Globomedia suspende en protección de datos

Hace un par de semanas tuve ocasión de visitar las instalaciones en Madrid de la conocida productora de televisión Globomedia (responsable de espacios televisivos como «Aída», «El Internado» o «Sé lo que hicisteis…»).
Lo hice en calidad de particular, sin fines profesionales, pero no pude evitar diagnosticar, in situ, su situación en materia de protección de datos.

En total pude comprobar 6 infracciones en esta materia, más 3 que se pueden comprobar desde cualquier ordenador con conexión a Internet. Además, tuve ocasión de recoger en fotografías algunas de las infracciones más graves.

La suma total de esas infracciones podría llegar hasta 1.260.000 euros en multas.

No voy a entrar a detallar y precisar jurídicamente cada una de las infracciones (si alguien quiere más explicaciones de alguna podemos hablarlo en los comentarios de este artículo), así que simplemente explicaré cada situación y su tipificación como conducta antijurídica, desde mi punto de vista, en la Ley Orgánica de Protección de Datos o en su desarrollo reglamentario.

PRIMERA:

Instalación de video cámaras enfocando a la vía pública. Esto es frecuente encontrarlo casi en cualquier calle de nuestra ciudad: cámaras de vigilancia de alguna empresa grabando la vía pública. En este caso, Globomedia tiene varias cámaras de seguridad que recogen lo que pasa fuera de sus instalaciones, en la calle. Esto podría ser constitutivo de una infracción grave tipificada en el artículo 44.3.c de la LOPD en relación al artículo 6.1 LOPD que indica:
«El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa
Por tanto, se están recogiendo datos personales (la imagen de la persona) en los ficheros de Globomedia sin el consentimiento correspondiente, ya que, recordemos, nos encontramos en la calle.

La multa en este caso podría ascender hasta los 300.000 euros.

SEGUNDA:

Instalación de video cámaras en el interior del recinto sin informar debidamente de la existencia de las mismas según establece el artículo 5.1 y la Instrucción 1/2006 sobre Videovigilancia.
Esto podría ser constitutivo de una infracción leve tipificada en el artículo 44.2.d de la LOPD en relación al artículo 5.1 LOPD que indica:
«Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.»

La multa en este caso podría ascender hasta los 60.000 euros.

TERCERA:

En mi caso me hicieron firmar un recibí por un dinero que percibí allí. En dicho documento tuve que poner mi nombre completo, dirección y DNI, además de la firma. No había cláusula alguna de protección de datos en el documento.
De nuevo esto podría ser constitutivo de una infracción leve tipificada en el artículo 44.2.d de la LOPD en relación al artículo 5.1 LOPD.

La multa en este caso podría ascender hasta los 60.000 euros.

CUARTA:

Al entrar a las instalaciones (por una de sus entradas), el vigilante de seguridad me solicitó el carnet de identidad. Al facilitárselo introdujo mis datos personales en un fichero informatizado, concretamente en un fichero Excel, junto a otros datos de otras personas. No se me informó de lo establecido en el artículo 5.1.
En esta imagen podemos ver una fotografía del monitor con la carpeta del Windows XP y los ficheros Excel.

La multa en este caso podría ascender hasta los 60.000 euros.

QUINTO y SEXTO:

Los ficheros Excel mencionados en el punto anterior se encuentran sin las debidas medidas de seguridad. En primer lugar para abrirlos no es necesario introducir ninguna contraseña, lo cual podría ser constitutivo de una infracción grave tipificada en el artículo 44.3.h que nos habla de «Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.» en relación al artículo 10 LOPD y 93.2 del Real Decreto 1720/2007 que nos indica lo siguiente:
«El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.»
Partiendo de que un fichero Excel no es la mejor forma de tener una base de datos de control de accesos, se hace imprescindible que para abrir este fichero se requiera, al menos, una contraseña.

La multa en este caso podría ascender hasta los 300.000 euros.

Y en segundo lugar, durante el tiempo que permanecí esperando en recepción, pude constatar, y así lo demuestro mediante una fotografía, como el único vigilante de la zona se ausentaba de su puesto de trabajo por periodos de tiempo prolongados dejando el ordenador desatendido, y como se ve en la fotografía, cualquier podría manipular el ordenador ya que no hay «protector de pantalla» o medidas de seguridad equivalentes. La infracción en este punto es idéntica a la anterior: dejar el acceso a los ficheros sin las medidas de seguridad oportunas.

La multa en este caso podría ascender hasta los 300.000 euros.

SÉPTIMO, OCTAVO y NOVENO:

Las siguientes infracciones las puede comprobar cualquier de nosotros: Globomedia S.A. no dispone de ningún fichero declarado en la Agencia Española de Protección de Datos. Esto es, que no existe una declaración e inscripción para el fichero de videograbaciones, ni para el de invitados (en el que estoy yo), ni para el de trabajadores de esta empresa.

Esto podría ser constitutivo de una infracción leve tipificada en el artículo 44.2.c de la LOPD en relación al artículo 26.1 LOPD que establece como infracción:
«No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave
Y el artículo 26 establece que «Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos«.

Por cada uno de estos ficheros no inscritos, la multa podría ascender a 60.000 euros.

Conclusión: parece que la multa de 1,08 millones de euros a otra productora de televisión (la responsable de Gran Hermano) por temas de protección de datos no ha hecho concienciarse al sector todavía de las implicaciones del tratamiento de datos personales. Quizá sea necesaria otra multa millonaria…

Comments
  • Kyo
    Posted 14 abril 2008 00:47 0Likes

    Curioso, nunca me había parado a pensar en la protección de datos. Estoy contigo, hay gente que puede acceder con mucha facilidad. Y hablamos de una productora «puntera» y con una gran proyección empresarial.

