La reciente sentencia de la Court of Appeal inglesa en el asunto DSG Retail Ltd v Information Commissionerconstituye, sin duda, uno de los pronunciamientos más relevantes de los últimos años en materia de seguridad del tratamiento de datos. Su importancia no radica únicamente en la resolución del caso concreto —un ciberataque masivo sobre sistemas de pago—, sino en la clarificación conceptual de un elemento nuclear del sistema: el alcance del deber de seguridad del responsable del tratamiento.
Desde el inicio, el tribunal formula con precisión la cuestión jurídica: si el responsable está obligado a adoptar medidas de seguridad frente a riesgos derivados del acceso por terceros que, aun obteniendo los datos, no pueden identificar a los interesados. Esta formulación aparentemente técnica encierra, en realidad, una tensión estructural entre dos modelos de protección: uno formal, centrado en la naturaleza del dato en manos del tercero, y otro material, basado en el riesgo inherente al tratamiento.
De la ontología del dato a la teoría del riesgo: el giro interpretativo
La Court of Appeal rechaza la aproximación del Upper Tribunal, que había condicionado el deber de seguridad a que los datos fueran “personales” también desde la perspectiva del atacante. Frente a ello, adopta una interpretación amplia y funcional: el deber de seguridad se activa cuando los datos son personales en manos del responsable, con independencia de que el tercero pueda identificar o no a los interesados.
El razonamiento es particularmente sólido desde el punto de vista dogmático. El tribunal subraya que la obligación del artículo 4(4) del Data Protection Act 1998 (y hoy del RGPD) se proyecta sobre “todos los datos personales respecto de los cuales el responsable actúa como tal” , sin introducir matices relativos a la perspectiva de terceros. Esta afirmación es clave: desplaza el centro de gravedad desde el resultado del ataque hacia la posición jurídica del responsable.
En este sentido, la sentencia consagra una idea esencial: la seguridad no es una obligación reactiva vinculada al daño efectivo, sino una obligación preventiva vinculada al riesgo. Como señala expresamente el tribunal, se trata de un deber de “safeguarding”, no de garantía de resultado.
El error del enfoque “en manos del tercero” y sus consecuencias sistémicas
Uno de los elementos más interesantes del fallo es el análisis de las consecuencias prácticas de la interpretación restrictiva. La Court of Appeal identifica con claridad el riesgo de vaciamiento del sistema: si se aceptara que no hay deber de seguridad cuando el atacante no puede identificar a los sujetos, quedarían fuera del ámbito de protección ataques como el ransomware, la destrucción de datos o su manipulación maliciosa.
El tribunal es contundente al respecto. La interpretación del Upper Tribunal implicaría que el responsable no tendría obligación de proteger frente a intervenciones de terceros que destruyan, alteren o cifren datos personales, siempre que no puedan identificar a los interesados . Esta conclusión, como señala la sentencia, resulta incompatible con la finalidad del sistema y con la realidad tecnológica contemporánea.
Aquí emerge una dimensión especialmente relevante desde la perspectiva de la ciberseguridad: el daño no depende de la identificabilidad del interesado por el atacante. El perjuicio puede producirse por la indisponibilidad del dato, su integridad comprometida o su uso estratégico en ataques complejos. La sentencia reconoce expresamente esta realidad al afirmar que tales ataques pueden causar daños materiales y morales significativos, incluso sin identificación directa de los sujetos .
La conexión con el Derecho de la Unión Europea y la coherencia post-Brexit
Desde una perspectiva de Derecho internacional privado y diálogo judicial, la resolución es particularmente relevante por su alineación con la lógica del Derecho de la Unión Europea. El tribunal interpreta el Data Protection Act 1998 conforme a la Directiva 95/46/CE y reconoce expresamente la necesidad de coherencia con la jurisprudencia del TJUE .
En este punto, la sentencia realiza una operación interpretativa de gran interés: amplía el concepto de “dato personal” en línea con el estándar europeo de identificabilidad potencial, pero rechaza que esa ampliación justifique una restricción del deber de seguridad. Al contrario, concluye que una definición más amplia de dato personal conduce necesariamente a una obligación de seguridad más intensa, no más limitada.
Este razonamiento tiene implicaciones directas para el régimen post-Brexit. Lejos de una divergencia, la Court of Appeal refuerza la convergencia material con el RGPD, lo que resulta crucial en el contexto de decisiones de adecuación y transferencias internacionales de datos.
El deber de seguridad como obligación relacional: la centralidad del vínculo responsable-interesado
Uno de los aportes más sofisticados de la sentencia es la conceptualización del deber de seguridad como una obligación inherente a la relación jurídica entre el responsable y el interesado. El tribunal afirma que se trata de una obligación “owed to the data subject” respecto de los datos que este ha confiado al responsable .
Este planteamiento tiene profundas implicaciones teóricas. Sitúa el deber de seguridad en el ámbito de las obligaciones de confianza (trust-like obligations), donde el foco no está en el comportamiento del tercero, sino en la diligencia del responsable. Desde esta perspectiva, la anonimidad en manos del atacante resulta jurídicamente irrelevante: lo determinante es la responsabilidad ex ante del sujeto que controla el tratamiento.
Anonimización, pseudonimización y riesgo de reidentificación: una lectura tecnológica
La sentencia también aborda, aunque indirectamente, el problema de la anonimización. En línea con la doctrina europea, rechaza una visión binaria del dato (personal/no personal) y subraya la dificultad de excluir completamente el riesgo de reidentificación en entornos tecnológicos avanzados.
El tribunal reconoce que la capacidad de combinar datos (“jigsaw identification”) y la disponibilidad masiva de información pública hacen que la anonimización sea, en muchos casos, relativa . Este punto es esencial para la práctica: la pseudonimización o incluso la anonimización parcial no eliminan el deber de seguridad, sino que forman parte del análisis de riesgos.
Implicaciones prácticas para empresas y compliance
Desde una perspectiva operativa, la sentencia tiene consecuencias inmediatas para los responsables del tratamiento:
En primer lugar, consolida un enfoque de seguridad basado en el riesgo global del tratamiento, no en la clasificación formal del dato en escenarios de ataque.
En segundo lugar, refuerza la necesidad de adoptar medidas técnicas y organizativas frente a amenazas como el ransomware, incluso cuando los datos no permitan identificación directa.
En tercer lugar, eleva el estándar de diligencia exigible, al exigir una evaluación prospectiva de riesgos complejos, incluidos los de reidentificación indirecta.
En definitiva, la sentencia desplaza el eje del compliance desde la tipología del dato hacia la arquitectura de seguridad del sistema.
En suma, la Court of Appeal fija una doctrina clara: si los datos son personales para el responsable, existe deber de protegerlos frente a cualquier forma de tratamiento no autorizado, con independencia de la capacidad de identificación del tercero .
Este pronunciamiento marca un punto de inflexión en la evolución del Derecho de protección de datos. La lógica ya no es categorial, sino sistémica. El RGPD —y su interpretación judicial— se consolidan como un instrumento de gobernanza del riesgo tecnológico, donde la seguridad no es una cuestión accesoria, sino el núcleo mismo de la protección de derechos fundamentales.
En términos más amplios, la sentencia anticipa la dirección futura del Derecho digital: un modelo en el que la responsabilidad jurídica se articula en torno a la capacidad de prevenir, resistir y gestionar riesgos en entornos tecnológicos complejos, más que en la mera clasificación formal de la información.
