Recordad, un fallo en las medidas de seguridad puede acarrear una sanción de 6000 Euros

publicado el 26 enero 2010

Categorías: Agencia Proteccion Datos / LOPD / Normativa / Protección de Datos / Resoluciones / Sanciones / Seguridad

Debe vez en cuando es interesante pasarse por la página web de la Agencia Española de Protección de Datos de carácter personal y observar, dentro del apartado de «Resoluciones de Procedimientos Sancionadores«, cuántos procedimientos han sido tramitados por un incumplimiento de las medidas de seguridad en materia de protección de datos de carácter personal, los agujeros de seguridad que han sido los desencadenantes de dichos procedimientos y la sanción que impone la AEPD. Como ejemplo de procedimiento sancionador en materia de seguridad nos haremos eco de la siguiente resolución : PS/00705/2008

En la misma, algo tan sencillo como haber dejado abierto en el servidor un fichero denominado «prueba.php» con el listado de correos electrónicos de los participantes en un concurso on-line se cierra con una sanción de la AEPD de 6.000 €, por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma. Sanción que ha sido en su caso disminuída puesto que una infracción grave, según la LOPD, conllevaría una sanción mínima de 60.000 Euros.

Tal y como hemos comentado, los hechos acaecidos son:

En el caso que nos ocupa, ha quedado acreditado que, se accedía libremente a través de Internet a los datos de usuario, contraseña y dirección de correo electrónico (email) de los participantes en el juego de promoción de la película de 7 Mesas de Billar Francés, desde http://www….X…./…../links/.

Asímismo es interesante, tal y como establece la propia resolución, recordar que la dirección de correo electrónico puede ser considerado como un dato de carácter personal.

A la vista de lo anterior, se deduce que la dirección de correo electrónico, considerando que contiene información acerca de su titular, o en la medida en que permita proceder a la identificación del mismo, ha de ser considerada como dato de carácter personal y su tratamiento sometido a la citada Ley Orgánica, por lo que, con carácter general, no será posible su utilización o cesión si el interesado no ha dado su consentimiento para ello.
La dirección de correo electrónico se forma por un conjunto de signos o palabras libremente elegidos, generalmente por su titular, con la única limitación de que dicha dirección no coincida con la correspondiente a otra persona. Esta combinación podrá tener significado en sí misma o carecer del mismo, atendiendo al grado de identificación del titular de la cuenta de correo que proporcione la dirección de que se trate. Así, existirán supuestos en los que voluntaria o involuntariamente la dirección de correo electrónico contenga información acerca de su titular que lo identifique, en los cuales no existe duda de que dicha dirección ha de ser considerada como dato de carácter personal, o supuestos en los que la dirección de correo electrónico no parece mostrar datos relacionados con la persona titular de la cuenta, de modo que no nos encontramos ante un dato de carácter personal, a no ser que otros datos (dominio, domicilio, etc.), conjunta o separadamente, permitan, como en el presente supuesto, la identificación del sujeto sin un esfuerzo desproporcionado por parte de quien procede a la identificación, en cuyo caso, la dirección de correo electrónico quedará amparada por el régimen establecido en la LOPD.

Y también nos sirve para recordar que de nada sirve aprobar de manera formal las medidas de seguridad (es decir, contar con la documentación y los procedimientos descritos en la propia legislación de protección de datos), sino que deben ser observadas dichas medidas, es decir deben ser adoptadas e implantadas. Es una obligación de resultado.

No basta, entonces, con la adopción de cualquier medida, pues deben ser las necesarias para garantizar aquellos objetivos que marca el precepto. Y, por supuesto, no basta con la aprobación formal de las medidas de seguridad, pues resulta exigible que aquéllas se instauren y pongan en práctica de manera efectiva. Así, de nada sirve que se aprueben unas Instrucciones detalladas sobre el modo de proceder para la recogida y destrucción de documentos que contengan datos personales, si luego no se exige a los empleados del banco la observancia de aquellas instrucciones.
Se impone, en consecuencia, una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros. En definitiva y como manifiesta el Abogado del Estado en la contestación, la recurrente es, por disposición legal, una deudora de seguridad en materia de datos, y por tanto debe dar una explicación adecuada y razonable de cómo los datos han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas, pues también es responsable de que las mismas se cumplan y se ejecuten con rigor. En definitiva toda responsable de un fichero (o encargada de tratamiento) debe asegurarse de que dichas medidas o mecanismos se implementen de manera efectiva en la práctica sin que, bajo ningún concepto, datos bancarios o cualesquiera otros datos de carácter personal puedan llegar a manos de terceras personas.

Nada nuevo en la resolución, pero nos viene bien cada cierto tiempo no bajar la guardia en la implantación de las medidas de seguridad y actualizar lo que sea preceptivo en cada momento, tanto en el ámbito formal (documentación, procedimientos, etc.) como en el tecnológico (actualizando sistemas, revisando las medidas implantadas, etc.)