La pregunta que planteo en el título de este post, puede parecer que tiene una respuesta muy sencilla: Según la LOPD sí, por incumplimiento del deber de seguridad de su artículo 9 , lo que conllevaría una infracción de su artículo 44.3.h y supondría una sanción de 40.001 euros a 300.000 euros, si la infractora fuese una entidad privada, según su artículo 45.2.
No obstante, para mí la respuesta puede que no sea tan sencilla, a tenor de algunas resoluciones de la Agencia Española de Protección de Datos y de la doctrina de la Audiencia Nacional.
Lo primero que debemos preguntarnos es qué es una auditoría en protección de datos. Se podría definir, de manera general, como aquella medida que, según los artículos 96 y 110 del Real Decreto 1720/2007, deben tener en cuenta todos los responsables cuando traten datos de nivel medio.
Ahondando un poco más, se podría señalar que es aquella medida, de carácter interno o externo, que deberán cumplir los sistemas de información e instalaciones que traten datos de nivel medio y que tendrá dictaminar sobre la adecuación de las medidas y controles a la LOPD y al Real Decreto 1720/2007, identificar las deficiencias y proponer las medidas correctoras o complementarias necesarias, incluyendo los datos, hechos y observaciones en que se basen el dictamen alcanzado, así como, las recomendaciones en que se base ese dictamen.
En este punto, podría entrar al debate de cual es la metodología de una auditoría de protección de datos (porque en realidad legalmente no existe ninguna metodología, aunque algunos sectores les interese señalar que su metodología es la que se debe seguir para realizar una correcta auditoría en protección de datos), pero creo que se apartaría, en mi opinión de lo que es la intención inicial de este post, que no es otra de conocer la naturaleza jurídica de una auditoría en protección de datos, como medida para garantizar el deber de seguridad.
Por tanto, en este punto, la auditoría en protección de datos (o cualquiera de las medidas del Título VIII del Real Decreto 1720/2007) qué es: ¿una obligación de medios o una obligación de resultado? La doctrina de la Audiencia Nacional es clara en cuanto al deber de seguridad: «se impone una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros. En definitiva, la recurrente es, por disposición legal, una deudora de seguridad en materia de datos, y por tanto debe dar una explicación adecuada y razonable de cómo los datos personales han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas, pues también es responsable de que las mismas se cumplan y se ejecuten con rigor. En definitiva, toda responsable de un fichero (o encargada de tratamiento) debe asegurarse de que dichas medidas o mecanismos se implementen de manera efectiva en la práctica (…)»
Así pues, nos encontramos con que las medidas para dar el cumplimiento al deber de seguridad son una obligación de resultado, lo que quiere decir que se deben tener implantadas para evitar cualquier «alteración, pérdida, tratamiento o acceso no autorizado» (tal y como se dispone en el artículo 9 de la LOPD), de manera que, a sensu contrario, si no se tienen implantadas y no se constata una alteración, pérdida, tratamiento o acceso no autorizado, no existiría un incumplimiento del deber de seguridad, porque si se sancionara, estaríamos hablando de una obligación de medios y, ya se ha visto que, según la doctrina de la Audiencia Nacional, es justamente lo contrario: una obligación de resultado.
En otras palabras, lo que pretende el deber de seguridad no es imponer la obligación de implantar unas medidas (obligación de medios), sino implantarlas con un resultado concreto: evitar una alteración, pérdida, tratamiento o acceso no autorizado (obligación de resultado).
La Agencia Española de Protección de Datos, también ha llegado a esta conclusión y se puede observar, entre otras, en su Resolución R/00351/2008 en la que se declara el archivo de las actuaciones en un supuesto en el que se constata por la Inspección que un responsable no cifra los soportes con datos de nivel alto cuando son trasladados, se realizan mensualmente copias de seguridad, no existe la figura del responsable de seguridad, no existe un registro de acceso a los datos de nivel alto y no consta la realización auditoría alguna, ya que «de la inspección realizada no se concluye que se haya producido una alteración, pérdida, tratamiento o acceso no autorizado”.
Así, a la pregunta que planteo en este post se debe responder que no, mientras no se produzca una alteración, pérdida, tratamiento o acceso no autorizado. Cuestión diferente es que sea una muy buena práctica para verificar que las medidas implantadas por cualquier entidad en materia de protección de datos, son eficientes para evitar hipotéticas alteraciones, perdidas, tratamientos o accesos no autorizados.
