El Tribunal Supremo español, sin embargo, añadió que no basta con diseñar los medios técnicos y organizativos necesarios, también es necesaria su correcta implantación y su utilización de forma apropiada, de modo que también responderá (la empresa) por la falta de la diligencia en su utilización.
Configurarlo como una obligación de resultado invalida de facto todo esfuerzo e inversión tecnológica y organizativa que pudiere ser implementado en materia de seguridad de datos. Ni siquiera se tiene en cuenta para graduar la sanción .
De esta forma concluyó que la obligación de las empresas de garantizar la seguridad de los ficheros que contengan datos personales de sus clientes es de medios y no de resultado, aunque “es exigible la adopción e implantación de medidas técnicas y organizativas, que conforme al estado de la tecnología y en relación con la naturaleza del tratamiento realizado y los datos personales en cuestión, permitan razonablemente evitar su alteración, pérdida, tratamiento o acceso no autorizado.
La sentencia completa, puede consultarse aquí.