Los datos personales de un gran número de niños en proceso de adopción o adoptados y las correspondientes parejas de adoptantes, se hallaban en redes de intercambio de ficheros P2P; la información se contenía en dos bases de datos .mdb. La Agencia Española de Protección de Datos ha sancionado a la Asociación que estaba a cargo de estas adopciones, pero los ficheros podrían haber sido intercambiados por multitud de usuarios.
Un caso más de aparición en este tipo de redes de documentos o bases de datos con información personal, confidencial o privada. Sin embargo en esta ocasión considero el asunto de especial gravedad, pues la información de los ficheros hace referencia a los datos personales de niños en fase de adopción o adoptados y sus adoptantes.
En concreto se trataba de 2 bases de datos de Microsoft Access, cuyos nombre de fichero eran “ecai-cmancha.mdb” y “ecai-madrid.mdb” (no os molestéis en buscarlos porque ya han sido eliminados).
¿Cómo se produjo la fuga de datos?
Parece que no fue la clásica torpeza becerril de instalar el eMule en el servidor de la Asociación y compartir C:\, sino que por el relato de los hechos se desprende que la esposa del programador de la base de datos se copió en un pen-drive dicha base de datos, sin autorización de la Asociación, la volvió a copiar a su ordenador de casa y la estuvo compartiendo en el eMule. Pudo copiarla sin problemas porque era trabajadora de la Asociación, pero después de descubrir el asunto fue despedida.
La Ley Orgánica de Protección de Datos es plenamente aplicable en este supuesto. El artículo 9 de la LOPD establece el “principio de seguridad de los datos” imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que garanticen aquella, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado” por parte de terceros.
Sintetizando las previsiones legales puede afirmarse que:
a) Las operaciones y procedimientos técnicos automatizados o no, que permitan el acceso –la conservación o consulta- de datos personales, es un tratamiento sometido a las exigencias de la LOPD.
b) Los ficheros que contengan un conjunto organizado de datos de carácter personal así como el acceso a los mismos, cualquiera que sea la forma o modalidad en que se produzca, están, también, sujetos a la LOPD.
c) La LOPD impone al responsable del fichero la adopción de medidas de seguridad, cuyo detalle se refiere a normas reglamentarias, que eviten accesos no autorizados.
d) El mantenimiento de ficheros carentes de medidas de seguridad que permitan accesos o tratamientos no autorizados, cualquiera que sea la forma o modalidad de éstos, constituye una infracción tipificada como grave.
En este caso la Asociación vulneró este principio de seguridad de los datos al permitir el acceso de terceros no autorizados a información personal.
La Agencia Española de Protección de Datos sancionó finalmente con 6000 euros a dicha Asociación, sanción que a mi juicio se muestra insuficiente dada la naturaleza de los datos difundidos.
Otro asunto que levanta mi curiosidad desde hace algún tiempo es el procedimiento seguido por la Agencia para averiguar el titular de la línea telefónica desde la que se estaba compartiendo el fichero. Recordemos que no era la Asociación quien compartía el fichero sino una ex-trabajadora desde su casa; la Agencia descubre este extremo al inicio de las actuaciones cuando Telefónica le remite el nombre, apellidos y dirección del titular de la línea que a la fecha y hora indicada estaba haciendo uso de la dirección IP que compartía el fichero.
¿Fue esta prueba obtenida de forma lícita? ¿Puede la Agencia, directamente y sin autorización judicial, requerir dicha información a los ISP? Recordemos que la Ley 25/2007 de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones obliga con carácter general a solicitar autorización judicial para conseguir precisamente, y entre otra, la información relativa al titular de una dirección IP en un momento determinado.
Para ampliar esta información recomiendo dos geniales artículos de David Maeztu: El rastreo de usuarios en internet por la policia. Sentencia del TS 236/2008 y La viga propia o los métodos de la Agencia de Protección de Datos.
La Resolución sancionadora es de fecha 2 de abril de 2009.
Fuente: http://www.samuelparra.com
El caso particularmente esta bastante bien comentado, solo añadiria una pregunta o una reflexion mas.
en el articulo 86 del reglamento, habla sobre el regimen de trabajo fuera de los locales del responsable del fichero o encargado de tratamiento, habria que ver si esa persona tenia autorizacion o no, que aun asi seria incumpliendo la norma por publicar datos en la red sin consentimiento, pero puede ser que la sancion sea mas débil porque si tiene autorizacion firmada estariamos hablando de otros terminos, si a eso se le suma que no creo que lo hiciera a conciencia sino por mala praxis creo que da lugar a una sancion menor.
es solo una opinion