300.000 euros de multa por publicar datos personales en Internet

El sancionado utilizó un subdominio del popular proveedor www.iespana.es para crear una página donde publicó los nombres, apellidos y direcciones de los afiliados a Izquierda Unida de una localidad andaluza, con el título “Los Comunistas de…”.

La existencia de esa web fue comunicada por un afectado al Defensor del Pueblo Andaluz quien puso los hechos en conocimiento del Juzgado de Primera Instancia e Instrucción correspondiente y de la Agencia Española de Protección de Datos.

Esta Resolución tiene dos puntos interesantes: primero porque se observa la cautela del sancionado en no ser descubierto, ya que utilizó un proxy para acceder al subdominio y subir la información sensible, aunque finalmente pudo ser cazado por un descuido (gracias a los inspectores de la AEPD). Y segundo porque en la propia Resolución se menciona que el Juzgado de Instrucción procede al sobreseimiento y archiva el caso, mientras que la AEPD sí que termina en sancionar.

Como se ha comentado, los hechos se pusieron en conocimiento tanto del Juzgado ordinario como de la AEPD.
Al haber iniciado el Juzgado la fase de instrucción y encontrarse investigando el caso por vía penal, la AEPD procede a la suspensión de las actuaciones de investigación previas en vía administrativa. Así, 4 meses después, el Juzgado le comunica a la AEPD que ya han terminado sus investigaciones y que sobresee el caso archivándolo.
Pocos días después, el Director de la Agencia Española de Protección de Datos acuerda levantar la suspensión de las actuaciones de investigación y continuar su tramitación.

En resumen, que el Juzgado no llega a ninguna parte, archiva el caso, pero la AEPD sin embargo continua la correspondiente investigación por su cuenta a ver hasta donde llega. Y aquí es cuando comienza el periplo por la red buscando al posible responsable.

Como se dijo, se utilizó un subdominio en iespana.es para ubicar la página con la información personal. Así que lo más lógico era ir a preguntar a iespana.es a ver quién abrió ese subdominio. iespana.es informó que fue un cliente utilizando un servicio gratuito y se identificó como J.C. y email …@mixmail.com. Y efectivamente, confirma iespana, que subió una página web a este espacio con título “Los Comunistas de…” y “relación de todos los comunistas de…”. Además, iespana.es les comunica la contraseña de administración del subdominio (vaya, pensaba que las contraseñas había que guardarlas cifradas), y la IP utilizada para subir los contenidos a Internet.

Iespana pone de manifiesto que los datos aportados a la hora del registro pueden ser falsos, EXCEPTO el del correo electrónico, que ya se le envió un mensaje de confirmación y un código de activación del servicio, por lo que tuvo que acceder a esa cuenta de correo electrónico para activar el subdominio.

Tenemos por tanto la siguiente información del infractor:

  1. Su nombre J.C. (seguramente falso)
  2. Una dirección de email …@mixmail.com a la que tuvo que acceder para activar el servicio
  3. La IP desde la que se subió el contenido a iespana

Llegados a este punto, correspondería averiguar a quien pertenece esa IP, pero se llegó a un callejón sin salida porque pertenecía a un servidor proxy específico para ocultar la dirección IP en Internet.


Así que sólo nos queda una dirección de correo electrónico en @mixmail.com … no parece mucho.

Se le solicita a mixmail.com que facilite la información de registro de esa cuenta de correo electrónico, y comunican que fue creada por un tal M.J.J (nombre falso) y que la última vez que se accedió fue precisamente el mismo día que se subió el contenido al subdominio de Internet (buena señal).

Mixmail facilitó entonces un log de los últimos 7 accesos a ese correo electrónico, donde figura el día, hora, minuto y segundo de conexión y la IP que accede en ese momento. La IP fue siempre la misma en los 7 últimos accesos, que se llevaron a cabo en un lapso de tiempo de algo más de 24 horas en el día que fue publicada la web.

Ahora tenemos una nueva pista: la IP de conexión a la cuenta de correo electrónico utilizada para activar el servicio en iespana. Con un poco de suerte el infractor no habrá tenido la cautela de utilizar también el proxy para acceder al correo… y efectivamente, la IP correspondía a una ADSL de Telefónica en España. A los pocos días la AEPD ya dispone de los datos del titular de esa línea de ADSL, perteneciente a D. J.F.D.

