Deber de diligencia y Responsabilidad Proactiva en el RGPD. Resolución sancionadora 00125/2020 de la AEPD. A cargo de Pablo García Girón.

AD 200/2020

 

I. Introducción. II. Principio de Responsabilidad Proactiva en el RGPD. III. Deber de diligencia. III.a) Deber de diligencia y Encargo del Tratamiento. III.b) Resolución AEPD resolviendo Procedimiento Nº PS/00185/2020. IV. Conclusiones. V. Referencias.

Palabras Clave

Seguridad, medidas de seguridad, protección de datos, páginas web, protocolo seguro, Reglamento General de Protección de Datos, RGPD, Ley de Protección de Datos, LOPD-GDD, deber de diligencia, encargado del tratamiento, responsable del tratamiento, Agencia Española de Protección de Datos, AEPD, responsabilidad proactiva, jurisprudencia, protocolo HTTPS, protocolo HTTP.

Key Words

Security, security measures, data protection, web pages, secure protocol, General Regulation of Data Protection, RGPD, Data Protection Law, LOPD-GDD, duty of diligence, data processor, data controller, Spanish Agency of Data Protection, AEPD, proactive responsibility, jurisprudence, HTTPS protocol, HTTP protocol.

I. Introducción

En 2018, el Reglamento General de Protección de Datos entró en vigor sobre todos aquellos actores que quisieran realizar tratamientos de datos de carácter personal cuya titularidad ostentasen los ciudadanos europeos. Entre otras cuestiones, esta norma supone un cambio de paradigma en cuanto a las medidas de control y seguridad que los responsables y encargados del tratamiento deben aplicar sobre los datos.

Una de las manifestaciones de ese cambio de paradigma se encuentra en el principio de responsabilidad proactiva (considerando 85 y art. 5.2 RGPD) por el cual, las organizaciones no deben adoptar una actitud pasiva y reactiva frente a los riesgos que pueden materializarse sobre sus tratamientos de datos, o no solamente, sino que la actitud debe ser activa y preventiva.

Una de las consecuencias de ese principio se encuentra en los artículos 32 y 25 RGPD, donde encontramos un enfoque basado en el riesgo que soportan los tratamientos de datos como principal modulador de las medidas de seguridad que se deben aplicar sobre los tratamientos de datos. El segundo artículo establece que esas medidas se deben adoptar ex ante, esto es, previo a la ejecución del tratamiento, en su fase de diseño, y siempre como principal opción para el titular de los datos, o por defecto.

En este contexto, surge la resolución de la Agencia Española de Protección de Datos (AEPD) por la cual se sanciona al titular de una página web por, entre otros motivos, carecer de un protocolo de seguridad HTTPS que proteja las comunicaciones entre el ordenador del usuario, y el servicio que la web está ofreciendo. Esta resolución ha hecho saltar todas las alarmas entre quienes consideran que esa exigencia es desproporcionada.

El objetivo del presente artículo consiste en analizar el RGPD para encuadrar dicha sanción, y valorar las implicaciones de esa doctrina jurisprudencial.

En el apartado II se describirá, y analizará, cómo se ha articulado la seguridad de los datos de carácter personal en la normativa de Protección de Datos respecto del principio de responsabilidad proactiva.

El apartado III se centra en valorar el concepto de diligencia en la regulación del Reglamento General de Protección de Datos, su incidencia sobre el responsable y encargado del tratamiento, así como las implicaciones que ésta resolución de la AEPD puede conllevar.

El apartado IV establece unas conclusiones que podemos extraer del análisis llevado a cabo, tomando como referencia la citada resolución de la AEPD.

Finalmente, el apartado V recoge las referencias que se han tenido en cuenta a la hora de elaborar este artículo.

Abstract

In 2018, the General Data Protection Regulation came into force for all those actors who wish to process personal data owned by European citizens. Among other issues, this regulation represents a change of paradigm in terms of the control and security measures that data controllers and processors must apply to the data.

One of the manifestations of this change in paradigm is to be found in the principle of proactive responsibility (recital 85 and article 5.2 RGPD) by which organisations must not adopt a passive and reactive attitude towards the risks that may materialise with regard to their data processing, or not only, but the attitude must be active and preventive.