Gontzal Gallo
Especialista en Derecho de las TIC
Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya
Miembro de la Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC)
Twitter: @gongaru
Linkedin: Gonzalo Gallo
Google+: +Gontzal Gallo
Entre Códigos Civiles y Androides 
Buenos días Gontzal. Interesante artículo aunque no estoy del todo de acuerdo, ya que en mi opinión si tal y como lo planteas es una obligación de resultado, será por existir previamente una obligación de medios.
En todo caso, los artículos 96 y 110 del Real Decreto 1720/2007, indican claramente esa obligación, otra cuestión es la manera de hacerla y de implementar las medidas correctoras.
Un saludo, Rafa Varela
Hola Rafael,
Muchas gracias por el comentario, pero permíteme discrepar contigo. Lo que planteo (y lo que señala la Audiencia Nacional) es que el deber de seguridad es una obligación de resultado que, obviamente, para conseguirla se dispone de unos medios. Si fuera una obligación de medios, no existiría sanción cuando se tienen implantadas todas las medidas que se recogen en el Título VIII, pero ha existido una alteración, pérdida, tratamiento o acceso no autorizado y eso no es lo que ocurre. Es más, la principal vía de defensa en la AN cuando se recurre una Sanción de la AEPD por infracción del artículo 9 de la LOPD, es esa: «Es que tengo todas las medidas que me exige el Reglamento» y la AN es clara: el artículo 9 es una obligación de resultado y si existe una alteración, pérdida, tratamiento o acceso no autorizado, aunque se tenga todas las medidas implantadas, la acción es sancionable.
Por eso, lo que planteo (y la AEPD en algún PS ha señalado) es con la doctrina de la AN señalada, entonces, a sensu contrario, si no tengo implantadas las medidas (y la auditoría es una de ellas) y no se puede evidenciar una alteración, pérdida, tratamiento o acceso no autorizado, la acción no sería sancionable.
Un saludo.
Hola Gontzal. Pues creo que se trata de un tema de planteamiento/enfoque pues al hablar de una infracción del artículo 9 «SEGURIDAD DE LOS DATOS» que obliga a «adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos..:» y es evidente que adoptarlas no supone que se garanticen (medios/resultado). Si hay obligación y no se ha realizado la auditoría, entonces no se ha adoptado dicha medida.
Gracias por tu respuesta, un saludo, Rafa Varela
Hola Rafa,
Gracias de nuevo por tu comentario. Efectivamente el artículo 9 obliga a “adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos”, pero «y eviten su alteración, pérdida, tratamiento o acceso no autorizado». Si no se hubiera incluido en el deber de seguridad esa segunda mención, para mí, estaríamos en una obligación de medios pura (y por tanto el no tenerlas sería sancionable), pero al incluirse, esas medidas de seguridad lo son para un resultado concreto: evitar la alteración, pérdida, tratamiento o acceso no autorizado de los datos personales.
Quizás es un tema de planteamiento/enfoque como tu comentas, pero a la vista de la doctrina de la AN, algunas resoluciones de la AEPD en las que no se sanciona por no disponer de las medidas (y no haberse acreditado la alteración, pérdida, tratamiento o acceso no autorizado de los datos personales) y de otras en las que se sanciona, aún existiendo las medidas de seguridad, pero se ha producido la alteración, pérdida, tratamiento o acceso no autorizado de los datos personales, la lógica jurídica me ha llevado a concluir como lo he hecho en el post: Mientras no se produzca una alteración, pérdida, tratamiento o acceso no autorizado, no habrá una infracción del deber de seguridad aun faltando todas o algunas de las medidas del Título VIII.
Interesante debate Rafa!!!! Gracias, de nuevo, por intercambiar tu opinión! Un saludo,
Gontzal
Buenas,
Interesante post.
Creo que la implantación de medidas de seguridad es imperativa. Nos podrán gustar más o menos, podremos pensar si el documento de seguridad sirve para algo o no, y un largo etcétera.
De lo contrario, y si la «doctrina» es que «mientras no se produzca una pérdida de información», aquí no pasa nada, en cierta forma, se está vaciando de contenido los preceptos que citas de la LOPD y de su Reglamento.
Asimismo, tampoco creo que si has implantado todas las medidas de seguridad, y hay una fuga de información, sea sancionable. Habría que valorar caso a caso: el responsable puede haber hecho todo lo que esté en su mano, pero sabemos que la seguridad 100% no existe.
De tu post, lo que deduzco es que se abre la mano al cumplimiento de implantar las medidas de seguridad. Un, «haga lo que quiera, mientras no haya fuga de información».
Salu2.
