El pasado 8 de octubre el Tribunal Supremo dictó una sentencia (STS 4962/2024) que clarifica la aplicación de dos preceptos jurídicos controvertidos en el ámbito de la protección de datos. La sentencia deriva del PS/0027/2021 de la Agencia Española de Protección de Datos (en adelante, "AEPD") donde la autoridad de protección de datos sanciona a una operadora de telecomunicaciones con 200.000 euros por la infracción del principio de confidencialidad (art. 5.1.f) del Reglamento General de Protección de Datos ("en adelante, RGPD") al proporcionar acceso a unos duplicados de tarjeta SIM solicitados de forma fraudulenta. En el marco del procedimiento la entidad sancionada alegó sin embargo que esta infracción debería haberse visto subsumida en el art. 32 del RGPD.
El artículo 5.1.f) del RGPD establece el principio de confidencialidad y seguridad, estipulando que los datos personales deben ser tratados de manera que se garantice una protección adecuada frente a accesos no autorizados. Por su parte, el artículo 32 propone aquellas medidas técnicas y organizativas que los responsables y encargados del tratamiento deben implementar para asegurar un nivel de seguridad proporcional al riesgo. Aunque ambos preceptos están relacionados con la seguridad, el primero se enfoca en un principio general, mientras que el segundo especifica los requisitos operativos para cumplir dicho principio.
Este debate no es nuevo. En febrero de este mismo año, en el expediente PS/00020/2023, la AEPD sancionó a una entidad bancaria con 5 millones de euros por la infracción de ambos preceptos por hechos que dieron lugar a un único incidente: una brecha de seguridad que permitió a un cliente acceder al justificante de una transferencia realizada por otro cliente a un tercero no cliente de la entidad. En sus alegaciones, la entidad bancaria argumentó que la doble imposición de estos artículos constituía una duplicidad sancionadora que infringía el principio non bis in idem, al considerar que ambas infracciones protegían el mismo bien jurídico.
No obstante, la AEPD rechazó este argumento y confirmó que los bienes jurídicos protegidos por uno y otro artículo son distintos:
- El artículo 5.1.f) protege la confidencialidad e integridad de los datos, siendo vulnerado cuando se produce una pérdida real de estas, independientemente de si la causa está relacionada o no con deficiencias en las medidas de seguridad.
- El artículo 32 regula las medidas técnicas y organizativas necesarias para prevenir brechas de seguridad que puedan derivar en una pérdida de confidencialidad o integridad.
El Tribunal Supremo en la mencionada Sentencia ha seguido el mismo criterio avanzado por la AEPD en la resolución que acabamos de comentar, precisando que el artículo 5.1.f) “no tiene como finalidad desplazar la aplicación del artículo 32 del Reglamento general, pues este precepto complementa y desarrolla de forma detallada las obligaciones de los responsables y encargados del tratamiento para garantizar la seguridad del tratamiento”. Esta distinción implica que la infracción de uno de los artículos no presupone automáticamente la infracción del otro, incluso si ambas derivan del mismo hecho originador.
Por lo tanto, se pone de manifiesto que mientras que la infracción de confidencialidad supone que los datos se hayan revelado a un tercero, la infracción de medidas de seguridad únicamente requiere que se declare probada la ausencia de requisitos exigidos. La ausencia de estas medidas de seguridad, infringen ya el RGPD, independientemente de que no se hubiera producido la efectiva pérdida de la confidencialidad.
Asimismo, con esta Sentencia, el Tribunal ha respaldado la actuación de la AEPD al afirmar que el incumplimiento de las medidas técnicas exigidas por el artículo 32 no constituye una simple concreción del principio general de confidencialidad del artículo 5.1.f). Por el contrario, representa una infracción autónoma que pone en riesgo otros aspectos relacionados con la seguridad de los datos.
Compartir: