Brecha de seguridad en datos personales: ¿de quién es la responsabilidad?

Brecha de seguridad en datos personales: ¿quién es responsable?

¿Quién paga por una brecha de seguridad en datos personales?

Las empresas manejan una gran cantidad de información de sus clientes, lo que las convierte en controladoras de esos datos y las obliga a implementar medidas adecuadas para garantizar su seguridad. Sin embargo, ¿qué sucede si se produce una brecha de seguridad? ¿Deben ser responsables de compensar a los individuos afectados por los daños causados?

El Reglamento General de Protección de Datos (GDPR) establece en España la normativa de protección de datos, exigiendo a las empresas el cumplimiento de una serie de principios y requisitos. Además de obtener el consentimiento explícito de los usuarios para el procesamiento de sus datos y permitirles ejercer sus derechos, deben demostrar el cumplimiento de estos principios con un registro de actividades, entre otras medidas.

¿Pero qué sucede si, a pesar de cumplir estrictamente con todos los requisitos de seguridad, se produce una brecha de seguridad? La jurisprudencia del Tribunal Supremo ha aclarado esta cuestión, estableciendo la diferencia entre la obligación de medios y la de resultado.

En términos generales, las empresas tienen una obligación de medios, lo que implica implantar medidas técnicas y organizativas conforme a la tecnología y requisitos del momento. Sin embargo, también se les exige proporcionar la formación adecuada y actualizada a los trabajadores. Aunque no se exige la infalibilidad de las medidas adoptadas, se les responsabiliza por la falta de diligencia en su utilización.

Esta distinción se refleja en el Reglamento de la Unión Europea relativo a la protección de datos, al diferenciar entre la falta de adopción de medidas técnicas y organizativas y la falta de diligencia en su utilización.

Esto significa que, aunque un empleado sea el responsable directo de una brecha de seguridad, la empresa puede ser considerada responsable si no ha tomado las medidas adecuadas para prevenir o corregir esa conducta. Esto se basa en la idea de que la empresa opera a través de sus representantes, empleados y trabajadores, quienes actúan en su nombre y beneficio.

En Confyr Abogados, asesoramos a empresas sobre cómo cumplir con las normativas de protección de datos y cómo actuar en caso de una brecha de seguridad. Contáctanos para más información