Hace un par de semanas tuve ocasión de visitar las instalaciones en Madrid de la conocida productora de televisión Globomedia (responsable de espacios televisivos como “AÃda”, “El Internado” o “Sé lo que hicisteis…”).
Lo hice en calidad de particular, sin fines profesionales, pero no pude evitar diagnosticar, in situ, su situación en materia de protección de datos.
En total pude comprobar 6 infracciones en esta materia, más 3 que se pueden comprobar desde cualquier ordenador con conexión a Internet. Además, tuve ocasión de recoger en fotografÃas algunas de las infracciones más graves.
La suma total de esas infracciones podrÃa llegar hasta 1.260.000 euros en multas.
Si quieres conocer cuales son estas infracciones y ver algunas en fotografÃas, haz clic en
No voy a entrar a detallar y precisar jurÃdicamente cada una de las infracciones (si alguien quiere más explicaciones de alguna podemos hablarlo en los comentarios de este artÃculo), asà que simplemente explicaré cada situación y su tipificación como conducta antijurÃdica, desde mi punto de vista, en la Ley Orgánica de Protección de Datos o en su desarrollo reglamentario.
PRIMERA:
Instalación de video cámaras enfocando a la vÃa pública. Esto es frecuente encontrarlo casi en cualquier calle de nuestra ciudad: cámaras de vigilancia de alguna empresa grabando la vÃa pública. En este caso, Globomedia tiene varias cámaras de seguridad que recogen lo que pasa fuera de sus instalaciones, en la calle. Esto podrÃa ser constitutivo de una infracción grave tipificada en el artÃculo 44.3.c de la LOPD en relación al artÃculo 6.1 LOPD que indica:
“El tratamiento de los datos de carácter personal requerirá el consentimiento inequÃvoco del afectado, salvo que la Ley disponga otra cosa.”
Por tanto, se están recogiendo datos personales (la imagen de la persona) en los ficheros de Globomedia sin el consentimiento correspondiente, ya que, recordemos, nos encontramos en la calle.
La multa en este caso podrÃa ascender hasta los 300.000 euros.
SEGUNDA:
Instalación de video cámaras en el interior del recinto sin informar debidamente de la existencia de las mismas según establece el artÃculo 5.1 y la Instrucción 1/2006 sobre Videovigilancia.
Esto podrÃa ser constitutivo de una infracción leve tipificada en el artÃculo 44.2.d de la LOPD en relación al artÃculo 5.1 LOPD que indica:
“Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequÃvoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.”
La multa en este caso podrÃa ascender hasta los 60.000 euros.
TERCERA:
En mi caso me hicieron firmar un recibà por un dinero que percibà allÃ. En dicho documento tuve que poner mi nombre completo, dirección y DNI, además de la firma. No habÃa cláusula alguna de protección de datos en el documento.
De nuevo esto podrÃa ser constitutivo de una infracción leve tipificada en el artÃculo 44.2.d de la LOPD en relación al artÃculo 5.1 LOPD.
La multa en este caso podrÃa ascender hasta los 60.000 euros.
CUARTA:
Al entrar a las instalaciones (por una de sus entradas), el vigilante de seguridad me solicitó el carnet de identidad. Al facilitárselo introdujo mis datos personales en un fichero informatizado, concretamente en un fichero Excel, junto a otros datos de otras personas. No se me informó de lo establecido en el artÃculo 5.1.
En esta imagen podemos ver una fotografÃa del monitor con la carpeta del Windows XP y los ficheros Excel.
La multa en este caso podrÃa ascender hasta los 60.000 euros.
QUINTO y SEXTO:
Los ficheros Excel mencionados en el punto anterior se encuentran sin las debidas medidas de seguridad. En primer lugar para abrirlos no es necesario introducir ninguna contraseña, lo cual podrÃa ser constitutivo de una infracción grave tipificada en el artÃculo 44.3.h que nos habla de “Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vÃa reglamentaria se determinen.” en relación al artÃculo 10 LOPD y 93.2 del Real Decreto 1720/2007 que nos indica lo siguiente:
“El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequÃvoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.”
Partiendo de que un fichero Excel no es la mejor forma de tener una base de datos de control de accesos, se hace imprescindible que para abrir este fichero se requiera, al menos, una contraseña.
La multa en este caso podrÃa ascender hasta los 300.000 euros.
Y en segundo lugar, durante el tiempo que permanecà esperando en recepción, pude constatar, y asà lo demuestro mediante una fotografÃa, como el único vigilante de la zona se ausentaba de su puesto de trabajo por periodos de tiempo prolongados dejando el ordenador desatendido, y como se ve en la fotografÃa, cualquier podrÃa manipular el ordenador ya que no hay “protector de pantalla” o medidas de seguridad equivalentes. La infracción en este punto es idéntica a la anterior: dejar el acceso a los ficheros sin las medidas de seguridad oportunas.
La multa en este caso podrÃa ascender hasta los 300.000 euros.
SÉPTIMO, OCTAVO y NOVENO:
Las siguientes infracciones las puede comprobar cualquier de nosotros: Globomedia S.A. no dispone de ningún fichero declarado en la Agencia Española de Protección de Datos. Esto es, que no existe una declaración e inscripción para el fichero de videograbaciones, ni para el de invitados (en el que estoy yo), ni para el de trabajadores de esta empresa.
Esto podrÃa ser constitutivo de una infracción leve tipificada en el artÃculo 44.2.c de la LOPD en relación al artÃculo 26.1 LOPD que establece como infracción:
“No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave.”
Y el artÃculo 26 establece que “Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos“.
Por cada uno de estos ficheros no inscritos, la multa podrÃa ascender a 60.000 euros.
