Primera sanción por no disponer de usuario y contraseña

Existe un gran desconocimiento respecto a las medidas de seguridad que un fichero con datos de carácter personal debe disponer, y aquí me estoy refiriendo a las medidas de seguridad que el ordenamiento jurídico impone (no a las voluntarias o recomendables)
Pocas son las empresas que las cumplen, y si hablamos de profesionales individuales, creo que el grado de cumplimiento tiende a 0.

Si a este desconocimiento de la legislación le sumamos la poca concienciación que existe en el ámbito empresarial de entender que el activo más valioso para cualquier profesional son los datos de sus clientes, nos encontramos con que la mayoría de los sistemas de información no cumplen unos requisitos mínimos de seguridad, como la del caso que vamos a examinar en relación a la existencia de un mecanismo de identificación y autentificación, o lo que es lo mismo, de usuario y contraseña (normalmente).

Porque en efecto, tanto la regulación actual como la anterior, imponen la obligación de que para acceder al fichero con datos de carácter personal exista un mecanismo de estas características.

En este caso el sancionado ha sido un abogado, por denuncia de un particular; para seguir leyendo haz click en

En agosto de 2004, la Agencia Española de Protección de Datos recibió una denuncia de un particular, en la que, entre otras cosas, informaba que el abogado D. I.I.I. tiene una base de datos con los clientes de su despacho, sin las medidas de seguridad que exige la ley.

Personados los inspectores en este despacho se comprobó que el denunciado dispone para el desempeño de su actividad profesional de un fichero automatizado que contiene datos relativos a nombre, apellidos y número de teléfono de sus clientes, y en algunos casos, dirección postal y/o electrónica y número de fax.

Según manifestó el denunciado, su fichero no dispone de medidas de seguridad y, según constataron los inspectores actuantes, el acceso a la base de datos (o fichero) no se encuentra protegido mediante la introducción de un código o contraseña.

Y es que en efecto, tanto la regulación actual, esto es, el Real Decreto 1720/2007 como el ya derogado Real Decreto 994/1999, establecen la exigencia de disponer de este tipo de mecanismos informáticos, en concreto, el artículo 93 del R.D. 1720/2007 indica:

“Artículo 93. Identificación y autenticación.
1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.
2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.
3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.
4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.”

Como vemos, no sólo es obligatorio que exista, por ejemplo, una contraseña de acceso, sino que además, esa contraseña, por ley, debe ser cambiada cada año como máximo, o lo que es lo mismo, debe tener un periodo de caducidad de un año como máximo. Algo que también es desconocido por la mayoría de las empresas.

Siguiendo con el caso del abogado, éste alegó, entre otras cuestiones, que su bufete dispone de sistemas de alarma, puerta blindada, cerradura de seguridad, cerradura en el cuarto de archivo y seguridad en su despacho y que el sistema de información posee un antivirus.
Todo esto está muy bien, pero lo cierto es que la ley es muy clara en este sentido, si no hay un mecanismo que permita identificar y autenticar a los usuarios en el acceso a la información, estamos infringiendo el artículo 9 de la Ley Orgánica de Protección de Datos que establece el principio de seguridad y cuyo desarrollo reglamentario actual es el Real Decreto 1720/2007.

Curiosamente, el abogado disponía de un Documento de Seguridad en el cual se especificaban precisamente los mecanismos de identificación y autenticación de los usuarios, pero era sólo sobre el papel, porque en la realidad no era así… este suele ser otro de los grandes errores por parte de las empresas, creen incorrectamente que disponer de un Documento de Seguridad ajustado a la ley les hace cumplir “con esto de la protección de datos”.

Finalmente se resuelve en determinar que el abogado ha infringido el principio de seguridad de datos consagrado en el artículo 9 LOPD, pero que en atención de determinadas circunstancias (aplicando el 45.4 LOPD), en vez de una multa de 60000 euros (que hubiera sido lo normal) se le sanciona sólo con 600 euros.

Descargar Resolución

10 comentarios en “Primera sanción por no disponer de usuario y contraseña”

  1. Me sorprende que el fichero de clientes sólo contuviera esos datos. ¿Qué pasa con los datos de procesos civiles, sociales, administrativos o penales?

    Me temo que es mejor considerar que estos ficheros de abogados tengan la consideración de nivel medio. Podrían haber dicho algo desde la AEPD.

    Gracias por la noticia.

    Un saludo

    Responder
  2. Samuel,

    Me temo que en todo despacho de abogados se tienen almacenados los expedientes en formato electrónico (documentos generados por los abogados, escaneos de documentos originales en papel,…), ya sea en ordenadores en red o incluso con algún servidor.

    Además el control de accesos se debería aplicar también a los ficheros no automatizados.

    Si el denunciante alegó que no se cumplían las medidas de seguridad podían haber ido más allá en la inspección.