  • Ventur
    Posted 14 abril 2008 08:55 0Likes

    Hola!
    Todo lo que ha apuntado Samuel en su artículo lo podemos decir de muchas empresas. Eso significa, en mi opinión, que hay muy poca conciencia de protección de datos personales en nuestro país….

  • Andy Ramos
    Posted 14 abril 2008 09:41 0Likes

    Pocas productoras pasarían de forma solvente una auditoría. Además, el caso de Globomedia es especialmente curioso cuando el hermano de uno de los socios tienen un famoso despacho de abogados, que le lleva todos los temas jurídicos a Globomedia y que realiza auditorías de protección de datos a otras productoras…

    En casa de herrero….

    ¡Buena semana!

  • Miguel A. Mata
    Posted 14 abril 2008 10:27 0Likes

    Buenos días, Samuel:

    como sabes, te sigo desde hace bastante tiempo. Me parece que eres de las pocas personas que conoce cómo funciona (o mejor dicho cómo interpreta la AEPD) la protección de datos de carácter personal.

    Sin embargo, en esta ocasión, a pesar de que tengas razón en lo que nos comentas, discrepo en la forma de cómo lo has hecho público.

    En mi opinión, o tienes algún interés en dañar la imagen de esta productora en cuestión o, de lo contrario, de ti hubiera esperado que hubieses enviado este mismo contenido vía email a la asesoría jurídica para que remediasen tan caótica situación. Estoy seguro que lo hubieran agradecido enormemente.

    Pero es sólo mi opinión y cada cual procede como estima conveniente…

    Un saludo,

    Miguel A. Mata

  • deincognito
    Posted 14 abril 2008 11:44 0Likes

    Samuel,

    El Real Decreto 1720/2007 no entra en vigor hasta el próximo día 19 de abril.

    Actualmente, no podría sancionarse a Globomedia por el hecho de que el Excel no cuente con contraseña, ya que por lo que parece el fichero no es más que de nivel básico con lo que no le sería aplicable el artículo 18 del Real Decreto 994/1999

    Pasado el 19 de abril sí que es cierto que se debiera estar dando cumplimiento al artículo 93.2 del Real Decreto 1720/2007, pero no estoy de acuerdo en que el Excel deba contar con una protección por contraseña, siempre y cuando el acceso al PC requiera usuario y contraseña. Fíjate que tanto el artículo 18 del Real Decreto 994/1999 como el artículo 93.2 del Real Decreto 1720/2007 requieren identificación y autenticación para los accesos al «sistema de información». Otra cosa es que sí que sería recomendable que se configurará el bloqueo automático con reinicio tras nueva autenticación, pero ello tampoco significaría un incumplimiento si nos tenemos al tenor literal de la norma, aunque me temo que la suma de ausencias prolongadas sin estas medidas de seguridad hace que se pueda interpretar que es como desactivar el sistemas de control de accesos.

    Salu2

  • Juan E. Dordio
    Posted 14 abril 2008 12:37 0Likes

    Buenos días Samuel:
    Me has dado una idea.
    De ahora en adelante haré lo mismo que tu has hecho en Globomedia con otras empresas que visito. Hasta ahora lo que vengo haciendo es enviar un escrito a la AEPD denunciando las irregularidades que observo.
    Lo de publicarlo como tú has hecho «olé», ¿no puede traer algún problema?
    Saludos
    Juan E. Dordio

  • Sergio Carrasco
    Posted 14 abril 2008 13:43 0Likes

    Hola,

    Es bien cierto que las deficiencias que ves se repiten en un gran número de empresas, la cual cosa es preocupante. Otro tema sería si ha sido la forma más adecuada o no, aunque yo personalmente tampoco le veo demasiado problema, aunque agregaría un escrito al despacho jurídico que lleva el tema para indicarles que sería recomendable que actuasen.

    En cuando a «problemas», si entendemos esto como una protesta por deficiencias manifiestas en una materia tan sensible como es la protección de datos, cuando la información que se emite es además veraz, y que el trato que se le ha dado a la empresa creo que es correcto en cuanto a no decir nada similar a «vaya mierda de productora», que desvirtuaría el escrito, no habrá problemas. Tampoco se ha revelado ningún dato confidencial de la empresa precisamente.

    Y tal y como dice Andy, a veces en casa del herrero, cuchara de palo.

    Un saludo

  • Varniaca
    Posted 14 abril 2008 15:06 0Likes

    Como bien dice Sergio, Samuel no ha puesto de manifiesto ningún dato personal en el artículo,de hecho hasta las caras de las personas que se podían ver en una de las fotografías estaban borradas.

    Es más, creo que es una buena manera el hacerlo público a través de un blog para que la gente en general y la productora en particular se conciencie y así tomen las medidas oportunas, ya que yo particularmente estoy cansada de decir a empresas que se adecuen a la LOPD y piensan que no va con ellos.
    Así que me temo que si este artículo llega a la productora por esta vía ya correrá en cumplir la LOPD por la cuenta que le trae.

    Un saludo.

  • Alonso Hurtado Bueno
    Posted 14 abril 2008 23:32 0Likes

    Hola Samuel,

    Muy curioso el post la verdad…

    La verdad que yo constantemente estoy analizando aquellos sitios donde voy.