Conclusión: parece que la multa de 1,08 millones de euros a otra productora de televisión (la responsable de Gran Hermano) por temas de protección de datos no ha hecho concienciarse al sector todavÃa de las implicaciones del tratamiento de datos personales. Quizá sea necesaria otra multa millonaria…
Curioso, nunca me habÃa parado a pensar en la protección de datos. Estoy contigo, hay gente que puede acceder con mucha facilidad. Y hablamos de una productora “puntera” y con una gran proyección empresarial.
Escrito por Kyo | Lunes, 14 Abril 2008, 0:47Hola!
Todo lo que ha apuntado Samuel en su artÃculo lo podemos decir de muchas empresas. Eso significa, en mi opinión, que hay muy poca conciencia de protección de datos personales en nuestro paÃs….
Escrito por Ventur | Lunes, 14 Abril 2008, 8:55Pocas productoras pasarÃan de forma solvente una auditorÃa. Además, el caso de Globomedia es especialmente curioso cuando el hermano de uno de los socios tienen un famoso despacho de abogados, que le lleva todos los temas jurÃdicos a Globomedia y que realiza auditorÃas de protección de datos a otras productoras…
En casa de herrero….
¡Buena semana!
Escrito por Andy Ramos | Lunes, 14 Abril 2008, 9:41Buenos dÃas, Samuel:
como sabes, te sigo desde hace bastante tiempo. Me parece que eres de las pocas personas que conoce cómo funciona (o mejor dicho cómo interpreta la AEPD) la protección de datos de carácter personal.
Sin embargo, en esta ocasión, a pesar de que tengas razón en lo que nos comentas, discrepo en la forma de cómo lo has hecho público.
En mi opinión, o tienes algún interés en dañar la imagen de esta productora en cuestión o, de lo contrario, de ti hubiera esperado que hubieses enviado este mismo contenido vÃa email a la asesorÃa jurÃdica para que remediasen tan caótica situación. Estoy seguro que lo hubieran agradecido enormemente.
Pero es sólo mi opinión y cada cual procede como estima conveniente…
Un saludo,
Miguel A. Mata
Escrito por Miguel A. Mata | Lunes, 14 Abril 2008, 10:27Samuel,
El Real Decreto 1720/2007 no entra en vigor hasta el próximo dÃa 19 de abril.
Actualmente, no podrÃa sancionarse a Globomedia por el hecho de que el Excel no cuente con contraseña, ya que por lo que parece el fichero no es más que de nivel básico con lo que no le serÃa aplicable el artÃculo 18 del Real Decreto 994/1999
Pasado el 19 de abril sà que es cierto que se debiera estar dando cumplimiento al artÃculo 93.2 del Real Decreto 1720/2007, pero no estoy de acuerdo en que el Excel deba contar con una protección por contraseña, siempre y cuando el acceso al PC requiera usuario y contraseña. FÃjate que tanto el artÃculo 18 del Real Decreto 994/1999 como el artÃculo 93.2 del Real Decreto 1720/2007 requieren identificación y autenticación para los accesos al “sistema de información”. Otra cosa es que sà que serÃa recomendable que se configurará el bloqueo automático con reinicio tras nueva autenticación, pero ello tampoco significarÃa un incumplimiento si nos tenemos al tenor literal de la norma, aunque me temo que la suma de ausencias prolongadas sin estas medidas de seguridad hace que se pueda interpretar que es como desactivar el sistemas de control de accesos.
Salu2
Escrito por deincognito | Lunes, 14 Abril 2008, 11:44Buenos dÃas Samuel:
Me has dado una idea.
De ahora en adelante haré lo mismo que tu has hecho en Globomedia con otras empresas que visito. Hasta ahora lo que vengo haciendo es enviar un escrito a la AEPD denunciando las irregularidades que observo.
Lo de publicarlo como tú has hecho “olé”, ¿no puede traer algún problema?
Saludos
Juan E. Dordio
Escrito por Juan E. Dordio | Lunes, 14 Abril 2008, 12:37Hola,
Es bien cierto que las deficiencias que ves se repiten en un gran número de empresas, la cual cosa es preocupante. Otro tema serÃa si ha sido la forma más adecuada o no, aunque yo personalmente tampoco le veo demasiado problema, aunque agregarÃa un escrito al despacho jurÃdico que lleva el tema para indicarles que serÃa recomendable que actuasen.
En cuando a “problemas”, si entendemos esto como una protesta por deficiencias manifiestas en una materia tan sensible como es la protección de datos, cuando la información que se emite es además veraz, y que el trato que se le ha dado a la empresa creo que es correcto en cuanto a no decir nada similar a “vaya mierda de productora”, que desvirtuarÃa el escrito, no habrá problemas. Tampoco se ha revelado ningún dato confidencial de la empresa precisamente.
Y tal y como dice Andy, a veces en casa del herrero, cuchara de palo.
Un saludo
Escrito por Sergio Carrasco | Lunes, 14 Abril 2008, 13:43Como bien dice Sergio, Samuel no ha puesto de manifiesto ningún dato personal en el artÃculo,de hecho hasta las caras de las personas que se podÃan ver en una de las fotografÃas estaban borradas.
Es más, creo que es una buena manera el hacerlo público a través de un blog para que la gente en general y la productora en particular se conciencie y asà tomen las medidas oportunas, ya que yo particularmente estoy cansada de decir a empresas que se adecuen a la LOPD y piensan que no va con ellos.
Asà que me temo que si este artÃculo llega a la productora por esta vÃa ya correrá en cumplir la LOPD por la cuenta que le trae.
