Multa de 6000 euros por compartir en el Emule una base de datos

emuleAunque parezca extraño, lo que se va a narrar a continuación es mucho más frecuente de lo que podemos imaginar; el escenario: una oficina, los protagonistas: un ordenador con conexión ADSL y el Emule funcionando, el problema: que se comparte una base de datos de Microsoft Access (MDB) con miles de entradas con información personal. Ya tenemos todos los ingredientes para que la Agencia Española de Protección de Datos (AEPD) entre en escena.

Los hechos son denunciados en primer lugar por la Guardia Civil (luego se añadirán una comisaría de policía y la propia Fiscalía General del Estado), que tras hacer algunas búsquedas en el Emule, detectan dos ficheros .mdb (Microsoft Data Base) de Microsoft Access. Estas bases de datos contienen datos de carácter personal relativos a funcionarios de diversas Administraciones Públicas que habían solicitado o participado en cursos de formación organizados por la Confederación Sindical de Comisiones Obreras; datos relativos al nombre, apellidos, DNI, fecha de nacimiento, domicilio completo, teléfono, formación, etc.

La AEPD, después de las investigaciones pertinentes, termina en sancionar con multa de 6.000 euros a la Federación de Servicios y Administraciones Públicas de CCOO por infracción del artículo 9 de la LOPD (no adoptar las medidas de seguridad pertinentes) tipificada como grave. No obstante, hay que mencionar que las infracciones graves tienen una multa de entre 60.000 y 300.000 euros, por tanto ¿qué pudo alegar la Federación para que le rebajaran la multa? ¿Por qué no se sancionó al trabajador que tenía el Emule en su ordenador? ¿Se investigaron las 42 IPs que la Guardia Civil obtuvo del Emule y que facilitó en la denuncia? Y lo más importante ¿Por qué es constitutivo de infracción compartir en el Emule una base de datos con datos personales?
Para comprender el relato de los hechos es necesario ponernos en antecedentes. En primer lugar hay que determinar como se llega a la conclusión que la base de datos que estaba en el Emule era propiedad de CCOO; a esto se llega por varias razones: en primer lugar porque en la pantalla de inicio de la base de datos se podía leer las siglas “CC.OO.» y el título “Federación de Servicios de Administraciones Públicas – Área de Formación»; esto, unido al hecho de que la mencionada Federación realiza convoca cursos anualmente en todo el territorio nacional determinó que se admitiera que CCOO era el responsable del fichero (de la base de datos).

Una vez detectado el fichero en el Emule, la Guardia Civil facilita 42 direcciones IP que albergaban este fichero a la AEPD y además, posteriormente, remite nuevas direcciones IP. Sin embargo, y misteriosamente, no se investigarán ninguna de estas direcciones IPs ni tampoco se volverán a mencionar en todo el procedimiento. Por otra parte, se acude a las instalaciones de CCOO en Madrid y sus representantes afirman, que con motivo de un comunicado anterior de la policía en estos mismos términos, habían detectado que de los 6 ordenadores que tenían ADSL, uno de ellos tenía instalado el Emule; CCOO procedió a desinstalarlo y a instalar un cortafuegos.

Sin embargo tampoco se investigará quién era el usuario de ese ordenador o el responsable de los equipos informáticos.

Afirman además, que en la fecha que se produjo el incidente aún no se habían implantado todas las medidas de seguridad legales respecto de ninguna de las bases de datos mencionadas y tampoco se había elaborado aún el correspondiente Documento de Seguridad?.

Con todo esto, la AEPD acuerda iniciar el correspondiente procedimiento sancionador por la presunta infracción de los artículos 9 (no disponer de las medidas de seguridad legalmente exigibles) y 10 (deber de secreto) de la LOPD.

Llegamos este punto, CCOO inicia su batería de alegaciones para intentar librarse de la multa, que en principio, se acuerda en 60.000 euros.

Para ello, alega en su defensa (entre otras cosas):

– Que las infracciones han prescrito. En este caso las infracciones de los artículo 9 y 10 prescriben a los dos años. En relación con la presunta infracción del artículo 9 de la LOPD, no pueden tenerse en cuenta las alegaciones formuladas sobre la prescripción de la misma, por tratarse de una infracción continuada, que se caracterizan porque la conducta constitutiva del ilícito se mantiene durante un espacio prolongado de tiempo, de modo que el cómputo del plazo de prescripción no llega a iniciarse hasta tanto dicha conducta se interrumpe. En este caso, según las declaraciones que constan en el Acta de Inspección, realizadas por representantes de la FSAP-CCOO, “en el mes de mayo de 2004 aún no se habían implantado todas las medidas de seguridad legales respecto de ninguna de las bases de datos mencionadas […] y tampoco se había elaborado aún el correspondiente Documento de Seguridad?. El “Documento de Seguridad? que recoge las medidas de seguridad implantadas en los ficheros automatizados de la FSAP-CCOO, denominado “Protocolo de seguridad para el tratamiento automatizado de datos de carácter personal?, se elaboró, según sus propias manifestaciones, en el mes de marzo de 2005. Por tanto, se concluye que dicha infracción no habían prescrito el día en que fue notificado el inicio del presente procedimiento sancionador, esto es, el 19/09/2006, al no haber transcurrido el plazo de dos años señalado en el artículo 47.1 de la LOPD.

Sin embargo, respecto a la infracción del artículo 10 según la documentación incorporada a las actuaciones, únicamente consta acreditado que tales ficheros permanecieran accesibles para terceros a través de la red Internet hasta el 31/05/2004, según resulta de los accesos realizados por el agente de la Policía Local de Ourense que formuló la denuncia, de modo que la presunta infracción del deber de secreto (artículo 10 de la LOPD) había prescrito el día en que fue notificado el inicio del presente procedimiento sancionador, esto es, el 19/09/2006, por el transcurso del plazo de dos años señalado en el artículo 47.1 de la citada norma para las infracciones graves.

Así pues, recapitulando, la infracción del deber de secreto se declara prescrita pero no la de la falta de medidas de seguridad; punto positivo para el abogado defensor y punto negativo para la policía que sólo aportaron pruebas de que el fichero era accesible en el Emule hasta el 31 de mayo de 2005.

El citado artículo 9 de la LOPD establece el “principio de seguridad de los datos? imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que garanticen aquella, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado? por parte de terceros.

De modo que la FSAP-CCOO estaba obligada a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso a los datos contenidos en tales ficheros por parte de terceros. Sin embargo, ha quedado acreditado que incumplió esta obligación, incluso en lo relativo a la elaboración del Documento de Seguridad, que no se llevó a efecto, según las manifestaciones de los propios representantes de la FSAP-CCOO, hasta marzo de 2005.

Dado que ha existido vulneración del “principio de seguridad de los datos?, se considera que la FSAP-CCOO ha incurrido en la infracción grave descrita del artículo 9 de la LOPD, que encuentra su tipificación en el citado artículo 44.3.h) de la LOPD.

En vista de esto, alegan en su defensa que se les aplique el artículo 45.5 que establece que “si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate.?. Y ello en base a que han hecho diversas actuaciones enfocadas a cumplir con la LOPD:

  •  Acciones formativas.
  • Circular remitida por la Secretaría de Formación de la FSAP-CCOO a las secretarías territoriales sobre la aplicación de la LOPD.
  •  Circulares remitidas por las federaciones territoriales a secciones sindicales y responsables locales relativas a la protección de datos de carácter personal.
  • Elaboración de un “Protocolo de Seguridad para el Tratamiento Automatizado de Datos de Carácter Personal».
  • Formalización de un “Compromiso de Confidencialidad? por los usuarios de los Sistemas de Información de la entidad.

Es decir, que gracias a que CCOO elaboró el Documento de Seguridad, realizó acciones formativas, comunicó una circular en relación a la protección de datos, etc, se termina en aplicar el artículo 45.5 y del rango de multa entre 60.000 y 300.000 euros, bajamos al rango inferior, que es de 600 a 60.000, y finalmente se multa con 6.000 euros.

De la lectura de la resolución y su análisis podemos concluir varias afirmaciones:

1º: La importancia de tener el Documento de Seguridad y sus correspondientes medidas de seguridad actualizados y en consonancia con la ley, con el objeto de proteger los datos personales.

2º: No se menciona el trabajador que instaló el Emule o el responsable de informática, por lo que cabe deducir, que si alguien comparte en el Emule una base de datos de su empresa, parece entenderse que el responsable va a ser la empresa directamente por no tener las medidas de seguridad pertinentes (quizá no se investigara por estar prescrita la infracción del deber de secreto). Vuelta a la importancia de tener unas medidas de seguridad óptimas.

3º: Tener un abogado especializado en estos temas puede suponer ahorrarse 60.000 euros o más cuando se tenga un problema con la normativa de protección de datos.

Si estás interesado en la resolución, recomiendo una lectura completa de la misma para conocer todos los detalles. Yo he hecho un breve resumen sin pararme demasiado en aspectos técnicos – jurídicos para hacer más comprensible la lectura.

Resolución Completa

Comments
  • malonecab
    Posted 30 marzo 2007 08:15 0Likes

    Hola Samuel,

    no sabía que tenias blog! fuí alumno tuyo en amusal

    ya tienes un lector más!

    un saludo

  • Samuel
    Posted 30 marzo 2007 15:15 0Likes

    Hola !, vaya sorpresa !!. Podrías haber dejado tu nombre o alguna pista sobre quien eres para poder poner cara a tus palabras.

    El blog es de creación reciente; estaba presionado por varios amigos durante algún tiempo, animándome a que escribiera sobre estas cosas, y al final me he decidido.

    Espero que disfrutes con lo que aquí se vaya escribiendo 🙂

    Un saludo.

  • espinete
    Posted 2 abril 2007 07:59 0Likes

    Afortunadamente las presiones han dado resultado. Bravo !!!

  • Esther
    Posted 2 abril 2007 09:35 0Likes

    Hola Samuel, soy Esther Botella, y me he encontrado con tu blog por casualidad, lo seguiré atentamente. un saludo

  • Samuel
    Posted 2 abril 2007 18:02 0Likes

    Hola Esther!, bienvenida al blog 🙂

  • espinete
    Posted 20 junio 2007 22:20 0Likes

    Qué pasaría si te conectas a una página web de recordar contraseña, en la que conoces el identificador de un usuario y haces el proceso muchísimas veces ? Hay algo ilegal en ello, por conocer el nombre de usuario y utilizarlo ??

    Saludos.

  • Tomas
    Posted 14 septiembre 2009 23:55 0Likes

    Yo lo que he oido por todos lados es que esa gente de Amusal son unos vividores que no dan palo y se dedican a vivir de las subvenciones y de las peliculas que se montan. Es más, el actual gerente, es un autentico personaje!!!!

Leave A Comment

Your email address will not be published. Required fields are marked *