    El otro día en el aeropuerto me puse las pilas y la verdad, no he cuantificado cuanto sería la multa, pero vamos…

    Por cierto Andy, muy interesante el apunte del despacho de abogados del hermano…jejejeje…

    Un saludo

  • Samuel
    Posted 15 abril 2008 00:24 0Likes

    Hola a todos !!

    Me gustaría decir algo a algunos comentarios, así que aprovecho este:

    Para Andy: curioso y anecdótico Andy, no lo sabía, pero me imagino que habrán centrado sus esfuerzos y tiempo en otros ámbitos que lo requirieran en ese momento o en otras facetas de la protección de datos las cuales, por mi condición de mero invitado, no pude ver. Estoy convencido que ese despacho de abogados está al corriente de la situación de la productora en este sentido.

    Para Miguel A.: Hola !! Soy completamente consciente que las formas no son las habituales en mí, y es más, seguramente a más de uno no le habrán gustado, pero también es cierto que es otra forma de entender un «blog» y de acercar a los lectores un poquito más la realidad. En este caso he hablado con nombres y apellidos directamente, no con un ánimo de dañar la imagen de esta productora (que por otra parte admiro porque disfruto bastante con algunos de sus productos), sino con la de mostrar a los lectores la realidad del cumplimiento de una normativa casi olvidada al último lugar, y aunque es cierto que las circunstancias que comento son atribuibles a miles de empresas en este pais, he hablado sobre Globomedia como podría haber hablado de otra gran empresa…. aunque no te voy a negar, que me molestó bastante cuando vi como el guardia de seguridad metía mis datos en una hoja Excel sin las debidas garantías.
    Por último, si me dices (por privado si quieres) cual es el despacho que está llevando a esta productora, sin problemas les envío copia de este texto para que actúen, así algo que se llevan ya «auditado».

    Para de incognito: efectivamente el R.D. aun no ha entrado en vigor, pero ante su inminente entrada ya he preferido hablar con miras al futuro :). En cualquier caso con el R.D. 994/1999 sucedería lo mismo, ya que sería de aplicación el artículo 11 (y no el 18). En realidad, el 11 del antiguo R.D. y 93.2 del nuevo (R.D. 1720/2007) son prácticamente idénticos.
    Sobre si procedería o no aplicar ese artículo o exigir una contraseña el fichero Excel, si examinas las resoluciones de la AEPD por vulneración del artículo 9 LOPD verás que si es posible acceder a los datos personales por parte de terceros no autorizados, entonces se ha producido una violación de la seguridad, que se podría haber atajado de la forma X que correspondiera en cada caso. En este sentido, si yo hubiera sacado una foto al fichero Excel porque podía abrirlo sin solicitar contraseña en el mismo ordenador, es muy posible que la AEPD hubiera sancionado porque ese fichero no disponía de las medidas de seguridad correspondientes, que en este caso habrían pasado por establecer una contraseña al fichero. Yo además entiendo, que en este caso, el «sistema de información» es precisamente esos ficheros Excel. La propia definición legal de «sistema de información» nos habla de «conjunto de ficheros, programas, etc», vamos, que no es necesario tener una Oracle para hablar de «sistema de información». Pero en cualquier caso, como digo, no establecer una contraseña a un fichero Excel con datos personales, cuando ese fichero Excel se utiliza a modo de base de datos, lo considero, con el R.D. 1720/2007, una vulneración del artículo 93.2; pero desde luego, mi opinión es discutible :).

    Saludos Juan E.: Me alegro que te decidas a hacer lo mismo. En mi caso no he querido denunciar a Globomedia precisamente porque no tengo intención ninguna de dañarla, y tampoco me ha perjudicado en ningún sentido. Yo no veo problema en hacer este tipo de comentarios o artículos siempre que partamos del respeto y de la veracidad. Yo simplemente he puesto de manifiesto unos hechos que cualquier de nosotros podría constatar, y no he revelado ninguna información sensible, secreta o confidencial.

    Para Sergio y Alonso: gracias por pasaros por aquí y dejar vuestros comentarios y opiniones 🙂 (y a todos en general claro).

  • deincognito
    Posted 15 abril 2008 08:35 0Likes

    Samuel,

    Yo tampoco veo problema alguno a que con este post muestres tu protesta, dado que no has rebasado los límites de la libertad de expresión. Otra cosa es que fuera recomendable que te pusieras en contacto con Globomedia, si bien tampoco estaría de menos que ejercieras tu derecho de cancelación al mismo tiempo ;-p

    Puedes ver un parpar de postsposts de David Maeztu al respecto de los blogs protesta.

    Por otra parte, y aunque entiendo que querrías entrar al programa y cobrar el dinero que te dieron seguramente por figurar como público, se demuestra que por muy conscientes que seamos de los riesgos para nuestra privacidad, cosa que no es muy normal, o por muy preocupados que estemos por nuestra privacidad, algo que parece es más normal, al final lo que sucede es que por las cosas más banales acabamos dando nuestros datos con cierta ligereza.

