Sobre el autor

Samuel Parra

Jurista. Experto en privacidad y protección de datos de carácter personal. 14 años de experiencia en el sector.

13 comentarios

  1. Pingback: meneame.net

  2. 2

    Herminio

    Por qué si la sancion mínima es de 60.000 euros la APD, la deja en 1.000 euros. ¿No esta delinquiendo la APD al hacerlo?

    Responder
  3. Pingback: Aportar contraseñas en un juicio es ilegal (meneame) | BlogUniverso

  4. 3

    Valentín

    Samuel,
    Te voy a reprochar el titular de esta noticia.
    La sanción no es por aportar la contraseña sino por no cumplir con el documento de seguridad y con el RD 1720/2007.

    Herminio
    Art 45.5 de la LOPD. Contempla la reducción de la cuantía de la sanción en función de la antijuridicidad de la infracción,etc. Es absolutamente legal.

    Responder
  5. 4

    Samuel Parra

    Hola Valentín.
    La sanción, si observas la Resolución, emana de la vulneración del artículo 11.3 del Real Decreto 994/1999 (el 1720/2007 no era aplicable todavía); este artículo, el 11.3, te lo invoca la Agencia en el Fundamento de Derecho Tercero, donde dice literalmente: “En el presente supuesto, la password, palabra clave o PIN cuando se refiere a números resulta inteligible y ello es lo que provoca la apertura del presente procedimiento.”.

    El hecho de que en el Documento de Seguridad se declare una cosa, y luego la realidad sea otra es irrelevante a efectos sancionadores: lo que importa es la REALIDAD y no lo que digas en el Documento de Seguridad; además, en ningún sitio existe una tipificación en relación a que no se cumpla con el documento de seguridad, lo que te exige la LOPD y su reglamento es que tengas un Documento de Seguridad con unos mínimos: si tienes Documento de Seguridad pero por ejemplo no cifras las contraseñas, la sanción no puede venir en ningún caso por “mentir” en el Documento de Seguridad (infracción sin tipificar) sino por no cifrar las contraseñas.

    Además, en el propio artículo he citado literalmente otro extracto de la Agencia, donde dice que: “no es que se aporte en abierto (la contraseña) para que el Juzgado pueda visualizarla, que también es sancionable, sino que previamente se hallaba visible”, aquí te está diciendo la Agencia (no yo), que aportar la contraseña al Juzgado ya es sancionable, pero aquí lo es incluso antes porque la contraseña era visible desde un primer momento.

    En definitiva, yo lo veo bastante claro, y como ya dije, la apertura del procedimiento sancionadora es por tener las contraseñas sin cifrar, no por no cumplir con el Documento de Seguridad.
    En este otro artículo sí tienes una sanción por no tener Documento de Seguridad, que es lo tipificado: http://www.samuelparra.com/2008/03/25/no-tener-documento-de-seguridad-puede-salirte-caro/

    Nunca te podrán sancionar por no cumplir con el Documento de Seguridad porque eso no es una conducta típica (y perdona que me repita), te podrán sancionar por no cumplir con alguna de las medidas que exige el Real Decreto correspondiente, y te pongo un ejemplo: yo pongo en el Documento de Seguridad que hago copias de seguridad diarias, pero me llega una inspección y comprueba que las copias de seguridad son semanales ¿me podrían sancionar porque “miento” en el Documento de Seguridad?, en ningún caso, porque hacerlas semanalmente es el mínimo que me exige la ley, por tanto no hay conducta infractora; ¿y si comprueban que no hago copias de seguridad?, me sancionarán entonces, pero no por mentir en el Documento de Seguridad, sino por vulnerar el artículo 94.1 del Real Decreto 1720/2007 que es la norma que me obliga…

