Hace unos días una campaña publicitaria de una conocida plataforma que oferta servicio de transporte de viajeros a través de su aplicación móvil suscitó cierta polémica en las redes sociales y algunos medios de prensa. En la campaña se informaba del número de trayectos gestionados por la plataforma y que tenían como destino el Ministerio de Transporte, Movilidad y Agenda Urbana durante el 2022. Con ello, se daba a entender que también los responsables del Gobierno utilizan sus servicios. Al hilo de esta noticia y sin reparar en las razones que motivaron esta campaña, cabe plantearse algunas cuestiones: ¿las empresas están legitimadas para publicar los datos de los clientes sin que ello suponga una violación de la legislación en materia de protección de datos?; ¿Quién es responsable cuando son los empleados quienes difunden los datos?

En primer lugar, hay que recordar la definición de dato de carácter personal para comprobar si debemos aplicar las garantías previstas en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD). Por datos personales se entiende toda información sobre una persona física identificada o identificable y se considera persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona (artículo 4 RGPD).

Por ejemplo, en una reciente Sentencia del Tribunal Supremo de 15.2.2022 (Rº 7359/2020) se comunicaron los datos de un grupo de clientes a otro cliente. En este caso concreto, parece claro que eran datos de carácter personal al referirse al nombre y apellidos, datos económicos, de domiciliación bancaria y firma y permitir la identificación de las personas. La consecuencia que se derivó fue la imposición a la empresa de la sanción de 40.001 € por la Agencia Española de Protección de Datos.

Como segunda cuestión a aclarar es si la negligencia de las personas trabajadoras en la difusión de los datos puede afectar a la responsabilidad de las empresas. En el caso de la Sentencia del Tribunal Supremo mencionada, la empresa alegó como causa principal del incumplimiento de las medidas de seguridad la falta de diligencia de uno de los trabajadores.

Al respecto, la conclusión del Tribunal Supremo fue rotunda al considerar que la empresa responde también por la actuación de sus empleados y no puede excusarse en su actuación diligente, separadamente de la actuación de sus trabajadores. Es más, es la actuación culpable de éstos la que fundamenta la responsabilidad de la empresa en el ámbito sancionador por actos propios de sus empleados o cargos, no de terceros. Ahora bien, esto no significa que la empresa puede adoptar las medidas disciplinarias frente a la persona trabajadora tal y como expuse en una entrada anterior.

Parece importante advertir que la obligación de seguridad de la empresa es de medios y no de resultado. Así explica la citada Sentencia del Tribunal Supremo que esto significa que las empresas tienen el deber de adoptar los medios técnicos y organizativos, así como desplegar una actividad diligente en su implantación y utilización que tienda a conseguir el resultado esperado con medios que razonablemente puedan calificarse de idóneos y suficientes para su consecución, por ello se las denomina obligaciones “de diligencia” o “de comportamiento”.

Igualmente, el deber de las empresas debe actualizarse a medida que evolucione la técnica y también han de vigilar su correcto cumplimiento por parte de las personas trabajadoras. En este sentido se pronuncia el artículo 31 del RGPD al establecer respecto a la seguridad del tratamiento que las medidas técnicas y organizativas apropiadas lo son “Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas […]”.

Precisamente, el estado de la técnica en el momento en el que se produjeron estos hechos permitía establecer algunas medidas que no se adoptaron en el caso concreto. Medidas destinadas a comprobar la veracidad de la dirección de email, condicionando la continuación del proceso a que el usuario recibiese el contrato en la dirección proporcionada y solo desde ella prestase el consentimiento necesario para su recogida y tratamiento. En efecto, la empresa podría haber utilizado el sistema de verificación del correo electrónico conocido como “doble opt-in ” consistente en un proceso de aceptación de unas normas o condiciones de uso cuyo principal objetivo es el de verificar que los usuarios son quienes dicen ser y no son ni robots creando suscripciones automáticas, ni correos Spam, o terceras personas generando suscripciones fraudulentas utilizando correos electrónicos que no son de su propiedad.

En el supuesto analizado, el Tribunal Supremo confirmó la sanción dictada por la Agencia Española de Protección de Datos porque la empresa no cumplió con el deber de seguridad de los datos de los clientes.

En definitiva, en el escenario actual de transformación y uso masivo de datos, parece muy deseable que las empresas manifiesten su voluntad de cumplir la normativa de protección de datos sobre todo porque con ello se promueve que las personas empleadas también lo respeten. Lo que viene a significar que los datos de carácter personal de los clientes deben procesarse con pleno respeto a los principios de licitud, lealtad, transparencia, minimización, integridad, confidencialidad y limitación por la finalidad y plazo de conservación, con base en las garantías de su protección desde el diseño y por defecto. Solo de este modo podremos seguir avanzando en el proceso de digitalización y beneficiarnos de sus ventajas sin perder la confianza en los actores quienes son parte y motor del mismo.