Fuga de datos: ¿Quién responde?
A día de hoy, casi todos los negocios que hay en este país tienen una página web desde la cual la empresa promociona sus productos e, incluso, los vende, siendo el comercio electrónico un modelo económico en alza.
Además, en los últimos tiempos han ido proliferando las webs en las que se pueden hacer consultas a expertos en un determinado tema, ya sea médico, legal o de otra índole.
En todos estos casos, los usuarios introducen sus datos personales: nombre completo, dirección, DNI, número de tarjeta de crédito, etc. e incluso datos especialmente protegidos por el art. 7 LOPD, como pueden ser los relacionados con la salud.
Siendo conscientes de esto, debemos preguntarnos: ¿qué sucede si esos datos contenidos en una página web son conocidos por terceros como consecuencia de un fallo de seguridad de la web? ¿Quién debe responder ante una eventual sanción impuesta por la Agencia Española de Protección de Datos?
En el caso de que los datos que contiene una página web sean conocidos por terceros, se pueden estar infringiendo dos artículos de la LOPD: el que establece la obligación de adopción de medidas de seguridad (art. 9) y el que establece el deber de secreto (art. 10).
El art. 9.1 LOPD prevé: “El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten la alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural”.
Por su parte, el art. 10 LOPD dispone lo siguiente: “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.
Al respecto, la AEPD indica que el deber de confidencialidad atañe al responsable del fichero y a todo aquel que intervenga en cualquier fase del tratamiento. Este deber de secreto comporta que el responsable de los datos almacenados no pueda revelar ni dar a conocer su contenido teniendo el deber de guardarlos, obligaciones que subsistirán incluso después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.
Por lo tanto, si se infringen estos dos artículos podrá responder tanto el responsable del fichero como el encargado del tratamiento. Ambas figuras se distinguen en que el primero es el titular del fichero y el que decide sobre el tratamiento de los datos y el segundo es quien trata los datos personales incluidos en el fichero a cuenta del responsable. Aunque estas dos figuras pueden estar asumidas por una sola persona, en el caso de que una empresa encargue la gestión y mantenimiento de su web a un tercero, normalmente será este el que realice la labor de encargado del tratamiento.
Siendo conocedores de esto y en el caso de que los datos personales incluidos en un fichero sean conocidos por terceros, hay que plantearse quién de los dos sujetos responderá, si el encargado o el responsable.
La revelación de esos datos suele ser origen de un fallo del encargado del fichero, que no ha adoptado las medidas técnicas necesarias para que dichos datos puedan ser indexados por los buscadores como Google o puedan ser vistos desde la propia página web por cualquier persona.
Sin embargo, la Audiencia Nacional atribuye la comisión de la infracción al responsable del fichero por apreciar un concurso medial de infracciones. Es decir, entiende que la comisión del incumplimiento del deber de secreto se ha derivado necesariamente de la comisión del incumplimiento de medidas de seguridad, y, en consecuencia, aquella se deberá subsumir en la infracción más grave, conforme al art. 4.4 del Real Decreto 1398/1993 por el que se aprueba el Reglamento de Procedimiento Sancionador.
Además de esto, el art. 20.2 del Reglamento de la LOPD establece la posición de garante del responsable, la cual se ve reafirmada por la jurisprudencia de la Audiencia Nacional. A modo de ejemplo, la Sentencia de 8 de octubre de 2009 dictamina lo siguiente: “Al margen de las responsabilidades en que pudieran incurrir las empresas encargadas del tratamiento de los datos, extremo que no es objeto de este proceso, la empresa recurrente como responsable del fichero, por su especial posición de garante del derecho fundamental de los particulares a la protección de los datos que de los mismos obran en sus ficheros, deberá garantizar que las medidas adoptadas por las empresas contratadas son suficientes para garantizar la seguridad de los datos, debiendo comprobar la efectividad de las mismas y, al no hacerlo así, no cumplió con la diligencia que le era exigible”.
En conclusión, en principio la responsabilidad recaería sobre la empresa propietaria, sin perjuicio de que también pudiese responder eventualmente el encargado del tratamiento.