La AEPD intentó ponerse en contacto con J.F.D. por correo ordinario pero nunca recogió las cartas certificadas. Finalmente y ante la imposibilidad de contactar con J.F.D. se publicó en el Ayuntamiento correspondiente el inicio del procedimiento sancionador.

Y ya está, se le imputa una infracción del artículo 7.2 de la Ley Orgánica de Protección de Datos que establece:

Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado. Ello quiere decir que solamente en estos supuestos específicos dichos datos podrán ser tratados.
En el supuesto presente, ha quedado acreditado que el denunciado ha tratado los datos de, al menos, Don J.C.T (el que comunicó los datos al Defensor del Pueblo), su esposa y sus hijos, en un listado de personas refiriéndose a ellos como miembros del Partido Comunista de la localidad …, sin que se haya acreditado el consentimiento expreso y por escrito de los afectados.

El artículo 44.4.c) de la LOPD considera infracción muy grave: c) Recabar y tratar los datos de carácter personal a los que se refiere el apartado 2 del artículo 7 cuando no medie el consentimiento expreso del afectado; recabar y tratar los datos referidos en el apartado 3 del artículo 7 cuando no lo disponga una Ley o el afectado no haya consentido expresamente, o violentar la prohibición contenida en el apartado 4 del artículo 7.

Finalmente, afirma la AEPD que el responsable de la inclusión, en una página web, del listado de vecinos de (….) bajo el título Comunistas … ha incurrido en la infracción señalada, ya que, al menos cuatro miembros de una misma familia, no han consentido de forma expresa y por escrito el tratamiento de datos relativos a ideología.

Así que se le impone una multa de 300.506,05 euros.

Ahora bien, a mí se me ocurren algunos problemas del iter comentado.
Si nos fijamos, se sanciona al TITULAR de la línea ADSL. y además ni siquiera se llega a contactar con él. Veo peligroso asociar un acto ilícito al titular de una línea ADSL, por la sencilla razón de que en una casa familiar, la conexión ADSL la puede utilizar el padre, la madre, el hermano, la hermana y el amigo de la hermana… sin que (bajo mi punto de vista) pueda ser posible imputar directamente (sólo por la IP) la comisión de una infracción al titular de la línea (faltarían pruebas en mi opinión), sobre todo porque en este caso concreto no se investigó si el titular vivía solo, o con alguien más. Es posible incluso, que utilizara un router wifi y no tuviera restringido el acceso al mismo… cualquiera con un portátil podría haberse conectado…

Descargar la resolución desde aquí

11 comentarios en “300.000 euros de multa por publicar datos personales en Internet”

  1. Buenas tardes he leído, la noticia sinceramente creo que hay varias cosas que no funcionan:
    1º, le llega esa carta ¿cómo puede saber si es verdad o no?, la podía tratar o pensar que es una broma….,
    2º ¿que lo haya hecho de una ip? no dice que otra persona utilice su rango de ip o salte desde su equipo remoto y lo efectué en remoto con esa IP, por consiguiente no creo que sea valido, por consiguiente al no tener pruebas del delito ni una investigación forense informática del equipo, no puede culpable de ello.
    Lo que tenía que hacer es hacer las cosas bien y no las chapuzas de ultima hora y buscar un chivo expiatorio a la primera y que salga como cabeza de turco, si realmente quiere coger a las personas que lo haga bien, como se dice en derecho penal, uno es inocente hasta que no se demuestre que es culpable y ellos lo que tiene son indicio no pruebas, pero si no aportan las prueba fehaciente habrán cometido un daño mayor, por injurias, calumnias, falso testimonio y daños contra el mismo honor así como abuso del poder.

    Si quiere alguien, por que no ven a los falsos carteros comerciales, que la gente le abre el portal y ellos se dedican a coger los datos de los buzones para luego venderlos a las empresas, y cunado preguntas a esas empresas dice que lo han comprado a otras terceras y que como tal son propietarias de los datos y no lo dan de baja y si quieres darlo de baja te pide mas datos, entre ellos el DNI.

    Menuda protección de Datos que tenemos.

    Responder
  2. Hola:

    Interesante. una pregunta. ¿Se preocupó la Agencia de averiguar como obtuvo esa persona el listado de miembros de IU?

    ¿No debería haber investigado si se cumplieron las normas de seguridad por ese partido?

    Porque a parte del indicio que es la identificación del titular de una línea de teléfono, deberían aportarse más hechos, como buscar la vía por la que los datos salieron del partido político, para poder tener más elementos de cargo.

