21 de abril de 2009

Peligro portátil

Es evidente que el uso de dispositivos portátiles se ha convertido en habitual en el mundo empresarial, y por alguna extraña razón se desprecia los peligros de su uso respecto a la seguridad de la información y la protección de datos, cuando resulta que precisamente por su movilidad son más vulnerables a robos y pérdidas, y a que la falta de supervisión provoque la instalación o mal uso de programas no convenientes. Veamos estos dos ejemplos centrados en el uso erróneo (otra vez) del eMule:

Procedimiento sancionador PS/00532/2008, instruido por la Agencia Española de Protección de Datos al CLUB DEPORTIVO SOCIEDAD DE CAZA SAN ANTON DE ARQUILLOS, vista la denuncia presentada por el AYUNTAMIENTO DE OURENSE.

Se trata de un caso en el que el gerente de la sociedad (al parecer sin permiso de ésta) preparó una base de datos en su ordenador portátil, que más tarde apareció en la red.
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER al CLUB DEPORTIVO SOCIEDAD DE CAZA SAN ANTON DE ARQUILLOS, por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 € (seis mil euros) de conformidad con lo establecido en el artículo 45.2 y 5 de la citada Ley Orgánica.

Procedimiento sancionador PS/00515/2008, instruido por la Agencia Española de Protección de Datos a la entidad Dña. G.G.G., vista la denuncia presentada por el CONCELLO DE OURENSE - POLICIA LOCAL.

En este caso, Dña GGG, de profesión doctora, hizo una copia de seguridad de sus ficheros en un dispositivo USB, que se llevó a su casa para seguir trabajando en ellos. Aseguró que este fichero “se encontraba ubicado en una carpeta comprimida y protegida con contraseña, en un disco duro externo no conectado directamente con el ordenador que contenía el programa eMule .... se trata de una carpeta no compartida, y el hecho de que se compartiera a través de eMule fue sin duda un lamentable error involuntario e inexplicable". Pero lo cierto es que el tal fichero apareció en la red, procedente de la IP de su domicilio.
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la Dra. G.G.G., por una infracción del artículo 9.1 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 € (seis mil euros) de conformidad con lo establecido en el artículo 45.2 y 5 de la citada Ley Orgánica.

Como se puede observar, en la Policía Local de Ourense le siguen echando horas al eMule.

15 de abril de 2009

Una rosa es una rosa... y dos son dos

"Oiga señor consultor, que mire que si yo he montado varias sociedades es por intereses fiscales (o comerciales o laborales o por subvenciones, etc) pero en realidad somos una sola empresa y usamos la misma base de datos, así que LOPD sólo una ¿no?"

¿Cuántas veces has oído un argumento similar? Yo muchas. Y a pesar de que ese empresario presenta una declaración de IVA trimestral y un impuesto de sociedades anual (y muchos otros documentos) por cada sociedad, no resulta fácil hacerle comprender que exactamente igual en protección de datos ha de adecuar cada una de sus compañías (y en la mayor parte de los casos regular mediante contrato la cesión de datos de unas otras e informar a los afectados de esta circunstancia).

Quizás lo vea más claro con ejemplos como este:

El procedimiento sancionador PS/00072/2008, instruido por la Agencia Española de Protección de Datos a las entidades DISTRIBUCIONES MALABO 2000, y S.L., V SHOES DAM, S.L., se inicia tras la denuncia presentada por el AYUNTAMIENTO DE MÓSTOLES. POLICÍA LOCAL, donde se hace constar el hallazgo de gran cantidad de documentación procedente, según los indicios, de un local comercial de la empresa DISTRIBUCIONES MALABO 2000, S.L., entre la que se encontraban “currículum vitae” con datos personales, dirigidos tanto a ésta empresa como a V SHOES DAM, S.L.

Ambas empresas, bajo una misma propiedad, habían denunciado anteriormente el robo en sus instalaciones de cuatro ordenadores y diversa documentación fiscal de ambas compañías, aunque no constaba denunciada la desaparición de los currículum. Y la Agencia aclara en los Fundamentos de Derecho:
Así las posibles medidas de seguridad establecidas por ambas entidades resultaron insuficientes desde el momento que no echaron a faltar la documentación que apareció en la vía pública hasta que la Policía les refirió los hechos, lo que demuestra negligencia en la actuación de dichas entidades, que descuidaron la documentación.
Y por supuesto, una sanción para cada una:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad DISTRIBUCIONES MALABO 2000, S.L., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 € (seis mil euros), de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.
SEGUNDO: IMPONER a la entidad V SHOES DAM, S.L., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 € (seis mil euros), de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.

6 de abril de 2009

¿De buena fe?

El procedimiento sancionador PS/00426/2008, instruido por la Agencia Española de Protección de Datos a la entidad Gestoría-Asesoría Gesto 3, se inició tras la denuncia presentada por D. C.C.C. en la que declaraba que:
GESTO 3 gestionaba toda la documentación relativa al denunciante como trabajador autónomo del sector del transporte, entre ella la relativa a la Mutualidad La Fraternidad Muprespa de la que era mutualista. En enero de 2006, el denunciante recibe escrito de la Tesorería General de la Seguridad Social, Dirección Provincial de (.......), donde le comunican que ha sido estimada su solicitud de cambio de mutua a favor de MUTUA GALLEGA.
El denunciante no había solicitado ningún cambio de mutualidad verificando, además, que su firma había sido falsificada en la solicitud mencionada, motivo por el cual interpuso denuncia ante el Juzgado de Guardia de (.......)
Los representantes de Mutua Gallega aportaron copia de la declaración de una empleada de Gesto 3 donde se ponía de manifiesto que:
todos los autónomos que llevaba la citada gestoría fueron pasados a MUTUA GALLEGA y que las propuestas de asociación no fueron firmados por las personas físicas sino que fueron autorizados y firmados por ella misma, indicando que tenía autorización verbal del denunciante y en otros casos autorización por escrito. Asimismo, manifiesta que “imitó la firma no lo hizo por orden”.
Gesto 3 manifestó que:
procedió al cambio de mutualidad a diversos clientes con el consentimiento de todos ellos firmando en su nombre las propuestas de Asociación a la MUTUA GALLEGA, siendo esta última la que se encargó de dar de baja en la mutua anterior a cada uno de los clientes.
Y tras recibir la comunicación del incio del procedimiento con una posible sanción de 300.506,05 € a 601.012,1 €, alega:
1. Que se ratifica en lo señalado en el acuerdo de inicio del procedimiento sancionador y lamenta su responsabilidad en el asunto, aunque lo hacia en aras a conseguir para los clientes un mejor servicio.
2. Su ignorancia en cuanto a la comisión de la infracción tipificada en el artículo 11.1 de la LOPD, entendiendo que dicha cesión la realizaba para el cumplimiento de fines relacionados con los intereses de su cliente y teniendo su consentimiento verbal.
3. Que su actuar ha venido motivado siempre por la buena fe.
Los lamentos, apelaciones a la ignorancia o alegaciones respecto a la buena fe, no parecen argumentos jurídicos de mucho peso, y efectivamente la AEPD lo deja claro en los Fundamentos de Derecho:
En el caso examinado, ha quedado acreditado que GESTO comunicó los datos personales del denunciante a MUTUA GALLEGA. Esta actuación ha de considerarse una cesión de datos, conforme a la definición del artículo 3.i) de la LOPD, y como tal ha de contar con el consentimiento del afectado o en su defecto, debe acreditarse que concurre alguno de los supuestos contemplados en el artículo 11.2 y que eximen al responsable del fichero del requisito del consentimiento.
En este caso, no ha quedado acreditado que GESTO contara con el consentimiento del denunciante para la cesión de sus datos personales.
Tampoco existe norma legal que expresamente permita la cesión de los datos del denunciante por parte de GESTO a MUTUA GALLEGA.
En consecuencia, ha de entenderse que GESTO ha vulnerado el artículo 11 de la LOPD.
Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad Gestoría-Asesoría Gesto 3 por una infracción del artículo 11.1 de la LOPD, tipificada como muy grave en el 44.4.b) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euro con veintiún céntimos) de conformidad con lo establecido en el artículo 45.3, 4 y 5 de la citada Ley Orgánica.

2 de abril de 2009

...y Estación de Servicio Islares, tampoco

Continuando con la serie Gente a la que no conviene enviarle un fax, hoy presentamos El retorno de Estación de Servicio Islares. Sí, los mismo que ya habían golpeado aquí y aquí también, vuelven a la carga.

Se trata del procedimiento sancionador PS/00455/2008, instruido por la Agencia Española de Protección de Datos a la entidad ASIMAG SERVICIOS EMPRESARIALES, S.L., vista la denuncia presentada por la mercantil ESTACION DE SERVICIOS ISLARES, S.L. tras haber recibido, vía fax, publicidad de Asimag Cantabria (en lo sucesivo ASIMAG).

El asunto no tiene más miga desde el punto de vista jurídico porque es un caso más de spam via fax. Lo que me ha llamado la atención es la detallada explicación de la denunciada acerca de sus sistema de trabajo:
- “El departamento de telemarketing de Asimag, a través de un directorio público, PAGINAS AMARILLAS, obtiene el teléfono de la estación de servicio.
- La trabajadora T.T.T., asignada al expediente *+*+*+*, se pone en contacto telefónico con la empresa e informa de la posibilidad de remitir información comercial.
- Desde la estación de servicio están conformes y nos proporcionan tanto el fax (coincidente con el teléfono) como la persona de contacto L.L.L. (único dato de carácter personal del que disponemos).
-Se remite la información comercial vía fax el día y hora anteriormente indicados”