One of the consequences of this principle is found in Articles 32 and 25 of the RGPD, where we find an approach based on the risk that data processing bears as the main modulator of the security measures that must be applied to data processing. The second article establishes that these measures must be adopted ex ante, that is, prior to the execution of the processing, in its design phase, and always as the main option for the data subject, or by default.

It is in this context that the resolution of the Spanish Data Protection Agency (AEPD) arises, sanctioning the owner of a website for, among other reasons, lacking an HTTPS security protocol to protect communications between the user’s computer and the service that the website is offering. This resolution has set off all the alarms among those who consider that this requirement is disproportionate.

The objective of this article is to analyse the RGPD in order to frame this sanction, and to evaluate the implications of this jurisprudential doctrine.

Section II will describe and analyse how the security of personal data has been articulated in the Data Protection regulations with respect to the principle of proactive responsibility.

Section III focuses on assessing the concept of diligence in the regulation of the General Data Protection Regulation, its impact on the data controller and data processor, as well as the implications that this resolution of the AEPD may entail.

Section IV establishes certain conclusions that may be drawn from the analysis carried out, taking as a reference the aforementioned resolution of the AEPD.

Finally, Section V includes the references that have been taken into account when drafting this article.

---

II. Principio de Responsabilidad Proactiva

Una de las principales novedades que ha supuesto el RGPD para los profesionales de la privacidad se ha materializado en un cambio radical en la mentalidad de esta normativa. Ese cambio se ha ordenado alrededor de un concepto: responsabilidad proactiva. Curiosamente, el texto no contempla una definición o una remisión expresa a su importancia, más allá de las siguientes dos citas textuales:

• Si leemos con atención el considerando 85 del RGPD, veremos que este concepto sirve, entre otras cosas, para modular la posible responsabilidad del responsable del tratamiento en la gestión de violaciones de seguridad. Si consigue demostrar, atendiendo a este principio, que es improbable que la violación de la seguridad de los datos entrañe un riesgo para los derechos y libertades de las personas físicas, entonces, podrá eximirse de la obligación de notificar las brechas de seguridad. Esto, por supuesto, deberá argumentarlo motivadamente ante la AEPD.

• A continuación, este principio surge en el artículo 5.2 RGPD relativo a los principios del tratamiento, donde se explica que el responsable del tratamiento será responsable del cumplimento de los principios de calidad del tratamiento, y deberá ser capaz de demostrar dicho cumplimiento. A continuación, entre paréntesis, se incluye lo siguiente “<responsabilidad proactiva>”.

Por tanto, de esas dos referencias podemos deducir que el principio de responsabilidad proactiva del RGPD puede desplegar varios efectos:

• Por un lado, un efecto positivo-eximente. Si el responsable del tratamiento es consecuente con este principio, diligente, y despliega medidas de seguridad de forma previsora y suficiente, el principio jugará a su favor en el posible reparto de responsabilidades ante el perjuicio que puedan sufrir los datos.

• Por otro lado, un efecto probatorio. Gracias al principio de responsabilidad proactiva, el responsable del tratamiento se ve obligado a ser cuidadoso a la hora de documentar y evidenciar su cumplimiento, así como las medidas técnicas y organizativas que despliegue en su organización.

A pesar de que, como hemos comentado, el principio no tiene mayores menciones expresas, sí podemos afirmar que el texto rezuma su espíritu en varios apartados. Posiblemente, en los aspectos más relevantes a la hora de valorar la responsabilidad de los actores que intervienen en el tratamiento.

En primer lugar, el RGPD establece a través de su artículo 32 la necesidad de plantear medidas técnicas y organizativas que garanticen la seguridad sobre los tratamientos de datos de carácter personal, en función del nivel de riesgo que los datos soporten.

Del literal del artículo se puede deducir que es necesario realizar un análisis de riesgos sobre los tratamientos de datos, para poder conocer las medidas de seguridad apropiadas para la protección de estos. Nuevamente, esto no se explica expresamente, pero, si las medidas de seguridad dependen de nuestro nivel de riesgo, se hace evidente la necesidad de analizarlo previamente. Si no realizo un análisis de riesgos, no puedo conocer mi nivel de riesgos, lo que implica que realizar un análisis de riesgos deba entenderse como algo obligatorio para el RGPD. Es otro caso en que el RGPD espera de nosotros una mayor proactividad.