Hola Javier,
Gracias por tu comentario. Mi intención era reflexionar precisamente sobre lo último que comentas: «Mientras no exista una alteración, pérdida, tratamiento o acceso no autorizado a los datos de carácter personal, no existiría una sanción por incumplimiento del deber de seguridad». Y como he comentado anteriormente, la lógica jurídica me hace pensar que sí. ¿Por qué?
– La propia naturaleza jurídica del deber de seguridad como una obligación de resultado. Cualquier Sentencia de la AN contra una resolución de la AEPD relacionada con el deber de seguridad repite, como una cantinela, el párrafo que he transcrito sobre el deber de seguridad como obligación de resultado.
– La propia AEPD, hace suya esta doctrina y la utiliza en varias resoluciones sancionando a Responsables, aun teniendo la medidas de seguridad implantadas y argumentando que se está obligada a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada y, entre ellas, las dirigidas a impedir el acceso o tratamiento no autorizado por parte de terceros a los datos personales, su pérdida o alteración.
– Bien es cierto, que existen menos Resoluciones que aún no teniendo la medidas, no se ha constatado ese tratamiento no autorizado y, por tanto, no se ha sancionado, justificándose además, en el principio de “proporcionalidad” que debe regir la potestad sancionadora de la Administración y justificando que la conducta se ponga en relación con la reprobación prevista para la misma en la normativa (en este caso la LOPD).
No quiero dejar una «puerta abierta» a la no implantación de medidas de seguridad, ni mucho menos, porque también la lógica (esta vez no jurídica) me hace pensar, que si no tienes ninguna medida implantada, tarde o temprano, se producirá una alteración, pérdida, tratamiento o acceso no autorizado.
Mi intención y, específicamente con la medida relacionada con la auditoría, es reflexionar sobre si se están planteando de manera incorrecta las metodologías (e insisto lo que dije en el post…legalmente no se exige una metodología concreta) y se centran en el cumplimiento formal de las medidas y no en su cumplimiento efectivo. Además, en mi modesta opinión, deberían centrarse en «buscar» posibles alteraciones, pérdidas, tratamientos o accesos no autorizados, que es lo que, precisamente, el deber de seguridad pretende evitar con la implantación de las medidas.
Saludos,
Gontzal.
Hola otra vez,
Lo primero, donde dije antes «De tu post, lo que deduzco es que se abre la mano al cumplimiento de implantar las medidas de seguridad. Un, “haga lo que quiera, mientras no haya fuga de información”….debe decir un «incumplimiento».
Siguiendo con la opinión de antes, he partido de lo que pone la normativa…aquello de «Los responsables… deberán implantar las medidas de seguridad (art. 79 Reglamento LOPD).
Lo segundo, sobre lo que planteas, yo creo que en una auditoria deben verificarse ambas cosas, tanto el cumplimiento formal como el material (o efectivo). De nada me sirve tener un documento de seguridad de 400 páginas, si luego la información se «fuga» por cualquier parte.
Por último, sobre este tema siempre me ha parecido bastante curioso que la primera medida de seguridad para ficheros informatizados, en su día, fuese el documento de seguridad (papel….hoy pdf, word, pero no deja de ser «papel»). También la posibilidad de que la auditoria fuese interna.
Asimismo, sobre la obligación de auditar, es curioso que se hable de realizarla, pero no se precisa nada más. ¿Tiene que ser favorable? ¿Y si fuera negativa la AEPD me puede sancionar por, ojo, la auditoria? Pq yo, hacerla la he hecho.
Salu2.
Hola Javier,
Efectivamente, el Reglamento es lo que señala, pero bien es cierto que esa parte del Reglamento lo es en desarrollo del artículo 9 de la LOPD.
Si me sumo a tu opinión (que entiendo que es entender las medidas como una obligación de medios), podríamos argumentar haciendo mención a que la conducta típica que supone una infracción es «Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen» (44.3.h de la LOPD). Es decir, aquí no añade lo que señala el artículo 9 LOPD (tendentes a evitar una alteración, pérdida, tratamiento o acceso no autorizado a los datos de carácter personal) y parece que estaríamos hablando de una obligación de medios….Pero ¿por qué entonces la AN la considera una obligación de resultado? ¿Por qué la AEPD también se apoya en esa doctrina?
Lo que tengo claro, que en un procedimiento por incumplimiento del artículo 9 de la LOPD, si me tuviera que «defender» intentaría hacer tal y como lo he planteado, es decir, si no se demuestra una alteración, pérdida, tratamiento o acceso no autorizado, no se me debería sancionar, ya que estamos en una obligación de resultado…Y si cambiaran de criterio, siempre puedo atenerme a que este cambio me genera inseguridad jurídica…..