Un saludo.
Escrito por Varniaca | Lunes, 14 Abril 2008, 15:06Hola Samuel,
Muy curioso el post la verdad…
La verdad que yo constantemente estoy analizando aquellos sitios donde voy.
El otro dÃa en el aeropuerto me puse las pilas y la verdad, no he cuantificado cuanto serÃa la multa, pero vamos…
Por cierto Andy, muy interesante el apunte del despacho de abogados del hermano…jejejeje…
Un saludo
Escrito por Alonso Hurtado Bueno | Lunes, 14 Abril 2008, 23:32Hola a todos !!
Me gustarÃa decir algo a algunos comentarios, asà que aprovecho este:
Para Andy: curioso y anecdótico Andy, no lo sabÃa, pero me imagino que habrán centrado sus esfuerzos y tiempo en otros ámbitos que lo requirieran en ese momento o en otras facetas de la protección de datos las cuales, por mi condición de mero invitado, no pude ver. Estoy convencido que ese despacho de abogados está al corriente de la situación de la productora en este sentido.
Para Miguel A.: Hola !! Soy completamente consciente que las formas no son las habituales en mÃ, y es más, seguramente a más de uno no le habrán gustado, pero también es cierto que es otra forma de entender un “blog” y de acercar a los lectores un poquito más la realidad. En este caso he hablado con nombres y apellidos directamente, no con un ánimo de dañar la imagen de esta productora (que por otra parte admiro porque disfruto bastante con algunos de sus productos), sino con la de mostrar a los lectores la realidad del cumplimiento de una normativa casi olvidada al último lugar, y aunque es cierto que las circunstancias que comento son atribuibles a miles de empresas en este pais, he hablado sobre Globomedia como podrÃa haber hablado de otra gran empresa…. aunque no te voy a negar, que me molestó bastante cuando vi como el guardia de seguridad metÃa mis datos en una hoja Excel sin las debidas garantÃas.
Por último, si me dices (por privado si quieres) cual es el despacho que está llevando a esta productora, sin problemas les envÃo copia de este texto para que actúen, asà algo que se llevan ya “auditado”.
Para de incognito: efectivamente el R.D. aun no ha entrado en vigor, pero ante su inminente entrada ya he preferido hablar con miras al futuro
. En cualquier caso con el R.D. 994/1999 sucederÃa lo mismo, ya que serÃa de aplicación el artÃculo 11 (y no el 18). En realidad, el 11 del antiguo R.D. y 93.2 del nuevo (R.D. 1720/2007) son prácticamente idénticos.
.
Sobre si procederÃa o no aplicar ese artÃculo o exigir una contraseña el fichero Excel, si examinas las resoluciones de la AEPD por vulneración del artÃculo 9 LOPD verás que si es posible acceder a los datos personales por parte de terceros no autorizados, entonces se ha producido una violación de la seguridad, que se podrÃa haber atajado de la forma X que correspondiera en cada caso. En este sentido, si yo hubiera sacado una foto al fichero Excel porque podÃa abrirlo sin solicitar contraseña en el mismo ordenador, es muy posible que la AEPD hubiera sancionado porque ese fichero no disponÃa de las medidas de seguridad correspondientes, que en este caso habrÃan pasado por establecer una contraseña al fichero. Yo además entiendo, que en este caso, el “sistema de información” es precisamente esos ficheros Excel. La propia definición legal de “sistema de información” nos habla de “conjunto de ficheros, programas, etc”, vamos, que no es necesario tener una Oracle para hablar de “sistema de información”. Pero en cualquier caso, como digo, no establecer una contraseña a un fichero Excel con datos personales, cuando ese fichero Excel se utiliza a modo de base de datos, lo considero, con el R.D. 1720/2007, una vulneración del artÃculo 93.2; pero desde luego, mi opinión es discutible
Saludos Juan E.: Me alegro que te decidas a hacer lo mismo. En mi caso no he querido denunciar a Globomedia precisamente porque no tengo intención ninguna de dañarla, y tampoco me ha perjudicado en ningún sentido. Yo no veo problema en hacer este tipo de comentarios o artÃculos siempre que partamos del respeto y de la veracidad. Yo simplemente he puesto de manifiesto unos hechos que cualquier de nosotros podrÃa constatar, y no he revelado ninguna información sensible, secreta o confidencial.
Para Sergio y Alonso: gracias por pasaros por aquà y dejar vuestros comentarios y opiniones
(y a todos en general claro).
Escrito por Samuel | Martes, 15 Abril 2008, 0:24Samuel,
Yo tampoco veo problema alguno a que con este post muestres tu protesta, dado que no has rebasado los lÃmites de la libertad de expresión. Otra cosa es que fuera recomendable que te pusieras en contacto con Globomedia, si bien tampoco estarÃa de menos que ejercieras tu derecho de cancelación al mismo tiempo ;-p
Puedes ver un parpar de postsposts de David Maeztu al respecto de los blogs protesta.
Por otra parte, y aunque entiendo que querrÃas entrar al programa y cobrar el dinero que te dieron seguramente por figurar como público, se demuestra que por muy conscientes que seamos de los riesgos para nuestra privacidad, cosa que no es muy normal, o por muy preocupados que estemos por nuestra privacidad, algo que parece es más normal, al final lo que sucede es que por las cosas más banales acabamos dando nuestros datos con cierta ligereza.
