Recordad, un fallo en las medidas de seguridad puede acarrear una sanción de 6000 Euros
Categorías: Agencia Proteccion Datos / LOPD / Normativa / Protección de Datos / Resoluciones / Sanciones / Seguridad
Debe vez en cuando es interesante pasarse por la página web de la Agencia Española de Protección de Datos de carácter personal y observar, dentro del apartado de «Resoluciones de Procedimientos Sancionadores«, cuántos procedimientos han sido tramitados por un incumplimiento de las medidas de seguridad en materia de protección de datos de carácter personal, los agujeros de seguridad que han sido los desencadenantes de dichos procedimientos y la sanción que impone la AEPD. Como ejemplo de procedimiento sancionador en materia de seguridad nos haremos eco de la siguiente resolución: PS/00705/2008
En la misma, algo tan sencillo como haber dejado abierto en el servidor un fichero denominado «prueba.php» con el listado de correos electrónicos de los participantes en un concurso on-line se cierra con una sanción de la AEPD de 6.000 €, por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma. Sanción que ha sido en su caso disminuída puesto que una infracción grave, según la LOPD, conllevaría una sanción mínima de 60.000 Euros.
Tal y como hemos comentado, los hechos acaecidos son:
En el caso que nos ocupa, ha quedado acreditado que, se accedía libremente a través de Internet a los datos de usuario, contraseña y dirección de correo electrónico (email) de los participantes en el juego de promoción de la película de 7 Mesas de Billar Francés, desde http://www….X…./…../links/.
Asímismo es interesante, tal y como establece la propia resolución, recordar que la dirección de correo electrónico puede ser considerado como un dato de carácter personal.
A la vista de lo anterior, se deduce que la dirección de correo electrónico, considerando que contiene información acerca de su titular, o en la medida en que permita proceder a la identificación del mismo, ha de ser considerada como dato de carácter personal y su tratamiento sometido a la citada Ley Orgánica, por lo que, con carácter general, no será posible su utilización o cesión si el interesado no ha dado su consentimiento para ello.
La dirección de correo electrónico se forma por un conjunto de signos o palabras libremente elegidos, generalmente por su titular, con la única limitación de que dicha dirección no coincida con la correspondiente a otra persona. Esta combinación podrá tener significado en sí misma o carecer del mismo, atendiendo al grado de identificación del titular de la cuenta de correo que proporcione la dirección de que se trate. Así, existirán supuestos en los que voluntaria o involuntariamente la dirección de correo electrónico contenga información acerca de su titular que lo identifique, en los cuales no existe duda de que dicha dirección ha de ser considerada como dato de carácter personal, o supuestos en los que la dirección de correo electrónico no parece mostrar datos relacionados con la persona titular de la cuenta, de modo que no nos encontramos ante un dato de carácter personal, a no ser que otros datos (dominio, domicilio, etc.), conjunta o separadamente, permitan, como en el presente supuesto, la identificación del sujeto sin un esfuerzo desproporcionado por parte de quien procede a la identificación, en cuyo caso, la dirección de correo electrónico quedará amparada por el régimen establecido en la LOPD.
Y también nos sirve para recordar que de nada sirve aprobar de manera formal las medidas de seguridad (es decir, contar con la documentación y los procedimientos descritos en la propia legislación de protección de datos), sino que deben ser observadas dichas medidas, es decir deben ser adoptadas e implantadas. Es una obligación de resultado.
No basta, entonces, con la adopción de cualquier medida, pues deben ser las necesarias para garantizar aquellos objetivos que marca el precepto. Y, por supuesto, no basta con la aprobación formal de las medidas de seguridad, pues resulta exigible que aquéllas se instauren y pongan en práctica de manera efectiva. Así, de nada sirve que se aprueben unas Instrucciones detalladas sobre el modo de proceder para la recogida y destrucción de documentos que contengan datos personales, si luego no se exige a los empleados del banco la observancia de aquellas instrucciones.
Se impone, en consecuencia, una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros. En definitiva y como manifiesta el Abogado del Estado en la contestación, la recurrente es, por disposición legal, una deudora de seguridad en materia de datos, y por tanto debe dar una explicación adecuada y razonable de cómo los datos han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas, pues también es responsable de que las mismas se cumplan y se ejecuten con rigor. En definitiva toda responsable de un fichero (o encargada de tratamiento) debe asegurarse de que dichas medidas o mecanismos se implementen de manera efectiva en la práctica sin que, bajo ningún concepto, datos bancarios o cualesquiera otros datos de carácter personal puedan llegar a manos de terceras personas.
Nada nuevo en la resolución, pero nos viene bien cada cierto tiempo no bajar la guardia en la implantación de las medidas de seguridad y actualizar lo que sea preceptivo en cada momento, tanto en el ámbito formal (documentación, procedimientos, etc.) como en el tecnológico (actualizando sistemas, revisando las medidas implantadas, etc.)