portada

Publicar datos personales en los comentarios de blogs o foros

¿Tiene responsabilidad el usuario que introduce datos personales de terceros en los comentarios de un blog o foro? ¿Y el dueño de la web?
¿Podría ser sancionado un usuario por publicar datos personales de un tercero sin su consentimiento en estos espacios dedicados a la discusión?
Según la Agencia Española de Protección de Datos NO.

Ojo: no se trata de “responsabilidad” desde la perspectiva de la Ley de Servicios de la Sociedad de la Información (LSSI) sino desde el punto de vista de la Ley Orgánica de Protección de Datos, de la cual creo que aun no se ha hablado.

El título habla de blogs o foros pero en realidad las conclusiones a las que vamos a llegar se pueden extender a cualquier web de noticias o información que permita la inclusión de comentarios por parte de los lectores, de hecho, la resolución de la Agencia Española de Protección de Datos está referida al caso de un portal de noticias en el cual se publicó, en un comentario, datos personales de terceros sin su consentimiento.

La Guardia Civil devuelve un ordenador incautado con documentación confidencial

En 2001, con motivo de la denominada operación “Mediterráneo”, se detuvo a D. X.X.X., a quien se le incautaron 2 ordenadores y una cámara fotográfica por parte de la Guardia Civil para su estudio.

D. X.X.X. fue condenado a un año de prisión como cómplice de un delito contra la salud pública. Saldada su deuda con la justicia, consiguió que en 2005 se ordenase la devolución de su material incautado.
Con los ordenadores y la cámara en su poder, intentó recuperar sus antiguos documentos utilizando alguna aplicación de recuperación de ficheros, y lo cierto es que la aplicación debió funcionar bien porque recuperó cientos de documentos confidenciales de investigaciones de la Guardia Civil en relación a seguimientos de sospechosos y escuchas telefónicas entre otras cosas. Además, en la tarjeta de memoria de la cámara encontró decenas de fotografías de investigados y sospechosos.

Resulta evidente que el material informático fue utilizado por la Guardia Civil durante el tiempo que permaneció incautado, y que una vez devuelto no tuvieron las diligencias oportunas para evitar el recuperado de información, y que por otra parte no cumplía con las medidas de seguridad exigidas por ley porque, según manifestaciones de la Guardia Civil, esos ordenadores no fueron conectados a la red corporativa y por tanto no era necesario instalar medidas de seguridad.

En abril de 2008, la Agencia Española de Protección de Datos se ha pronunciado al respecto, declarando que la Guardia Civil ha incurrido en una infracción muy grave de la Ley Orgánica de Protección de Datos.

Para conocer los detalles de los hechos, click en

Primera sanción por no disponer de usuario y contraseña

Existe un gran desconocimiento respecto a las medidas de seguridad que un fichero con datos de carácter personal debe disponer, y aquí me estoy refiriendo a las medidas de seguridad que el ordenamiento jurídico impone (no a las voluntarias o recomendables)
Pocas son las empresas que las cumplen, y si hablamos de profesionales individuales, creo que el grado de cumplimiento tiende a 0.

Si a este desconocimiento de la legislación le sumamos la poca concienciación que existe en el ámbito empresarial de entender que el activo más valioso para cualquier profesional son los datos de sus clientes, nos encontramos con que la mayoría de los sistemas de información no cumplen unos requisitos mínimos de seguridad, como la del caso que vamos a examinar en relación a la existencia de un mecanismo de identificación y autentificación, o lo que es lo mismo, de usuario y contraseña (normalmente).

Porque en efecto, tanto la regulación actual como la anterior, imponen la obligación de que para acceder al fichero con datos de carácter personal exista un mecanismo de estas características.

En este caso el sancionado ha sido un abogado, por denuncia de un particular; para seguir leyendo haz click en