Volviendo a lo de la contraseña del fichero Excel. El artÃculo 93 del Real Decreto 1720/2007 viene a constituir una medida de nivel básico que incorpora las exigidas por el artÃculo 11 (nivel básico) y el artÃculo 18 (nivel medio). En ninguno de estos tres artÃculos se exigen contraseñas de acceso a recursos, ficheros o documentos, sino al sistema de información. Si bien es cierto que la medida que propones podrÃa tomarse adicionalmente, nada lo impide, por experiencia propia te diré que bastante problemática es ya la gestión por los usuarios de una contraseña de acceso al ordenador como para meternos en camisas de once baras. Creo que serÃa mucho más efectivo que se hubiera configurado un bloqueo automático con protector de pantalla que requiera nueva autenticación en el sistema, y a los 3 ó 5 minutos, por tratarse en de un equipo ubicado en una zona de acceso público, asà como un mejor emplazamiento del equipo para evitar la fácil visualización de la pantalla del ordenador, hasta puede que complementado con la instalación de un visor de pantalla especial para evitar las miradas oblicuas indiscretas.
La AEPD no podrÃa sancionar por incumplir el deber de secreto del artÃculo 9 LOPD. En todo caso podrÃa sancionar por el incumplimiento del deber de secreto del artÃculo 10 LOPD, que como sabes, y teniendo en cuenta los datos que registró el vigilante de Globomedia, constituirÃa una infracción leve recogida en el artÃculo 44.2.e LOPD, y no una infracción grave por incumplir el deber de seguridad.
No es oro todo lo que reluce en las resoluciones de la AEPD.
Salu2
Escrito por deincognito | Martes, 15 Abril 2008, 8:35Buenos dÃas, Samuel,
lo cierto es que tras leer tu comentario ahora entiendo perfectamente que tu intención no ha sido dañar la imagen de la productora en cuestión.
Por supuesto, siempre estás en tu derecho de denunciar el caso ante la AEPD. Como bien sabes, la es decisión tuya y aparentemente has decidido no hacerlo.
En su página web encontré un mail al que podrÃas dirigir tu post (globomedia@globomedia.es). Si Globomedia fuera cliente mÃo, yo agradecerÃa enormemente que me informaran de estos incumplimientos para asà poder enmendar la situación antes de que se entere la AEPD. Porque una vez que abra expediente…
Saludos,
Miguel A. Mata
Escrito por Miguel A. Mata | Martes, 15 Abril 2008, 10:49Además de todo lo anterior, es que a mà ver que se anoten datos de este tipo en excel hace que me duela la cabeza (más en una empresa como ésta, donde creo que no habrÃa mucho problema a la hora de crear una aplicación sencilla para ello en un servidor externo, y que además podrÃa ser incluso más sencilla de utilizar que esa hoja de excel).
Esto es como cuando veo intranets diseñadas a base de un documento word que abren muchos y van guardando (y sÃ, el uso concurrente no es muy bueno en este caso xD)
Escrito por Sergio Carrasco | Martes, 15 Abril 2008, 12:17Hola Samuel (y al resto, por descontado):
. Sigamos suponiendo: supongamos que cumplen con estricta “disciplina germánica” con el artÃculo 7.1 y 7.2 del RD 994/1999 y con 87 del 1720/2001 y no guardan absolutamente ningún dato de carácter personal en el pc, en local, del guarda de seguridad. Si añadimos, más supociones, que la pantalla no estuviera, como de hecho está, mirando al público y que hubiera una combinación de teclas que al pulsarlas saltara inmediatamente un protector de pantalla protegido con contraseña cuando el vigilante de seguridad se fuera y dejara el puesto desantendido. Partiendo de estas supociones: ¿No consideras esto más que suficiente para que la AEPD no impusiera una sanción?
En este caso, normalmente estamos en sintonÃa, disiento de la interpretación que haces tanto del artÃculo 11 de RD 994/1999 en contraposición con el 18 del mismo reglamento de medidas de seguridad y comparándolo con el 93.2 de 1720/2001. Si algo añade, como ha hecho notar deincognito, el 18 sobre el 11 es la identificación y autenticación personalizada como una exigencia más estricta al tartarse de medidas a aplicar a ficheros con datos de nivel medio según la tipologÃa de los mismos. El 93.2, bajo mi punto de vista, lo que modifica con respecto a su predecesor es exigir esa identificación y autenticación personalizada a todos los ficheros independientemente de su nivel o finalidad. Por lo tanto el artÃculo 11 y el 93.2 no son prácticamente idénticos ni en su todo ni en sus partes.
Ota cosa ya diferente y más dada a polemizar serÃa la obligatoriedad de poner una contraseña de acceso a todos y cada uno de los ficheros; esto basándome en la misma inferencia hecha por deincognito de que el fichero de excel tiene toda la pinta de contener datos de carácter personal a los que haya que aplicarles las medidas de seguridad de nivel básico. Vayamos a la polémica. Supongamos que el ordenador le exigiera al vigilante escribir un nombre de usuario y contraseña para acceder al pc en local.Supongamos, además, que el ordenador de ese vigilante de seguridad estuviera montado sobre un dominio, sobre active directory con permisos de archivos detallados por usuario o perfiles (por hablar ya con la terminologÃa del 1720/2001) y que se conectara, mediante scripts de inicio, por terminal server con el servidor de dominio y asà obtener el acceso a ese fichero excel en concreto; por supuesto con identificación y autenticación contra el dominio. !Y van dos¡
Otro tema siguiendo la disquisición iniciada por deincognito ¿crees Samuel que el ordenador del guarda de seguridad aun siendo fÃsicamente un componente del sistema de información (forma parte de la red, sÃ) no podrÃa considerarse como fuera del sistema de información considerado como algo lógico? Me gustaria comentar este punto de vista. ¿SerÃa esto defendible con un terminal “tonto” en el puesto del vigilante de seguridad? Porque creo que el 1720/2001 habla de accesos al sistema de información. Si este fichero fuera de nivel básico ¿no serÃa más que suficiente una doble identificación y autenticación? ¿El ponerle contraseña al archivo excel no serÃa ya excesivo y por usar un dicho, rizar el rizo? Porque está claro que el fichero excel sà que forma parte integrante del sistema de información; pero para llegar a él, a ese archivo, a ese componente del sistema de información ya nos hemos debido identificar y autenticar dos veces. Estoy con deincognito: más que suficiente o dicho en palabras del RD más del mÃnimo exigible.
