Le instalan el disco duro de otra persona sin formatear: no hay responsabilidad por protección de datos

Como un cliente más, D. J.M.A. acudió al servicio técnico del fabricante de su ordenador para que lo examinaran y procedieran a reparar los elementos defectuosos que pudieran hallar.
La empresa terminó en determinar que el disco duro tenía algún defecto y lo sustituyeron por uno “nuevo”.

Cuando el satisfecho cliente arrancó su ordenador con intención, supongo, de instalar un sistema operativo, se encontró no sólo que el disco duro no era nuevo, sino que además era o había sido de otra persona.
En su interior encontró diversa información de carácter personal como fotografías con familiares y amigos, y hasta el propio curriculum vitae del anterior propietario.

Estos hechos los puso en conocimiento de la Agencia Española de Protección de Datos para que procediera en consecuencia; no obstante, y en contra de lo que podríamos pensar a primera vista, el caso se archivó y no se sancionó. Pero, ¿No existe un deber de diligencia y seguridad mínimas para evitar estas situaciones? ¿Cómo es que la empresa no es responsable?. Las respuestas a estas incógnitas deberemos encontrarlas en la interpretación del artículo 2.2.a de la Ley Orgánica de Protección de Datos de Carácter Personal.

Adelantando el final de la historia, la Agencia Española de Protección de Datos entendió que los datos personales encontrados en el disco duro no eran susceptibles de protección a efectos de la Ley Orgánica de Protección de Datos; es decir, no se encuentran en su ámbito de aplicación.

Para comprender la resolución del caso es necesario conocer cuál es el ámbito de aplicación de la normativa en materia de protección de datos, en concreto, la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (es necesario matizar que vamos a hablar del ámbito de aplicación de esta Ley Orgánica y no de su actual y aun no vigente desarrollo reglamentario Real Decreto 1720/2007).

En este sentido el artículo 2.1 de esta Ley Orgánica establece:

Artículo 2. Ámbito de aplicación
1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

Además, el artículo 3 define “dato personal”:
Artículo 3. Definiciones
A los efectos de la presente Ley Orgánica se entenderá por:
a) Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables.

Por tanto, cabe concluir que sólo los datos de las personas físicas (personas humanas) tienen la protección de esta Ley, y no así los datos de las personas jurídicas, como la razón social o el teléfono de una empresa.
Pero entonces ¿por qué los datos del disco duro no se entendieron como susceptibles de protección?. La respuesta nos la dará el artículo 2.2.a:

Artículo 2. Ámbito de aplicación
2. El régimen de protección de los datos de carácter personal que se establece en la presente Ley Orgánica no será de aplicación:
a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.

Esto parece que soluciona el caso: no entran dentro del ámbito de esta Ley los datos mantenidos por particulares en actividades personales, familiares o domésticas; esto tiene sentido, sería impensable aplicar esta ley, por ejemplo, a la agenda de teléfonos de nuestro móvil, a nuestra lista de contactos del Messenger o a nuestro diario personal.

Es por esto por lo que, en vista de que los datos personales encontrados en el disco duro hacían referencia a la esfera estrictamente personal de su anterior propietario (currículum vitae, fotos personales…) no tuvieron amparo en esta Ley Orgánica…

Todo encaja, o al menos en apariencia parece que encaja pero en mi opinión no lo veo tan claro.
Estamos de acuerdo en que el disco duro, mientras estuvo en posesión de su propietario constituía un fichero al margen de la LOPD pero también es cierto que en el momento en que ese disco duro pasa a manos de la empresa o del servicio técnico (seguramente para que lo repararan también), éstos adquieren una responsabilidad de mantener esos datos seguros y evitar que terceros no autorizados puedan acceder a esa información.
Porque ¿qué diferencia hay entre los hechos expuestos y que una empresa tire a la calle un currículum de un aspirante?. Naturalmente que el currículum, mientras estuvo en las manos del aspirante no estaba sujeto al ámbito de aplicación de la ley, pero en el momento en que traspasa esa esfera personal para entrar en un proceso de selección, ese currículum pasa a formar parte de un fichero de datos titularidad de la empresa, y ésta, está obligada a guardar la confidencialidad y seguridad oportuna sobre ese currículum.
De la misma forma, si acudiéramos a un establecimiento para que revelasen nuestras fotos personales y luego ellos las publicasen en Internet ¿podríamos defender que no hay responsabilidad de la tienda porque las fotos, al ser personales y domésticas, no entran dentro de esta Ley?.

En este caso yo habría aplicado una infracción del artículo 9:
Artículo 9. Seguridad de los datos
1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Otra cosa es que en lo relativo a las fotografías del disco duro (dado que me imagino que en cada foto no estaría identificado con nombre y apellidos los retratados), el marco jurídico más apropiado habría sido la Ley Orgánica 1/1982, de 5 de mayo, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen. Pero eso es otra historia.

Descargar resolución desde aquí

12 comentarios en “Le instalan el disco duro de otra persona sin formatear: no hay responsabilidad por protección de datos”

  1. Caso curioso sin duda. La AEPD ha creado “jurisprudencia” y, así, los servicios técnicos-informáticos que presten servicios a consumidores no tienen porqué cumplir la LOPD…en fin…

    Responder
  2. Ventur, lo que sucede no es que no tengan que cumplir la LOPD (están sujetos como los demás) sino que en este supuesto en particular la AGPD ha interpretado que la LOPD no es el camino más adecuado a seguir para la protección de esta actuación (otro tema es que sea más o menos discutible). Tal y como dice Samuel en el propio artículo, hay mecanismos más adecuados en el supuesto de las fotografías.

    Por otro lado, espero que la respuesta fuese diferente en el caso de encontrar ficheros protegidos por la LOPD y que el anterior usuario hubiera dejado por allí (no sería ni la primera ni la última vez que pasa). Bastaría con un formateo rápido (sabiendo lo fácil que resulta recuperar datos en ese caso)? Bastante discutible. La verdad es que casi cualquier caso puede llevarse a un lado o hacia otro, aunque no comparto el punto de vista de la AGPD

    Un saludo

    Responder
  3. Buenas,

    Me temo que, de la forma que fuera, ACER adquirió la propiedad del disco duro para después poder transferirlo como disco de reemplazo. Lo mismo que la diligencia profesional requiere comprobar el buen estado del disco, también exige comprobar que la información en él contenida hubiese sido borrada de forma segura.

    ¡Qué menos que haber tenido un procedimiento de borrado seguro de los discos duros que reinstala!

    http://www.inteco.es/file/1000085731

    Responder
  4. Me temo que lo leí demasiado deprisa.

    Si era un error al instalar el disco duro de un cliente del servicio técnico de ACER en el ordenador de todo cliente entonces la cosa cambia.

    Ok, no sería aplicable la LOPD y ni siquiera ACER era un encargado del tratamiento. Tampoco se le puede considerar responsable del fichero ni se ha creado alguno. Efectivamente este hecho podría entenderse como intromisión ilegítima en el derecho a la intimidad y a la propia imagen, pero ¿si el objeto de la LOPD es el de “garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar” no procede una revisión de esta normativa para hacer caer en su ámbito estos casos?

    Responder
  5. Creo que el caso expuesto, sin perjuicio de que atenta contra LOPD, va mas allá del ámbito de aplicación de esa Ley.

    Nos encontramos ante un claro incumplimiento contractual (venta de un producto nuevo cuando en realidad era usado) y hasta incluso un delito de estafa (se cobra como nuevo algo que es usado).

    La cuestión por tanto es que además de la correspondiente sanción que a mi juicio habría de imponer la Agencia, el camino adecuado sería la acción civil e incluso penal.

    Responder
  6. Buenos Dias,

    Un HD en un 99% de los casos,cuando es de uso personal, almacena informacion de caracter personal de su propietario. El proveedor de servicios lo sabe y por tanto debe disponer de un conjunto de medidas procedimentales para la gestion de estos activos.

    Por tanto una gestion incorrecta de los datos es responsabilidad suya.

