La irrupció de noves tecnologies i la progressiva transformació digital de la nostra societat ha impactat de ple en el funcionament de les administracions públiques i les entitats privades. L’exposició a nous riscos i amenaces, sovint en un context d’alta dependència de les tecnologies de la informació, evidencia que cal que les organitzacions implantin eines i mesures adequades per garantir la protecció de les dades personals, des del disseny i per defecte (privacy by design and by default).
En relació amb això, l’article 25 del Reglament (UE) 2016/679 del Parlament Europeu i del Consell, sobre protecció de dades (RGPD), sota l’epígraf "Protecció de dades des del disseny i per defecte", recull l’obligació del responsable del tractament d’integrar les garanties adequades per protegir els drets i les llibertats de la ciutadania, fins i tot en les fases inicials del disseny de productes o serveis. El mateix precepte també estableix l’obligació de protegir les dades per defecte, en totes les etapes dels seus cicles de vida.
En efecte, s’exigeix que, ja en el moment de concepció d’un servei o una aplicació, es garanteixi la privacitat i es tractin les dades personals estrictament necessàries per a cadascuna de les finalitats perseguides. Aquestes obligacions repercuteixen de manera directa sobre la quantitat de dades que es poden recollir, sobre el termini de conservació de la informació i sobre l’abast del tractament, entre d’altres. Així, desenvolupar un programari o una base de dades tenint en compte les amenaces existents permetrà minimitzar riscos i, en darrer terme, protegir les persones titulars de les dades.
En aquest punt, cal tenir present que el responsable del tractament pot autoritzar una persona física o jurídica perquè li presti un servei, i que això comporti que hagi d’accedir a les dades personals de les quals és responsable; en aquest cas, aquesta tercera persona assumeix el rol d’encarregada del tractament de dades personals per compte del responsable. Respecte d’això, la tipologia d’encàrrecs del tractament i la seva regulació poden ser tan variades com els tipus de serveis que impliquen accedir a dades personals. A títol d’exemple, l’empresa concessionària d’un servei públic actua com a encarregada del tractament de les dades personals per compte de l’Administració concedent. Aquest apunt és especialment rellevant, atès que la normativa de protecció de dades també exigeix que s’esculli un encarregat del tractament que disposi de les mesures apropiades per preservar la seguretat de la informació.
Al seu torn, el considerant 78 del RGPD estableix que la protecció de dades des del disseny es projecta sobre tots els actors que participen en el tractament de dades personals. I, en relació amb això, disposa que cal encoratjar els desenvolupadors d’aplicacions, productes i serveis –que impliquin tractament de dades personals– perquè, d’una banda, tinguin en consideració el dret a la protecció de dades quan desenvolupen, dissenyen, seleccionen o utilitzen una aplicació o servei i, de l’altra, s’assegurin que tant els responsables com els encarregats del tractament estan en condicions de complir les seves obligacions en matèria de protecció de dades. En aquest aspecte, resulta d’especial interès fer referència a la Guia per a desenvolupadors que ha elaborat l’Autoritat Catalana de Protecció de Dades, que ofereix eines per identificar els elements més rellevants per protegir les dades personals des del disseny i per defecte.
Per tant, per a qualsevol organització el fet d’adoptar les mesures adequades constitueix un pilar fonamental per protegir les dades personals que tracta. El nivell de seguretat exigit dependrà, en cada moment, de l’estat de la tècnica, el cost, la naturalesa, l’abast i les finalitats del tractament, així com dels riscos associats al tractament i la probabilitat que es materialitzin.
Això no obstant, ni el RGPD ni la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (LOPDGDD), determinen quines són les mesures tècniques i organitzatives que han d’implementar les administracions i empreses en cada cas. Aquesta determinació serà el resultat de l’anàlisi de riscos prèvia que ha de dur a terme el responsable del tractament. En aquest punt, cal assenyalar que els encarregats del tractament també tenen l’obligació de fer la seva pròpia anàlisi de riscos, que ha de tenir en compte les amenaces concretes que presenta el tractament de dades encarregat, així com les circumstàncies i el context en què es desenvolupa. Això, sens perjudici d’altres mesures que contribueixen a millorar la protecció de la informació personal, en alguna o diverses de les fases del tractament, com ara el xifratge de la informació, l’anonimització, la pseudonimització o la restricció d’accessos als arxius o a les bases de dades que contenen la informació.