Un saludo Samuel y a ver si coincidimos en Madrid el 22. Nos vemos
Escrito por Jose Antonio | Martes, 15 Abril 2008, 18:26Hola Jose Antonio,
coincido con algunas de las cosas que indicas. Ahora bien, sigue preocupándome la facilidad que da un archivo de excel a los efectos de ser “sustraido” (usb, enviado por correo, etc…), y no considero que sea necesario que el vigilante cuente en todo momento con un acceso pleno a la totalidad de datos incorporados a esta hoja (tampoco sé cada cuanto la renuevan, pero vaya…), prefiriendo en su caso un frontend que le permita añadir un visitante a la lista hacer una consulta respecto a un dÃa en particular o eliminarlo, a través de una aplicación en el servidor (sin quitar que dependiendo de la interpretación puede no ser estrictamente necesario).
Escrito por Sergio Carrasco | Martes, 15 Abril 2008, 20:30Saludos José Antonio. Bien, admitiendo todos esos supuestos que indicas, de dobles o incluso triples autenticaciones y demás, si los datos que contienen ese fichero fueran revelados a terceros, sustraÃdos en una memoria usb o envÃados por email como dice Sergio; en definitiva, que el fichero Excel saliera, admitamos, del sistema de información y del sistema informático o de la red que tengan allà y cayera por ejemplo, en mis manos, la AEPD sin duda (insisto, sin duda) terminarÃa en sancionar a Globomedia por el artÃculo 9 LOPD por no disponer de las medidas de seguridad necesarias.
Veamos en que fundo mi teorÃa:
Por un lado, la Audiencia Nacional en Sentencia de 23/03/2006 ha declarado que el artÃculo 9 de la LOPD “impone una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravÃen o acaben en manos de terceros (…) la recurrente es, por disposición legal, una deudora de seguridad en materia de datos, y por tanto debe dar una explicación adecuada y razonable de cómo los datos personales han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas, pues también es responsable de que las mismas se cumplan y se ejecuten con rigor. En definitiva, toda responsable de un fichero (o encargada de tratamiento) debe asegurarse de que dichas medidas o mecanismos se implementen de manera efectiva en la práctica sin que, bajo ningún concepto, datos bancarios o cualesquiera otros datos de carácter personal puedan llegar a manos de terceras personas”.
Más cosas; debe considerarse lo dispuesto en el artÃculo 130.1 de la Ley 30/1992, de 26 de noviembre, de Régimen JurÃdico de las Administraciones Públicas y del Procedimiento Administrativo Común (en lo sucesivo LRJPAC), según el cual “… sólo pueden ser sancionadas por hechos constitutivos de infracción administrativa los responsables de los mismos, aún a tÃtulo de simple inobservancia”.
Esta simple inobservancia no puede ser entendida como la admisión en el Derecho administrativo sancionador de la responsabilidad objetiva, pues la doctrina del Tribunal Constitucional (Sentencias de 26/04/1990, 19/12/1991 y 04/07/1999, entre otras) y la jurisprudencia mayoritaria del Tribunal Supremo (Sentencia de 23/01/1998, entre otras), asà como las exigencias inherentes a un Estado de Derecho, exigen que el principio de culpabilidad requiera la existencia de dolo o culpa.
El Tribunal Supremo (Sentencias de 16 y 22/04/1991) considera que del elemento culpabilista se desprende “… que la acción u omisión, calificada de infracción sancionable administrativamente, ha de ser, en todo caso, imputable a su autor, por dolo o imprudencia, negligencia o ignorancia inexcusable.”
Por su parte, la Audiencia Nacional, en Sentencia de 29/06/2001, en materia de protección de datos de carácter personal, ha declarado que “… basta la simple negligencia o incumplimiento de los deberes que la Ley impone a las personas responsables de ficheros o del tratamiento de datos de extremar la diligencia…”
El Tribunal Supremo viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el sujeto infractor no se comporta con la diligencia exigible. Diligencia cuyo grado de exigencia se determinará en atención a las circunstancias concurrentes, tales como el especial valor del bien jurÃdico protegido, la profesionalidad exigible al infractor. Aplicando la anterior doctrina, la Audiencia Nacional, en varias sentencias, entre otras las de fechas 14/02/ y 20/09/2002 y 13/04/2005, exige a las entidades que operan en el mercado de datos una especial diligencia a la hora de llevar a cabo el uso o tratamiento de tales datos o su cesión a terceros, visto que se trata de la protección de un derecho fundamental de las personas a las que se refieren los datos, por lo que los depositarios de éstos deben ser especialmente diligentes y cuidadosos a la hora de realizar operaciones con los mismos y deben optar siempre por la interpretación más favorable a la protección de los bienes jurÃdicos protegidos por la norma.