    Volviendo a lo de la contraseña del fichero Excel. El artículo 93 del Real Decreto 1720/2007 viene a constituir una medida de nivel básico que incorpora las exigidas por el artículo 11 (nivel básico) y el artículo 18 (nivel medio). En ninguno de estos tres artículos se exigen contraseñas de acceso a recursos, ficheros o documentos, sino al sistema de información. Si bien es cierto que la medida que propones podría tomarse adicionalmente, nada lo impide, por experiencia propia te diré que bastante problemática es ya la gestión por los usuarios de una contraseña de acceso al ordenador como para meternos en camisas de once baras. Creo que sería mucho más efectivo que se hubiera configurado un bloqueo automático con protector de pantalla que requiera nueva autenticación en el sistema, y a los 3 ó 5 minutos, por tratarse en de un equipo ubicado en una zona de acceso público, así como un mejor emplazamiento del equipo para evitar la fácil visualización de la pantalla del ordenador, hasta puede que complementado con la instalación de un visor de pantalla especial para evitar las miradas oblicuas indiscretas.

    La AEPD no podría sancionar por incumplir el deber de secreto del artículo 9 LOPD. En todo caso podría sancionar por el incumplimiento del deber de secreto del artículo 10 LOPD, que como sabes, y teniendo en cuenta los datos que registró el vigilante de Globomedia, constituiría una infracción leve recogida en el artículo 44.2.e LOPD, y no una infracción grave por incumplir el deber de seguridad.

    No es oro todo lo que reluce en las resoluciones de la AEPD.

    Salu2

  • Miguel A. Mata
    Posted 15 abril 2008 10:49 0Likes

    Buenos días, Samuel,

    lo cierto es que tras leer tu comentario ahora entiendo perfectamente que tu intención no ha sido dañar la imagen de la productora en cuestión.

    Por supuesto, siempre estás en tu derecho de denunciar el caso ante la AEPD. Como bien sabes, la es decisión tuya y aparentemente has decidido no hacerlo.

    En su página web encontré un mail al que podrías dirigir tu post (globomedia@globomedia.es). Si Globomedia fuera cliente mío, yo agradecería enormemente que me informaran de estos incumplimientos para así poder enmendar la situación antes de que se entere la AEPD. Porque una vez que abra expediente…

    Saludos,

    Miguel A. Mata

  • Sergio Carrasco
    Posted 15 abril 2008 12:17 0Likes

    Además de todo lo anterior, es que a mí ver que se anoten datos de este tipo en excel hace que me duela la cabeza (más en una empresa como ésta, donde creo que no habría mucho problema a la hora de crear una aplicación sencilla para ello en un servidor externo, y que además podría ser incluso más sencilla de utilizar que esa hoja de excel).

    Esto es como cuando veo intranets diseñadas a base de un documento word que abren muchos y van guardando (y sí, el uso concurrente no es muy bueno en este caso xD)

  • Jose Antonio
    Posted 15 abril 2008 18:26 0Likes

    Hola Samuel (y al resto, por descontado):
    En este caso, normalmente estamos en sintonía, disiento de la interpretación que haces tanto del artículo 11 de RD 994/1999 en contraposición con el 18 del mismo reglamento de medidas de seguridad y comparándolo con el 93.2 de 1720/2001. Si algo añade, como ha hecho notar deincognito, el 18 sobre el 11 es la identificación y autenticación personalizada como una exigencia más estricta al tartarse de medidas a aplicar a ficheros con datos de nivel medio según la tipología de los mismos. El 93.2, bajo mi punto de vista, lo que modifica con respecto a su predecesor es exigir esa identificación y autenticación personalizada a todos los ficheros independientemente de su nivel o finalidad. Por lo tanto el artículo 11 y el 93.2 no son prácticamente idénticos ni en su todo ni en sus partes.
    Ota cosa ya diferente y más dada a polemizar sería la obligatoriedad de poner una contraseña de acceso a todos y cada uno de los ficheros; esto basándome en la misma inferencia hecha por deincognito de que el fichero de excel tiene toda la pinta de contener datos de carácter personal a los que haya que aplicarles las medidas de seguridad de nivel básico. Vayamos a la polémica. Supongamos que el ordenador le exigiera al vigilante escribir un nombre de usuario y contraseña para acceder al pc en local.Supongamos, además, que el ordenador de ese vigilante de seguridad estuviera montado sobre un dominio, sobre active directory con permisos de archivos detallados por usuario o perfiles (por hablar ya con la terminología del 1720/2001) y que se conectara, mediante scripts de inicio, por terminal server con el servidor de dominio y así obtener el acceso a ese fichero excel en concreto; por supuesto con identificación y autenticación contra el dominio. !Y van dos¡ ;-). Sigamos suponiendo: supongamos que cumplen con estricta «disciplina germánica» con el artículo 7.1 y 7.2 del RD 994/1999 y con 87 del 1720/2001 y no guardan absolutamente ningún dato de carácter personal en el pc, en local, del guarda de seguridad. Si añadimos, más supociones, que la pantalla no estuviera, como de hecho está, mirando al público y que hubiera una combinación de teclas que al pulsarlas saltara inmediatamente un protector de pantalla protegido con contraseña cuando el vigilante de seguridad se fuera y dejara el puesto desantendido. Partiendo de estas supociones: ¿No consideras esto más que suficiente para que la AEPD no impusiera una sanción?
    Otro tema siguiendo la disquisición iniciada por deincognito ¿crees Samuel que el ordenador del guarda de seguridad aun siendo físicamente un componente del sistema de información (forma parte de la red, sí) no podría considerarse como fuera del sistema de información considerado como algo lógico? Me gustaria comentar este punto de vista. ¿Sería esto defendible con un terminal «tonto» en el puesto del vigilante de seguridad? Porque creo que el 1720/2001 habla de accesos al sistema de información. Si este fichero fuera de nivel básico ¿no sería más que suficiente una doble identificación y autenticación? ¿El ponerle contraseña al archivo excel no sería ya excesivo y por usar un dicho, rizar el rizo? Porque está claro que el fichero excel sí que forma parte integrante del sistema de información; pero para llegar a él, a ese archivo, a ese componente del sistema de información ya nos hemos debido identificar y autenticar dos veces. Estoy con deincognito: más que suficiente o dicho en palabras del RD más del mínimo exigible. 😉
    Un saludo Samuel y a ver si coincidimos en Madrid el 22. Nos vemos

