Noticias

Sancionada una empresa por permitir el acceso no autorizado de terceros a datos personales de sus clientes

29/03/2022
Protección de datos a clientes

Se ha confirmado la sanción que la Agencia Estatal de Protección de Datos (AEPD) impuso a una compañía dedicada a la distribución de productos de telefonía por permitir a terceros el acceso a solicitudes de financiación en la que figuraban datos de sus clientes (tales como nombre y apellidos, datos económicos, de domiciliación bancaria, firma, etc.). 

Los tribunales no han estimado las alegaciones contra la sanción que la mercantil intentaba hacer valer, en cuanto que el acceso fue debido a fallos de las medidas de seguridad de los empleados y no de los medios y medidas de prevención adoptados por la compañía que resulta sancionada.

Ha sido el Tribunal Supremo (TS) quien ha declarado que existe dicha responsabilidad con independencia de las medidas adoptadas y de la actividad desplegada por el responsable del fichero o del tratamiento. Con carácter general, no es suficiente con diseñar los medios técnicos y organizativos necesarios, sino que es de obligado cumplimiento para la empresa su correcta implantación y su utilización de forma apropiada, de modo que esta también responde por la falta de la diligencia razonable de sus empleados en su utilización, atendidas las circunstancias del caso concreto. 

Y particularizando en este caso concreto, el TS advierte que el programa utilizado para la recogida de los datos de los clientes no contenía ninguna medida de seguridad que permitiese comprobar si la dirección de correo electrónico introducida era real o ficticia y si realmente pertenecía a la persona cuyos datos estaban siendo tratados y prestaba el consentimiento para ello. Existen medios técnicos que permiten establecer medidas de comprobación de la veracidad de la dirección electrónica y condicionar la continuación del proceso a que el usuario recibe el contrato en la dirección proporcionada y solo desde ella presta el consentimiento necesario para su recogida y tratamiento. Pero las medidas técnicas adoptadas incumplían las condiciones de seguridad exigidas. 

En lo que respecta a la posible responsabilidad de la persona jurídica por la actuación negligente de una empleada, que fue la que provocó la brecha de seguridad, se hace responsable a la empresa en tanto que ella es la propia la encargada de la correcta utilización de las medidas de seguridad que deberían haber garantizado el uso adecuado del sistema de registro de datos.

No basta con diseñar los medios técnicos y organizativos necesarios, sino que es también necesaria su correcta implantación y su utilización de forma apropiada, por lo que la falta de la diligencia en su utilización hace responsable a la empresa del resultado producido.

Nuestros abogados están a su disposición para defender sus derechos ante actuaciones contrarias a la normativa en materia de protección de datos personales por las que se sienta perjudicado
© 2024 Assessoria Bosch Pons, S.L.P.