Sentencia del Tribunal Supremo sobre la adopción de medidas de seguridad en materia de protección de datos como obligación de medios y no de resultado

El Tribunal Supremo ha publicado recientemente una sentencia en la que confirma una sanción impuesta por la Agencia Española de Protección de Datos a una empresa por infringir el artículo 32 del RGPD, relativo a la obligación de implantar medios técnicos y organizativos adecuados para proteger la información personal.

Se trata de una sentencia de gran importancia, ya que puede cambiar el sentido de las posteriores resoluciones de la AEPD relativas a las brechas de seguridad: el Tribunal Supremo ha considerado que la obligación de establecimiento de medidas de protección de la información no es una obligación de resultados, sino de medios.

Por otro lado, es importante destacar también el hecho de que la persona que resulta sancionada no es el responsable del tratamiento, sino el encargado. Esto implica que, a pesar de tratar los datos en nombre del responsable y bajo un sistema que le haya sido impuesto por el mismo, el encargado del tratamiento debe igualmente cumplir por su parte con la exigencia contenida en el mencionado artículo 32 del RGPD.

El Tribunal Supremo se pronuncia, finalmente, sobre la necesidad de implantar un sistema de doble verificación de correo electrónico (sistema de doble “opt-in”) para comprobar la identidad del usuario que afirma haber leído y aceptado una política de privacidad. Respecto de ello, se trata de un sistema de verificación de la identidad de los usuarios de manera que se consiga (dentro de las posibilidades) evitar que un tercero reciba comunicaciones no aceptadas previamente.