Las empresas pueden responder por la actuación negligente de sus empleados en materia de protección de datos

En un contexto productivo digitalizado, cada vez resulta más frecuente, que las empresas realicen un tratamiento y uso masivo de datos de carácter personal.

Una reciente sentencia de la sala de lo contencioso del Tribunal Supremo determina el alcance de la responsabilidad empresarial en los supuestos en los que se produzca una revelación o difusión indebida de datos personales de clientes derivada de una mala praxis de los trabajadores. Al respecto la sentencia comienza recordando que, aunque la obligación de protección de los datos personales no es una obligación de resultado que se deba entender vulnerada siempre que se produzca una filtración o fuga de datos, es una obligación dinámica cuya suficiencia ha de ponerse en relación con el estado de la tecnología en cada momento y el nivel de protección requerido en relación con los datos personales tratados, pero no se garantiza un resultado. Advirtiendo de que “no basta con diseñar los medios técnicos y organizativos necesarios también es necesaria su correcta implantación y su utilización de forma apropiada, de modo que también responderá por la falta de la diligencia en su utilización, entendida como una diligencia razonable atendiendo a las circunstancias del caso”. Sin que la actuación negligente de los empleados, realizando un mal uso de la operativa de la empresa, pueda eximir a la empresa por no haber adoptado las medidas de seguridad que deberían haber garantizado la adecuada utilización del sistema de registro de datos diseñado. La rotundidad de la sentencia, que confirmó la sanción de 40.001 € impuesta por la Agencia de Protección de Datos por infracción del art. 9.1 de la LOPD, tipificada como grave en el art. 44.3.h) de dicha norma, ha de servirnos para recordar y advertir:

1)     la importancia de que el tratamiento de datos personales se realice cumpliendo con la normativa de protección de datos adoptando los medios los medios técnicos y organizativos necesarios.

2)     la necesidad de desplegar una actividad diligente en su implantación y utilización.

3)     que esa actuación debe implicar a las personas trabajadoras dotándoles de la formación e información necesarias.

4)     la necesidad de que las empresas adopten mecanismos de control y, en su caso, sanción que eviten conductas negligentes por parte de sus empleados.

5)     la oportunidad de elaborar y aprobar por las empresas de un protocolo sobre gestión de datos personales y uso de los medios digitales.