¿Quién es el último responsable cuando se da una brecha de seguridad? Hasta ahora parecía que las empresas, encargadas también de que todos sus empleados aplicasen la diligencia debida y contasen con la formación requerida. Ahora bien, la situación acaba de cambiar: dos trabajadores han sido multados a título personal por una brecha de seguridad ocurrida en sus lugares de trabajo.
Los hechos se enmarcan en dos acciones diferentes. Uno de los trabajadores excedió la autorización con la que contaba para acceder a datos personales de los usuarios, de modo que consultó información de catorce individuos, doce más de los que debiera, sin ninguna base legitimadora para ello. El otro caso se sucedió cuando un empleado remitió a su correo personal emails que contenían información personal de clientes y otros empleados. Las multas en ambos casos rondaron entre los 1500 y 3000 euros.
Las dos resoluciones han sido pronunciadas por el Tribunal de Magistrados de Birmingham. El encargado del equipo de investigaciones de carácter criminal del ICO destacó las expectativas de privacidad que los individuos tienen al respecto del tratamiento de sus datos, e incidió en que el ICO perseguirá todos aquellos casos donde se abuse de la posición y la confianza otorgada y debida, independientemente de que se trate de empresas o individuos particulares.
A efectos de reducir la inseguridad jurídica, este cambio en las reglas de juego debería, por un lado, ser incorporado en las políticas internas de las empresas e instituciones donde se regule el acceso y tratamiento que los empleados hacen de los datos personales y, por otro, por parte de las autoridades de control se debería de generar algún tipo de guía que delimite los diferentes posibles escenarios de responsabilidad.