En segundo lugar, se establecen supuestos tasados para los que se deben realizar las Evaluaciones de Impacto en la Privacidad (art. 35 RGPD), que consisten en un estudio sobre las operaciones del tratamiento de los datos para atenuar situaciones que pueden entrañar un alto nivel de riesgo para los derechos y libertades de los titulares. Del literal de este artículo también se desprende la necesidad de realizar un análisis de riesgos sobre la privacidad de esos datos, dado que será obligatorio realizar una EIPD para todos aquellos tratamientos que valoremos como de riesgo “alto”. Sin conocer el nivel de riesgo de forma previa, es imposible saber ante qué tratamientos debemos desplegar nuestra EIPD, más allá de los expresamente citados por la norma. De este artículo se deduce otro aspecto crítico para la Doctrina en la materia: la EIPD y el análisis de riesgos son conceptos, y procesos, diferentes. Pero esa, queridos lectores, ya es otra historia.

En tercer lugar, el artículo 25 RGPD establece la necesidad de aplicar medidas técnicas y organizativas apropiadas para garantizar la privacidad desde el momento en que se diseñen los tratamientos de los datos, con una orientación por defecto para el usuario. Nuevamente, se desprende la relevancia del análisis de riesgos para cumplir con esta obligación, dado que nos abrirá la puerta a conocer cuáles son las medidas que debemos desplegar.

Finalmente, no podemos olvidar la regulación relativa a los encargos del tratamiento, concretamente en su artículo 28.1 RGPD donde se establece la obligación del responsable del tratamiento de elegir únicamente a un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de forma que el tratamiento garantice la protección de los derechos del interesado.

Si recurrimos a la LOPD-GDD, encontraremos un Capítulo I, dentro del Título V, sobre disposiciones generales y medidas de responsabilidad activa, donde se recogen las obligaciones generales del responsable y encargado del tratamiento, supuestos de corresponsabilidad, registro de actividades de tratamiento y bloqueo de los datos.

Podemos entender que ese capítulo se refiere al principio de responsabilidad proactiva del RGPD sólo que, al transcribir el concepto, es probable que el legislador haya cometido una errata, o haya querido traducirlo de forma más directa al castellano.

En la exposición de motivos de la Ley se hace referencia al Título V de la misma como el receptáculo de las medidas de responsabilidad activa. Este título se refiere a las relaciones entre el responsable y el encargado del tratamiento, recogiendo el guante de la diligencia que el responsable del tratamiento debe desplegar para que esa relación garantice el respeto a los derechos y libertades de los titulares de los datos.

Por tanto, y teniendo en cuenta lo anterior, se acentúa la exigencia de realizar acciones previas al tratamiento de los datos, con un alto grado de libertad en su elección. Eso sí, en el caso en que no actuemos diligentemente, podemos ser objeto de una sanción por la AEPD. Esto, claramente, busca dar respuesta a una de las demandas clásicas de la Doctrina y los profesionales en Protección de Datos desde hace años, permitir una mayor flexibilidad en la adopción de medidas de seguridad.

III. Deber de diligencia

Desgraciadamente, como hemos visto en el apartado II, el RGPD es una norma con vocación generalista, y rara vez baja a tierra conceptos que podemos calificar de “jurídicamente indeterminados”. Es el caso del deber de diligencia, que se desprende de numerosos artículos (ver apartado II), pero cuyos parámetros no acaba de definir particularizadamente.

En este sentido, no cabe más remedio que dirigirnos a la Doctrina civilista que articula el concepto del buen padre de familia consagrado en el artículo 1094 del Código Civil (CC): “El obligado a dar alguna cosa lo está también a conservarla con la diligencia propia de un buen padre de familia”. Es importante observar dónde se ubica este artículo, en el Capítulo II, del Título I, de la naturaleza y efectos de las obligaciones, para entender la importancia que tiene ese estándar de actuación.

Sin embargo, tampoco podemos dejar de lado que es mayoritaria la Doctrina que considera insuficiente el estándar del buen padre de familia cuando nos encontramos en un entorno empresarial o del tráfico comercial. Esto quiere decir que, al empresario, se debe adoptar el estándar del ordenado empresario dentro de su sector de actividad que, por definición, es más exigente que el del buen padre de familia.