  • Sergio Carrasco
    Posted 15 abril 2008 20:30 0Likes

    Hola Jose Antonio,

    coincido con algunas de las cosas que indicas. Ahora bien, sigue preocupándome la facilidad que da un archivo de excel a los efectos de ser «sustraido» (usb, enviado por correo, etc…), y no considero que sea necesario que el vigilante cuente en todo momento con un acceso pleno a la totalidad de datos incorporados a esta hoja (tampoco sé cada cuanto la renuevan, pero vaya…), prefiriendo en su caso un frontend que le permita añadir un visitante a la lista hacer una consulta respecto a un día en particular o eliminarlo, a través de una aplicación en el servidor (sin quitar que dependiendo de la interpretación puede no ser estrictamente necesario).

  • Samuel
    Posted 15 abril 2008 23:44 0Likes

    Saludos José Antonio. Bien, admitiendo todos esos supuestos que indicas, de dobles o incluso triples autenticaciones y demás, si los datos que contienen ese fichero fueran revelados a terceros, sustraídos en una memoria usb o envíados por email como dice Sergio; en definitiva, que el fichero Excel saliera, admitamos, del sistema de información y del sistema informático o de la red que tengan allí y cayera por ejemplo, en mis manos, la AEPD sin duda (insisto, sin duda) terminaría en sancionar a Globomedia por el artículo 9 LOPD por no disponer de las medidas de seguridad necesarias.

    Veamos en que fundo mi teoría:

    Por un lado, la Audiencia Nacional en Sentencia de 23/03/2006 ha declarado que el artículo 9 de la LOPD “impone una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros (…) la recurrente es, por disposición legal, una deudora de seguridad en materia de datos, y por tanto debe dar una explicación adecuada y razonable de cómo los datos personales han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas, pues también es responsable de que las mismas se cumplan y se ejecuten con rigor. En definitiva, toda responsable de un fichero (o encargada de tratamiento) debe asegurarse de que dichas medidas o mecanismos se implementen de manera efectiva en la práctica sin que, bajo ningún concepto, datos bancarios o cualesquiera otros datos de carácter personal puedan llegar a manos de terceras personas».

    Más cosas; debe considerarse lo dispuesto en el artículo 130.1 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (en lo sucesivo LRJPAC), según el cual “… sólo pueden ser sancionadas por hechos constitutivos de infracción administrativa los responsables de los mismos, aún a título de simple inobservancia».
    Esta simple inobservancia no puede ser entendida como la admisión en el Derecho administrativo sancionador de la responsabilidad objetiva, pues la doctrina del Tribunal Constitucional (Sentencias de 26/04/1990, 19/12/1991 y 04/07/1999, entre otras) y la jurisprudencia mayoritaria del Tribunal Supremo (Sentencia de 23/01/1998, entre otras), así como las exigencias inherentes a un Estado de Derecho, exigen que el principio de culpabilidad requiera la existencia de dolo o culpa.
    El Tribunal Supremo (Sentencias de 16 y 22/04/1991) considera que del elemento culpabilista se desprende “… que la acción u omisión, calificada de infracción sancionable administrativamente, ha de ser, en todo caso, imputable a su autor, por dolo o imprudencia, negligencia o ignorancia inexcusable.»

    Por su parte, la Audiencia Nacional, en Sentencia de 29/06/2001, en materia de protección de datos de carácter personal, ha declarado que “… basta la simple negligencia o incumplimiento de los deberes que la Ley impone a las personas responsables de ficheros o del tratamiento de datos de extremar la diligencia…»
    El Tribunal Supremo viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el sujeto infractor no se comporta con la diligencia exigible. Diligencia cuyo grado de exigencia se determinará en atención a las circunstancias concurrentes, tales como el especial valor del bien jurídico protegido, la profesionalidad exigible al infractor. Aplicando la anterior doctrina, la Audiencia Nacional, en varias sentencias, entre otras las de fechas 14/02/ y 20/09/2002 y 13/04/2005, exige a las entidades que operan en el mercado de datos una especial diligencia a la hora de llevar a cabo el uso o tratamiento de tales datos o su cesión a terceros, visto que se trata de la protección de un derecho fundamental de las personas a las que se refieren los datos, por lo que los depositarios de éstos deben ser especialmente diligentes y cuidadosos a la hora de realizar operaciones con los mismos y deben optar siempre por la interpretación más favorable a la protección de los bienes jurídicos protegidos por la norma.

    Más sentencias: sentencia de la Audiencia Nacional de 7 de febrero de 2003, en su Fundamento de Derecho Cuarto recoge: “Por último, en cuanto a la ausencia de culpabilidad (…) En el caso de autos, la recurrente es, por disposición legal, una deudora de seguridad en materia de datos, y por lo tanto debe dar una explicación adecuada y razonable de cómo los datos han ido a parar y se encuentran en poder de terceros. Siendo insuficiente con acreditar que adopta una serie de medidas, pues es también responsable de que las mismas se cumplan y ejecuten con rigor. De hecho si un tercero posee documentación interna de la entidad necesariamente ello es debido, ante la ausencia de otra explicación, aun funcionamiento anómalo de sus medidas de seguridad.»

