Acciones a realizar tras la sentencia del Tribunal Supremo en materia de seguridad

Tras la sentencia del Tribunal Supremo en la que se define la seguridad de los datos personales como una obligación de medios, y no de resultado, quedan claras las acciones que deben realizar las empresas para cumplir los dos objetivos que contiene la obligación de medios en materia de seguridad de la información.

Conclusiones de la sentencia en relación con las obligaciones de resultado

Las conclusiones que podemos extraer de la sentencia del Tribunal Supremo en relación con las obligaciones de resultado son las siguientes:

  1. En las obligaciones de resultado existe un compromiso que consiste en el cumplimiento de un determinado objetivo, asegurando el logro o resultado propuesto. 
  2. En el caso de un tratamiento de datos personales, el resultado sería garantizar la seguridad de los datos personales y la inexistencia de filtraciones de datos o brechas de seguridad. 
  3. Este objetivo es imposible en casos como los de los ataques de día cero, en los que se explota una vulnerabilidad no conocida hasta el momento.
  4. En la obligación de resultado la empresa responde ante un resultado lesivo por el fallo del sistema de seguridad, cualquiera que sea su causa y cualquiera que sea la diligencia acreditada por la empresa. 

Conclusiones de la sentencia en relación con las obligaciones de medios

Las conclusiones que podemos extraer de la sentencia del Tribunal Supremo en relación con las obligaciones de medios son las siguientes:

  1. En las obligaciones de medios el primer compromiso que adquiere el responsable del tratamiento es el de adoptar los medios técnicos y organizativos adecuados.
  2. El segundo compromiso es desplegar una actividad diligente en su implantación y utilización que tienda a conseguir el resultado esperado con medios que razonablemente puedan calificarse de idóneos y suficientes para su consecución.
  3. En la obligación de medios la empresa no será responsable si ha establecido medidas técnicamente adecuadas, las ha implantado y las mantiene activas y actualizadas con una diligencia razonable.
  4. La suficiencia y la adecuación de las medidas de seguridad que el responsable planee establecer ha de ponerse en relación con el estado de la tecnología en cada momento y el nivel de protección requerido en relación con la tipología de los datos personales tratados, pero no se garantiza un resultado. 
  5. Es decir, no se asegura que no haya incidentes de seguridad, ya que este estado de garantía total es imposible de conseguir.

La obligación de medios en el RGPD y en la LOPDGDD

Tanto el RGPD como la LOPDGDD se refieren a obligaciones de medios:

  1. El artículo 32 del RGPD establece, respecto a la seguridad del tratamiento, que las medidas técnicas y organizativas apropiadas lo son teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.
  2. La LOPDGDD distingue dos obligaciones e infracciones autónomas. En el artículo 73, apartados d), e) y f) sanciona la falta de adopción de las medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento. En el artículo 73, apartado g) sanciona la falta de la debida diligencia en la utilización de las medidas técnicas y organizativas implantadas.

Los dos compromisos que subyacen en la obligación de medios

El Tribunal Supremo confirma que no basta con diseñar los medios técnicos y organizativos necesarios. Es necesaria su correcta implantación y su utilización de forma apropiada, de modo que el responsable del tratamiento también responderá por la falta de la diligencia en su utilización, entendida como una diligencia razonable atendiendo a las circunstancias del caso.

Esquema basado en dos niveles o fases

El esquema a tener en cuenta a partir de ahora es que las medidas de seguridad tienen dos niveles o fases:

  1. La adopción de las medidas técnicas y organizativas, que conforme al estado de la tecnología y en relación con la naturaleza del tratamiento realizado y los datos personales en cuestión, permitan razonablemente evitar su alteración, pérdida, tratamiento o acceso no autorizado.
  2. La correcta implantación y aplicación de las medidas, manteniéndolas activas y actualizadas con una diligencia razonable.

Estos dos niveles representan obligaciones de medios, pero si sólo se aplica el primer nivel y no el segundo no se completa el umbral de seguridad exigido en el RGPD y se produce un incumplimiento. La AEPD y la Audiencia Nacional confundían este segundo nivel con una obligación de resultado, pero el Tribunal Supremo ha aclarado que los dos niveles de cumplimiento forman parte de las obligaciones de medios.

Acciones a realizar a partir de ahora

De acuerdo con el esquema descrito en la normativa, y confirmado con el Tribunal Supremo, las acciones a realizar con el fin de asegurar el cumplimiento del RGPD en materia de seguridad, son las siguientes:

FASE 1 – Análisis de la adecuación de las medidas

  1. Verificar que se han adoptado las medidas técnicas adecuadas para el tratamiento según el estado de la técnica.
  2. Verificar que se han adoptado las medidas organizativas adecuadas y suficientes para el tratamiento.
  3. Verificar que estas medidas se ajustan al análisis de riesgos realizado previamente en relación con el tratamiento.
  4. Verificar que en la selección de las medidas se ha tenido en cuenta la probabilidad y el impacto de los riesgos identificados.
  5. Verificar que las medidas se han implantado de forma completa y diligente.

FASE 2 – Análisis de la efectiva aplicación de las medidas

  1. Verificar que las medidas se han implantado de forma completa y diligente.
  2. Verificar que las medidas se están aplicando de manera continuada en todos los niveles de la organización.
  3. Verificar que las medidas están activas y siguen siendo idóneas y suficientes a lo largo del tiempo y de la evolución de la tecnología.
  4. Verificar la eficacia de las medidas con las correspondientes pruebas y simulaciones.
  5. Verificar que las medidas permitan razonablemente evitar las violaciones de la confidencialidad, integridad y disponibilidad de los datos.