26 de mayo de 2009

4 kilos de datos personales

Eso es lo que se encontró la Policía Local del Ayuntamiento de Cambrils en un camino forestal: una caja de cartón llena de tickets de un restaurante con nombres de clientes y datos de tarjetas de crédito. En concreto, según la posterior inspección de la AEPD: nº de tarjeta, nombre y apellidos, fecha de caducidad de la tarjeta y firma del cliente, figurando en la parte superior del ticket “Restaurant Gran Mon”.

Notificado el acuerdo de inicio del procedimiento sancionador PS/00498/2008, el restaurante alegó:
  1. Niega los hechos de los que dicen no “existir pruebas”. Añade que ningún empleado o persona del Restaurante puso la caja de cartón con los tickets y boletas de pago en el lugar en que se halló. Se debería exigir responsabilidad al autor de los hechos.
  2. El hecho se debe a un caso fortuito. El Restaurante se hallaba en obras, los albañiles debieron depositar los tickets en el lugar en que se hallaron. Aporta una licencia de obras en el Restaurante, sellada por el Ayuntamiento de (.....) de 27/09/2007.
  3. Ausencia de malicia en los hechos denunciados.
  4. Falta de proporcionalidad en la sanción a imponer, aunque no detalla los aspectos que se tendrían que tener en cuenta en el caso concreto.
Los tickets y boletos de pago en los que figuran en muchos de ellos los 20 dígitos completos de la cuenta bancaria, el nombre y apellidos, y las fechas, existiendo desde los años 2004, 05, 06 se hallaban, según Restaurante Gran Mon, guardados en el despacho del encargado, del cual sólo él tenía llaves, concretamente dentro de un armario del despacho, que a su vez era cerrado con llave. Manifiesta su representante que cuando se efectuaron las obras, los empleados vaciaron los armarios para moverlos, se mezclaron con otras cajas que contenían material de deshecho para ser tiradas, sin que la empresa tuviera conocimiento en ningún momento de que habían sido sacadas.

La AEPD resuelve:
Pese a que los hechos descritos suponen una clara conducta negligente por parte de RESTAURANTE GRAN MON, al no cumplir las medidas de seguridad exigidas en la legislación vigente, con el resultado de la vulneración de dicho principio, no obstante, se aprecia una cualificada disminución de la culpabilidad ya que los documentos se encontraron y recuperaron de forma inmediata, con posterioridad a la realización de obras en el restaurante, se hallaban y fueron encontrados en una caja de cartón, sin que estuvieran diseminados por la superficie, por tanto, procede la aplicación en el presente supuesto del artículo 45.5 de la LOPD,
No obstante, teniendo en cuenta los criterios de graduación de la sanción previstos en el artículo 45.4 de la LOPD y, en especial, la ausencia de intencionalidad acreditada en el presente procedimiento, procede proponer la sanción en cuantía de 6.000 €.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a RESTAURANT GRAN MON, S.L., por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 6.000 €, de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.

22 de mayo de 2009

El "Quién es Quién" de los dominios de internet

Ha quedado ya dicho en innumerables ocasiones que en lo que se refiere a la protección de datos (LOPD, LSSI y cualquier otra legislación referente), internet no es una fuente de acceso público, y por lo tanto tales datos no podrán ser tratados sin el consentimiento de los afectados.

