- Protección de datos personales - http://www.samuelparra.com -

300.000 euros de multa por publicar datos personales en Internet

Posted By Samuel Parra On Lunes, 7 abril 2008 @ 9:56 In Multas | 11 Comments

bola.jpgEl sancionado utilizó un subdominio del popular proveedor www.iespana.es [1] para crear una página donde publicó los nombres, apellidos y direcciones de los afiliados a Izquierda Unida de una localidad andaluza, con el título “Los Comunistas de…”.

La existencia de esa web fue comunicada por un afectado al Defensor del Pueblo Andaluz quien puso los hechos en conocimiento del Juzgado de Primera Instancia e Instrucción correspondiente y de la Agencia Española de Protección de Datos.

Esta Resolución tiene dos puntos interesantes: primero porque se observa la cautela del sancionado en no ser descubierto, ya que utilizó un proxy para acceder al subdominio y subir la información sensible, aunque finalmente pudo ser cazado por un descuido (gracias a los inspectores de la AEPD). Y segundo porque en la propia Resolución se menciona que el Juzgado de Instrucción procede al sobreseimiento y archiva el caso, mientras que la AEPD sí que termina en sancionar.

Si quieres saber como cazaron al infractor a pesar de ocultar su IP utilizando un proxy y los detalles de la Resolución, haz clic en

Como se ha comentado, los hechos se pusieron en conocimiento tanto del Juzgado ordinario como de la AEPD.
Al haber iniciado el Juzgado la fase de instrucción y encontrarse investigando el caso por vía penal, la AEPD procede a la suspensión de las actuaciones de investigación previas en vía administrativa. Así, 4 meses después, el Juzgado le comunica a la AEPD que ya han terminado sus investigaciones y que sobresee el caso archivándolo.
Pocos días después, el Director de la Agencia Española de Protección de Datos acuerda levantar la suspensión de las actuaciones de investigación y continuar su tramitación.

En resumen, que el Juzgado no llega a ninguna parte, archiva el caso, pero la AEPD sin embargo continua la correspondiente investigación por su cuenta a ver hasta donde llega. Y aquí es cuando comienza el periplo por la red buscando al posible responsable.

Como se dijo, se utilizó un subdominio en iespana.es para ubicar la página con la información personal. Así que lo más lógico era ir a preguntar a iespana.es a ver quién abrió ese subdominio. iespana.es informó que fue un cliente utilizando un servicio gratuito y se identificó como J.C. y email …@mixmail.com [2]. Y efectivamente, confirma iespana, que subió una página web a este espacio con título “Los Comunistas de…” y “relación de todos los comunistas de…”. Además, iespana.es les comunica la contraseña de administración del subdominio (vaya, pensaba que las contraseñas había que guardarlas cifradas), y la IP utilizada para subir los contenidos a Internet.

Iespana pone de manifiesto que los datos aportados a la hora del registro pueden ser falsos, EXCEPTO el del correo electrónico, que ya se le envió un mensaje de confirmación y un código de activación del servicio, por lo que tuvo que acceder a esa cuenta de correo electrónico para activar el subdominio.

Tenemos por tanto la siguiente información del infractor:

  1. Su nombre J.C. (seguramente falso)
  2. Una dirección de email …@mixmail.com [2] a la que tuvo que acceder para activar el servicio
  3. La IP desde la que se subió el contenido a iespana

Llegados a este punto, correspondería averiguar a quien pertenece esa IP, pero se llegó a un callejón sin salida porque pertenecía a un servidor proxy específico para ocultar la dirección IP en Internet.


Así que sólo nos queda una dirección de correo electrónico en @mixmail.com … no parece mucho.

Se le solicita a mixmail.com que facilite la información de registro de esa cuenta de correo electrónico, y comunican que fue creada por un tal M.J.J (nombre falso) y que la última vez que se accedió fue precisamente el mismo día que se subió el contenido al subdominio de Internet (buena señal).

Mixmail facilitó entonces un log de los últimos 7 accesos a ese correo electrónico, donde figura el día, hora, minuto y segundo de conexión y la IP que accede en ese momento. La IP fue siempre la misma en los 7 últimos accesos, que se llevaron a cabo en un lapso de tiempo de algo más de 24 horas en el día que fue publicada la web.

Ahora tenemos una nueva pista: la IP de conexión a la cuenta de correo electrónico utilizada para activar el servicio en iespana. Con un poco de suerte el infractor no habrá tenido la cautela de utilizar también el proxy para acceder al correo… y efectivamente, la IP correspondía a una ADSL de Telefónica en España. A los pocos días la AEPD ya dispone de los datos del titular de esa línea de ADSL, perteneciente a D. J.F.D.

La AEPD intentó ponerse en contacto con J.F.D. por correo ordinario pero nunca recogió las cartas certificadas. Finalmente y ante la imposibilidad de contactar con J.F.D. se publicó en el Ayuntamiento correspondiente el inicio del procedimiento sancionador.

Y ya está, se le imputa una infracción del artículo 7.2 de la Ley Orgánica de Protección de Datos que establece:

Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado. Ello quiere decir que solamente en estos supuestos específicos dichos datos podrán ser tratados.
En el supuesto presente, ha quedado acreditado que el denunciado ha tratado los datos de, al menos, Don J.C.T (el que comunicó los datos al Defensor del Pueblo), su esposa y sus hijos, en un listado de personas refiriéndose a ellos como miembros del Partido Comunista de la localidad …, sin que se haya acreditado el consentimiento expreso y por escrito de los afectados.

El artículo 44.4.c) de la LOPD considera infracción muy grave: c) Recabar y tratar los datos de carácter personal a los que se refiere el apartado 2 del artículo 7 cuando no medie el consentimiento expreso del afectado; recabar y tratar los datos referidos en el apartado 3 del artículo 7 cuando no lo disponga una Ley o el afectado no haya consentido expresamente, o violentar la prohibición contenida en el apartado 4 del artículo 7.

Finalmente, afirma la AEPD que el responsable de la inclusión, en una página web, del listado de vecinos de (….) bajo el título Comunistas … ha incurrido en la infracción señalada, ya que, al menos cuatro miembros de una misma familia, no han consentido de forma expresa y por escrito el tratamiento de datos relativos a ideología.

Así que se le impone una multa de 300.506,05 euros.

Ahora bien, a mí se me ocurren algunos problemas del iter comentado.
Si nos fijamos, se sanciona al TITULAR de la línea ADSL. y además ni siquiera se llega a contactar con él. Veo peligroso asociar un acto ilícito al titular de una línea ADSL, por la sencilla razón de que en una casa familiar, la conexión ADSL la puede utilizar el padre, la madre, el hermano, la hermana y el amigo de la hermana… sin que (bajo mi punto de vista) pueda ser posible imputar directamente (sólo por la IP) la comisión de una infracción al titular de la línea (faltarían pruebas en mi opinión), sobre todo porque en este caso concreto no se investigó si el titular vivía solo, o con alguien más. Es posible incluso, que utilizara un router wifi y no tuviera restringido el acceso al mismo… cualquiera con un portátil podría haberse conectado…

Descargar la resolución desde aquí [3]


Article printed from Protección de datos personales: http://www.samuelparra.com

URL to article: http://www.samuelparra.com/2008/04/07/300000-euros-de-multa-a-un-particular-por-publicar-datos-personales-en-internet/

URLs in this post:

[1] www.iespana.es: http://www.iespana.es/

[2] …@mixmail.com: mailto:...@mixmail.com

[3] Descargar la resolución desde aquí: http://www.samuelparra.com