponible y en relación con la naturaleza del tratamiento realizado y el nivel de sensibilidad de los datos personales en cuestión, permitan razonablemente evitar su alteración, pérdida, tratamiento o acceso no autorizado por terceros.
El Tribunal se refirió a las infracciones a la ley de datos personales, particularmente, a las fallas en las medidas de seguridad ocasionadas por trabajadores de una empresa y si tales faltas deben examinarse en atención al resultado para ser imputadas a la persona jurídica de la que dependa el empleado, con independencia de los medios y medidas de prevención que este hubiera podido adoptar.
Noticia Relacionada
Al respecto, el fallo señaló que, la obligación de adoptar las medidas necesarias para garantizar la seguridad de los datos personales que exige la norma no puede considerarse una obligación de resultado que implique que, producida una filtración de datos personales a un tercero exista responsabilidad con independencia de las medidas adoptadas y de la actividad desplegada por el responsable del resguardo de los antecedentes.
Por otro lado, la empresa no satisface la obligación de resguardo que recae en ella solo con el diseño del sistema técnico y la organización necesaria para implementar las políticas de protección, pues también es necesario que la empresa acredite que la implementación del sistema de seguridad es exitoso y su utilización apropiada, por tal motivo, la empresa responderá por la falta de diligencia de sus empleados al utilizar el sistema.
En definitiva, el Tribunal resolvió que, si un empleado ocasiona una filtración o adulteración de datos por su actuar negligente, tal actuar, no exime a la empresa de responsabilidad en la brecha de seguridad, pues es obligación de las empresas, como responsable del correcto uso de las medidas de seguridad, garantizar el uso correcto y apropiado del sistema de protección de datos implementado en la Institución.