    Responder
  6. 5

    José Ramírez

    Hola Samuel. Te comento mi caso. En marzo de 2007 me detectarón una disfunción hepática grave, por lo que di parte a la compañía de seguros de mi entidad bancaria RURALVIDA, indicándoles que el tribunal de incapacidades me habia dado la INCAPACIDAD PERMANENTE ABSOLUTA con fecha de noviembre de 2007(revisable cada dos años). Estos, me pidieron toda clase de informes, incluidos el dictamen del tribunal de incapacidades con su resultado final, en la que entre otras cosas me decían ( en dicho dictamen) que, dicha disfunción había sido producido por la ingesta de alcohol durante mucho tiempo ( falso) y por “según ellos” trastornos en la personalidad por adicción a sustancias. Esto da lugar a varias interpretaciones: 1º.-Que según ellos soy alcohólico. 2ª que además soy toxicómano (cuando la realidad es que, debido a una gran depresión por separación matrimonial muy traumática, un psiquiatra de pago (no dependiente de la Seguridad Social) me recetó TRANQUIMAZIN 2 mg…UN COMPRIMIDO CADA 8 HORAS DURANTE MAS DE AÑO Y MEDIO¡¡¡¡ y que para mayor INRI me la recetó mi médico de cabecera, que no se entera en hombre, diciendo que la medicación prescrita era correcta…?????) Lo peor del caso es que…según los señores de la compañía de seguros, me pidieron documentación a través de la entidad bancaria (RURALCAJA) y cual es mi sorpesa cuando un buen dia me notifican operariosde la misma que ya había cobrado el seguro (unos 34.000 euros) y que, obviamente, habian tenido aceeso a información que, según tengo entendido es confidencial. Esta entidad está en Almussafes (Valencia) un pequeño pueblo de apenas 7.000 habitantes, donde fui Jefe de Policía Local. Desde entonces me miran TODOS LOS HABITANTES como un apestado, como un borracho y un drogata (nunca he tomado mas de una copa esporádicamente ni consumido sustancias psicotrópicas o drogas) De quien es la culpa??? A quien debo denunciar?? A Ruralvia o a Ruralcaja??? lo bien cierto es que mi reputación se ha ido al garete por hacer (quienes sean) las cosas con el culo (y perdón por la expresión) o quizás por cotilleo, muy dado en los pequeños pueblos. Ruego me asesores. Gracias.

    Responder
  7. 6

    Valentín

    Samuel,

    Totalmente de acuerdo con tu planteamiento. Quizás me he explicado mal y con argumentos “pelin” torpes.

    Sin embargo discrepo con la Agencia en donde dice: “no es que se aporte en abierto (la contraseña) para que el Juzgado pueda visualizarla, que también es sancionable, sino que previamente se hallaba visibleâ€?
    En ninguna parte del RD se establece que el cifrado de la contraseña haya de ser irreversible (o al menos no lo recuerdo). Ha de ser ininteligible en donde se encuentre almacenada.

    Eso abre una puerta que es en la que, de forma poco clara, me apoyo para discrepar contigo en el titular.

    No acabo de entender por qué es sancionable según la AGPD y me explico a continuación

    Si en tu D.S. estableces que la aplicación almacenará la contraseña cifrada, pero de forma reversible mediante una contraseña maestra auditada y con doble custodio (cada mitad la conoce una de dos personas, ejemplo de la PCI de Visa y MasterCard), por un lado cumples el RD -la contraseña es initeligible en su almacenamiento- y por otro lado te dejas la posibilidad de presentarla como prueba en un juicio sin ser sancionado por la AGPD.
    Por otro lado como la contraseña no es un dato personal -no cumple con todos los requisitos- tampoco estás infringiendo la LOPD por cuanto no estas revelando un dato personal sin previa petición del juez.

    Pero bajo estos requisitos no hay nada que me genere el riesgo a sanción, salvo el criterio personal del Instructor de la AGPD.

    Lo que está claro es que los del Dpto. de Sistemas o los del Jurídico de Interflora son unos patanes y ellos solos se han puesto la soga al cuello.

    Un cordial saludo.