En el caso del procedimiento sancionador PS/00583/2008, instruido por la Agencia Española de Protección de Datos a la entidad ALMA RECORDS ENTERTAINMENT, el dato necesario para el envío de un correo electrónico comercial no solicitado (spam) se extrajo de una web que ofrecía los datos de los propietarios de dominios de internet.
WHOIS es un protocolo TCP basado en petición/repuesta que se utiliza para efectuar consultas en una base de datos que permite determinar el propietario de un nombre de dominio o una dirección IP en Internet. Las consultas WHOIS se han realizado tradicionalmente usando una interfaz de línea de comandos, pero actualmente existen multitud de páginas web que permiten realizar estas consultas. Estas páginas siguen dependiendo internamente del protocolo WHOIS para conectar a un servidor WHOIS y hacer las peticiones.
La empresa denunciada alegó:
El consentimiento otorgado por el destinatario se entiende, puesto que la comunicación comercial contenía al final un apartado donde le informan de sus derechos, a través del cual podría haber denegado su consentimiento; sin embargo nunca se dirigió a la entidad para ello.
El motivo del envío fue el de ofertar el servicio de creación y publicación de una página web, entendiendo que la oferta podía resultarle interesante al haber adquirido recientemente un dominio web.
Los datos del destinatario fueron obtenidos a través de la web www...Y.... en cuya sección ESTADÍSTICAS se puede descargar el documento en formato “pdf” correspondiente al mes de mayo, en el cual se encuentra un listado de acceso libre.
A continuación, en la web www...Z.... se busca en su sección ¿Qué dominio deseas registrar?, se indica el nombre del dominio del cliente buscado en el “pdf” anterior obteniéndose todos los datos del cliente mediante libre acceso (el proceso se encuentra descrito en el documento presentado por ALMA RECORDS ENTERTAINMENT).
A lo que la AEPD responde en los Fundamentos de Derecho:
En el presente supuesto, ha quedado acreditado que la entidad ALMA RECORDS ENTERTAINMENT, S.L. remitió, en fecha 23 de mayo de 2008, una comunicación publicitaria a la dirección de correo electrónico ..S..@...., sin disponer de autorización expresa y previa del destinatario y sin que conste la existencia de una relación contractual anterior que justifique el envío del mensaje, de conformidad con lo dispuesto en el artículo 21.2 de la LSSI. En dicha comunicación se ofrece el servicio de creación y publicación de una página web.
El envío de la comunicación comercial que motiva el presente procedimiento, se produce desde una dirección de correo electrónico (“....X..@.......”) de las que es titular dicha entidad, habiendo utilizado unos equipos informáticos propios ubicados en los locales de la entidad. Así, debe concluirse que la entidad ALMA RECORDS ENTERTAINMENT, S.L. es responsable del incumplimiento de la prohibición prevista en el artículo 21.1 de la LSSI antes citado.
Y por lo tanto
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad ALMA RECORDS ENTERTAINMENT, por una infracción del artículo 21 de la LSSI, tipificada como leve en el artículo 38.4.d) de la LSSI, una multa de 600 € (seiscientos euros), de conformidad con lo establecido en el artículo 39.1.c) de la citada LSSI.