    En la práctica de la AEPD, el artículo 9 se ha estado aplicando con mucha flexibilidad, quizá con demasiada, ya que hemos visto casos donde se ha aplicado el artículo 9 a documentos en papel.
    Examinemos por ejemplo tres casos bien distintos (siento ser tan pesado):

    R-00161/2006 – AEPD: una empresa destructora de papel acepta el encargo de una entidad financiera de recoger un montón de cajas con datos de los clientes de ésta; la empresa destructora no las destruye todas y al tiempo se mojan unas cuantas cajas y la empresa destructora decide tirar las cajas con información de clientes a una escombrera. La entidad financiera tenía establecido un procedimiento en su documento de seguridad para el tema de la destrucción de papel; llevaba al día el registro de salida y entrada de soportes, así como el registro de incidencias. La AEPD termina en imponer 60.000 euros por infracción del artículo 9 LOPD a la entidad financiera: «Por todo ello, con independencia de la versión de los hechos de Caja Duero o de la compañía Recuperaciones Mondrego y Antón, lo que ha quedado acreditado es que la documentación de Caja Duero de (…..) se encontraba en una escombrera contraviniendo la normativa sobre medidas de seguridad de datos personales y permitiendo el acceso a los mismos de los empleados de la citada compañía de transportes, de los miembros del Seprona que los recogieron y de cualquier ciudadano que hubiera podido acercarse a la citada escombrera.»

    R-00860/2006 – AEPD: un comercial se lleva en un maletín cerrado unos papeles de la venta de un vehículo y lo mete en el maletero de su coche;. El señor se para a tomar un café y le abren el coche y le roban el maletín; no lo denuncia por miedo a que la empresa emprenda acciones. Un señor se encuentra posteriormente los papeles que estaban dentro del maletín en la cuneta de una carretera; llama al número de teléfono del recien propietario para explicarle que se ha encontrado con los papeles de la compra de un vehículo tirados en la carretera y se los devuelve (¡ qué cosas más raras pasan !). El afectado denuncia y la AEPD impone 3000 euros de multa por infracción del artículo 9 LOPD.

    R-00173/2006- AEPD: un señor introduce su nombre de usuario y contraseña para acceder a su cuenta corriente por Internet; al hacerlo, observa que ha entrado a la cuenta de otro señor. Lo denuncia a la AEPD y aunque la entidad financiera aporta un informe técnico de que fue un error puntual y que se solventó en un plazo de tiempo muy breve (unas 6 horas), se termina imponiendo multa de 60.000 euros por infracción del artículo 9 LOPD.

    De todo esto creo que podemos concluir que aun estando ante el sistema de seguridad más efectivo, con certificación en todas las ISOs existentes y demás, si se produce cualquier acceso a datos por terceros no autorizados, la AEPD no va a tener piedad de nosotros.

    Respecto al 11 del ya casi derogado RD 994/1999, dice «El responsable del fichero se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y
    autenticación para dicho acceso.» La última parte del artículo es la que me interesa, y es precisamente la que habla de tener un procedimiento de identificación y autenticación, o sea, nombre de usuario y contraseña.
    Como en un fichero Excel no es posible, en principio, establecer este mecanismo, entiendo que lo mínimo sería ponerle una contraseña, para evitar, precisamente, que si cae el fichero en manos de terceros, no pueda ser abierto (en teoría).
    Yo no veo que sea rizar el rizo poner una contraseña a un fichero Excel. Si una empresa tiene un único fichero Excel como base de datos de clientes ¿no le sugerirías que le pusiera una contraseña?. Yo no entiendo, ni interpreto, que el sistema de información sea «el sistema operativo»; si para entrar a windows tienes que poner tu username y tu contraseña, fenomenal, pero es que el windows, para mí al menos, no es un sistema de información a estos efecto. El sistema de información es, como bien define el R.D. 1720/2007: «conjunto de ficheros,
    tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de datos de carácter personal.»

    ¿Y qué se entiende por fichero?, también lo dice el R.D. 1720/2007: «Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.». Por tanto, de aquí, debemos excluir al sistema operativo, ya que técnicamente, el sistema operativo no encaja en la definición de fichero (ni de sistema de información).

    Todo esto me permite concluir que un fichero Excel con datos personales debe ajustar sus medidas de seguridad al R.D. correspondiente.

    Pufff, menudo tocho…

    Animada la cosa está, y eso me agrada mucho; por favor, sigamos con el asunto.

    Ah, y sí, estaré por Madrid el 21 y el 22 (de hecho para el 21 estamos pensando hacer una cena para los que estemos por allí y vayan a acudir a la jornada del 22) ¿te apuntas? ¿Alguien se apunta?.

  • Javier
    Posted 17 abril 2008 16:45 0Likes

    Buena apreciación Samuel. Si no te han mandado el despacho de abogado, dímelo. De todas formas es fácil de adivinir (para quien esté en el mundo jurídico) viendo el apellido de uno de los socios.

    Yo también estaré en Madrid el 21 y 22. Me apunto a la cena. ¿Dónde es?

    Un saludo.