    Las preguntas que deberiamos hacernos son:

    ¿En los contratos de servicio de esta empresa hay clausulas relativas a la gestion de datos de caracter personal que pudiesen contener los activos que se encuentren en un momento dado bajo su responsabilidad? Si no es asi, se esta dando via libre a que nadie se haga cargo de los datos de nadie, no?

    Por ejemplo: Si soy cliente de una gestoria y el gestor por error revela mi informacion a otro cliente no pasaria nada, no? Ya que no hay clausulas de privacidad y no he cedido datos a nadie…

    Creo que la ley es ambigua en muchos de las atribuciones a los encargados de tratamiento y al concepto de cesion y comunicacion de datos.

    Muchas Gracias

    Dunkerke

    Responder
  7. dunkerke dijo:

    Buenos Dias. […]
    Por ejemplo: Si soy cliente de una gestoria y el gestor por error revela mi informacion a otro cliente no pasaria nada, no? Ya que no hay clausulas de privacidad y no he cedido datos a nadie…
    Creo que la ley es ambigua en muchos de las atribuciones a los encargados de tratamiento y al concepto de cesion y comunicacion de datos.
    Muchas Gracias
    Dunkerke

    Si ocurre eso que citas, con tota probabilidad la gestoría sería sancionada con multa por vulnerar el artículo 10 de la LOPD (deber de secreto), haya o no cláusula de privacidad, que no influye en absoluto.

    Responder
  8. Creo que en este caso, nos olvidamos que al acudir con un disco duro a un SAT, debemos hacer una copia de los datos que en Disco se guardan, estos datos no van a ser manejados por el SAT ni tan siquiera visonados o estarían violando la ley de privacidad…
    El sat comprueba el disco duro y lo repara o cambia (a veces la comprobación de funcionamiento de un elemento es demasiado larga y se le proporciona al cliente un disco en sustitución) eso es lo que hizo el SAT en los dos casos (el primero el cliente con sus datos)
    El responsable de esos datos es solamente el cliente, es el que debería copiar los datos y mandar un disco en blanco

    El error de Acer, muestra el mal proceder de un servicio técnico, pero no creo que sea tema LOPD.
    Se entiende que el disco, para la propia garantía del usuario debería de ir en blanco (borrado)

    Responder
  9. Al comentario de la Gestoría…decir que los datos que proporcionas a esta, son conocidos por la misma, es decir, existe entre ambos, una relación para tratar esos datos o para que los mismos tengan un fin…en el caso de los datos del disco, estos ni fueron cedidos a Acer ni fueron pedidos por Acer.
    Cabrían quizas demandas de otro tipo pero de LOPD….no creo

    Responder
  10. dunkerke dijo:

    Buenos Dias,
    Un HD en un 99% de los casos,cuando es de uso personal, almacena informacion de caracter personal de su propietario. El proveedor de servicios lo sabe y por tanto debe disponer de un conjunto de medidas procedimentales para la gestion de estos activos.
    Por tanto una gestion incorrecta de los datos es responsabilidad suya.
    Las preguntas que deberiamos hacernos son:
    ¿En los contratos de servicio de esta empresa hay clausulas relativas a la gestion de datos de caracter personal que pudiesen contener los activos que se encuentren en un momento dado bajo su responsabilidad? Si no es asi, se esta dando via libre a que nadie se haga cargo de los datos de nadie, no?
    Por ejemplo: Si soy cliente de una gestoria y el gestor por error revela mi informacion a otro cliente no pasaria nada, no? Ya que no hay clausulas de privacidad y no he cedido datos a nadie…
    Creo que la ley es ambigua en muchos de las atribuciones a los encargados de tratamiento y al concepto de cesion y comunicacion de datos.
    Muchas Gracias
    Dunkerke

    El profesional tiene el deber de el secreto ….secreto profesional de llama y no se limita solo a médicos y abogados.

    Responder
  11. Buenas, primeramente enhorabuena por la página, creo que de la lectura de la sentencia no se extrae esa información: los únicos hechos probados fueron que había fotos y un currículo del denunciante, por tanto la Agencia no tenía conocimiento de que el objeto de la denuncia fuera cierto.

    Responder

Deja un comentario