La AEPD explica muy bien en los Fundamentos de Derecho la cuestión del origen de los datos en relación a la LOPD y la LSSI:
Hay que manifestar aquí que, aunque los datos de los destinatarios de los fax con contenido comercial hubieran sido obtenidos de la guías telefónicas editadas en papel, las cuales si tienen la condición de fuentes accesibles al público en los términos recogidos en el artículo 3.j) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, este hecho no eximiría de la obligación de obtener el consentimiento de los destinatarios de aquéllos para la remisión de envíos publicitarios vía fax, por cuanto las mismas no constituyen fuentes de acceso público para la remisión de faxes, de acuerdo con la LSSI y la LGT.
Pero en mi opinión pierde una ocasión estupenda para aclarar que el problema de ASIMAG no es esta denuncia en concreto, sino que su sistema de trabajo se sitúa al margen de la LOPD, al recabar (dicen) consentimientos por teléfono sin proceder a su grabación. De hecho, poco después indica:
En este caso, el envío de comunicaciones comerciales no solicitadas, en los términos indicados por el citado artículo 38.4.d) de la LSSI, se califica como infracción leve, al tratarse del envío de sólo una única comunicación por fax, sin que el destinatario hubiera prestado su consentimiento expreso, previo e informado.
Pero es obvio que se refiere a una sola comunicación denunciada, porque ha quedado claro por su propia descripción que técnicamente no dispone del consentimiento de ninguno de los receptores de sus faxes.

De momento les sale barato.
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad ASIMAG SERVICIOS EMPRESARIALES, S.L., por una infracción del artículo 38.3.h) de la LGT, tipificada como leve en el artículo 38.4.d) de la LSSI, una multa de 600 € (Seiscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada LSSI.

¡Estación de Servicio Islares es mi héroe!

1 de abril de 2009

Spammer: la Guardia Cívil no quiere tus faxes

El procedimiento sancionador PS/00385/2008, instruido por la Agencia Española de Protección de Datos a la entidad GLOBAL MESSAGING SOLUTIONS, S.L., se inicia tras el escrito presentado por MINISTERIO DEL INTERIOR, DIRECCION GENERAL DE LA POLICIA Y GUARDIA CIVIL, en el que se denunciaba la recepción de diversos mensajes comerciales a través de un número de fax perteneciente a la GUARDIA CIVIL. En dicha escrito se manifestaba, además, que se solicitó, vía fax, la no remisión de envíos publicitarios al citado número y que, a pesar de ello, se recibieron nuevos faxes publicitarios.

Ya que en los faxes se señalaba como responsable del fichero a la entidad TARGET A LAS DIEZ Y DIEZ, los inspectores se dirigieron a ésta, averiguando que TARGET tiene como único cliente a Global Messaging Solutions, S.L. (en lo sucesivo GLOBAL MESSAGING), empresa contra la que se inicia el procedimiento sancionador.

La primera vía de defensa de la empresa acusada es negar la mayor, asegurando no haber enviado esos faxes ya que en sus sistemas no consta referencia a tales envíos. Sin embargo, ante la evidencia irrefutable de uno de los casos alega en un nuevo escrito:
Asimismo, aporta testimonio de un trabajador de GLOBAL MESSAGING en el que declara que realizó diversas llamadas telefónicas al número ####### y que, “en una ocasión”, contactó con una persona a la que ofreció los productos de sus clientes y que consintió el envío de comunicaciones “aclaratorias”.
Esto de "me lo dijo por teléfono" empieza a ser una plaga.

La AEPD lo deja claro en los Fundamentos de Derecho:
En el supuesto que se examina, tal y como ha quedado acreditado, GLOBAL MESSAGING remitió a la entidad denunciante, al menos, cinco mensajes con comunicaciones comerciales por fax en los que se ofertaban, a cambio de una contraprestación económica, productos y servicios de terceras empresas, sin haber acreditado que dispusiera del consentimiento previo e informado del denunciante. A estos efectos, no resulta suficiente una simple manifestación de parte, según la cual el consentimiento se prestó por el afectado de forma verbal y vía telefónica, sin que se haya aportado prueba alguna sobre la realización efectiva de dicha llamada y, en su caso, sobre el contenido de la misma, la identidad de quién prestó, supuestamente el consentimiento, etc.
Dicha conclusión resulta considerando que en las citadas comunicaciones promocionales se indicaba que los datos utilizados para el envío se obtuvieron de las bases de datos de la entidad TARGET, habiéndose verificado, además, que en los ficheros de esta entidad estuvo disponible el número de línea telefónica destinatario de aquellas comunicaciones. Asimismo, se tiene en cuenta que la entidad GLOBAL MESSAGING es la única cliente de TARGET y que las entidades terceras que publicitaron sus productos y servicios mediante las repetidas comunicaciones eran, a su vez, clientes de GLOBAL MESSAGING, que facturó a las mismas los envíos realizados. Por otra parte, la prueba de estos envíos fue aportada por la entidad denunciante, por lo que no cabe admitir la alegación efectuada por GLOBAL MESSAGING relativa al envío de una única comunicación promocional.
Y en consecuencia
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad GLOBAL MESSAGING SOLUTIONS, S.L., por una infracción del artículo 38.3.h) de la LGT, tipificada como grave en el artículo 38.3.c) de la LSSI, una multa de 30.001 € (treinta mil un euros), de conformidad con lo establecido en el artículo 39.1.b) y 40 de la citada LSSI.