Doncs bé, per determinar si l’adopció de mesures de seguretat constitueix una obligació de mitjans o de resultats, cal invocar la Sentència del Tribunal Suprem 543/2022 (Sala Contenciosa Administrativa, Secció 3), de 15 de febrer de 2022 (recurs núm. 7359/2020). En el cas que s’analitza a la sentència, una treballadora de l’empresa Commercer SA va enviar un correu electrònic a una tercera persona no autoritzada amb documents adjunts relatius a catorze contractes de finançament que contenien una elevada quantitat de dades personals de clients de la companyia (noms, domicilis, telèfons, estat civil, familiars a càrrec, ingressos, situació laboral, càrrecs, números de comptes corrents, imports finançats, mensualitats i signatures).
Commercer SA va al·legar que l’enviament del correu electrònic a una persona destinatària errònia va obeir al mal ús que la treballadora havia fet dels formularis de sol·licitud de finançament que havien presentat alguns clients. En concret, la treballadora va introduir una adreça electrònica fictícia, pensant que era inexistent, per així poder tramitar els procediments de finançament que, com a requisit previ, exigien afegir una adreça electrònica. Va ser precisament en aquesta adreça electrònica on es van filtrar les dades personals dels clients que havien presentat les sol·licituds esmentades.
Respecte d’això, el Tribunal va desestimar el recurs de cassació interposat per Commercer SA contra la Sentència de l’Audiència Nacional de 22 de juliol de 2020 (recurs núm. 136/2019) i va confirmar la sanció de 40.001 euros. Pel que ens interessa, la STS 543/2022 va establir que les obligacions de resultats són les que obliguen el subjecte a respondre davant un resultat lesiu ocasionat com a conseqüència d’una fallada del sistema de seguretat, amb independència de quina en sigui la causa i la diligència emprada. En canvi, en les obligacions de mitjans s’acompleix l’obligació d’adoptar mesures de seguretat, quan aquestes són tècnicament adequades i s’implementen i s’utilitzen amb una diligència raonable. En aquestes darreres, la suficiència de les mesures dependrà de l’estat de la tecnologia en cada moment i del nivell de protecció requerit en relació amb les dades personals tractades, però no s’obliga a garantir un resultat.
El Tribunal Suprem va concloure que l’adopció de mesures de seguretat és una obligació de mitjans. En aquest sentit, va dictaminar que l’empresa recurrent no disposava d’unes mesures de seguretat adequades a l’estat de la tècnica actual, ja que no havia implementat el sistema de doble verificació (double opt-in), que permet comprovar la veracitat de la informació subministrada. En concret, s’envia un correu electrònic de confirmació a l’adreça facilitada, per tal d’assegurar que l’usuari receptor del missatge accepta el tractament de les seves dades.
En aquest punt, escau assenyalar que aquest pronunciament judicial recorda que les empreses i organitzacions han de respondre fins i tot quan els seus empleats no actuen amb una diligència raonable. Així, resulta possible atribuir a una empresa o administració l’incompliment del deure de seguretat de les dades personals dels seus treballadors.
De tot l’anterior es desprèn que l’adopció de les mesures de seguretat adequades és una obligació de mitjans, i que aquestes mesures s’han d’implementar i utilitzar de manera diligent.
En relació amb el que s’ha exposat, la LOPDGDD distingeix dues infraccions en matèria de mesures tècniques i organitzatives: d’una banda, l’article 73, als apartats d, e i f, estableix com a infracció la manca d’adopció de les mesures apropiades per garantir un nivell de seguretat adequat al risc del tractament i, de l’altra, l’apartat g de l’article 73 preveu com a infracció la manca de diligència deguda en l’ús d’aquestes mesures.
En conclusió, l’aplicació d’unes mesures de seguretat i tècniques adequades no només permet complir la normativa i evitar possibles sancions, sinó que, a més, minimitza el risc de perjudicar les persones titulars de les dades i contribueix a millorar la imatge i la reputació de les administracions i les empreses.
Si us interessa, podeu trobar més informació sobre l’adopció de mesures tècniques i de seguretat a la guia Avaluació d’impacte relativa a la protecció de dades, de l’Autoritat Catalana de Protecció de Dades.