    En cualquier caso la infracción sería la misma.

    Por desgracia en el caso parece que no tenía relevancia la identificaicón del nivel de seguridad aplicable a los expedientes, cuestión que suele traer mucho debate cada vez que tratas de adecuar un despacho de abogados que no conocen demasiado la LOPD.

    Un saludo

    Responder
  3. En casa del herrero,cuchillo de palo. Conozco muchos despachos de Abogados y ninguno de ellos cumple con la exigencia de “usuario y contraseña”. Sencillamente enciendes el pc y accedes a todo.
    Y no digamos nada de otros profesionales y de gran parte de las Pymes. Diría que la excepción es la que confirma la regla.

    Responder
  4. Para que nos sirve en el caso que os cuento la LOPD? Si intentamos realizar un acceso a nuestros datos personales que posee un abogado de nuestro contrario en cualquier proceso judicial, será imposible, amparándose en el tambien temido “secreto profesional”, que podemos hacer ante esto? hará con nuestros datos lo que quiera, incluida su cesión a donde le parezca bien, inpunemente, y sin posiblidad, creo de denunciarlo ante la APD, o con pocas posibilidades de ser sancionado…. que opinais de esto?

    Responder
  5. No me entero. Agradecería q me lo explicasen:

    Dicho bufete de abogados, OK. Un simple Excell en el ordenador del susodicho abogado, donde cada entrada de cada uno de sus clientes aparece: nombre, domicilio, nº de expediente, ….

    ¿Según la LOPD dicho Excell es obligado que exiga contraseña para acceder a dicho fichero? Pero, y si dicho PC no tiene acceso a internet. Está en local, y punto:

    ¿En dicho PC de dicho se habrán de crear tantos usuarios como clientes hayan acudido a sus servicios? (“….si no hay un mecanismo que permita identificar y autenticar a los usuarios en el acceso a la información, estamos infringiendo….”).

    ¿Es independiente que el acceso a dicho fichero solo pueda ser físicamente posible por los componentes del bufete?

    Gracias.

    Responder
  6. Hola nekcab.

    Que un fichero tenga o no acceso a Internet es independiente para que se establezcan las medidas de seguridad que exige la ley, con la salvedad, de que si se transmiten datos de forma telemática hay unos preceptos aplicables que ahora no vienen al caso.

    Lo que la ley exige es que se identifique y autentique al usuario que accede al fichero; aquí olvidate del concepto “fichero” que tengas, y vete al concepto “fichero” que establece la ley que es diferente.
    En este sentido, los usuarios que tengan acceso autorizado al fichero deberán autenticarse de alguna manera (ojo, no los clientes, sino los trabajadores del despacho); lo ideal es que se generen tantos usuarios como trabajadores con acceso autorizado existan, para que cada uno acceda con su cuenta al fichero; al ser un fichero Excel, en principio esto no sería posible, así que como mínimo una contraseña de apertura al fichero debería exigirse.

    PD: te borro el comentario del otro artículo porque es idéntico a este, así no duplicamos contenido 🙂

    Responder
  7. Las empresas españolas están en precario ante la seguridad informática, y cuando les cuentan las obligaciones que impone la LOPD y su reglamento se llevan las manos a la cabeza, afirmando que es de imposible cumplimiento. El primer problema que veo es que no se dan cuenta que la información es un activo cada dia más vital, y que hay que protegerlo, igual que se protegen las máquinas, vehiculos, edificios, etc. Así pues, si se concienciasen las empresas de la importancia de dicho activo, tomarian las medidas necesarias para protegerlo, y el cumplimiento de la LOPD saldria por añadidura. Así, aprobechando que la LOPD crea una clasificación de activos, yo la usaría para clasificar el resto de los activos y darle las medidas de seguridad de tal forma que a la vez se cumpliría la LOPD y se daria a los activos una protección adecuada a su valor.

    Les pondré un ejemplo: una empresa de ingeniería civil ha consumido unos enormes recursos en el diseño de un enorme viaducto (estudios tectónicos, diseño del viaducto, reparto de cargas, modelado por ordenador, estudios de stress, etc). Llevan gastado en el proyecto 5 millones de euros. Pero, toda la seguridad de proyecto reside en un sistema de copia de seguridad que se almacenan en la misma sala que el servidor de ficheros de la empresa. Se decara un pequeño incendio, que se lleva por delante la sala, quemandose el servidor y las copias de seguridad. Se han perdido 5 millones de euros y un tiempo precioso. El contrato es rescindido y además se pierde el prestigio profesional de la empresa que, en adelante cuelga con el sanbenito de no ser seria protegiendo la seguridad de sus proyectos.¿que falló? no tenian un plan de continuidad del negocio, que contendria, como un elemento mas, las politicas de identificación y autenticación y el documento de seguridad.

    Responder

Deja un comentario