Este estándar de cumplimiento deriva de la conducta que debe llevar a término el administrador de una sociedad anónima, de acuerdo con el artículo 225 de la Ley de Sociedades de Capital. Siendo así, el artículo explica que “Los administradores desempeñarán su cargo con la diligencia de un ordenado empresario”.

En resumidas cuentas, el principio de responsabilidad proactiva del RGPD abre las puertas de par en par para que podamos aplicar los estándares de diligencia debida de entornos empresariales al responsable y encargado del Tratamiento.

a) Deber de diligencia y Encargo del Tratamiento

Para el responsable del tratamiento, el deber de diligencia se manifiesta en todas las dimensiones del Principio de Responsabilidad Proactiva, como hemos visto en el apartado II. Pero también tiene una afección en las relaciones con su encargado del tratamiento.

En mi primer lugar, desde el momento inmediatamente previo a su contratación, cuando el artículo 28.1 RGPD establece la obligación del responsable del tratamiento de encontrar un encargado que ofrezca “suficientes garantías para el procesamiento de los datos”. Esto quiere decir que el responsable del tratamiento, o al menos así lo presupone el Reglamento, debe realizar un “proceso de selección” sobre proveedores para elegir al que ofrezca una mayor seguridad a la hora de tratar los datos.

Este artículo no es baladí ya que rompe con la Doctrina tradicional por la que yo, responsable del tratamiento, me olvidaba de mis encargados al existir un contrato firmado, en virtud del cual, toda responsabilidad quedaba dirimida en sus cláusulas. Ahora el responsable del tratamiento puede verse salpicado por esa responsabilidad si desplegó una conducta negligente en su proceso de elección de proveedores.

Por tanto, al responsable del tratamiento le conviene enormemente ser diligente a la hora de realizar ese proceso previo de búsqueda de proveedores para evitarse posibles disgustos por una conducta inapropiada de dicho proveedor.

Esto tiene una doble dimensión, dado que la otra parte de la relación, el encargado, deberá cuidarse mucho de ser diligente en sus relaciones con el responsable del tratamiento, para no darle motivos para cancelar el contrato. En este sentido, alguna de las conductas frecuentes que se deben tener en cuenta son las siguientes:

• Ser precavidos en los envíos de información que se realizan por correo electrónico.
• Procurar cifrar los soportes que contengan datos del responsable.
• Ser diligentes en cuanto a la gestión de incidentes de seguridad, y de solicitudes de Derechos.
• Cuidar la seguridad en las comunicaciones, lo que afecta también al ámbito digital, las páginas web.
• En este contexto, han resurgido con fuerza las certificaciones en materia de seguridad, protección de datos, calidad y, sobre todo, sellos como el de confianza online.

Con el panorama que ha propuesto el RGPD, parece difícil pensar que un responsable del tratamiento puede justificar (responsabilidad proactiva) su deber de diligencia contratando a un encargado que no cumpla con las cuestiones que hemos enunciado anteriormente.

b) Resolución AEPD resolviendo Procedimiento Nº PS/00185/2020

Partiendo del análisis que hemos realizado en los puntos anteriores, el presente artículo nace como necesidad de valorar la Resolución de la AEPD sobre el Procedimiento Sancionador 00185/2020 por el que la Agencia sanciona a un prestador de servicios que actúa a través de su página web, aplicando la responsabilidad proactiva con una dimensión práctica.

Los hechos son los siguientes:

• El procedimiento se inicia contra un autónomo titular de la página web cuestionada por el reclamante. La página web se dedica a la venta online de placas de matrícula, para lo cual, solicita nombre y apellidos, DNI, matrícula del vehículo y número de bastidor. Además, los compradores deben enviar escaneada la siguiente documentación: permiso de circulación del vehículo, DNI por ambas caras y justificante de pago.

• El reclamante solicita amparo a la AEPD al no haber recibido respuesta del titular de la web, ante varias solicitudes en la siguiente línea:

• El solicitante detecta que la web carece de medidas de seguridad para proteger los datos. No cuenta con protocolo HTTPS.
  • La web no informa sobre el tratamiento de los datos de carácter personal. Indagaciones mediante de la AEPD se descubre que la política de privacidad se encuentra desactualizada y no cumple los requisitos adicionales del RGPD.