    Responder
  8. 7

    Pit

    Samuel, tu interpretación respecto al documento de seguridad supondria que su significado es vacio: solo importa que lo tengas, lo que ponga en el no tiene importancia. Sin embargo, he oido alguna vez a personal de la Agencia decir que esto no es cierto, que lo que pone el el documento de seguridad es ley para la empresa pero que, por otra parte, con el volumen de denuncias que tienen no se van a parar en esos detalles, ni nadie lo va a denunciar. Al igual que los códigos tipo, otro tema en el que no entran por lo mismo. Las mejoras que supone un código tipo para quienes lo adoptan serian obligatorias y originarian la sanción correspondiente en caso de incumplimiento. Claro, ¿quien va a denunciar el incumplimiento de un código tipo? nadie, por fortuna para la Agencia.

    Responder
  9. 8

    Samuel Parra

    Hola Pit: pero según esa teoria, en el ejemplo que he puesto sobre las copias de seguridad, ¿la empresa sería sancionada por no hacerlas cada dia y sí cada semana? ¿en base a qué artículo?, porque el RD te dice expresamente que el Documento de Seguridad tendrá carácter de “documento interno de la empresa”.

    Valentin: yo no estoy tan seguro que una clave reversible vaya a ser conforme al RD, dando igual que esté auditada cada hora y con triple custodio… pero vamos, es mi opinión 🙂

    Responder
  10. 9

    jc

    Hola Samuel…

    Pues yo tengo mis dudas en este tema…

    Si no lo he entendido mal, es un cliente de la página web de interflora, correcto?

    Las contraseñas son uno de los mecanismos de identificación y autenticación que exige el RLOPD (RMS en su momento) con respecto a los USUARIOS AUTORIZADOS DEL SISTEMA DE INFORMACIÓN…

    Quiero decir.. que esta obligación es aplicable al personal interno/externo de interflora, no a sus clientes.

    Clara muestra de ello… es que no conozco ningún servicio web en el que la contraseña caduque al año (pensad en gmail, hotmail, la página del banco, la de la DGT para consultar el saldo por puntos, etc. etc. etc.)

    Considero que está mal que las contraseñas no se almacenen de forma ininteligible por Interflora… pero no creo que la AEPD sea competente para sancionarlo.

    Si resulta que los clientes también son “usuarios” en los términos del RLOPD… nos adentramos una vez más en un terreno muy peligroso donde acaba pringando todo el mundo.

    Responder
  11. 10

    Recaredo

    Vaya chorrada, si el tipo era un chorizo que no pagaba las flores es lógico que la empresa manejara la contraseña de acceso a su correo; a él es al que hay que condenar, no a la empresa de floristería, que son las vfíctimas. La verdad es que esta puta ley es una pasada, espero que la deroguen a no tardar mucho.

    Responder
  12. 11

    Anonimo

    Samuel Parra dijo:

    Samuel Parra dijo el 13 de Agosto, de 2009, a las 11:19

    Hola Pit: pero según esa teoria, en el ejemplo que he puesto sobre las copias de seguridad, ¿la empresa sería sancionada por no hacerlas cada dia y sí cada semana? ¿en base a qué artículo?, porque el RD te dice expresamente que el Documento de Seguridad tendrá carácter de “documento interno de la empresaâ€?.

    La cuestión está en que si tu tienes un incidente de seguridad, pero estás bien protegido, dentro de los límites lógicos de lo que es el “estado del arte” de la informática, te podrias librar, pues no se pueden tomar todas las precauciones para que tu sistema sea invulnerable. Pero si tienes un buen DS, que incumples, y como consecuencia tienes un incidente de seguridad que origine actuaciones de la Agencia, no podrias alegar esa imposibilidad de cubrirte de todos los riesgos. Así en el caso de Arsys, si hubiesen tenido ya implantado completamente el SGSI, podrian haberse librado de la sanción. El fallo fue no tenerlo.
    Esta es mi conclusión de lo que he ido hablando con los inspectores en las diversas inspecciones a las que he asistido. Lo malo es que como apenas se pueden tener retazos de conversación durante la inspección, estas ideas las voy componiendo poco a poco.

    Responder
  13. 12

    Samuel Parra

    Anónimo: yo creo que la Agencia aplica la tesis del Supremo, en el sentido que en materia de seguridad se impone una obligación de resultado, siendo irrelevante si tienes todas las ISO, todos los SGSI habidos y por haber, etc.

    Responder

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *