Los datos de cientos de niños adoptados aparecen en redes P2P
Los datos personales de un gran número de niños en proceso de adopción o adoptados y las correspondientes parejas de adoptantes, se hallaban en redes de intercambio de ficheros P2P; la información se contenía en dos bases de datos .mdb. La Agencia Española de Protección de Datos ha sancionado a la Asociación que estaba a cargo de estas adopciones, pero los ficheros podrían haber sido intercambiados por multitud de usuarios.
Un caso más de aparición en este tipo de redes de documentos o bases de datos con información personal, confidencial o privada. Sin embargo en esta ocasión considero el asunto de especial gravedad, pues la información de los ficheros hace referencia a los datos personales de niños en fase de adopción o adoptados y sus adoptantes.
En concreto se trataba de 2 bases de datos de Microsoft Access, cuyos nombre de fichero eran «ecai-cmancha.mdb» y «ecai-madrid.mdb» (no os molestéis en buscarlos porque ya han sido eliminados).
¿Cómo se produjo la fuga de datos?
Parece que no fue la clásica torpeza becerril de instalar el eMule en el servidor de la Asociación y compartir C:, sino que por el relato de los hechos se desprende que la esposa del programador de la base de datos se copió en un pen-drive dicha base de datos, sin autorización de la Asociación, la volvió a copiar a su ordenador de casa y la estuvo compartiendo en el eMule. Pudo copiarla sin problemas porque era trabajadora de la Asociación, pero después de descubrir el asunto fue despedida.
La Ley Orgánica de Protección de Datos es plenamente aplicable en este supuesto. El artículo 9 de la LOPD establece el «principio de seguridad de los datos» imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que garanticen aquella, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el «acceso no autorizado» por parte de terceros.
Sintetizando las previsiones legales puede afirmarse que:
- a) Las operaciones y procedimientos técnicos automatizados o no, que permitan el acceso –la conservación o consulta- de datos personales, es un tratamiento sometido a las exigencias de la LOPD.
- b) Los ficheros que contengan un conjunto organizado de datos de carácter personal así como el acceso a los mismos, cualquiera que sea la forma o modalidad en que se produzca, están, también, sujetos a la LOPD.
- c) La LOPD impone al responsable del fichero la adopción de medidas de seguridad, cuyo detalle se refiere a normas reglamentarias, que eviten accesos no autorizados.
- d) El mantenimiento de ficheros carentes de medidas de seguridad que permitan accesos o tratamientos no autorizados, cualquiera que sea la forma o modalidad de éstos, constituye una infracción tipificada como grave.
En este caso la Asociación vulneró este principio de seguridad de los datos al permitir el acceso de terceros no autorizados a información personal.
La Agencia Española de Protección de Datos sancionó finalmente con 6000 euros a dicha Asociación, sanción que a mi juicio se muestra insuficiente dada la naturaleza de los datos difundidos.
Otro asunto que levanta mi curiosidad desde hace algún tiempo es el procedimiento seguido por la Agencia para averiguar el titular de la línea telefónica desde la que se estaba compartiendo el fichero. Recordemos que no era la Asociación quien compartía el fichero sino una ex-trabajadora desde su casa; la Agencia descubre este extremo al inicio de las actuaciones cuando Telefónica le remite el nombre, apellidos y dirección del titular de la línea que a la fecha y hora indicada estaba haciendo uso de la dirección IP que compartía el fichero.
¿Fue esta prueba obtenida de forma lícita? ¿Puede la Agencia, directamente y sin autorización judicial, requerir dicha información a los ISP? Recordemos que la Ley 25/2007 de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones obliga con carácter general a solicitar autorización judicial para conseguir precisamente, y entre otra, la información relativa al titular de una dirección IP en un momento determinado.
Para ampliar esta información recomiendo dos geniales artículos de David Maeztu: El rastreo de usuarios en internet por la policia. Sentencia del TS 236/2008 y La viga propia o los métodos de la Agencia de Protección de Datos.
La Resolución sancionadora es de fecha 2 de abril de 2009
Comments
Pit
Tenemos aquí el caso de una actuación ilegal que, finalmente, tiene un efecto beneficioso. Gracias a disponer de los datos de tráfico pudo ordenar a quien compartia el fichero, que dejase de hacerlo.
La ley de retención de datos de tráfico deberia cambiarse para que la Agencia pudiese cumplir su función sin que chirrie la legalidad.
