El Tribunal Supremo exige la doble verificación en la política de seguridad

0
464
Evitar el phishing, la ciberseguridad

En la última sentencia del Tribunal Supremo, la Sala de lo Contencioso-Administrativo ha declarado que todas las empresas están obligadas a asegurar a sus clientes la privacidad y la seguridad de aquellos documentos que poseen información personal sobre ellos, considerando a esta obligación como una obligatoriedad de medios.

El Alto Tribunal defiende que las empresas deben tener un mecanismo de verificación dentro del email. Este mecanismo se define como un mecanismo de doble verificación que garantice y demuestre que los clientes han aprobado, previamente a recibir cualquier información de la empresa, la política de privacidad de esta. De esta forma, se elimina la posibilidad de que dichos datos lleguen a un correo erróneo.

La sentencia 188/2922 publicada el 23 de febrero indica que “Es exigible la adopción e implantación de medidas técnicas y organizativas, que conforme al estado de la tecnología y en relación con la naturaleza del tratamiento realizado y los datos personales en cuestión, permitan razonablemente evitar su alteración, pérdida, tratamiento o acceso no autorizado”.

En dicha sentencia, se multa a una empresa telefónica con una cuantía económica de 40.000 euros que impone la Agencia Española de Protección de Datos (AEPD) debido al incumplimiento de una norma de privacidad.

Este incumplimiento de la privacidad de los usuarios provocó que otras personas pudiesen acceder sin autorización a ficheros con información personal de los clientes como la firma o su domiciliación bancaria.

Esta resolución fue aprobada por la Audiencia Nacional, pero la empresa presentó un recurso ante el Tribunal Supremo con el objetivo de saber si dichos incumplimientos de la normativa de privacidad (Ley de Protección de Datos) se castigan en función de los resultados o de los mecanismos que la empresa decida llevar a cabo.

Dudas sobre la protección y seguridad de datos

La defensa, dirigida por el señor Xavier Saula, socio de la empresa Auris Advocats, indica que a pesar de la sanción el Tribunal le da parte de la razón, ya que se pronuncia sobre dos cuestiones muy comunes y que deberán ser tenidas en cuenta a la hora de adoptar los medios necesarios. Por una parte se le sanciona por ser encargado de tratamiento, que utiliza un sistema de toma de datos proporcionado, impuesto, controlado y diseñado por el responsable del tratamiento (Financiera).

Respecto a esta situación, el Supremo argumenta que no se constituye como un hecho atenuante ni para el responsable, ya que éste tiene que ajustarse a los requisitos tanto organizativos como técnicos para asegurar la privacidad de las informaciones personales, independientemente de si el mecanismo es impuesto por el encargado de la seguridad.

El Tribunal señala: “Dice que el encargado de tratamiento deberá evaluar también las herramientas proporcionadas o impuestas por el responsable, deberá detectar si el sistema carece de las medidas adecuadas y, en caso de que así sea, deberá abstenerse de utilizarlo o buscar o promover alternativas”.

Respecto a esto Xavier Saula indica que “el Tribunal Supremo sugiere la necesidad de implantar el sistema de doble ‘opt-in’ o sistema de verificación del correo electrónico, entendiendo que es un sistema de doble verificación que asegura que los usuarios que han aceptado la política de privacidad antes de recibir cualquier tipo de comunicación, evitando que la información vaya a una dirección equivocada”.

“En definitiva, se trata de un medio para comprobar que la información recogida es correcta y veraz que el Supremo considera necesaria, ya que en caso de no estar se estaría incumpliendo la obligación de medios en los términos establecidos por la legislación”.

En definitiva se plantean serias dudas de derecho sobre la naturaleza de las obligaciones de seguridad en materia de protección de datos.

Cursos de formación sobre protección de datos

En nuestra academia de formación www.apiformacion.es hemos elaborado un curso donde exponemos detalladamente tanto Ley Orgánica de Protección y de Datos como el Reglamento General de Protección de Datos de la Unión Europea.

Servicio de implantación y adaptación de datos en agencias inmobiliarias

www.inmopc.com ofrece a las agencias inmobiliarias un servicio de implantación y adaptación a la LOPD, que garantice su cumplimiento, actualización y procedimientos de trabajo para el adecuado control y gestión de los datos de carácter personal, si desea más información acceda ahora al Servicio de Implantación y Adaptación a LOPD.

 

 

 

Ignacio Morales.
Economista – ICADE

MÁS NOTICIAS DE INTERÉS

RGPD en las webs inmobiliarias

Protección de datos para pymes y autónomos, ¿Qué debemos saber?