Más sentencias: sentencia de la Audiencia Nacional de 7 de febrero de 2003, en su Fundamento de Derecho Cuarto recoge: “Por último, en cuanto a la ausencia de culpabilidad (…) En el caso de autos, la recurrente es, por disposición legal, una deudora de seguridad en materia de datos, y por lo tanto debe dar una explicación adecuada y razonable de cómo los datos han ido a parar y se encuentran en poder de terceros. Siendo insuficiente con acreditar que adopta una serie de medidas, pues es también responsable de que las mismas se cumplan y ejecuten con rigor. De hecho si un tercero posee documentación interna de la entidad necesariamente ello es debido, ante la ausencia de otra explicación, aun funcionamiento anómalo de sus medidas de seguridad.”
En la práctica de la AEPD, el artÃculo 9 se ha estado aplicando con mucha flexibilidad, quizá con demasiada, ya que hemos visto casos donde se ha aplicado el artÃculo 9 a documentos en papel.
Examinemos por ejemplo tres casos bien distintos (siento ser tan pesado):
R-00161/2006 – AEPD: una empresa destructora de papel acepta el encargo de una entidad financiera de recoger un montón de cajas con datos de los clientes de ésta; la empresa destructora no las destruye todas y al tiempo se mojan unas cuantas cajas y la empresa destructora decide tirar las cajas con información de clientes a una escombrera. La entidad financiera tenÃa establecido un procedimiento en su documento de seguridad para el tema de la destrucción de papel; llevaba al dÃa el registro de salida y entrada de soportes, asà como el registro de incidencias. La AEPD termina en imponer 60.000 euros por infracción del artÃculo 9 LOPD a la entidad financiera: “Por todo ello, con independencia de la versión de los hechos de Caja Duero o de la compañÃa Recuperaciones Mondrego y Antón, lo que ha quedado acreditado es que la documentación de Caja Duero de (…..) se encontraba en una escombrera contraviniendo la normativa sobre medidas de seguridad de datos personales y permitiendo el acceso a los mismos de los empleados de la citada compañÃa de transportes, de los miembros del Seprona que los recogieron y de cualquier ciudadano que hubiera podido acercarse a la citada escombrera.”
R-00860/2006 – AEPD: un comercial se lleva en un maletÃn cerrado unos papeles de la venta de un vehÃculo y lo mete en el maletero de su coche;. El señor se para a tomar un café y le abren el coche y le roban el maletÃn; no lo denuncia por miedo a que la empresa emprenda acciones. Un señor se encuentra posteriormente los papeles que estaban dentro del maletÃn en la cuneta de una carretera; llama al número de teléfono del recien propietario para explicarle que se ha encontrado con los papeles de la compra de un vehÃculo tirados en la carretera y se los devuelve (¡ qué cosas más raras pasan !). El afectado denuncia y la AEPD impone 3000 euros de multa por infracción del artÃculo 9 LOPD.
R-00173/2006- AEPD: un señor introduce su nombre de usuario y contraseña para acceder a su cuenta corriente por Internet; al hacerlo, observa que ha entrado a la cuenta de otro señor. Lo denuncia a la AEPD y aunque la entidad financiera aporta un informe técnico de que fue un error puntual y que se solventó en un plazo de tiempo muy breve (unas 6 horas), se termina imponiendo multa de 60.000 euros por infracción del artÃculo 9 LOPD.
De todo esto creo que podemos concluir que aun estando ante el sistema de seguridad más efectivo, con certificación en todas las ISOs existentes y demás, si se produce cualquier acceso a datos por terceros no autorizados, la AEPD no va a tener piedad de nosotros.
Respecto al 11 del ya casi derogado RD 994/1999, dice “El responsable del fichero se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y
autenticación para dicho acceso.” La última parte del artÃculo es la que me interesa, y es precisamente la que habla de tener un procedimiento de identificación y autenticación, o sea, nombre de usuario y contraseña.
Como en un fichero Excel no es posible, en principio, establecer este mecanismo, entiendo que lo mÃnimo serÃa ponerle una contraseña, para evitar, precisamente, que si cae el fichero en manos de terceros, no pueda ser abierto (en teorÃa).
Yo no veo que sea rizar el rizo poner una contraseña a un fichero Excel. Si una empresa tiene un único fichero Excel como base de datos de clientes ¿no le sugerirÃas que le pusiera una contraseña?. Yo no entiendo, ni interpreto, que el sistema de información sea “el sistema operativo”; si para entrar a windows tienes que poner tu username y tu contraseña, fenomenal, pero es que el windows, para mà al menos, no es un sistema de información a estos efecto. El sistema de información es, como bien define el R.D. 1720/2007: “conjunto de ficheros,
tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de datos de carácter personal.”
¿Y qué se entiende por fichero?, también lo dice el R.D. 1720/2007: “Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.”. Por tanto, de aquÃ, debemos excluir al sistema operativo, ya que técnicamente, el sistema operativo no encaja en la definición de fichero (ni de sistema de información).
Todo esto me permite concluir que un fichero Excel con datos personales debe ajustar sus medidas de seguridad al R.D. correspondiente.
Pufff, menudo tocho…
Animada la cosa está, y eso me agrada mucho; por favor, sigamos con el asunto.
Ah, y sÃ, estaré por Madrid el 21 y el 22 (de hecho para el 21 estamos pensando hacer una cena para los que estemos por allà y vayan a acudir a la jornada del 22) ¿te apuntas? ¿Alguien se apunta?.
Escrito por Samuel | Martes, 15 Abril 2008, 23:44Buena apreciación Samuel. Si no te han mandado el despacho de abogado, dÃmelo. De todas formas es fácil de adivinir (para quien esté en el mundo jurÃdico) viendo el apellido de uno de los socios.
Yo también estaré en Madrid el 21 y 22. Me apunto a la cena. ¿Dónde es?
Un saludo.
Escrito por Javier | Jueves, 17 Abril 2008, 16:45Hola de nuevo Samuel:
. Cosas de la “contraria” 
Esto es lo que me hace disfrutar.
Creo que lo que te comenta Miguel A. Mata es cierto: creo que entiendes bien cómo funciona en sus razonamientos la agencia; sin duda. Lo que creo que es empiezas a pensar “demasiado” como ella: en el sentido de meter la cabeza por un lado y ya no sacarla, ni ver más allá.
INSISTO, “…el responsable del fichero [...] mecanismo que permita la identificación de forma inequÃvoca y personalizada [...] que intente acceder al SISTEMA DE INFORMACIÓN…”. Seguimos insistiendo: Sistema de información: “…PROGRAMAS […], EQUIPOS EMPLEADOS…â€?. Por supuesto que el ordenador es parte del sistema de información; por supuesto que el archivo de Excel es parte del sistema de información según la definición de los dos reglamentos; pero de la misma manera y por extensión el S.O. es parte sustancial del sistema de información. No me negarás que el sistema operativo es parte del sistema de información ya que en la misma definición que da el RDLOPD habla de “…equipos empleados para el tratamiento…â€?; no en cuanto que trate datos de carácter personal sino en cuanto que sin él no hay posibilidad de un sistema de información al menos con sistema de tratamiento automatizado. Por tanto si sin él no hay posibilidad de acceso a un sistema de información con sistema de tratamiento automatizado, al menos que yo conozca, controlando el acceso al mismo se puede considerar, yo creo que sin tacharme de ligero, que se controla con una identificación y autenticación personalizada el acceso al sistema de información puro cumpliendo con los requisitos que son exigibles a los datos sobre los que hay que aplicar medidas de seguridad de nivel básico (sea ese fichero Excel con datos muy determinados o toda la base de datos de la empresa en ese formato Excel –siempre y cuando fueran básicos-). Y en este mismo sentido, a mayor abundamiento, si es desde el mismo sistema operativo, aun suponiendo que no formara parte del sistema de información puro, desde donde se puede controlar el acceso, con diferentes permisos y modos de acceso y ejecución, al fichero de Excel y, yendo más allá, teniendo la posibilidad de auditorÃa que nos permite el mismo sistema operativo sobre ese fichero. ¿Tú crees que no serÃa suficiente? Y, rizando más el rizo, si el Terminal del guardia de seguridad, cosa cada vez más habitual y más barata, fuera por ejemplo un Thin de Hp al que se le caparan las salidas USB y sin conexión a Internet ya que no la necesita para nada. ¿Dónde estarÃa el problema según la agencia? ¡¡¡Paranoico!!!. Aun cuando estoy seguro que la AEPD es paranoica pero no siempre. Un saludo. Creo que no podré estar en la cena
Escrito por Jose Antonio | Jueves, 17 Abril 2008, 17:41Lo de la cena me gusta ¿Dónde es?
Saludos
Escrito por Juan E. Dordio | Jueves, 17 Abril 2008, 19:01Interesantes apreciaciones, Jose Antonio. Aunque coincido con Samuel en que se deja la puerta abierta a determinadas posibilidades peligrosas en la forma en que se tratan los datos, y la AEPD suele ser muy tajante en estos temas (otro tema es que coincida personalmente y caso por caso con su interpretación, que pienso que los que nos dedicamos a leer sus resoluciones encontramos en ocasiones un tanto descabelladas). Después pueden aparecer lloros por parte de la empresa cuando ya es tarde.
Y referente a la cena, no deis envidia a los pobres que nos toca currar y no podemos escaparnos, malvados!
Escrito por Sergio Carrasco | Jueves, 17 Abril 2008, 20:46Hola !
Efectivamente José Antonio, no te niego lo del sistema operativo, es evidente que sin sistema operativo dificilmente vamos a tener un sistema de información… algo debe haber debajo que permita la ejecución de la aplicación básica como mÃnimo.
Ahora bien, si nos encontramos ante, por ejemplo, un sistema Windows XP, el cual es utilizado exclusivamente para llevar una hoja Excel o una base de datos con datos personales, y no existe ningún otro fichero, no hay correo electrónico, no hay red interna, etc, yo votarÃa por asegurar esa base de datos antes que el sistema operativo, en el sentido de que no le darÃa importancia si para iniciar sesión en Windows no solicita user/password pero sà le darÃa mucha importancia si para acceder a esa base de datos o Excel no se requiere ningún sistema de identificación y/o autentificación, porque a fin de cuentas es esa aplicación la que contiene datos personales y no el sistema operativo.
Además, aunque el ordenador del vigilante tuviera los puertos USB cerrados, tampoco tuviera impresora, ni grabadora de CD/DVD, ni Internet, etc, siempre cabrÃa la posibilidad de coger el disco duro y pincharlo en otro ordenador como secundario: arrancamos con el principal y accedemos a la partición del WinXP, cogemos el fichero excel y como va sin contraseñas (porque se la pusimos al sistema operativo) ya tenemos el acceso al fichero.
El tema es interesantÃsimo y serÃa muy interesante si se fueran presentado casos ante la AEPD.
Cambiando de tema, respecto a la cena, si os parece os envÃo un email ahora, porque el lugar y la hora aun no están definidas, simplemente estamos haciendo una lista de gente y seguramente mañana nos pongamos de acuerdo todos
.
Para Javier: no me han mandado lo del despacho, te envÃo un email para pedirte datos
(a globomedia@globomedia.es no lo veo serio).
Escrito por Samuel | Jueves, 17 Abril 2008, 23:04Yo de todas maneras le pondrÃa contraseña al fichero excel ya que si se me llevan el fichero a otro ordenador al menos el texto de la hoja de cálculo,si se abriera el archivo con un programa editor o simplemente el notepad, estuviera encriptado. Como mÃnimo que se molestara en buscar en la red una aplicación para quitar o averiguar la contraseña del susodicho fichero.
Hasta el martes.
Escrito por José Antonio | Viernes, 18 Abril 2008, 9:51Lo que pasa es que volvemos a estar en las mismas si simplemente ponemos una contraseña al archivo (las propias de Office son de chiste). Tema diferente serÃa si realmente hubiera una encriptación adecuada. Ahora bien, me reitero en que no deberÃa tener necesidad de tener acceso completo a todos los DNI y datos simultáneamente.
Escrito por Sergio Carrasco | Viernes, 18 Abril 2008, 11:03¿Se admite la presencia de un “outsider”
(no soy del mundo jurÃdico) en la cena que comentáis?
Escrito por Jesús Pérez | Sábado, 19 Abril 2008, 11:25Errores:
Primera: La sancion por un tratamiento sin consentimiento es de 60.000 a 3000.000 €, pero la AEPD está aplicando con alegria el artÃculo 45.5, seguramente solo le impondrian 6.000 €.
Segunda: Se trataria de una infracción del deber de información, calificada como leve, con sanción tÃpica de 600 €. Si consigues convencerles de que es un tratamiento sin consentimiento poodrias llegar hasta los 60.000 €, que rebajarian a 6.000 € por aplicación del 45.5.
Tercera: deber de información, impordrian 600 €.
Cuarta: deber de información, impordrian 600 €.
Quinta y Sexta: los ficheros no estarán protegidos por contraseña, pero la accesibilidad estará controlada por el perfil de usuario en la red, con lo que se librarÃan. De todas formas, si se acreditase lo que dices, seria falta de medidas de seguridad, 60.000 € que se quedarian en 6000 € por el 45.5.
Etc: la falta de incripcion, a 600 €/fichero.
Los que se dedican a este negocio suelen exagerar las sancioner, presentando las mas altas dentro del abanico de cada una de ellas, pero la AEPD suele aplicar el mÃnimo dentro de cada tipo, y en muchas ocasiones rebaja el grado mediante la aplicación del 45.5
Lo del ordenador desatendido no se podria comprobar en una inspección, se librarian, salvo que fuesen a pillar, que no lo van a hacer porque como durante años la AEPD ha cogido fama de dura, el actual director no está por la labor.
Escrito por Pit | Lunes, 14 Julio 2008, 1:36Hola Pit.
Yo hablo de que “podrÃa llegar”, en un plano teórico la sanción podrÃa alcanzar la cifra que he puesto.
El 45.5 se aplica con mucha frecuencia, pero no siempre: http://www.samuelparra.com/2008/04/07/300000-euros-de-multa-a-un-particular-por-publicar-datos-personales-en-internet/ también: http://www.samuelparra.com/2007/10/09/el-expresidente-del-real-madrid-cf-sancionado-con-multa-de-360000-euros-por-vulnerar-la-ley-organica-de-proteccion-de-datos/ también: http://www.samuelparra.com/2008/07/06/suscripcion-lista-distribucion-sin-consentimiento/
y podrÃa seguir con ejemplos
Por otra parte, como ya se ha discutido, el hecho de que existan perfiles o no, si el excel va sin contraseña, eso es una infracción del deber de seguridad: http://www.samuelparra.com/2008/05/26/multa-sancion-usuario-contrasena/
Escrito por Samuel Parra | Lunes, 14 Julio 2008, 2:30La primera de las sancione, veo que es un caso muy grave de cesión de datos especialmente protegidos (ideologÃa) por lo que se aplicó el mÃnimo. Se deberÃa haber incrementado, la AEPD pecó de generosa, pues la propia cesión ya suponÃa esos 300.000€, y el que fuesen datos de ideologÃa es un agravante.
En el segundo caso es una cesión, ya son 300.000€ y los 60.000€ es por el tratamiento sin consentimiento. El caso del tratamiento sin consentimiento es clarÃsimo, y el caso de la cesión me parece increÃble, cuando recibe los datos una empresa que se dedica a eso, al tratamiento con datos de carácter personal. Me imagino que a la empresa de mailing les meterÃan otros 60.000 por tratamiento sin consentimiento. Y se podÃa haber resuelto con algo tan simple como incluir en el contrato el artÃculo 12 de la LOPD, declarando a la empresa de mailing como encargada del tratamiento.
Por cierto, vemos aquà que, aunque ha habido un único denunciante, o mucho me equivoco o se realizaron las mismas practicas ilegales con los datos de miles de personas. De ahà viene la potencia sancionadora de la LOPD: solo uno se queja, pero hay miles de afectados.
Respecto al Excel, puede ir sin contraseña, con tal de que el acceso al servidor de red fuese con contraseña y dentro del servidor no se tuviese el acceso “todos a todo�, que es un acceso demasiado común. La contraseña del Excel es solo una de las posibles soluciones, no la única.
Escrito por Pit | Lunes, 14 Julio 2008, 18:49!Uy, qué miedo, todos esos datos desperdigados sin ton ni son! !Me va a dar algo! TÃo, me encanta como te lo has currido, más papista que el Papa y esas coas. no creo que a Globomedia le caiga nunca esa multa hipermegamillonaria, de lo cual me alegro. !Ay., esa dichosa “privacy” que nos trae por la calle de la amargura, ¿verdad, coleguitas? Si es que hay que leer cada cosa de la intimidad y los misterios…
Escrito por Juan | Miércoles, 14 Enero 2009, 21:35