    En este supuesto creo que se puede defender la vulneración del “in dubio pro reo”, aplicable como todos los principios del derecho penal al derecho administrativo sancionador.

    Un saludo

    Responder
  3. Volvemos de nuevo al problema de la identificación inequívoca a partir de una Ip. No debería ser necesario comprobar posteriormente que la actuación ha sido efectivamente realizada por el titular de la conexión? Tengamos en cuenta que p.ej. las conexiones wifi de la mayor parte de hogares pueden ver vulneradas su seguridad sin mucha dificultad una vez buscado a través de Internet (existiendo incluso distribuciones dedicadas exclusivamente a esto) amén de otros problemas de seguridad que puedan llevar a facilitar la utilización del equipo de un inocente para actos de dudosa legalidad. Este tema se ha tratado en documentos como éste.

    Y en este caso los investigadores han contado con la ayuda que alguien o se ha pasado de listo (uy, se me olvidó usar el proxy) o sencillamente utilizaba otro equipo y le daba igual que se capturase la ip de la ADSL.

    Respecto al tema de la contraseña encriptada, en algunos sistemas se cuenta con la posibilidad de reenviar dicha contraseña para casos como éste (bueno, y si no, en último caso se podría resetear y listo). Todo depende de cómo se haya diseñado la aplicación.

    Y tal y como dice David, la AEPD debería meter mano de oficio e investigar cómo se obtuvieron los datos, más siendo de la importancia que tiene.

    Un saludo

    Responder
  4. Hola,

    esta frase está incompleta, dónde se hace click? cuál es el enlace?

    Gracias.

    “Si quieres saber como cazaron al infractor a pesar de ocultar su IP utilizando un proxy y los detalles de la Resolución, haz clic en …”

    Responder
  5. Pues a mi me parece que en esta ocasión la AEPD, como en tantas otras, se columpia. ¿Qué actividad ejerce el que subió esa información a la web? Que se sepa, ninguna y resulta que la LOPD no es aplicable a áctividades personales o domésticas. Vaya que este señor podía estar opinando, a título personal y doméstico, sobre la ideología política o ideológica de fulano o mengano pero si no lo hace en el marco de una actividad (comercial, profesional, etc.) esta fuera del ámbito de aplicación de la LOPD. El caso Lvusky (o como se escriba) no fué apreciado como fuera de la Directiva porque la difusión fué a través de la web de la parroquia y trabajaba la autora en ella. De no haber sido así, habría sido un uso personal o doméstico, en uso de su libertad de expresión y habría quedado fuera. Además el tema de atribuir una responsabilidad como esa por la IP, sin más, es muy fuerte porque la IP identifica a un equipo pero no a quien lo esta usando en un determinado momento siendo así que la responsabilidad tiene que ser personal y no del titular de la IP. A lo que hay que añadir lo que comentáis de que puede ser la IP del vecino o vaya usted a saber de quien. En fin, lo de siempre, la ley del mínimo esfuerzo. El caso es intentar hacer caja. Saludos

    Responder
  6. Me gustaría saber si te pueden denunciar por poner el texto de un correo electrónico recibido de una persona que esta insultándote en una pagina que he creado. Lo digo porque en mi blog he publicado ese mensaje que recibí, y está persona no se si esta bien o no, pero amenaza con tribunales, a parte de otras cosas que la verdad no tienen sentido. Pero quisiera saber si en España una persona por poner el texto de un mensaje recibido en un blog, o en una pagina que tenga abierta se le puede denunciar. Gracias. Es urgente!!!!

    Responder
  7. para ser anonimo en internet no uses proxy aunque sea high anonimo pq la ip se puede filtrar por java , javascript , flash o plug ins (salvo que uses una lan y todas las conexiones vayan hacia el proxy anonimo) , usa una VPN gratuita , borra las cookies flash (es importante) y todo el historias , las cookies normales etc

    Responder
  8. Visto el uso indeseado que se hace o puede hacer de la línea, por el titular o por alguno de los que pueden tener acceso al mismo, se terminará exigiendo al titular el deber de identificar quienes tuvieron acceso a la linea en un momento determinado, ya que esto puede descubrirse. En materia de tráfico, y con razón, se estableció esta exigencia, y no faltan razones para que en esta materia se haga 3/4 de lo mismo.

    Responder

Responder a Anónimo Cancelar la respuesta