• Además, la AEPD comprueba que no existe un banner, o pop up, que informe sobre la existencia de un tratamiento a través de cookies. Aunque sí se informa sobre una cierta política de cookies en el aviso legal.

• Como resultado la AEPD inicia procedimiento sancionador con las siguientes sanciones: 1000 euros por infringir el artículo 32 RGPD, por la política de seguridad de la página web, 1000 euros por infringir el deber de información del artículo 13 RGPD, y 1000 euros por infringir el artículo 22.2 de la LSSICE sobre cookies.

De este procedimiento, nos interesa especialmente lo relativo a la sanción por vulnerar el artículo 32 del RGPD que, recordemos del apartado II, es el que se refiere a la seguridad del tratamiento. Este artículo, realmente no dice nada concreto sobre medidas de seguridad en páginas web, o sobre la aplicación de protocolos de comunicación segura, pero recordemos lo que sí dice:

• Es obligación del responsable del tratamiento aplicar medidas técnicas y organizativas suficientes para proteger los datos personales, en función del nivel de riesgo que su tratamiento soporte.

• Entre otras medidas, debe valorar la posible necesidad de aplicar las comprendidas entre las letras a) y d), donde las más específicas son la seudonimización y el cifrado de los datos. Esto no quiere decir que sea obligatorio aplicar esas medidas, sino que debe valorarlas por ser especialmente óptimas, en términos generales, bajo el criterio del Reglamento.

• A la hora de valorar el nivel de seguridad que debe alcanzar, el Responsable del tratamiento tendrá en cuenta especialmente, entre otros aspectos, la posibilidad del acceso no autorizado a los datos (art. 32.2 RGPD).

Por tanto, teniendo en cuenta el apartado 2 de ese artículo 32 RGPD, la AEPD ha considerado que es un riesgo evidente, y evitable, el que un tercero no autorizado pueda acceder a los datos que se comparten, en claro, con la página web en cuestión. Al no aplicar protocolos de seguridad HTTPS, el riesgo del acceso no autorizado se puede ver materializado con un alto grado de probabilidad.

Esta resolución tiene una importancia crítica tanto para entender cómo se aplica el estándar de responsabilidad proactiva, como la aplicación por el responsable del tratamiento de las medidas de seguridad necesarias para proteger los datos. Pero también para las relaciones entre el responsable y el encargado del tratamiento. Pensemos, bajo ese filtro interpretativo que nos acaba de poner la AEPD, en la responsabilidad que se puede dirimir entre el titular de los datos y el Responsable del tratamiento, en el contexto de una relación de encargo.

IV Conclusiones

De lo analizado en el presente artículo, el autor considera relevante señalar las siguientes conclusiones:

• El RGPD ha supuesto abandonar una mentalidad reactiva, en cuanto a la gestión de la seguridad de los datos, para adoptar una posición preventiva sobre las amenazas que pueden materializarse en nuestro tratamiento.
• Ese cambio de mentalidad implica la necesidad de adoptar posturas que evidencien nuestra conducta diligente, en cuanto a la gestión de la seguridad.
• De acuerdo con la jurisprudencia de al AEPD, una falta de diligencia en la adopción de medidas de seguridad, puede conllevar una sanción económica. Esas medidas no tienen por qué, necesariamente, verse recogidas expresamente en la norma, siempre que se deriven de la conducta básica de un diligente empresario, en el contexto de la protección de datos.

V Referencias

Legales:

• RGPD. Reglamento General de Protección de Datos.
• CC. Código Civil. Real Decreto de 24 de julio de 1889 por el que se publica el Código Civil.
• LOPD-GDD. Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos Personales y garantía de los derechos digitales.
• LSC. Ley de Sociedades de Capital. Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba el texto refundido de la Ley de Sociedades de Capital.

Jurisprudenciales:

• Resolución AEPD resolviendo Procedimiento Nº PS/00185/2020

---

Pablo García-Girón Pérez 

Actualmente es abogado y consultor especializado en ciberseguridad y protección de datos.