Doctrina de la Audiencia Nacional sobre medidas de seguridad en materia de protección de datos: Obligación de resultado

por

publicado el 27 mayo 2010

Categorías: Abogados LOPD / Jurisprudencia / LOPD / Protección de Datos / Seguridad

No es nada nuevo, de hecho ya lo hemos comentado en este mismo blog hace unos meses, sin embargo queda ya acreditada cuál es la doctrina de la Audiencia Nacional en lo que a la implantación de medidas de seguridad se refiere. Esta doctrina viene ya consolidada en la Sentencia de la Sala de lo Contencioso-Administrativo, sec. 1ª, de la Audiencia Nacional de fecha de 21 de Enero de 2010, donde establece la obligación de resultado tanto para el responsable del fichero como para los encargados de tratamiento:

Esta Sala de la Audiencia Nacional, resolviendo supuestos anteriores en los que los hechos se tipificaron conforme a dicho precepto de la Ley 15/1999, ha establecido la siguiente doctrina (SAN 28-3-2006 Rec. 478/2004, por todas):

No basta con la adopción de cualquier medida, pues deben ser las necesarias para garantizar aquellos objetivos que marca el precepto. Y, por supuesto, no basta con la aprobación formal de las medidas de seguridad, pues resulta exigible que aquéllas se instauren y pongan en práctica de manera efectiva. Así, de nada sirve que se aprueben unas instrucciones detalladas sobre el modo de proceder para la recogida y destrucción de documentos que contengan datos personales si luego no se exige a los empleados (…) la observancia de aquellas instrucciones.

Hemos considerado, en consecuencia, que se impone una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros. Y ello porque toda responsable de un fichero (o encargada de tratamiento) es, por disposición legal, una deudora de seguridad en materia de datos, y por tanto debe dar una explicación adecuada y razonable de cómo los datos personales han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas, pues también es responsable de que las mismas se cumplan y se ejecuten con rigor. En definitiva, toda responsable de un fichero debe asegurarse de que dichas medidas o mecanismos se implementen de manera efectiva en la práctica sin que, bajo ningún concepto, datos bancarios, o cualesquiera otros datos de carácter personal, puedan llegar a manos de terceras personas.

Seamos cuidadosos en la implantación de las medidas de seguridad y no lo dejemos como meros trámites formales para cumplir con la normativa.