  • Jose Antonio
    Posted 17 abril 2008 17:41 0Likes

    Hola de nuevo Samuel:
    Esto es lo que me hace disfrutar. 😉
    Creo que lo que te comenta Miguel A. Mata es cierto: creo que entiendes bien cómo funciona en sus razonamientos la agencia; sin duda. Lo que creo que es empiezas a pensar «demasiado» como ella: en el sentido de meter la cabeza por un lado y ya no sacarla, ni ver más allá.
    INSISTO, «â€¦el responsable del fichero […] mecanismo que permita la identificación de forma inequívoca y personalizada […] que intente acceder al SISTEMA DE INFORMACIÓN…». Seguimos insistiendo: Sistema de información: “…PROGRAMAS […], EQUIPOS EMPLEADOS…â€?. Por supuesto que el ordenador es parte del sistema de información; por supuesto que el archivo de Excel es parte del sistema de información según la definición de los dos reglamentos; pero de la misma manera y por extensión el S.O. es parte sustancial del sistema de información. No me negarás que el sistema operativo es parte del sistema de información ya que en la misma definición que da el RDLOPD habla de “…equipos empleados para el tratamiento…â€?; no en cuanto que trate datos de carácter personal sino en cuanto que sin él no hay posibilidad de un sistema de información al menos con sistema de tratamiento automatizado. Por tanto si sin él no hay posibilidad de acceso a un sistema de información con sistema de tratamiento automatizado, al menos que yo conozca, controlando el acceso al mismo se puede considerar, yo creo que sin tacharme de ligero, que se controla con una identificación y autenticación personalizada el acceso al sistema de información puro cumpliendo con los requisitos que son exigibles a los datos sobre los que hay que aplicar medidas de seguridad de nivel básico (sea ese fichero Excel con datos muy determinados o toda la base de datos de la empresa en ese formato Excel –siempre y cuando fueran básicos-). Y en este mismo sentido, a mayor abundamiento, si es desde el mismo sistema operativo, aun suponiendo que no formara parte del sistema de información puro, desde donde se puede controlar el acceso, con diferentes permisos y modos de acceso y ejecución, al fichero de Excel y, yendo más allá, teniendo la posibilidad de auditoría que nos permite el mismo sistema operativo sobre ese fichero. ¿Tú crees que no sería suficiente? Y, rizando más el rizo, si el Terminal del guardia de seguridad, cosa cada vez más habitual y más barata, fuera por ejemplo un Thin de Hp al que se le caparan las salidas USB y sin conexión a Internet ya que no la necesita para nada. ¿Dónde estaría el problema según la agencia? ¡¡¡Paranoico!!!. Aun cuando estoy seguro que la AEPD es paranoica pero no siempre. Un saludo. Creo que no podré estar en la cena :-(. Cosas de la «contraria» 😉

  • Juan E. Dordio
    Posted 17 abril 2008 19:01 0Likes

    Lo de la cena me gusta ¿Dónde es?
    Saludos

  • Sergio Carrasco
    Posted 17 abril 2008 20:46 0Likes

    Interesantes apreciaciones, Jose Antonio. Aunque coincido con Samuel en que se deja la puerta abierta a determinadas posibilidades peligrosas en la forma en que se tratan los datos, y la AEPD suele ser muy tajante en estos temas (otro tema es que coincida personalmente y caso por caso con su interpretación, que pienso que los que nos dedicamos a leer sus resoluciones encontramos en ocasiones un tanto descabelladas). Después pueden aparecer lloros por parte de la empresa cuando ya es tarde.

    Y referente a la cena, no deis envidia a los pobres que nos toca currar y no podemos escaparnos, malvados!

  • Samuel
    Posted 17 abril 2008 23:04 0Likes

    Hola !

    Efectivamente José Antonio, no te niego lo del sistema operativo, es evidente que sin sistema operativo dificilmente vamos a tener un sistema de información… algo debe haber debajo que permita la ejecución de la aplicación básica como mínimo.
    Ahora bien, si nos encontramos ante, por ejemplo, un sistema Windows XP, el cual es utilizado exclusivamente para llevar una hoja Excel o una base de datos con datos personales, y no existe ningún otro fichero, no hay correo electrónico, no hay red interna, etc, yo votaría por asegurar esa base de datos antes que el sistema operativo, en el sentido de que no le daría importancia si para iniciar sesión en Windows no solicita user/password pero sí le daría mucha importancia si para acceder a esa base de datos o Excel no se requiere ningún sistema de identificación y/o autentificación, porque a fin de cuentas es esa aplicación la que contiene datos personales y no el sistema operativo.

    Además, aunque el ordenador del vigilante tuviera los puertos USB cerrados, tampoco tuviera impresora, ni grabadora de CD/DVD, ni Internet, etc, siempre cabría la posibilidad de coger el disco duro y pincharlo en otro ordenador como secundario: arrancamos con el principal y accedemos a la partición del WinXP, cogemos el fichero excel y como va sin contraseñas (porque se la pusimos al sistema operativo) ya tenemos el acceso al fichero.

    El tema es interesantísimo y sería muy interesante si se fueran presentado casos ante la AEPD.

    Cambiando de tema, respecto a la cena, si os parece os envío un email ahora, porque el lugar y la hora aun no están definidas, simplemente estamos haciendo una lista de gente y seguramente mañana nos pongamos de acuerdo todos :).

    Para Javier: no me han mandado lo del despacho, te envío un email para pedirte datos 🙂 (a globomedia@globomedia.es no lo veo serio).

  • José Antonio
    Posted 18 abril 2008 09:51 0Likes

    Yo de todas maneras le pondría contraseña al fichero excel ya que si se me llevan el fichero a otro ordenador al menos el texto de la hoja de cálculo,si se abriera el archivo con un programa editor o simplemente el notepad, estuviera encriptado. Como mínimo que se molestara en buscar en la red una aplicación para quitar o averiguar la contraseña del susodicho fichero.
    Hasta el martes.