Respecto a lo que has preguntado de la Auditoría….Interesante pregunta que yo respondería de la siguiente manera: ¿la opinión de una auditoría es un «hecho probado» o se considera un indicio? Si la AEPD lo toma como un hecho probado, está claro que podría ser una acción sancionable (añadiendo la apostilla de si existe una alteración, pérdida, tratamiento o acceso no autorizado)..
Interesante debate!!!
Un saludo,
Gontzal.
hola Gontzal,
interesante post!!
En mi opinión, no todas las medidas de seguridad son de la misma naturaleza, hay medidas organizativas y otras de índole más técnica. Son éstas últimas las destinadas a obtener un resultado; las que suponen una obligación de hacer (ej auditoria, Documento de Seguridad), o se cumplen o no se cumplen.
Entiendo que de la misma manera que hay sanciones por no disponer de documento de seguridad, podría haber sanción por no disponer de la preceptiva auditoría, por incumplimiento del art 44.2h) LOPD: infracción GRAVE “mantener los ficheros, locales, programas o equipos
que contengan datos de carácter personal sin las debidas condiciones de
seguridad que por vía reglamentaria se determinen”, obligación que prescribe a los dos años (art 47.1 LOPD)
Así lo entiende la AEPD en el Informe 0191/2010, cuando se le pregunta por el tiempo de conservación de las auditorías, que entiende que han de conservarse 2 años, por ser dos años el período de prescripción de «de la sanción consistente en no haber cumplido con dicha obligación».
Copio un párrafo de dicho Informe:
«A la vista de lo anterior, teniendo en cuenta los plazos de prescripción y
de obligación de sometimiento a la auditoría, el término durante el cual el
informe debería estar a disposición de la Agencia Española de Protección de Datos o autoridad autonómica de control competente debería ser el de dos años, de modo que si no se dispusiera de un informe de esa antigüedad la entidad responsable o encargada estaría vulnerando lo dispuesto en la Ley Orgánica 15/1999 y su Reglamento de desarrollo, al no haber sometido los sistemas a una nueva auditoría en el plazo señalado»
Hola María!
Muchas gracias por tu comentario.
Efectivamente el Informe que señalas indica que ue si no se dispusiera de un informe de esa antigüedad la entidad responsable o encargada estaría vulnerando lo dispuesto en la Ley Orgánica 15/1999 y su Reglamento de desarrollo, al no haber sometido los sistemas a una nueva auditoría en el plazo señalado…Pero ¿porqué en un PS (dos años antes) ante la falta de una auditoría (y de otras medidas de seguridad), la AEPD no sancionó? Sin duda este cambio de criterio genera una cierta inseguridad jurídica…
Un saludo,
Gontzal.
Buenas nuevamanente.
Creo que ambos tenéis razón en vuestros comentarios e insisto una vez más que es un tema de enfoque, no obstante si me gustaría resaltar un reflexión en base a lo comentado (aunque es un absurdo exagerado): si me viene un inspector a la puerta (sería más fácil que me toque la lotería) y me pide por ejemplo el documento de seguridad y no lo tengo, le puedo decir que no me sancione pues en realidad no ha existido «una alteración, pérdida, tratamiento o acceso no autorizado….» vamos, que no ha existido incumplimiento del artículo 9.
Sobre la auditoría, recordar que «El informe analizará la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificará las deficiencias y propondrá las medidas correctoras o complementarias necesarias. Los informes de auditoría han de ser analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero para que adopte las medidas correctoras y quedará a disposición de la Agencia Española de Protección de Datos… «.
Para mí, estar a disposición es igual a decir que ha de existir (además se le exigen dos años de conservación). Que no sea favorable supone que se deban adoptar las medidas correctoras oportunas (quizás las propuestas no lo sean), que se hayan adoptado en tiempo y modo es en mi opinión lo que habrá que demostrar en caso de requerimiento, pues además es la «esencia» de toda auditoría.
Bueno, un saludo y gracias por las aportaciones.
Hola Rafa,
Interesante aportación, sin duda.
Lo que planteaba Javier intuyo que se refería a que si en un Informe se indican que existen medidas que no se están cumpliendo (fuera aparte del «debate» de si se han existido o no tratamientos no autorizados), ¿no se estaría realizando una «admisión de culpa»? Aunque también es verdad que siempre se puede defender que la Auditoría era la situación en un momento y sería posible demostrar que ya se han solventado las cuestiones incorrectas (de ahí lo que señalaba que quizás se podría tratar de un indicio de «no cumplimiento», más que de un hecho probado).
Un saludo,
Gontzal.