Roberto J. Alcalá Sánchez
Bueno, si la obtención de los datos se ha echo de manera ilegal, entonces esa ‘prueba’ puede declarase nula si se recurre la sentencia, y si no hay ninguna prueba más en su contra pues no se la podría acusar de nada, ¿me equivoco?.
En cuanto a que la APD pueda pedir esos datos sin autorización: no se como se elegirán los miembros de la agencia, pero los policías son funcionarios que deben superar una serie de pruebas (físicas, médicas, psicológicas, de conocimientos generales) además de los exámenes de la academia y superar las prácticas. Aún así no me influye ninguna confianza que la policía no requiriese autorización judicial, mucho menos los miembros de la agencia.
En el fondo sería declarar la APD como una ‘autoridad competente’, como surgió con la LSSI. No era un dato que no se pudiera obtener si no se hacía al momento, se puede y debe esperar a la autorización del juez.
Además dudo que la APD deba recurrir en cada caso a los registros de compañías telefónicas, así que sólo ocasionalmente deberá pedir permisos al juez, a diferencia de la policía que casi para todo deberá pedir permisos (pinchar un teléfono, hacer un registro domiciliario, conocer las cuentas bancarias, registro de llamadas…). Y no creo que nadie se queje demasiado porque la policía deba pedir cada dos por tres autorizaciones a los jueces.
Saludos.
Anonimo
Roberto J. Alcalá Sánchez dijo:
1.- La dirección IP la utilizan para requerir a quien está compartiendo el fichero a dejar de hacerlo y borrarlo. Dado que no lo usan para sancionarlo, creo que saben la limitación que tienen.
2.- Las operadoras dan la información a la AEPD, pero a la policia le piden orden judicial. De hecho, he hablado con oficiales de la policia que alucinaban por ésto. Yo les explicaba que el motivo está en nuestro corto recorrido democrático, que de las investigaciones de la policia salen sentencias de carcel y que de la AEPD solo salen sanciones.
3.- La elección de los miembros de la Agencia: los inspectores han de ser funcionarios de grupos A de cuerpos TIC, los subinspectores deben ser TIC de los grupos A o B, y los instructores tienen que ser funcionarios de grupos B, preferentemente abogados o, alternativamente, con fuerte formación jurídica.
4.- No deja de ser curioso que la ley de retención de datos de tráfico encomiende a la AEPD su vigilancia, pero no la declare como agente cualificado. Así, de acuerdo con la ley, si la AEPD quisiese realizar una inspección a los ficheros de datos de tráfico, es competente para hacerlo, pero no puede tener acceso a los datos. En estas condiciones, si hubiese una denuncia contra un operador por haberse filtrado datos de tráfico, la operadora podria ser sancionada por la Agencia, pero se defenderia diciendo que habia sido una prueba ilegal: nunca podria ser sancionada. Esto hace que las operadoras tengan asegurada la impunidad en este caso.
5.- La negación efectiva de los datos de tráfico a la AEPD impediria las investigaciones de muchas denuncias. En concreto, los casos de spam, emule, SMS, llamadas telefónica publicitaria. En caso de emule, seria imposible localizar y requerir la cesación de la compartición de los ficheros como el caso de este artículo.
Jon Turrillas Sabalza
Tengo una duda relacionada con este asunto, ¿Puede un usuario de telefonía móvil solicitar a su operador (ej: movistar) el número de teléfono de las llamadas que recibe desde un número que le aparece como oculto? En principio entiendo que si el operador facilita al usuario el número desde el que está recibendo llamadas no incumpliría ningún precepto de la LOPD, ya que el número de teléfono por si mismo no es un dato personal ¿No? Pero le sería aplicable en este supuesto la «Ley 25/2007 de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones que obliga con carácter general a solicitar autorización judicial para conseguir precisamente, y entre otra, la información relativa al titular de una dirección IP en un momento determinado» a pesar de que en este caso que planteo no se trata de una dirección de IP, o ¿En su defecto que normativa resultaría aplicable? Supongamos que además podría resultar bloqueada la línea del usuario si desde varios números ocultos le realizasen llamadas todo el día, para lo cual entiendo que podría aplicarse la LSSICE en cuanto al SPAM se refiere, pero entonces cómo identificamos a las personas/ empresas que llaman desde dicho número oculto.