Diligencia debida en la gestión de datos personales

mayo 2022

Ese concepto tan abstracto: la diligencia debida. En la actualidad, nuestros datos personales son el arma más valiosa de la sociedad. Estamos rodeados de tecnología y lo que eso implica es aceptar los términos y condiciones de todo aquel lugar online al que decidamos entrar.

No obstante, y bajo la presunción de que, como propietarios y titulares de nuestros datos nosotros mismos debemos actuar con el debido cuidado en su utilización y facilitación a terceros, la obligación es –o debiera ser– mayor para los receptores de los mismos.

En este sentido, se dice que las empresas y los terceros que utilicen nuestros datos con fines comerciales, deben utilizarlos y tratarlos con la diligencia debida. Pero, ¿qué es la diligencia debida en la Protección de Datos?

Recientemente, la Agencia Española de Protección de Datos ha sancionado a una entidad por infringir el artículo 6.1 del RGPD con la cantidad de 40.000 euros. El mencionado precepto pone de manifiesto que el tratamiento de datos solo será lícito si se cumple, al menos, alguna de las siguientes condiciones:

  1. Que el interesado de su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
  2. que el tratamiento sea necesario para la ejecución del contrato en cuestión en el que el interesado es parte;
  3. que el tratamiento sea necesario para cumplir una obligación legal aplicable al responsable del mismo;
  4. que el tratamiento sea necesario para proteger intereses vitales del interesado (o de otra persona física);
  5. que el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; o
  6. que el tratamiento sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño (este punto no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones).

Pues bien, a la vista del artículo indicado, la sanción en cuestión impuesta por la AEPD tiene su base en que los datos personales del perjudicado fueron utilizados por un tercero para la contratación fraudulenta de un préstamo sin su consentimiento, entendiéndose que tal entidad en cuestión no actuó con la diligencia debida. De este modo, la Agencia pasa a explicar en qué consiste, entonces, el susodicho término.

«La diligencia debida es la atención del deber legal de cuidado. Ser debidamente diligente implica, en cuanto a ese deber legal de cuidado, prevenir la materialización del riesgo (la suplantación de identidad) estableciendo con carácter anticipado al tratamiento un sistema eficaz de medidas adecuadas para evitarlo; tal sistema debe ser evaluado de forma constante. Tal y como afirma la jurisprudencia, la responsabilidad deriva de la actuación propia de quien es responsable de ser diligente y “no puede considerarse excluida ni atenuada por el hecho de que haya mediado la posible actuación fraudulenta de un tercero, pues la responsabilidad de la parte actora no deriva de la actuación de este, sino de la suya propia”».

De este modo, afirma la AEPD que la diligencia debida se compone de cuatro elementos:

Identificar: consiste en evaluar el impacto real y potencial de las actividades de tratamiento de datos.

Prevenir y mitigar: que se realizaría mediante seguimiento y monitoreo.

Rendir cuentas: comunicando la forma en que se hace frente a las consecuencias negativas de los tratamientos indebidos de datos.

En este sentido, la diligencia debida debe adecuarse a los entornos empresariales en los que se mueve el responsable del tratamiento, ya que comprende tanto la adopción de medidas técnicas y organizativas adecuadas al tratamiento en cuestión, como la capacidad para acreditar su cumplimiento.

Por lo tanto, el responsable del tratamiento debe «estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas físicas».

Ello pone de manifiesto la tremenda importancia no solo de la diligencia debida en sí misma, sino de la posibilidad de poder demostrarla. Esto es indispensable, pues no sería suficiente, tal y como ha establecido la Audiencia Nacional en varias ocasiones, con alegar la ausencia de culpa. Por lo que también es muy importante la anticipación mediante los mecanismos adecuados a la hora de verificar la identidad de las personas cuyos datos personales se van a tratar por parte de quien esté legitimado para hacerlo, para asegurarse de que efectivamente está legitimado para ello.

A continuación, os dejamos la resolución de la Agencia Española de Protección de Datos a efectos de consulta.

Eduardo Zamora