  • Sergio Carrasco
    Posted 18 abril 2008 11:03 0Likes

    Lo que pasa es que volvemos a estar en las mismas si simplemente ponemos una contraseña al archivo (las propias de Office son de chiste). Tema diferente sería si realmente hubiera una encriptación adecuada. Ahora bien, me reitero en que no debería tener necesidad de tener acceso completo a todos los DNI y datos simultáneamente.

  • Jesús Pérez
    Posted 19 abril 2008 11:25 0Likes

    ¿Se admite la presencia de un «outsider» 😉 (no soy del mundo jurídico) en la cena que comentáis?

  • Pit
    Posted 14 julio 2008 01:36 0Likes

    Errores:
    Primera: La sancion por un tratamiento sin consentimiento es de 60.000 a 3000.000 €, pero la AEPD está aplicando con alegria el artículo 45.5, seguramente solo le impondrian 6.000 €.

    Segunda: Se trataria de una infracción del deber de información, calificada como leve, con sanción típica de 600 €. Si consigues convencerles de que es un tratamiento sin consentimiento poodrias llegar hasta los 60.000 €, que rebajarian a 6.000 € por aplicación del 45.5.

    Tercera: deber de información, impordrian 600 €.

    Cuarta: deber de información, impordrian 600 €.

    Quinta y Sexta: los ficheros no estarán protegidos por contraseña, pero la accesibilidad estará controlada por el perfil de usuario en la red, con lo que se librarían. De todas formas, si se acreditase lo que dices, seria falta de medidas de seguridad, 60.000 € que se quedarian en 6000 € por el 45.5.

    Etc: la falta de incripcion, a 600 €/fichero.

    Los que se dedican a este negocio suelen exagerar las sancioner, presentando las mas altas dentro del abanico de cada una de ellas, pero la AEPD suele aplicar el mínimo dentro de cada tipo, y en muchas ocasiones rebaja el grado mediante la aplicación del 45.5
    Lo del ordenador desatendido no se podria comprobar en una inspección, se librarian, salvo que fuesen a pillar, que no lo van a hacer porque como durante años la AEPD ha cogido fama de dura, el actual director no está por la labor.

  • Samuel Parra
    Posted 14 julio 2008 02:30 0Likes

    Hola Pit.
    Yo hablo de que «podría llegar», en un plano teórico la sanción podría alcanzar la cifra que he puesto.

    El 45.5 se aplica con mucha frecuencia, pero no siempre: http://www.samuelparra.com/2008/04/07/300000-euros-de-multa-a-un-particular-por-publicar-datos-personales-en-internet/ también: http://www.samuelparra.com/2007/10/09/el-expresidente-del-real-madrid-cf-sancionado-con-multa-de-360000-euros-por-vulnerar-la-ley-organica-de-proteccion-de-datos/ también: http://www.samuelparra.com/2008/07/06/suscripcion-lista-distribucion-sin-consentimiento/

    y podría seguir con ejemplos 🙂

    Por otra parte, como ya se ha discutido, el hecho de que existan perfiles o no, si el excel va sin contraseña, eso es una infracción del deber de seguridad: http://www.samuelparra.com/2008/05/26/multa-sancion-usuario-contrasena/

  • Pit
    Posted 14 julio 2008 18:49 0Likes

    La primera de las sancione, veo que es un caso muy grave de cesión de datos especialmente protegidos (ideología) por lo que se aplicó el mínimo. Se debería haber incrementado, la AEPD pecó de generosa, pues la propia cesión ya suponía esos 300.000€, y el que fuesen datos de ideología es un agravante.

    En el segundo caso es una cesión, ya son 300.000€ y los 60.000€ es por el tratamiento sin consentimiento. El caso del tratamiento sin consentimiento es clarísimo, y el caso de la cesión me parece increíble, cuando recibe los datos una empresa que se dedica a eso, al tratamiento con datos de carácter personal. Me imagino que a la empresa de mailing les meterían otros 60.000 por tratamiento sin consentimiento. Y se podía haber resuelto con algo tan simple como incluir en el contrato el artículo 12 de la LOPD, declarando a la empresa de mailing como encargada del tratamiento.

    Por cierto, vemos aquí que, aunque ha habido un único denunciante, o mucho me equivoco o se realizaron las mismas practicas ilegales con los datos de miles de personas. De ahí viene la potencia sancionadora de la LOPD: solo uno se queja, pero hay miles de afectados.

    Respecto al Excel, puede ir sin contraseña, con tal de que el acceso al servidor de red fuese con contraseña y dentro del servidor no se tuviese el acceso “todos a todoâ€?, que es un acceso demasiado común. La contraseña del Excel es solo una de las posibles soluciones, no la única.

  • Juan
    Posted 14 enero 2009 21:35 0Likes

    !Uy, qué miedo, todos esos datos desperdigados sin ton ni son! !Me va a dar algo! Tío, me encanta como te lo has currido, más papista que el Papa y esas coas. no creo que a Globomedia le caiga nunca esa multa hipermegamillonaria, de lo cual me alegro. !Ay., esa dichosa «privacy» que nos trae por la calle de la amargura, ¿verdad, coleguitas? Si es que hay que leer cada cosa de la intimidad y los misterios…

Leave A Comment

Your email address will not be published. Required fields are marked *