18 de mayo de 2009

Dime tu URL y te diré quién eres

El procedimiento sancionador PS/00459/2008, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad INTRASOFT, S.L. se inició tras el escrito de denuncia presentado por D. B.B.B. en el que manifestaba que a través de la página web de PERÍS CORREDURÍA DE SEGUROS, S.A. (en adelante PERIS):
(...) rellenó con sus propios datos personales los distintos formularios de datos requeridos para solicitar el seguro de su motocicleta. Y en el último paso, al finalizar la tramitación de dicha solicitud, y tras así ser requerido por la propia página web, imprimió el comprobante de solicitud de seguro.
En éste comprobante impreso figura la dirección URL http://www....X..../....../....../................
Con motivo de conservar una copia del comprobante en papel, introdujo la dirección URL que aparecía en el comprobante para imprimirlo de nuevo, observando cómo el comprobante de solicitud de seguro, con todos los datos de índole personal, bancarios y de salud, aparecía sin requerir ningún tipo de identificación personal, a través de un nombre de usuario y contraseña o cualquier otro medio de acceso seguro. Este hecho se comprueba en días sucesivos y desde ordenadores distintos.
D. B.B.B. no se conformó con esta prueba y además acudió a un notario:
Para que a través del ordenador de mi despacho entre en la pagina web http://www....X../..../.. y una vez en la misma compruebe por apreciación directa que los datos personales del requirente aparecen en la misma sin pedir ningún tipo de contraseña para ello. Acepto el requerimiento…comprobando que se accede a una página en la que aparecen datos de requirente y que en ningún momento se solicita nombre de usuario ni contraseña alguna. He impreso dicha pagina que queda unida a la presente acta.
Por su parte los inspectores de la AEPD comprobaron que modificando la ID de la URL citada se podía acceder a los datos de otras personas:
verificado que se visualizan los datos personales de doce personas físicas, sin que exista un procedimiento de identificación y de autenticación para el citado acceso.
Entre la información a la que se ha tenido acceso de las doce personas físicas se encuentra: nombre, apellidos, NIF, dirección postal, dirección electrónica, teléfono, fecha de nacimiento, estado civil, sexo, fecha de expedición y tipo de carnet, profesión, datos del vehículo, datos relativos a la póliza en vigor y cuenta corriente. También consta información relativa a: fumador, bebe habitualmente, practica deporte de riesgo, viaja frecuentemente, tensión máxima y mínima, peso y altura.
La correduría de seguros PERIS acreditó que tiene suscrito y en vigor un contrato con la empresa de informática INTRASOFT, en virtud del cual dicha entidad viene prestándole servicios de tratamiento de datos de carácter personal, asumiendo en virtud de dicho contrato y a todos los efectos la condición de Encargado de Tratamiento. Asímismo demostró que cumplía las obligaciones documentales de la LOPD y que había inscrito el correspondiente fichero en el RGPD, declarándolo de nivel alto.

INTRASOFT admitió:
(...) que los datos de ciertas personas que han solicitado un seguro han podido ser visualizados mediante este recurso (…) la causa por la que se esto ha podido suceder consistió, tal y como ahora hemos podido verificar, en un error en la funcionalidad del servicio web, no previsto y producido accidentalmente en un desarrollo (...)
En su recurso, la empresa informática intenta anular el proceso por haber prescrito (siendo su única opción, ya que por lo demás todo está muy claro) sin conseguirlo.
Por todo ello, en base a los criterios de graduación establecidos en el artículo 45.4 de la LOPD, y, en especial, a la falta de intencionalidad observada en el procedimiento, procede proponer la sanción en su cuantía mínima.
Vistos los preceptos citados y demás de general aplicación,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad INTRASOFT, S.L. por una infracción del artículo 9 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.
Esta Resolución ha sido recurrida.

7 de mayo de 2009

De cuatro en cuatro

Siempre habrá quien diga que las sanciones en protección de datos son excesivas, pero lo cierto es que las leves no funcionan.

Hemos visto ya cientos de sanciones de entre 1000 y 3000 euros por el envío de faxes comerciales sin consentimiento, pero esta práctica lejos de disminuir sigue molestando a los dueños de los faxes, que ponen la tinta y el papel que se ahorran los spammer. Pero parece que los recursos a la falta de intencionalidad o de reincidencia empiezan a no funcionar.

Así nos encontramos con el procedimiento sancionador PS/00512/2008, instruido por la Agencia Española de Protección de Datos a la entidad GLOBAL MESSAGING SOLUTIONS, S.L., tras la denuncia presentada por D. M.M.M. por la recepción de cuatro mensajes publicitarios por fax.

Este tipo de empresas suelen montar un entramado de varias firmas que intentan pasarse unas a otras la responsabilidad, tal y como se puede ver en el desarrollo de la resolución, pero la AEPD no sólo señala al infractor final, sino que tras tipificar la infracción como grave, al llegar la final de los Fundamentos de Derecho no la baja de nivel como venía siendo habitual, y aunque la deja en el mínimo posible dentro del baremo sancionador, lo cierto es que es un buen pellizco:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad GLOBAL MESSAGING SOLUTIONS, S.L., por una infracción del artículo 38.3.h) de la LGT, tipificada como grave en el artículo 38.3.c) de la LSSI, una multa 30.001 € (Treinta mil un euros), de conformidad con lo establecido en el artículo 39.1.b) y 40 de la citada LSSI.

A ver si así lo entienden.