El Tribunal Supremo en su Sentencia N.º 543/2022 de 15 de febrero de 2022 se ha pronunciado acerca de si las infracciones de la Ley de Protección de Datos por fallos de las medidas de seguridad que puedan cometer los empleados de una persona jurídica deben examinarse en atención al resultado y, por lo tanto, imputarse a la persona jurídica de la que dependa el empleado, con independencia de los medios y medidas de prevención que hubiera podido adoptar o no.
En el supuesto analizado fallaron las medidas de seguridad de una empresa dedicada a la intermediación en la prestación de servicio de financiación, y los contratos de financiación de 14 particulares que contenían datos personales -nombres, domicilios, teléfonos, estado civil, familiares a cargo, ingresos, situación laboral, cargos, números de cuentas corrientes, importes financiados, mensualidades y la firma del contratante- se enviaron a un tercero ajeno a la relación contractual.
La empresa denunciada, por la Agencia Estatal Española de Protección de Datos, justificó el fallo en que una de las trabajadoras a la hora de rellenar el formulario de solicitud de financiación de algunos clientes incluyó la dirección de correo electrónico ” DIRECCION000 “, correo que la trabajadora creyó inexistente al referirse a la provincia donde se encuentra sita la tienda, con la única intención de no ver bloqueado el procedimiento de financiación dado que el sistema técnico diseñado no le permitía continuar con el contrato de financiación si no se introducía una dirección de correo electrónico.
Así, considera el Tribunal que: el programa utilizado para la recogida de los datos de los clientes no contenía ninguna medida de seguridad que permitiese comprobar si la dirección de correo electrónico introducida era real o ficticia y si realmente pertenecía a la persona cuyos datos estaban siendo tratados y prestaba el consentimiento para ello. El estado de la técnica en el momento en el que se produjeron estos hechos permitía establecer medidas destinadas a comprobar la veracidad de la dirección de email, condicionando la continuación del proceso a que el usuario recibiese el contrato en la dirección proporcionada y solo desde ella prestase el consentimiento necesario para su recogida y tratamiento. Medidas que no se adoptaron en este caso.
La empresa recurrente trataba los datos de los clientes por cuenta del responsable del fichero por lo que implantó y utilizó dicho programa siendo conocedora, o hubiera debido serlo, de que éste carecía de las medidas de seguridad necesarias para comprobar la veracidad y exactitud de la dirección de email a la que se enviaba la copia del contrato de financiación. Pero lo que es más importante, el programa de tratamiento de datos diseñado tampoco se utilizó de forma adecuada, lo cual hubiese evitado la filtración.
La empresa encargada de recopilar los datos que se incluían en el fichero estaba obligada a controlar que no se burlaban las medidas de seguridad existentes para registrar los datos de los usuarios. Sin embargo, una empleada hizo un mal uso reiterado del programa, introduciendo datos inexactos de forma voluntaria, puesto que rellenó una dirección de email inventada para poder continuar con el proceso de registro aun a sabiendas que el contrato se enviaría a dicha dirección.
De esta forma concluye el Tribunal Supremo que el hecho de que fuese la actuación negligente de una empleada no le exime de su responsabilidad en cuanto encargado de la correcta utilización de las medidas de seguridad que deberían haber garantizado la adecuada utilización del sistema de registro de datos diseñado.