Las últimas semanas están siendo especialmente críticas para las empresas en lo que a ciberseguridad se refiere. Cada día aumentan los problemas en los correos electrónicos, y en menor medida en sitios web y servidores. Por esta razón es lógico que nos preguntemos qué sucede si nuestra empresa, que cumple rigurosamente con todas las obligaciones que establece la normativa, tiene una brecha de seguridad. ¿Pueden sancionarla?
La respuesta la encontramos en la sentencia del Tribunal Supremo del pasado de 15 de febrero de 2022, en la que se pronuncia a cerca de si los errores cometidos por los trabajadores a la hora de cumplir con las medidas de seguridad deben ser atribuidos a la persona jurídica por el resultado lesivo que producen o, si por el contrario, se deben valorar las medidas de prevención adoptadas por la empresa.
El caso
Una trabajadora, por error, permitió el acceso por parte de terceros no autorizados a al menos 14 solicitudes de financiación, que contenían datos personales de los clientes. Para poder rellenar el formulario la empleada utilizó una cuenta de correo electrónico que creía inexistente, enviando a este correo los catorce contratos. Sin embargo este correo era propiedad de uno de los usuarios, que tuvo acceso por tanto a los datos personales contenidos en las esas solicitudes de financiación. Fue esta persona quien interpuso la reclamación ante la Agencia Española de Protección de Datos, quien impuso a la empresa una sanción de 40.000 euros.
¿Qué obligación tiene el empresario respecto a las medidas de seguridad?
En materia de protección de datos rige una obligación de medios, es decir, la obligación de implantar una serie de medidas técnicas y organizativas conforme a la tecnología actual y al tratamiento realizado, siempre conforme a la cambiante normativa vigente. Pues bien, la sentencia analizada concluyó que no se cumplía con la implantación de las medidas conforme a la tecnología actual disponible, ya que la empresa no tenía instalado el sistema de verificación de correo electrónico “doble opt-in”.
El sistema «doble opt-in» permite comprobar la veracidad de la información subministrada a partir de un sistema de doble verificación. Para ello se envía un correo electrónico de confirmación a la dirección facilitada con la finalidad de asegurarse que el usuario acepta el tratamiento de sus datos. Esta medida de seguridad ya existía en el momento en el que se produjo el error de la trabajadora, por lo que para la Sala de lo Contencioso-Administrativo del Tribunal Supremo la empresa es responsable al no haber implementado todas las medidas de seguridad que estaban a su alcance.
